Bir dosya yüklediğini düşün… Görsel ya da PDF fark etmez. Ancak bilmeden zararlı bir kodu da birlikte yüklemiş olabilirsin. Bir bakmışsın site yavaşlamış, spam içerikler belirmiş. İşte tam da bu yüzden WordPress dosya yükleme güvenliği, sandığından çok daha önemlidir.
WordPress güvenliği genelde şifre, eklenti veya tema bazlı düşünülür. Oysa dosya yükleme alanları da hackerlar için açık kapı gibidir. Kötü niyetli biri, bir resmin içine gizlenmiş zararlı bir komutla tüm siteyi ele geçirebilir.
Ama endişelenme. Bu yazıda, adım adım WordPress dosya yükleme güvenliğini nasıl sağlayabileceğini öğreneceksin.
WordPress Dosya Yükleme Güvenliği Neden Önemlidir?
WordPress güvenliği denince çoğu kişi şifreleri veya eklentileri düşünür. Oysa tehlike bazen bir dosya yükleme formunun arkasına gizlenir.
Bir saldırgan, zararsız görünen bir resim dosyasının içine kötü amaçlı kod ekleyebilir. Eğer sitende dosya yükleme izinleri doğru ayarlanmamışsa, bu kod sunucuda çalışarak tüm siteyi ele geçirebilir.
Kısacası: Bir dosya, tüm sistemi çökertmeye yetebilir.
WordPress Dosya Yükleme Adımlarında Güvenlik Önlemleri
WordPress dosya yükleme süreci sadece teknik bir işlem değildir; aynı zamanda sitenin güvenlik zincirinin kritik bir halkasıdır. Bu bölümde, dosya yükleme aşamalarında alabileceğin temel güvenlik önlemlerini adım adım ele alacağız.
1. Dosya Türlerini Sınırlayarak Başla
WordPress varsayılan olarak birçok dosya türüne izin verir: JPG, PNG, GIF, PDF, DOCX… Ancak özel projelerde kullanıcıların dosya yüklemesine izin veriyorsan, bu listeyi daraltmalısın.
function wlnk_allowed_file_types($mimes) {
return array(
'jpg|jpeg|jpe' => 'image/jpeg',
'png' => 'image/png',
'pdf' => 'application/pdf',
);
}
add_filter('upload_mimes', 'wlnk_allowed_file_types');Bu şekilde yalnızca belirli dosya türlerinin yüklenmesine izin vererek riskleri azaltırsın.
2. Dosya Boyutu Limitini Belirle
Kullanıcıların büyük boyutlu dosyalar yüklemesine izin vermek hem güvenlik hem performans açısından risklidir. Büyük dosyalar sunucu kaynaklarını tüketebilir, hatta servis kesintilerine neden olabilir.
Aşağıdaki kodu functions.php dosyana ekleyebilirsin:
@ini_set('upload_max_size', '5M');
@ini_set('post_max_size', '5M');
@ini_set('max_execution_time', '300');Bu ayarlar sayesinde hem sitenin kaynaklarını korur hem de gereksiz yüklemelerin önüne geçersin.
3. Yükleme Klasörünü Güvenceye Al
WordPress’te yüklenen tüm dosyalar wp-content/uploads klasöründe saklanır. Eğer bu klasör korumasızsa, yüklenen dosyalar doğrudan çalıştırılabilir hale gelir.
Bunun önüne geçmek için klasörün içine bir .htaccess dosyası ekle ve şu kodları ekle:
<FilesMatch "\.(php|php5|php7|phtml)$">
Order Deny,Allow
Deny from all
</FilesMatch>Bu sayede yüklenen hiçbir PHP dosyası çalıştırılamaz. Yani kötü niyetli bir script oraya gelse bile, işlem yapamaz.
4. Dosya Yükleme Alanlarını Kısıtla
Eğer kullanıcıların kendi dosyalarını yüklemesine izin veren bir form (örneğin iletişim formu, üyelik sistemi vb.) kullanıyorsan, yalnızca gerekli rollere izin ver.
Örnek: Sadece editör veya yönetici rolündeki kullanıcılar dosya yükleyebilsin.
function wlnk_restrict_uploads_to_admins($file) {
if (!current_user_can('upload_files')) {
$file['error'] = 'Dosya yükleme izniniz yok.';
}
return $file;
}
add_filter('wp_handle_upload_prefilter', 'wlnk_restrict_uploads_to_admins');Bu tür basit önlemler, WordPress güvenliğini ciddi şekilde artırır.
5. Güvenlik Eklentilerini Kullan
Her şeyi elle yapmak zorunda değilsin. Bazı güvenlik eklentileri dosya yüklemelerini otomatik olarak tarar:
- Wordfence Security: Yüklenen dosyaları zararlı içeriklere karşı tarar.
- iThemes Security: Dosya izinlerini düzenler ve saldırı girişimlerini kaydeder.
- All In One WP Security: Dosya yükleme izni olan rolleri sınırlandırabilir.
Eklentiler, manuel önlemleri destekleyici araçlardır. Ancak unutma, asıl güvenlik bilinçli kullanımdadır.
6. Dosya Yüklemelerini Tarayın: Otomatik Virüs Kontrolü
Bazı hosting firmaları ClamAV gibi antivirüs tarama sistemlerini destekler. Eğer sunucun buna uygunsa, yüklenen her dosyayı otomatik olarak taramak, WordPress güvenliği için büyük bir artıdır.
Ayrıca, çok katmanlı bir güvenlik stratejisi (firewall + antivirüs + güncel yazılımlar) kullanmak, siber riskleri ciddi oranda azaltır.
7. WordPress ve Eklentilerini Güncel Tut
Evet, bu klasik bir tavsiye ama hala en etkili olanı. Güncellenmemiş bir WordPress çekirdeği veya eklenti, eski bir kapı kilidi gibidir. Herkesin anahtarı olabilir.
Dosya yükleme açıklarının büyük kısmı, eski sürümlerde kalmış güvenlik hatalarından kaynaklanır. Bu yüzden düzenli WordPress güncellemesi, yükleme güvenliğinin temelidir.
Sonuç
WordPress güvenliği sadece kod bilmekle ilgili değildir. Bir alışkanlıktır. WordPress dosya yükleme güvenliği için attığın her adım, siteni daha profesyonel ve dayanıklı hale getirir.
Unutma: Küçük bir ihmal, büyük bir zarara yol açabilir. Ama doğru bilgiyle hareket edersen, kontrol hep senin elindedir.
WordPress güvenliğinin diğer yönlerini de keşfetmek istersen, şu yazıya da göz atabilirsin: WordPress Giriş Denemelerini Sınırlandırma Nedir, Neden Gereklidir?
Şimdi Sıra Sende
Sen WordPress dosya yükleme konusunda hangi önlemleri alıyorsun? Aklına takılan bir konu varsa yorumda paylaşabilir ya da bana iletişim sayfamızdan yazabilirsin. Birlikte inceleyelim – çünkü güvenlik, paylaşıldıkça artar.
