WordPress, dünya genelinde milyonlarca web sitesinin altyapısını oluşturuyor. Bu popülerlik, beraberinde siber saldırganların yoğun ilgisini de getiriyor. WordPress güvenliğinde çoğu zaman gözden kaçan ama kritik öneme sahip konulardan biri ise dizin indeksleme (directory indexing) ve dizin gözatma (directory browsing) özelliğidir.
Varsayılan sunucu ayarlarında, gerekli önlemler alınmazsa bir ziyaretçi sitenizin klasör yapısını görebilir. Bu durum; tema dosyaları, eklenti yapıları, yedekler ve hatta hassas bilgiler için ciddi bir güvenlik açığı anlamına gelir.
Dizin İndeksleme (Directory Indexing) Nedir?
Dizin indeksleme, bir klasör içerisinde index.php veya index.html gibi bir dosya yoksa, sunucunun o klasördeki tüm dosyaları liste halinde göstermesi durumudur.
Örneğin:
https://siteadresiniz.com/wp-content/uploads/Eğer dizin indeksleme açıksa, ziyaretçi bu klasördeki tüm görselleri, klasörleri ve dosyaları tek tek görüntüleyebilir.
Bu durum saldırganlara site yapısı hakkında büyük ipuçları verir.
Dizin Gözatmanın WordPress İçin Riskleri
Dizin indekslemenin açık olması şu riskleri doğurur:
- Eklenti ve tema açıklarının tespit edilmesi
- Yedek dosyaların (backup) ele geçirilmesi
- Gizli yapılandırma dosyalarının görülmesi
- Saldırı öncesi keşif (reconnaissance) yapılması
- SEO açısından olumsuz etkiler
Özellikle wp-content, uploads, plugins ve themes klasörleri saldırganlar için oldukça değerlidir.
WordPress’te Dizin İndeksleme Nasıl Kontrol Edilir?
Tarayıcınızdan aşağıdaki dizinleri kontrol edebilirsiniz:
/wp-content//wp-includes//wp-content/plugins//wp-content/uploads/
Eğer dosya listesi görüyorsanız, dizin indeksleme açıktır ve hemen kapatılmalıdır.
.htaccess ile Dizin İndekslemeyi Devre Dışı Bırakma
WordPress sitelerde en yaygın ve etkili yöntem .htaccess dosyası kullanmaktır.
Uygulanacak Adımlar:
- FTP veya dosya yöneticisi ile sitenize girin
- .htaccess dosyasını açın
- En alt satıra aşağıdaki kodu ekleyin:
Options -Indexes- Dosyayı kaydedin ve tekrar dizinleri kontrol edin
Bu işlemden sonra dizin içeriği listelenmeyecektir.
index.php Dosyası ile Ekstra Koruma
Ek güvenlik için dizinlerin içine boş bir index.php dosyası ekleyebilirsiniz.
Dosya içeriği:
<?php
// Silence is golden.Bu yöntem özellikle:
uploadspluginsthemes
klasörlerinde ekstra koruma sağlar.
WordPress Güvenlik Eklentileri ile Dizin Koruması
Bazı WordPress güvenlik eklentileri bu işlemi otomatik yapar:
- Wordfence Security
- iThemes Security
- All In One WP Security
- Sucuri Security
Bu eklentiler:
- Dizin indekslemeyi kapatır
- Dosya değişikliklerini izler
- Şüpheli erişimleri engeller
Ancak manuel ayarların yapılması her zaman daha sağlıklıdır.
Sunucu Taraflı Ek Önlemler
Eğer VPS veya özel sunucu kullanıyorsanız:
- Apache veya Nginx yapılandırmasında
autoindex offayarını kapatın - Gereksiz dizinlere erişimi tamamen engelleyin
- Dosya izinlerini doğru yapılandırın (755 / 644)
SEO ve Performans Açısından Faydaları
Dizin indekslemeyi kapatmak yalnızca güvenlik değil, SEO açısından da fayda sağlar:
- Arama motorlarının gereksiz dosyaları taraması engellenir
- Crawl budget boşa harcanmaz
- Spam sayfa riski azalır
- Site otoritesi korunur
Küçük Ayar, Büyük Güvenlik
WordPress güvenliği büyük önlemler kadar küçük ama kritik ayarlarla da sağlanır. Dizin indeksleme ve gözatmayı kapatmak:
✔ Saldırı riskini azaltır
✔ Site yapısını gizler
✔ SEO performansını korur
✔ Profesyonel bir güvenlik altyapısı oluşturur
Bir WordPress sitesinin olmazsa olmaz güvenlik adımlarından biridir.
