wp-config.php dosyasıyla ilgili diğer ince ayarlar için  WordPress Codex e bir göz atın.

3- wp-config.php dosyanızın yerini değiştirin

Wordpress, 2.6 sürümünden bu yana wp-config.php dosyasının yerini değiştirmenize izin veriyor. (yalnızca üst seviyeye) Yani diyelim ki blogunuz www.blogunuz.com/wordpress dizinine kuruldu ise, wp-config.php dosyanızı wordpress dizininden, bir süt seviye olan ana dizine taşıyabilirsiniz. Bunu yaptığınızda Wordpress, otomatik olarak wp-config.php dosyanızın yerini bulacaktır ve hiç bir problem olmadan çalışmaya devam edecektir. Ancak unutmayın, “yalnızca blogunuzu kurduğunuz dizinin, bir üst dizinine taşıyabilirsiniz bu dosyayı. Farklı bir klasöre taşırsanız, Wordpress çalışmayacaktır.

4- wp-config.php dosyasını koruma altına alın

Bütün servis sağlayıcılar desteklemese de wp-config.php dosyanıza dışarıdan erişimi engelleyebilirsiniz. Yani sizinle birlikte aynı serverı kullanan kullanıcılara karşı bir güvenlik önlemi almış olacaksınız.  Bununla ilgili şu kodları .htaccess dosyanıza yerleştirin:

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>

5- Admin hesabını silin

Wordpress’i ilk defa kurduğunuzda karşınıza herhangi bir opsiyon sunulmadan, otomatik olarak “admin” adında bir yönetici hesabı oluşturulur ve full yetkiyle donatılır. Çoğu blogger bu hesabı değiştirmeden kullanır. Bu da hackerlara karşı bir güvenlik zaafı doğuruyor. Çünkü bu hesaba otomatik olarak #1 numaralı ID veriliyor. Bu da sizi açık bir hedef haline getirir. Kullanıcı adınızı bildiklerine göre, geriye bir tek şifreyi kırmak kalır.  Şu adımları izleyin ve admin hesabından kurtulun.

1. Varsayılan “admin” hesabıyla giriş yapıp, yönetici haklarına sahip yeni bir hesap oluşturun
2. Admin panelinden log-out olun.
3. Yeni hesabınız ile giriş yapın.
4. Giriş yaptıktan sonra, eski admin hesabını silin.

Not: Eski admin hesabını silmeden önce, eskiden yazdığınız yazılarınızı yeni yazar hesabınıza atayın. “Attribute all posts and links to”

6- Güçlü bir şifre seçin

Hackerların saldırılarının yoğunluğu, genellikle ve sıklıkla ilgili blogun popülaritesiyle doğru orantılı oluyor. Eğer bir de seçtiğiniz şifreniz zayıfsa, yandığınızın resmidir.

Genellikle seçilen şifreler yukarıda anlattığım gibi zayıf oluyor. Doğum tarihini yazanların sayısı binlerce.. Peki sebep ne? Genellikle, sonradan kolay hatırlanabilen ya da o anda akla ilk gelen en kolay şeyin şifre olarak seçilmesi hacklerın ekmeğine yağ sürüyor. Yapılan araştırmalar gösteriyor ki, seçilen şifrelerin çoğu özensizce seçiliyor, sadece sayılardan oluşuyor ve kolayca tahmin edilebilir şeyler oluyor. (ör: doğum tarihi)

Wordpress, seçeceğiniz şifrenin ne kadar güçlü olup olmadığını ölçebilmek için gerçek zamanlı bir algılayıcı fonksiyon kullanıyor. Ancak bu fonksiyon açıklanamaz bir şekilde sadece önceden yaratılan hesapların şifrelerini değiştirirken çalışıyor. Yani yeni bir hesap yaratmak istediğinizde, şifrenizin gücünü ölçen gerçek zamanlı algılayıcı devreye girmiyor. Umarız bu bug ı yeni versiyonda yamar Wordpress geliştiricileri.

Seçeceğiniz şifre için önerimiz, en az 7 karakter ve üzeri, sayı ve rakamlardan oluşan, büyük küçük harf ve semboller (” ? $ % ^ & ) içeren bir şifre kullanın.

7- wp-admin klasörünü koruyun

Yönetim paneline giriş normalde tek bir şifre ile yapılıyor. Buna ek olarak wp-admin klasörünü de şifrelesek daha iyi olmaz mı? Sonuçta ünlü bir çin atasözü der ki “İki, birden daha iyidir” (:

Bu şifreleme işini .htaccess ve .htpasswd dosyalarını kullanarak yapabilir ya da kullandığınız server dizin şifreleme özelliği sunuyorsa ilgili ayarlardan basit bir şekilde halledebilirsiniz.

Not: Htaccess and Htpasswd generator adlı bu araç, şifrelemek istediğimiz wp-admin klasörü için otomatik olarak dosyaları oluşturabiliyor. Size kalan da dosyaları blogunuzun olduğu dizine göndermek.

8- Log-in sayfasındaki “hata bildirimini” devre dışı bırakın

Wordpress geliştiricileri her ayrıntıyı öyle derinlemesine düşünmüşler ki sistem bir saat gibi tıkır tıkır işliyor.Ancak bazı ayrıntılar bize karşı silah olarak da kullanılabiliyor. Admin paneline giriş yaparken şifrenizi hatalı girerseniz ne oluyor? “Error invalid password” gibi bir hata görüyorsunuz ekranda. Çünkü ilgili kullanıcı adı ve şifre veritabanından kontrol ediliyor ve yanlışsa ekrana bir hata mesajı basılıyor. Ancak otomatik şifre kırıcılar, bu dönen hata mesajlarını referans alarak, kullanıcı adının mı yoksa şifrenin mi yanlış olduğunu anlayabiliyorlar ve denemelerine devam ediyorlar. “Kırılamayacak açık yoktur” sözünü aklımızın bir köşesine yazmak suretiyle biz önlemimizi alalım ve bu hata mesajlarından kurtulalım.

Yapmanız gereken, temanızın functions.php dosyasına şu satırı eklemek ve şifre kırıcıları kısır bir döngüye sokmak:

add_filter('login_errors',create_function('$a', "return null;"));

Bundan böyle şifre ya da kullanıcı adınızı yanlış girdiğinizde hata mesajı dönmeyecek.

9- Hatalı giriş sayısını sınırlayın

Wordpress, ne yazık ki kendisinden beklenmeyecek bir hareketle, admin paneline yapılan girişlerin bir kaydını tutmuyor. Yani kaç kez giriş yapılmış, kaç kez hatalı şifre girilmiş, “şu kadar kez hatalı şifre girilirse bu yapılsın” gibi döngüleri kullanmıyor.

Neyse ki bu eksiklik için 2 farklı çözüm mevcut. Login LockDown ve Limit Login Attempts. Bu eklentiler sayesinde, admin paneline girişleri sınırlayabilir ve kaç kez deneme yapıldığını kayıt altına alıp sonradan görebilirsiniz. Böylelikle otomatik şifre kırıcılara karşı güçlü bir önlem almış olacaksınız.

10- Her zaman güncel kalın

Son olarak söyleyeceğim; Wordpress geliştiricileri sürekli ve hızlı olarak güvenlik açıkları üzerinde çalışıyorlar. Önceki sürümlerde olan bir güvenlik açığı yeni sürümlerde yüksek ihtimalle kapatılıyor. Bu nedenle en güncel Wordpress sürümünü kullanmaya dikkat edin ve bu meseleyi gerçekten ciddiye alın. Tüm eklentilerinizi ve ana wordpress sürümünüzü sürekli güncel tutun. Unutmayın ki kullandığınız her eklenti potansiyel birer güvenlik açığı tehdididir. Bu nedenle güncellemeleri kaçırmamaya özen gösterin.

Sıra sizde

Admin panelinizi korumak için neler yapıyorsunuz?

Wordpress 2.6.5 yayınlandı

Wordpress 2.6.5 güncellemesi yayınlandı. 2.7 sürümünün yayınlanmasına çok az bir süre kala, güvenlik açıkları giderilmeye devam ediyor. Wordpress 2.6.5 de bir kaç önemli güvenlik açığını gidermek amacıyla yayınlandı.

Bu yamalardan ilki, Jeremias Reith tarafından ortaya çıkarılan XSS(Cross site scripting) açığını kapatıyor. XSS, saldırganların html kodlarının içine istemci tabanlı zararlı kodları gömerek, ziyaretçinin tarayıcısı aracılığıyla istediği istemci taraflı kodu çalıştırabilmesi anlamına geliyor. Üzerinde Apache 2.x bulunduran, ip bazlı sanal server kullanan kullanıcıları etkileyen bu açık, Wordpress 2.6.5 ile kapatılmış. Eğer sadece bu güvenlik açığını yamamak istiyorsanız, Wordpress 2.6.5 paketi içerisindeki wp-includes/feed.php ve wp-includes/version.php adlı dosyaları alarak mevcut sürümünüzün ilgili klasörlerine kopyalayabilirsiniz.

Bu güvenlik güncelleştirmesinden başka, 3 tane daha XSS açığını gideren yama da Wordpress 2.6.5 ile geliyor. Bu güncellemeler de Post Revision, XML-RPC ve User-ID altyapılarındaki bazı açıkları gideriyor. Giderilen güvenlik açıklarıyla ilgili detaylı bilgiyi şuradan alabilirsiniz.

Bu arada Wordpress geliştiricilerinin bir uyarısı var. Bu güncellemede Wordpress 2.6.3 sürümünden direkt olarak 2.6.5 sürümüne geçiş yapıldı. Yani arada 2.6.4 kodlu bir sürüm resmi olarak yok. Bu nedenle sağda solda Wordpress 2.6.4 sürümü ile ilgili bir haber ya da bir indirme dosyası görürseniz bilin ki bu dosya fake.

Wordpress 2.6.5 indirmek için tıklayın.

Mahkeme kararıyla “Reklam ve Youtube”

Artık mahkeme kararıyla(!) engelli sitelere giriş yapmak istediğinizde “Bu site mahkeme kararıyla engellenmiştir” sayfasının üst kısmında Güvenli WEB(www.guvenliweb.org.tr) isimli siteye bir link göreceksiniz. Bu link Telekomünikasyon Başkanlığı tarafından hazırlanmış. İlk bakışta internet kullanıcılarını bilinçlendirmek amaçlı yapıldığı düşünülen sitenin bir diğer özelliği de interneti öcü gibi göstermek. Allah aşkına düşünsenize; Youtube’a girmeye çalışıyorsunuz karşınıza internetin zararlarından bahseden bir site çıkıyor. Bilinçli bir insan ya da aile elbette internetteki mevcut tehlikelerin farkındadır ve çocuklarını bu tehlikelere karşı uyarır. Peki ya bilinçli olmayanlar? Sağdan soldan duyduklarıyla hareket eden aileler ne olacak? Ne olacağını söyleyeyim böyle bir ailenin yönlendirdiği çocuk artık Youtube ya da bu uyarıyı gördüğü herhangi bir sitenin lafı edildiğinde sanki porno sitelerinden bahsediliyormuşcasına tepki gösterecek. Belki de Youtube, Alibaba, Wordpress ve tüm yasaklı/yasaklanacak siteleri aynı kefeye koymaya başlayacak ve bu bilinçle yetişecek.

Bakınız Güvenli WEB sitesinin yararlarına:

Siteye girdikten sonra en sağ üst tarafta “Yararlı Linkler” diye bir bölüm göreceksiniz. Sanırsınız ki bu bölüme girince karşınıza eğitim, öğretim, kültür amaçlı bir kaç sitenin linki çıkacak. Ama nerde?? Bu bölüme girdiğinizde karşınıza AİLELER İÇİN, ÇOCUKLAR İÇİN ve EĞİTİCİLER İÇİN diye 3 kategori çıkıyor ve her kategorinin altında standart bir link var. Bu link sakıncalı içerik barındıran siteleri ihbar etmeye yarayan bir sistemin linki. Yani artık mahkeme kararına da gerek yok. Hoşunuza gitmeyen, gıcık olduğunuz herhangi bir içeriğe rastladığınızda buradaki ihbar formunu doldurarak çok rahat bir şekilde söz konusu siteyi kapattırabilirsiniz. Teknolojinin gözünü seveyim! Bu sitenin amacı interneti daha güvenli bir hale getirmek adına insanları bilinçlendirmek değil miydi? Güvenli bir internet için önümüze gelen bütün sitelerini kapattıralım mı? Amaç bu mu? Anlamadım…

Bir de bazı makale başlıkları var ki evlere şenlik:

• İnternet Alemi Kurtlarla Dolu Bir Orman
• İnternetçiler de Sendroma Giriyor
• Bilgisayar Oyunları Çocukları Tehdit Ediyor
• Teknolojinin Çocuklara Kötü Sürprizleri

Görüldüğü üzere internetin aslında hiç bir yararı yok. Hep zarar hep zarar!

Neyse ki bu kadar eleştirilecek şeyin yanında iyi şeyler de var Güvenli Web’de. Internet ve Sistem güvenliği bölümlerinde bilgisayarınızı korumaya yarayacak güzel makalelere rastlamak mümkün. Gerçi bu makaleler Telekominikasyon Başkanlığı yetkililerinin kendi yazdığı orjinal makaleler değil. Bilimum basın yayın organları ve bilgisayar dergilerince daha önce hazırlanmış ve yayınlanmış içerikleri buraya copy-paste yapmışlar. Ama olsun en azından kaynak göstermişler

Sözlerimi bitirirken, yaklaşık 6 aydır kapalı olan ve ne nedenle kapatıldığı hala anlaşılamayan Youtube’u emsal alarak, mahkeme kararıyla kapatılan sitelerde bu tarz rant amaçlı uygulamaları kesinlikle doğru bulmadığımı söylemek istiyorum. Madem ki insanları bilinçlendirmek istiyorsunuz ve bu amaçla bu siteyi kurdunuz, o zaman lüften insanları sadece bilinçlendirin! Internetten soğutmayın, onları korkutmayın! Çünkü internet “öcü” değil!

Kariyer.net’de kritik güvenlik açığı! Hesabınız tehlikede!

CW‘nin haberine göre Kariyer.net sisteminde önemli bir güvenlik açığı tespit edilmiş. Bu güvenlik açığı şu şekilde ortaya çıkıyor. Eğer herhangi bir ilanı, “Arkadaşıma Gönder” seçeneği ile karşı tarafa gönderirseniz, karşı taraf kendisine gelen linke tıkladığında, ilanı gönderen kişinin hesabı üzerinde tam denetime sahip oluyor. Yani hesabı silme, yapılan başvuruları görme gibi bütün işlemlere tam yetki kazanıyor karşı taraf. Kişisel bilgileriniz tehlikede olabilir, dikkat!

Dijital DNA kapıda

Günümüzde online işlemler için güvenlik konusu çok önemli bir unsur. Özellikle online bankacılık alanında son yıllarda yaşanan dolandırıcılık olayları bu konunun önemini gözler önüne seriyor. Tabiki bankalar bu dolandırıcılık olaylarının önüne geçebilmek için bir takım güvenlik önlemleri alıyorlar. Şu ana kadar kredi kartı bilgilerinin çalınması ihtimaline karşı geliştirilen en iyi sistemin sanal kartlar olduğunu düşünüyorum. Sanal kart sayesinde limitini kendinizin belirleyebileceği bir sanal kredi kartı numaranız oluyor. Ana bakiyenizden, yapacağınız alışverişin tutarı kadar bir parayı bu sanal karta aktarıp alışverişinizi güvenli bir şekilde yapabiliyorsunuz. Çalınsa bile çalanın bir işine yaramıyor.

Dijital DNA’de ise özellikle online işlemler yapılırken, kullanıcının kullandığı donanımın parmak izi çıkarılıyor. Şöyle ki; aynı üretim bandından çıkan 1000 tane cep telefonu board unun 1000′i de birbirinden farklı fakat gözle görülemeyecek organik farklılıklara sahip oluyor. Sonuç olarak üretilen 1000 tane telefon da aynı özelliklere sahip oluyor fakat taşıdıkları board, aynı insan parmak izi gibi farklılıklara sahip oluyor.İşte bu Dijital DNA denen olay sayesinde, kişi online bir işlem yapmak istediğinde sistem bir kereye mahsus olarak o kişinin kullandığı donanımın -ki bu bir cep telefonu, bir işlemci, bir bilgisayar ya da daha farklı bir donanım olabilir- parmak izini alıyor ve bir sonraki girişte bu parmak izinin bulunduğu aygıtı istiyor. Sürekli mobil olan kişiler çok rahat bir şekilde cep telefonlarını bu işe alet edebilirler. Bu sayede son derece güvenli bir şekilde online işlemler gerçekleştirmek mümkün olabilecek.

Wordpress 2.5.1 geldi, yeni neler var?

Daha 2.5 sürümü çıkalı çok az bir zaman olmasına rağmen Wordpress geliştiricileri 2.5.1 numaralı yeni sürümü 25.Nisan.2008 tarihinde duyurdular. Wordpress 2.5 çıktığından bu yana, bir çok blog yazarı -ben de dahil- yaşanan performans ve bilinen bazı sorunlardan dolayı yeni sürüme bir türlü ısınamamıştı. Bununla ilgili benim de değindiğim bazı problemlerin yanında özellikle IE6 ile yaşanan problemler insanı çileen çıkarır cinstendi. Örneğin IE6 üzerinden admin/yeni yazı bölümüne girmeye çalışırsanız, tıkladıktan sonra yazı editörü o kadar yavaş açılıyor ki bir çay içip gelecek kadar vaktiniz oluyor. Yeni sürümde bu problem kısmen de olsa giderilmiş. Hatta şu an bu yazıyı IE6 kurulu bir bilgisayardan yazıyorum ve yazı editörü 2.5′e göre oldukça hızlı açılıyor.

Wordpress 2.5.1 ile gelen 70′den fazla iyileştirme ve bug-fix var. En önemli iyileştirmeler ise şunlar:

- Admin paneli, yeni yazı yazma penceresi ve yorum düzenleme penceresindeki yavaşlık problemleri giderildi.

- Media Uploader sorunu giderildi. -Admin panelinden medya dosyası yükleyemeyenlere müjde (:-

- TinyMCE 3.0.7 içerik editörü güncellemesi. -Yeni yazı ekleme ve yorum editlemedeki problemlerin iyileştirilmesi için-

- Widget yönetiminde karşılaşılan problemler giderildi.

- 70′den fazla çeşitli iyileştirme ve bug-fixler.

- IE de yaşanan yerleşim problemleri giderildi.

Eğer sadece güvenlik güncellemeleri için 2.5.1′e geçmeyi düşünüyorsanız wp-includes/pluggable.php, wp-admin/includes/media.php ve wp-admin/media.php dosyalarını mevcut dosyalarınızın üzerine yazarak güncelleştirmeyi tamamlayabilirsiniz. Yok olmadı ben komple Wordpress 2.5.1′e geçeceğim diyorsanız yeni sürümü şuradan indirebilirsiniz.

Google resim doğrulaması kırıldı

Gmail’e girerken hani şifrenizi bir kaç kez yanlış girdiğiniz zaman karşınıza bir resim doğrulaması çıkıyorya, hah işte o resim doğrulamasını kırmışlar. Sistemi nasıl geçtikleri bilinmiyor ama şimdiden, yarattıkları bot lar ile binlerce gmail hesabı alıp spam amaçlı kullanmaya başlamış bile bu vatandaşlar. Geçtiğimiz yıllarda Gmail ile ilgili önemli bir güvenlik açığı daha bulunmuş ve bir çok kişinin Gmail hesabı ele geçirilmişti hatırlarsanız. Olayla ilgili olarak, Captcha sisteminin nasıl geçildiğini belgeleyen bir kaç imaj dosyası da yayınlanmış.[via]

Dinamik ip ile uzak masaüstü bağlantısı yapalım

Eğer Turk Telekom üzerinden statik ip (sabit ip) hizmeti alıyorsanız, uzak masaüstü bağlantısı yapmak için Windows’a bir iki ayar yapmanız yeterli. Tabi bunun için Turk Telekom’a aylık en son 5 ytl civarında bir ücret bayılmamız gerekiyordu. Şu an statik ip ücreti nedir tam olarak bilmiyorum ama yine bu civarlarda birşeydir. Hem Turk Telekom’a fazladan 5 YTL bayılmayıp hem de istediğimiz yerden uzak masaüstü yapıp, evdeki bilgisayarımıza uzaktan ulaşmanın elbette bir yolu var. Bunun için hizmet veren bazı firmalar mevcut internette. Bunlardan en kullanışlısı, benimde sıklıkla kullandığım Logmein servisi.

Logmein, bilgisayarınıza yüklenen bir client sayesinde, size sağlanan user ve şifre ile www.logmein.com adresinden, evdeki bilgisayarınıza uzak masaüstü bağlantısı yapmanızı sağlayan bir program+web hizmeti. Bu hizmetten yararlanmak için önce Logmein internet sitesinden yeni bir hesap oluştumanız gerekiyor. Eğer amacınız sadece, evdeki bilgisayarınıza bağlanıp işlerinizi halletmek ise Logmein Free Account oluşturup, hiç bir ücret ödemeden bu servisi kullanabiliyorsunuz. Eğer ekstra özellikler isterseniz, -dosyalama, yazıcı işlemleri, ekstra güvenlik, eksta ayarlar v.s- bunun için Logmein hesabınızı Pro veya daha yüksek bir seviyeye yükseltmeniz gerekiyor ve bunun için bir ücret ödemek zorundasınız. Bunların dışında daha bir sürü uzaktan erişim hizmeti bulunuyor Logmein’in.  

Yazının devamı

Garanti Bankası ATM’si önünde gasp girişimi

Bugün bir arkadaşım, Şirinyer Garanti Bankası ATM’si önünde yaşanan gasp olayıyla ilgili kamera görüntülerini içeren bir mail gönderdi. Görüntülerde ATM cihazından para çekmek isteyen bir vatandaşa, güpegündüz, bıçakla gasp girişiminde bulunulduğu açıkca görülüyor. Ve yoldan geçen insanlar hiç birşey olmamış gibi hayatlarına devam edebiliyorlar. Bu insanlar nasıl cesaret edebiliyorlar herkesin gözü önünde böyle adice bir olaya! Para çekmek isteyen kişi belli ki, aylığını çekmek isteyen yaşlı bir emekli. Bu insanlarda hiç mi vicdan yok diyesim geliyor ama hakikaten vicdan yok!

En nihayetinde yaşlı vatandaş güpegündüz gasp ediliyor ve güvenlik kameralarının kabak gibi görüntülediği zanlı kayıplara karışıyor. Yazık!!!

Yazının devamı

Wordpress blogunuzu korumak için öneriler

Wordpress dünyadaki en çok kullanılan blog yazılımlarından birisi şüphesiz. Ancak her yazılımın olduğu gibi Wordpress’in de bir çok açığı mevcut. Bu açıklar zaman içerisinde çıkan yamalar ile kapatılsa da, Wordpress blogumuzu korumak için ekstra bazı önlemler de almalıyız. Güvenilir kaynakların da vurguladığı bazı belli başlı güvenlik açıklarını kapatmak için şunlara mutlaka dikkat edin:

• Mutlaka en son Wordpress sürümünü kullanın, ingilizce için www.wordpress.org ’u takibe alın. Türkçe olarakta önerebileceğim en başarılı Wordpress destek bloglarından birisi olan www.wordpress-tr.com .
• wp-config.php dosyanız asla yazılabilir ya da okunabilir durumda olmasın. wp-config.php (wp-config-sample.php’nin adı değiştirilmiş hali) Wordpress blogunuzu ilk kurarken, bazı temel bilgileri Wordpress’e tanıtmak için kullanılıyor ve blogunuz kurulduktan sonra bir daha işe yaramıyor. Bu yüzden bu dosyanın erişim haklarını mutlaka düzenleyin.
• Wordpress blogunuzu kurduktan sonra install.php dosyasını mutlaka silin.
• Blogunuzu spam yorumlara karşı koruyun. Bunun için bir çok bloggerın kullandığı başarılı spam engelleyicisi Akismet‘i kullanabilirsiniz.
• Wordpress standart olarak kurulduktan sonra kullanıcılar blogunuza çok kolay bir şekilde üye olabilirler. Bu üyelikleri denetim altına almak için bir takım kısıtlamalar getirmek yararınıza olacaktır. Bunun için admin panelinde, Tercihler/Genel sekmesindeki “İsteyen Herkes Üye Olabilsin” tickini kaldırabilir ve yorum yapılması için üye girişi yapılmasını sağlayabilirsiniz. Ayrıca yeni üye olanların haklarını da yine bu bölümden düzenleyebilirsiniz.

• Varsayılan “admin” kullanıcısını silip, kendinize eşsiz yeni bir admin hesabı ve şifresi yaratın.
• Önemli klasörlerinizin dizin listeleme özelliğini kapatın çünkü özellikle plugins klasörünüzün dizinleme özelliği aktif ise ve eğer bu klasör içinde bir index.php ya da index.html gibi bir başlangıç sayfası bulunmuyorsa, direkt olarak plugins klasörünüze erişen kullanıcılar, blogunuzda kullandığınız bütün pluginleri görebilir ve bazı pluginlerin açıklarından yararlanarak blogunuza saldırabilirler. Bu yüzden, önemli klasörlerinizin içine ya boş bir index.php ya index.htm gibi bir başlangıç sayfası koyun -ki kullanıcılar bu dizinlere erişmek istediğinde boş bir sayfa ile karşılaşsın- ya da serverınızın dizin listeleme özelliğini direkt olarak kapatın.
• Şuradaki Josiah Cole gives a detailed explanation of how to create a .htaccess file yazısında tarif edildiği gibi bir .htaccess dosyası oluşturarak yukarıda sayılan korumaları tek bir dosya halinde blogunuza uygulabilirsiniz. Burada tarif edilen şekilde bir .htaccess dosyası oluşturarak aşağıdaki güvenlik, görsel ve SEO için gerekli bir kaç uygulamayı tek dosya halinde blogunuzda kullanabilirsiniz.

Genel koruma sağlayabilir,
Dijital imzaları kapatabilir,
Dosya gönderme limiti belirleyebilir,
wp-config.php dosyanızı kuruma altına alabilir,
Bazı iplerden gelen balantıları engelleyebilir,
Özelleştirilmiş hata sayfalarına yönlendirme yapabilir,
Dizin listelemeyi kapatabilir,
Eski linkleri, yeni linklere yönlendirebilir,
Hotlink koruması sağlayabilir,
PHP sıkıştırma sağlayabilir,
SEO dostu sabit linkler oluşturabilirsiniz.

Kaynaklar:

http://wordpressgarage.com/good-blogging-practice/how-to-protect-your-wordpress-site/

http://www.josiahcole.com/2007/07/11/almost-perfect-htaccess-file-for-wordpress-blogs/

Sahte Windows Update’e dikkat

Su Aygırı’nda rastladığım şu habere göre ortalarda sahte bir windows update sitesi dolaşıyor. Bu sayfayla karşılaştığınızda, sayfa da “Acil Kurulum” şeklinde bir buton bulunuyor. Eğer bu butona basarsanız WindowsUpdateAgent30-x86-x64.exe adında bir dosya bilgisayarınıza iniyor ve çalıştırdığınızda bilgisayarınızı ele geçirmek için kötü niyetli bir yazılım kuruluyor. Aman diyelim dikkat!