Çarşamba

Wp-Config dosyasını nasıl korursunuz?

Ağu-13-2008 tarihinde, Orhan Toker yazmış. | Seviye |

Sevgili arkadaşlar,

Yeni sunucuya geçtikten sonra, Amerika’da yaşayan bir Türk arkadaş, sitelerimizdeki bir güvenlik açığı ile ilgili beni uyardı. Kendisi wp-config.php dosyalarımızı okumayı başarmış ve veri tabanı şifrelerini eline geçirmiş. Bunu yapması çok kolay olmuştur çünkü kısa bir araştırmayla gördüm ki, dosyalar kabak gibi meydanda. Hiç korumamışız!

Elbette ben de hemen bir araştırma yaparak “wp-config dosyalarını nasıl güvenli hale getiririz?” sorusunu araştırdım ve sizinle paylaşmak isterim.

wp-config dosyanızı 2 adımda kırılamaz ve okunamaz hale getirebilirsiniz.

1) .htaccess dosyanızı düzenleyin.

Web sitenizin root dizininde, sitedeki dizin ve dosyaların erişim haklarını vb düzenleyen .htaccess adında bir dosya vardır. Bunu hostin yönetiminizdeki webshell ile görebilirsiniz. Dosyanın içine aşağıdki satırları ilave edin. Unutmayın bu konuda deneyimli değilseniz .htaccess dosyasını hiç kurcalamayın.

[php]
# protect wpconfig.php

order allow,deny
deny from all

[/php]

2) wp-config dosyanızın içini boşaltın

Sevgili arkadaşlar, wp-config dosyanızı okunda bile içinde hiç birşey görünmeyecek bir hale getirebilirsiniz. Bunu yapmak aslında çok basit bir işlemdir. wp-config dosyasında olması gereken içeriği başka bir dosyaya yazıp bu dosyayı da hiç bir zaman ulaşılamayacak bir dizine kopyalamak iyi bir yoldur.

Şimdi config.php diye bir dosya oluşturun ve okunmasını istemediğiniz satırları buraya kopyalayın.

[php]
define('DB_NAME', 'blogunuzun database adı'); // The name of the database
define('DB_USER', 'kullanıcı ismi'); // Your MySQL username
define('DB_PASSWORD', 'parolanız'); // ...and password
define('DB_HOST', 'localhost'); // 99% chance you won't need to change this value
// You can have multiple installations in one database if you give each a unique prefix
$table_prefix = 'wp_'; // Only numbers, letters, and underscores please!
?>
[/php]

Şimdi bu dosyayı hosting dizininizde blogadiniz.com dizininin bulunduğu yani www.blogadiniz.com’um bir üst dizinine kopyalayın. Dizin yapınız büyük ihtimalle şöyledir:

[text]
[blogadiniz.com]
[logs]
[stats]
config.php
[/text]

Artık config.php dosyanız okunamaz durumda. Sıra bu dosyayı wp-config dosyasına dahil etmeye geldi. wp-config dosyanızı aşağıdaki gibi düzenleyin.

[php]

include('/home/yourname/config.php');

// Change this to localize WordPress. A corresponding MO file for the
// chosen language must be installed to wp-includes/languages.
// For example, install de.mo to wp-includes/languages and set WPLANG to 'de'
// to enable German language support.
define ('WPLANG', '');
/* That's all, stop editing! Happy blogging. */
define('ABSPATH', dirname(__FILE__).'/');
require_once(ABSPATH.'wp-settings.php');
?>
[/php]

wp-config dosyanıza config.php dosyasını dahil ettiğiniz satırdaki dizin adresi hosting firmasına göre değişir. Genel yapısı

/home/yourname/

şeklindedir. Burayı kendi hostin firmanıza danışarak düzenleyin.

Evet artık wp-config dosyamız okunamaz durumda okunda bile içi yukarıdaki gibi gözükecek. Umarım bilgi işinize yarar.