WordPress Güvenliği: Dosya ve Klasör İzinleri (CHMOD) Rehberi

WordPress Güvenliği: Dosya ve Klasör İzinleri (CHMOD) Rehberi

WordPress sitenizin güvenliği için dosya ve klasör izinlerinin doğru şekilde ayarlanması kritik öneme sahiptir. Bu rehberde, WordPress’in güvenli çalışması için gerekli olan CHMOD ayarlarını ve saldırılara karşı alınabilecek ek önlemleri detaylı şekilde açıklıyoruz.

1. WordPress Temel Klasör ve Dosya İzinleri

Aşağıdaki tablo, WordPress’in güvenli çalışması için gerekli olan temel CHMOD ayarlarını göstermektedir:

cPanel’de izinleri değiştirmek için: Dosya Yöneticisi > ilgili dosya/klasörü seçin > “İzinleri Değiştir” (Change Permissions) seçeneğini kullanın.

2. Kritik Güvenlik Ayarları

WordPress sitenizi saldırılara karşı korumak için aşağıdaki ek önlemleri almalısınız:

wp-config.php Koruma

WordPress’in en kritik dosyası olan wp-config.php’yi korumak için:

chmod 400 wp-config.php  # Sadece sahibi okuyabilir

Veya alternatif olarak:

chmod 640 wp-config.php  # Sahibi yazabilir, grup okuyabilir

Uploads Klasöründe PHP Çalıştırmayı Engelleme

/wp-content/uploads/ klasörüne bir .htaccess dosyası ekleyerek PHP çalıştırmayı engelleyin:

<Files *.php>
    Deny from all
</Files>

Gereksiz Dosyaları Temizleme

Siteniz ele geçirildiyse aşağıdaki dosyaları kontrol edin:

• Kullanılmayan tema ve eklentileri silin
• Root dizininde şüpheli .php dosyaları olup olmadığını kontrol edin
• wp-admin ve wp-includes klasörlerinde orijinal olmayan dosyaları temizleyin

3. İleri Düzey WordPress Güvenlik Önlemleri

Temel izin ayarlarının yanı sıra aşağıdaki önlemleri de almanızı öneririz:

Veritabanı Önlemleri

• WordPress veritabanı tablo öneklerini (genellikle wp_) değiştirin
• Yönetici kullanıcı adını “admin” yapmayın
• Güçlü parolalar kullanın

Sunucu Tarafı Önlemler

• cPanel > Password Protect Directories ile /wp-admin/ erişimini şifreleyin
• SSH/FTP şifrelerini değiştirin
• Sunucu seviyesinde güvenlik duvarı (CSF, ConfigServer Firewall) kullanın

Güvenlik Eklentileri

• Wordfence Security: Firewall ve malware tarama
• Sucuri Security: Web uygulama firewall ve izleme
• iThemes Security: Çok yönlü güvenlik önlemleri

4. Siteniz Ele Geçirildiyse Yapılacaklar

Siteniz saldırganlar tarafından ele geçirildiyse aşağıdaki acil önlemleri alın:

1. Tam yedek alın: Dosyaları ve veritabanını yedekleyin
2. Sunucuda malware taraması yapın:

   clamscan -r /home/kullaniciadi/public_html

3. Tüm WordPress çekirdek dosyalarını yenileyin: Resmi WordPress sitesinden indirin
4. Tüm eklenti ve temaları güncelleyin: Güncel olmayanları kaldırın
5. wp-config.php dosyasını kontrol edin: Şüpheli kod eklemelerine bakın
6. Veritabanında şüpheli kullanıcıları kontrol edin: Yetkisiz yönetici hesaplarını silin
7. Tüm erişim bilgilerini değiştirin: FTP, cPanel, WordPress admin şifreleri

5. Sıkça Sorulan Sorular

WordPress dosya izinleri neden bu kadar önemli?

Yanlış izinler, saldırganların dosyalarınızı değiştirmesine veya kötü amaçlı kod eklemesine olanak tanır. Özellikle yazma izinleri çok dikkatli ayarlanmalıdır.

CHMOD 777 neden tehlikeli?

CHMOD 777, herkesin dosyalarınızı okuyabileceği, yazabileceği ve çalıştırabileceği anlamına gelir. Bu, büyük bir güvenlik riskidir.

Dosya izinlerini toplu olarak nasıl değiştirebilirim?

SSH erişiminiz varsa:

find /path/to/wordpress/ -type d -exec chmod 755 {} \;  # Tüm klasörler
find /path/to/wordpress/ -type f -exec chmod 644 {} \;  # Tüm dosyalar

WordPress güncellemeleri izinleri bozar mı?

Çekirdek güncellemeleri bazı dosya izinlerini değiştirebilir. Bu nedenle büyük güncellemeler sonrası kritik dosyaların izinlerini tekrar kontrol etmelisiniz.

Veritabanını onarma

Bu URL tarayıcınızda gidin https://arifakyuz.com/wp-admin/maint/repair.php WP-Config dosyasının son satırına aşağıdaki komutu ekleyin ve sayfayı yenileyin.

define(‘WP_ALLOW_REPAIR’, true);