WordPress için htaccess İpuçları ve Bilmeniz Gerekenler

5 5.673

WordPress siteniz için faydalı .htaccess kodlarımı arıyorsunuz? FTP üzerinde bulunan .htaccess dosyası, web sitenizin sunucu tarafında ki yapılandırma dosyasıdır. Bu yazıda size hemen deneyebileceğiniz WordPress için en kullanışlı .htaccess kodlarından bazılarını göstereceğiz.

Yazı İndeksi

.htaccess Dosyası Nedir ve Nasıl Düzenlenir?

Adı sıkça geçen .htaccess dosyası bir sunucu yapılandırma dosyasıdır. Web siteniz için sunucunuzun izleyeceği kuralları tanımlamanıza izin verir.

WordPress, SEO dostu URL yapısı oluşturmak için .htaccess dosyası kullanır. Bununla birlikte, bu dosya daha fazlasını yapabilir.

Sunucunuz da .htaccess dosyası WordPress sitenizin kök klasöründe bulunur. Web sitenize FTP istemcisi kullanarak bağlamanız ve dosyayı indirerek düzenlemeniz gerekecek.

ftp htaccess dosyasi

Vereceğimiz bilgileri denemeden önce ilk olarak .htaccess dosyanızın bir kopyasını bilgisayarınıza yedek olarak indirmeniz önemlidir. Bir şeyler ters gittiğinde bu dosyayı geri yükleyerek kullanabilirsiniz.

Bunları söyledikten sonra, WordPress için deneyebileceğiniz kullanışlı bazı .htaccess özelliklerine göz atalım.

WordPress Yönetici Alanınızı Koruyun

Yalnızca belirlediğiniz sabit IP adreslerine erişimi vererek WordPress yönetici alanınızı korumak için .htaccess dosyanızı kullanabilirsiniz. Bu kodu kopyalayıp .htaccess dosyanıza yapıştırmanız yeterlidir:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Klasoru"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xxx.xx.xx.xxx
allow from xxx.xx.xx.xxx
</LIMIT>

XXX değerlerini kendi IP adresinizle değiştirmeyi unutmayınız. İnternet’e erişmek için birden fazla IP adresi kullanıyorsanız, bunları da eklediğinizden emin olun.

Not: Sabit ip adresi kullanmıyor iseniz bu yöntemi kullanmayın.

WordPress Yönetici Klasörüne Şifreli Koruma

htaccess klasor sifremele

WordPress sitenize halka açık internet noktaları da dahil olmak üzere birden çok yerden erişiyorsanız, belirli IP adreslerine erişimi sınırlamak sizin için uygun olmayabilir.

WordPress admin alanınıza .htaccess dosyasını kullanarak ek şifre koruması ekleyebilirsiniz.

Öncelikle .htpasswd dosyası oluşturmanız gerekir. Bu bağlantıya tıklayarak kolayca bir tane oluşturabilirsiniz.

Bu .htpasswds dosyasını herkes tarafından erişilebilen web dizininizin veya / public_html / klasörünün dışına yükleyin. Tavsiye ettiğimiz FTP yolu:

/home/kullaniciadiniz/.htpasswds/public_html/passwd

Sonra bir .htaccess dosyası oluşturun ve / wp-admin / dizinine yükleyin ve ardından aşağıdaki kodları buraya ekleyin:

AuthName "Wp-Admin Klasoru"
AuthUserFile /home/kullaniciadiniz/.htpasswds/public_html/passwd
AuthGroupFile /dev/null
AuthType basic
require user kullanici-adiniz
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any 
</Files>

Önemli: AuthUserFile yolunu .htpasswd dosyanızın dosya yolu ile değiştirmeyi ve kendi kullanıcı adınızı require user  alanında değiştirmeyi unutmayın.

Dizin Taramayı Devre Dışı Bırakma

htaccess dizin gizleme

Birçok WordPress güvenlik uzmanı dizin taramasını devre dışı bırakmanızı önerir. Dizine göz atma özelliği etkin haldeyken, bilgisayar korsanları savunmasız bir dosyayı bulmak için sitenizin dizinine ve dosya yapısına bakabilir.

Web sitenizdeki dizin taramasını devre dışı bırakmak için, .htaccess dosyanıza aşağıdaki satırı eklemeniz gerekir.

Options -Indexes

Bazı WordPress Dizinlerindeki PHP Desteğini Devre Dışı Bırak

Bazen bilgisayar korsanları bir WordPress sitesine girip shell yada daha basit söylemek gerekirse virus gibi bir dosya yükleyebilir. Bu dosyalar çoğunlukla çekirdek WordPress dosyaları gibi gizlenir ve / wp-includes / yada / wp-content / yada uploads / klasörlerine yerleştirilir.

WordPress güvenliğinizi iyileştirmenin daha kolay bir yolu, bazı WordPress dizinleri için PHP yürütülmesini devre dışı bırakmaktır.

Bilgisayarınızda boş bir .htaccess dosyası oluşturmanız ve ardından aşağıdaki kodu yapıştırmanız yeterlidir.

<Files *.php>
deny from all
</Files>

Dosyayı kaydedin ve ardından / wp-content / uploads / ve / wp-includes / dizinlerine yükleyin.

WordPress wp-config.php Dosyası Yapılandırmanızı Koruyun

Muhtemelen WordPress web sitenizin kök dizinindeki en önemli dosya wp-config.php dosyasıdır. WordPress veritabanınız ve ona nasıl bağlanacağınız hakkında bilgi içerir.

wp-config.php dosyanızı yetkisiz erişime karşı korumak için, bu kodu .htaccess dosyanıza eklemeniz yeterlidir:

<files wp-config.php>
order allow,deny
deny from all
</files>

.htaccess Dosyasıyla 301 Yönlendirme Ayarlama

301 yönlendirmelerini kullanmak, kullanıcılarınıza bir içeriğin yeni bir yere taşındığını söylemenin en kolay yöntemidir. Ayrıca SEO yapınızı bozmamak için 301 kullanmanız ayrıca önemlidir.

Öte yandan, hızlıca 301 sayfa yönlendirmeleri istiyorsanız, bu kodu .htaccess dosyanıza yapıştırmanız yeterlidir.

Redirect 301 /eskiurl/ http://www.siteniz.com/yeniurl
Redirect 301 /category/eskicat/ http://www.siteniz.com/category/yenicat/

Şüpheli IP Adreslerini Yasaklama

Web sitenize belirli bir IP adresinden olağan dışı derecede yüksek istekler mi alıyorsunuz?  IP adresini engelleyerek bu istekleri kolayca engelleyebilirsiniz. Yapmanız gereken .htaccess dosyanıza bu kodu düzenleyerek eklemektir.

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xxx.xxx
allow from all
</Limit>

Engellemek istediğiniz IP adresini xxx değeriyle değiştirmeyi unutmayın.

WordPress’de .htaccess kullanarak Hotlink Koruması Sağlayın

Sitenizdeki görselleri doğrudan hotlinking eden diğer web siteleri WordPress sitenizi yavaşlatabilir ve bant genişliği sınırınızı aşmanıza neden olabilir. Bu durum küçük web siteleri için büyük bir sorun değildir. Bununla birlikte, popüler bir web sitesini veya bir sürü fotoğraf veya görsel içeren bir web sitesine sahipseniz, bu durum sizi sıkıntıya sokabilir.

Bu kodu .htaccess dosyanıza ekleyerek görsellerinizin bağlantısını önleyebilirsiniz:

#gorsell paylasimini kapatmak
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?siteadresiniz.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L]

Bu kod, yalnızca talep siteadresiniz.com ve Google.com kaynaklıysa resimlerin görüntülenmesine izin verir. siteadresiniz.com’u kendi alan adınızla değiştirmeyi unutmayın.

Daha detaylı olarak Hotlink koruması için kılavuzumuza bakın: WordPress’de Hotlink Nasıl Engellenir

Yetkisiz Erişimden .htaccess dosyanızı Koruyun

Gördüğünüz gibi .htaccess dosyası kullanılarak yapılabilecek çok şey var. Web sunucusunda bulunan güç ve kontrol nedeniyle, bilgisayar korsanları tarafından yetkisiz erişime karşı korumak önemlidir. Vereceğimiz kodu .htaccess dosyanıza ekleyin:

<files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

WordPress’de Dosya Yükleme Boyutunu Artırın

WordPress’deki dosya yükleme boyutu sınırını artırmanın farklı yolları vardır. Bununla birlikte, paylaşımlı barındırma(shared hosting) kullanan kişiler bu kodları kullanamaz.

Vereceğimiz kodları .htaccess dosyasına ekleyerek kendinize göre ayarlayabilirsiniz.

php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300

Bu kod, web sunucunuza, WordPress’deki dosya yükleme boyutunu ve maksimum sorgu süresini değeri olarak kullanması gereken değerleri söyler.

XML-RPC Erişimini .htaccess kullanarak  Devre Dışı Bırakın

WordPress kurulumu, xmlrpc.php adlı bir dosya ile birlikte gelir. Bu dosya üçüncü parti uygulamalarının WordPress sitenize bağlanmasına izin verir. WordPress güvenlik uzmanları, herhangi bir üçüncü parti uygulaması kullanmıyorsanız bu özelliği devre dışı bırakmanız gerektiğini söylüyor.

Bunu yapmanın birden çok yolu vardır, bunlardan biri .htaccess dosyanıza aşağıdaki kodu ekleyerek yapabilirsiniz:

# WordPress xmlrpc.php engelle
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

WordPress’de Yazar Taramalarını Engelleme

Brute force saldırılarında kullanılan yaygın bir teknik, bir WordPress sitesinde yazar taramalarını çalıştırmak ve ardından bu kullanıcı adlarının şifrelerini kırmaya çalışmaktır.

Bu taramaları .htaccess dosyanıza aşağıdaki kodu ekleyerek engelleyebilirsiniz:

# BEGIN blokla yazar
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=d+) [NC]
RewriteRule .* - [F]
# END blokla yazar

Bu makalenin WordPress için en faydalı .htaccess kodlarını öğrenmenize yardımcı olmasını umuyoruz. Aklınıza takılan tüm soru ve eklemek istediklerinizi bize yorum olarak göndermekten çekinmeyin.

5 Yorum
  1. rahmi

    Selamlar, siteniz çok güzel makaleler harika istek yapabiliyorsan eğer bu wordpress site hacklenenler virüs bulaşanlar nasıl temizleme yapabilir. Phishing temizleme olsun diğer şeyler olsun aydınlatırsanız çok sevinirim. Sevgiler.

    1. WpGurme

      Merhaba Rahmi, en kısa sürede yeni bir adım adım kılavuzu hazırlayacağız.

  2. Emre A.

    Bu .htaccess’i çok büyütüyolar insan ellemeye korkuyor 🙂

  3. Hakkı

    Makale çok işime yaradı bu WordPress Yönetici Klasörüne Şifreli Koruma anlatımını anlamadım verdiğiniz sitede sadece kod çıkıyor dosya indirilmiyor

    1. WpGurme

      Not defteri içerisine aldığınız kodu yapıştırıp sonrasında farklı kaydet üzerinden “.htpasswds” olarak kayıt edip kullanabilirsiniz.

Cevap Gönder

E-posta adresiniz yorumunuzda yayınlanmayacaktır.

 

Sitemizi en iyi şekilde kullanabilmeniz için çerezler kullanılmaktadır. Sitemize giriş yaparak çerez kullanımını kabul etmiş sayılmaktasınız. Tamam Detaylı bilgi için tıklayınız.