Bu yazımızda günümüzün en populer scriptleri arasında yer alan ve her yanımızı saran WordPress içeriğini, .htaccess ile ufak dokunuşlarla nasıl daha güvenli hale getireceğimizi aktaracağız. Ayrıca bu güvenlik unsurlarının tamamı .htaccess dosyasından yapılandırılmış olacaktır.

Öncelikle; .htaccess nedir? bunu açıklayalım;

.htaccess : Ana açılımı Hypertext Access dir. Apache başta olmak üzere bir çok web servis tarafından kullanılan ve web platformlarına etki sağlayabileceği yapılandırma değişikliklerine olanak sağlayan dosya tipidir. Bir çok Apache sistemi, alt kullanıcıların sistemsel yapılandırmasını .htaccess dosyasını derleyerek tamamlamaktadır.

Artık güvenlik ipuçlarını paylaşmaya başlayabiliriz.

1 – Klasör ve dosya listeleme fonksiyonunu iptal edelim: Bazı eksik sistem yapılandırmalarında, klasör yolunu tarayıcıya yazdığımızda o klasör içerisinde bulunan dosyalar tarayıcıda listelenmektedir. Buda ciddi güvenlik açıklarına etken oluşturabilir. Bu fonksiyonu site yapınızda engelleyebilmek için aşağıda paylaştığım komutu .htaccess dosyasına eklemeniz yeterli olacaktır.

# Options -Indexes

2 – Tarayıcı ön bellek yapısını aktif etme: Aslında bu bir güvenlik önlemi değil. Tamamı ile site performans yapısını iyileştirmek adına yapılan bir işlem. Fakat wordpress yapısının temel taşlarından olduğundan dolayı paylaşmamız faydalı olacak.

#<IfModule mod_expires.c>
#ExpiresActive On
#ExpiresByType image/jpg “access 1 year”
#ExpiresByType image/jpeg “access 1 year”
#ExpiresByType image/gif “access 1 year”
#ExpiresByType image/png “access 1 year”
#ExpiresByType text/css “access 1 month”
#ExpiresByType text/html “access 1 month”
#ExpiresByType application/pdf “access 1 month”
#ExpiresByType text/x-javascript “access 1 month”
#ExpiresByType application/x-shockwave-flash “access 1 month”
#ExpiresByType image/x-icon “access 1 year”
#ExpiresDefault “access 1 month”
#</IfModule>

3 – Web dosyanızın bulunduğu klasörde script içeriğinin çalışmasını engellemek: Aşağıda paylaşacağım komutu güvenlik önlemi alacağınız klasörde oluşturulacak .htaccess dosyasına aktarın. WordPress yapısında en çok kullanılan bölüm wp-content dosyasıdır. Örneğin bu komutu belirtilen dizinde çalıştırdığınızda her hangi bir tema açığından kaynaklı hatadan dolayı wp-content dosyanıza shell ve script virüsleri bulaştırılamayacaktır.

#AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
#Options -ExecCGI

Artık yazımızın en can alıcı noktasına ulaşmış bulunmaktayız.

4 – Dosya erişimlerini kısıtlamak: Aşağıda paylaşılan komutla wordpress yapısında dilediğiniz dosyaya direkt erişimi kısıtlayabilirsiniz. Örnek olarak .htaccess ve wp-config.php dosyalarını baz alabiliriz. Komutu .htaccess dosyasına eklediğinizde artık bu dosyalar dış erişime kapalı olacaktır.

<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

Faydalı olması dileğiyle.

Kaynak: Natro