Zaman zaman WordPress güvenlik önlemleri kapsamında araştırmalar sağlıyorum. Bu önlemlerden en önemlisi ise, WordPress kullanıcı güvenliği sağlamak olsa gerek. Çünkü olası bir saldırgan hesabınıza ulaşır ise, admin panel ile web sitenize zarar verebilmektedir. Bu yönde ise hemen bir örnek vermek istiyorum. Öncelikle bir açıklama yapalım. WordPress'teki tüm üyelikler için, bir ID numarası belirlenir ve URL sonuna ?author=1 şeklinde bir ekleme yapıldığında, ilgili ID'ye sahip yazarın arşiv sayfası görüntülenir.

WordPress Kullanıcı Güvenliği için Önemli Yöntem

Bu özellik, saldırganların admin kullanıcı adını da bulmasını sağlayabilmektedir. Bu yüzden, sitedeki tüm yazarlara ait ID numaralarının çalışmasını engellemek elzem olmaktadır. Elbette /author/kullaniciadi bağlantısı ile arşiv sayfası görüntülenmeye devam edecektir.

AYRICA: WordPress "wp-admin" Klasörünü Sabit IP ile Koruma Altına Alalım

Bizim için önemli olan ise, kullanıcıya ait ID ile arşiv sayfasına erişim sağlanmasının mümkün olmamasıdır. Çünkü bu şekilde, hangi ID'nin hangi kullanıcıya ait olduğunun belirlenmesi çok zorlaşacaktır. Bu işlem için ise, aşağıdaki kodları değiştirmeden, temanızın functions.php dosyası içerisine eklemeniz yeterli olacaktır. Dashboard sayfanızda hiçbir sorun olmayacaktır.

if (!is_admin()) {
function do_404_author_query($query_vars) {
if (!empty($query_vars['author'])) {
global $wp_query;
$wp_query->set_404();
status_header(404);
nocache_headers();
$template = get_404_template();
if ($template && file_exists($template)) {
include($template);
}
exit;
}
return $query_vars;
}
add_action('request', 'do_404_author_query');
}


WordPress kullanıcı güvenliğini sağlamak için, yukarıdaki yöntem elbette yeterli değildir. Özellikle, görünen kullanıcı adınız ile, giriş yaptığınız kullanıcı adınızın farklı olması ve şifrenizin de güçlü olması, kullanıcı güvenliği açısından oldukça önem arz etmektedir. Elbette, mevcut güvenlik seviyesini artırmak için, yukarıdaki kodları da kullanmayı düşünebilirsiniz.