WordPress dosya izinleri, sitenizin güvenliği ve sorunsuz çalışması için en önemli unsurlardan biridir. Yanlış dosya izinleri, saldırganların sitenize erişmesine, dosyalarınızı değiştirmesine veya sitenizi tamamen çökertmesine neden olabilir. Aynı şekilde, izinlerin çok kısıtlayıcı olması da WordPress’in kendi dosyalarına erişmesini engeller ve çeşitli hatalara yol açar. Bu nedenle doğru dosya izinlerini belirlemek, hem güvenlik hem de performans açısından kritik öneme sahiptir.
WordPress dosya izinleri temelde üç farklı kullanıcı grubunu kapsar: Sahip (Owner), Grup (Group) ve Herkes (Public). Bu grupların her biri için okuma (Read), yazma (Write) ve çalıştırma (Execute) izinleri ayrı ayrı tanımlanır. Örneğin 755, 644 veya 600 gibi rakamlar bu izinlerin kombinasyonlarını ifade eder.
WordPress kurulumunda genellikle binlerce dosya ve klasör bulunur. Bu nedenle hepsinin doğru izinlerde olması gerekir. İzinlerin doğru ayarlanmaması durumunda “403 Forbidden”, “500 Internal Server Error” gibi hatalarla karşılaşmak oldukça yaygındır.
WordPress için önerilen standart dosya izinleri şunlardır:
- Klasörler (directories): 755
- Dosyalar (files): 644
Bu izinler, WordPress’in çalışması için yeterlidir ve aynı zamanda güvenli bir yapı sağlar. Klasörlerde “çalıştırma (execute)” izni bulunması gerekir çünkü bu sayede PHP dosyaları çalışabilir ve klasörler içeriğiyle birlikte listelenebilir. Dosyalar içinse “okuma (read)” ve “yazma (write)” izinleri yeterlidir.
755 izni, klasör sahibinin (örneğin sitenizin çalıştığı kullanıcı) dosyaları okuyup yazmasına ve çalıştırmasına izin verirken, diğer kullanıcıların yalnızca okuma ve çalıştırma iznine sahip olmasını sağlar. 644 izni ise dosya sahibine okuma ve yazma yetkisi verirken, diğerlerine sadece okuma hakkı tanır. Bu yapı, sitenizin çalışması için gerekli olan minimum yetkilendirmeyi sağlar.
Bazı özel durumlarda ise farklı izinler kullanılabilir. Örneğin:
- wp-config.php dosyası: Bu dosya, veritabanı kullanıcı adı, şifre ve diğer kritik bilgileri içerir. Bu nedenle bu dosyanın izinleri 600 veya 640 olmalıdır. Böylece sadece dosya sahibi okuyabilir ve değiştirebilir.
- wp-content/uploads klasörü: Bu klasörde medya dosyaları (resimler, videolar, PDF’ler vb.) bulunur. Bu nedenle WordPress’in buraya dosya yükleyebilmesi için bu klasörün izni 755 veya bazı durumlarda 775 olmalıdır. Eğer medya yüklerken “Unable to create directory” gibi bir hata alıyorsanız, bu klasörün izni muhtemelen eksiktir.
Dosya izinlerini kontrol etmek ve değiştirmek için FTP istemcisi (FileZilla, WinSCP gibi) veya cPanel Dosya Yöneticisi kullanılabilir. FTP programlarında dosya veya klasör üzerine sağ tıklayıp “File Permissions” veya “İzinler” seçeneğiyle bu ayarları yapabilirsiniz.
Eğer terminal veya SSH erişiminiz varsa, aşağıdaki komutlarla tüm izinleri topluca düzenleyebilirsiniz:
find /home/kullaniciadiniz/public_html/ -type d -exec chmod 755 {} \;
find /home/kullaniciadiniz/public_html/ -type f -exec chmod 644 {} \;
Bu komutlar tüm klasörleri 755, tüm dosyaları 644 yapar. Ancak bu komutları kullanmadan önce yedek almak önemlidir çünkü yanlış bir işlem sitenizin erişilemez hale gelmesine neden olabilir.
Bazı durumlarda hosting sağlayıcılar, güvenlik önlemleri kapsamında file ownership (dosya sahipliği) konusunda kısıtlamalar getirir. Eğer dosyalarınız “nobody” veya “apache” gibi sistem kullanıcılarına aitse, WordPress güncellemelerinde veya eklenti yüklemelerinde hata alabilirsiniz. Bu durumda hosting desteğinden dosya sahipliğini düzeltmelerini istemek gerekir.
Bir diğer önemli nokta WordPress otomatik güncellemeleridir. Eğer dosya izinleri gereğinden fazla kısıtlanmışsa, WordPress yeni sürüm veya eklenti güncellemelerini otomatik olarak yapamaz. “Could not create directory” veya “Update failed” gibi hatalar genellikle bundan kaynaklanır. Bu durumda geçici olarak 755 veya 775 izinlerine dönüp güncelleme sonrası tekrar sıkı izinlere çekmek en güvenli yöntemdir.
Bazı kullanıcılar, güvenlik kaygısıyla tüm dosya ve klasörlere 777 izni vermeyi tercih eder. Ancak bu, kesinlikle yapılmaması gereken bir hatadır. 777 izni, herkesin dosyaları okumasına, değiştirmesine ve çalıştırmasına izin verir. Bu da hackerların kötü amaçlı dosyalar yüklemesine veya mevcut dosyaları değiştirmesine yol açabilir. Özellikle paylaşımlı hostinglerde bu, büyük bir güvenlik riski oluşturur.
Eğer siteniz WordPress Multisite yapısında çalışıyorsa, izinler yine aynı mantıkla ayarlanmalıdır. Ancak wp-content/uploads klasöründe her site için ayrı klasörler bulunduğundan, bu klasörlerin de yükleme iznine sahip olduğundan emin olmanız gerekir.
Dosya izinleri sadece güvenlik için değil, SEO performansı için de dolaylı olarak önemlidir. Çünkü eğer siteniz hatalı izinlerden dolayı sık sık hata kodları (örneğin 403, 404 veya 500) üretirse, bu arama motorları tarafından olumsuz bir sinyal olarak algılanabilir.
WordPress güvenliği konusunda ileri seviye önlemler almak istiyorsanız, sadece dosya izinlerini ayarlamakla kalmayıp “.htaccess” dosyası üzerinden ek korumalar da uygulayabilirsiniz. Örneğin wp-config.php veya .htaccess dosyasına dışarıdan erişimi tamamen engelleyen kurallar eklemek mümkündür.
Son olarak, düzenli olarak dosya izinlerini kontrol etmek iyi bir alışkanlıktır. Çünkü bazı eklentiler veya güncellemeler, bu izinleri otomatik olarak değiştirebilir. Bu da farkında olmadan güvenlik açıklarına neden olabilir.
Özetle, WordPress dosya izinleri şu şekilde olmalıdır:
- Tüm klasörler: 755
- Tüm dosyalar: 644
- wp-config.php: 600 veya 640
- uploads klasörü: 755 veya 775
Bu ayarları uyguladığınızda, WordPress siteniz hem güvenli hem de sorunsuz şekilde çalışır. Gereğinden fazla açık veya kapalı izinler yerine, optimum düzeyde izin vermek en doğru yaklaşımdır. WordPress’in güvenli yapısını korumanın ilk adımı doğru dosya izinleriyle başlar.
Doğru bilgiler verilmiş. Teşekkürler.