WordPress Güvenlik Önlemleri

WordPress kullanıcıları, web sitelerini nasıl düzgün bir şekilde güvence altına alacaklarını bilmedikleri için genellikle saldırıya uğrama riski altındadır. Bu makale, WordPress sitelerinin saldırıya uğramasını önlemeye yardımcı olacak bazı yolları keşfedecektir.

İlk yol, kullanıcıların web sitesi için güvenlik duvarı koruması sağlayan WordFence adlı bir güvenlik eklentisi yüklemesidir. Eklenti ayrıca, birisi söz konusu WP kurulumunda bir hesabı olmasa bile, sitelerine izinsiz olarak erişmeye çalıştığında site sahibini uyarır. Başka bir yol, insanların iki faktörlü kimlik doğrulamayı etkinleştirmesidir; bu, birisinin kullanıcı adı ve şifresiyle oturum açtıktan sonra ikili doğrulama (2FA) kodunu da girmesini gerektirir.

Bu yazıda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olmak için en iyi WordPress güvenlik ipuçlarını yazdım.

WordPress çekirdek yazılımı çok güvenli olmasına rağmen, yüzlerce geliştirici tarafından düzenli olarak denetlenirken, sitenizi güvende tutmak için yapabileceğiniz birçok şey vardır.

Web sitenizi güvenlik açıklarına karşı korumak için gerçekleştirebileceğiniz birkaç uygulanabilir adım vardır.

WordPress Güvenlik

Web Sitesi Güvenliği Neden Bu Kadar Önemli?

Saldırıya uğramış bir WordPress sitesi, işletme gelirinize ve itibarınıza ciddi zarar verebilir. Bilgisayar korsanları, kullanıcı bilgilerini, şifreleri çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

İşletme sahiplerinin fiziksel mağaza binalarını koruma sorumluluklarına benzer şekilde, bir çevrimiçi işletme sahibi olarak işletme web sitenizi korumak sizin sorumluluğunuzdadır.

Web siteniz bir işletmeyse, WordPress güvenliğine daha fazla dikkat etmeniz gerekir.

Ayrıca, Google her hafta kötü amaçlı yazılımlardan dolayı yaklaşık 20.000 web sitesisini ve phishing için yaklaşık 50.000 internet sitesini kara listeye alıyor.

WordPress için olmazsa olmaz eklentilerden biri olan Wordfence eklentisini anlattık, sitenizin güvenliği için bir göz atmadan geçmeyin.

WordPress’i Güncel Tutun

WordPress düzenli olarak bakımı yapılan ve güncellenen açık kaynaklı bir yazılımdır.

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve kararlılığı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.

WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeleri yayınlayan üçüncü taraf geliştiriciler tarafından da korunmaktadır.

Güçlü Parolalar Kullanın

En yaygın WordPress saldırı girişimleri, çalınan şifreleri kullanır. Web siteniz için benzersiz olan daha güçlü şifreleri kullanarak bunu zorlaştırabilirsiniz. Yalnızca WordPress yönetici alanı için değil, aynı zamanda FTP hesapları, veritabanı, WordPress barındırma hesabı ve sitenizin etki alanı adını kullanan özel e-posta adresleriniz için de geçerlidir.

Yeni başlayanların çoğu, güçlü şifreler kullanmaktan hoşlanmıyor çünkü hatırlaması zor. İyi olan, artık şifreleri hatırlamanıza gerek kalmamasıdır. Bir şifre yöneticisi kullanabilirsiniz.

Güvenli WordPress Hosting Alın

İyi bir web hosting şirketi web sitelerini ve verilerinizi korumak için arka planda nasıl çalışır:

• Şüpheli faaliyetler için ağlarını sürekli izlerler.
• Büyük kaza durumunda verilerinizi korumalarını sağlayan felaket kurtarma ve kaza planlarını uygulamaya hazırdırlar.
• Bilgisayar korsanlarının eski bir sürümde bilinen bir güvenlik açığından yararlanmalarını önlemek için sunucu yazılımlarını ve donanımlarını güncel tutarlar.
• Tüm iyi hosting firmalarının büyük çapta DDOS saldırılarını önleyen araçları var

Kişisel WordPress barındırma hizmeti WordPress sitenizin güvenliğinde en önemli rol oynar. Godaddy gibi iyi bir paylaşılan barındırma sağlayıcısı , sunucularını ortak tehditlere karşı korumak için ek önlemler almaktadır.

Paylaşılan bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bu, bir hacker’ın komşu bir siteyi web sitenize saldırmak için kullanabileceği siteler arası kontaminasyon riskini açar.

Sitenizi Yedekleyin

Yedekler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır.

Yedekler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.

Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedekleme söz konusu olduğunda bilmeniz gereken en önemli şey, tam site yedeklemelerini düzenli olarak uzak bir konuma (barındırma hesabınıza değil) kaydetmeniz gerektiğidir.

Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar günde bir kez veya gerçek zamanlı yedeklemeler olabilir.

En İyi WordPress Güvenlik Eklentisi

Yedeklemelerin ardından, yapmamız gereken bir sonraki şey, web sitenizde olan her şeyi izleyen bir denetim ve izleme sistemi kurmak.

Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması vb. Dahildir.

En iyi ücretsiz WordPress güvenlik eklentisi Sucuri Scanner bunları yapabilir.

WordPress yöneticinizdeki Sucuri menüsüne gitmeniz gerekir. Yapmanız istenecek ilk şey ücretsiz bir API anahtarı oluşturmaktır. Bu, denetim günlüğü, bütünlük kontrolü, e-posta uyarıları ve diğer önemli özellikleri etkinleştirir.

Bu WordPress güvenlik eklentisi çok güçlüdür, bu yüzden Malware taraması, Denetim kayıtları, Başarısız Oturum Açma Denemesi izleme vb. İşlemleri görmek için tüm sekmelere ve ayarlara göz atın.

Sucuri Eklentisini İndir

Web Uygulaması Güvenlik Duvarını Etkinleştir

Sitenizi korumanın ve WordPress güvenliğinden emin olmanın en kolay yolu, bir web uygulaması güvenlik duvarı kullanmaktır.

Bir web sitesi güvenlik duvarı tüm kötü amaçlı trafiği engeller.

Uygulama Seviyesi Güvenlik Duvarı – Bu güvenlik duvarı eklentileri trafiği sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce inceler.

DNS Seviyesi Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir.

Sucuri’nin güvenlik duvarının en iyi yanı, kötü amaçlı yazılım temizleme ve kara listeden kaldırma garantisi ile birlikte gelmesidir.

WordPress Sitenizi SSL / HTTPS’ye Taşıyın

SSL, web siteniz ile kullanıcı tarayıcınız arasında veri aktarımını şifreleyen bir protokoldür.

SSL’yi etkinleştirdiğinizde, web siteniz HTTP yerine HTTPS’yi kullanacak, web sitenizin yanında tarayıcıda bir asma kilit işareti göreceksiniz.

Artık tüm WordPress web siteleriniz için SSL kullanmaya başlamak hiç olmadığı kadar kolay. Pek çok barındırma şirketi şimdi WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor.

SSL Almak İçin Tıklayın

Varsayılan “admin” kullanıcı adını değiştir

Eski günlerde varsayılan WordPress admin kullanıcı adı “admin” idi. Kullanıcı adları oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bilgisayar korsanlarının kaba kuvvet saldırıları yapmalarını kolaylaştırdı.

Neyse ki, WordPress bu yana bunu değiştirdi ve şimdi WordPress’i yüklerken özel bir kullanıcı adı seçmenizi gerektiriyor.

WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.

1. Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
2. PhpMyAdmin’deki kullanıcı adını güncelle
3. Username Changer eklentisini kullanın

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, tema ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenizi sağlayan yerleşik bir kod düzenleyici ile birlikte gelir.

Bunu, wp-config.php dosyanıza aşağıdaki kodu ekleyerek kolayca yapabilirsiniz .

Bazı WordPress Dizinlerinde PHP Dosya Çalıştırmasını Devre Dışı Bırakma

WordPress güvenliğinizi sertleştirmenin bir başka yolu da / wp-content / uploads / gibi ihtiyaç duyulmayan dizinlerde PHP dosya yürütmesini devre dışı bırakmaktır.

Bunu Notepad gibi bir metin düzenleyicisini açıp şu kodu yapıştırarak yapabilirsiniz:

Daha sonra, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki / wp-content / uploads / klasörlerine yüklemeniz gerekir.

İki Faktör Kimlik Doğrulaması Ekleyin

İki faktörlü kimlik doğrulama tekniği, kullanıcıların iki aşamalı bir kimlik doğrulama yöntemi kullanarak giriş yapmasını gerektirir. Birincisi, kullanıcı adı ve şifredir ve ikinci adım, ayrı bir cihaz veya uygulama kullanarak kimlik doğrulaması yapmanızı gerektirir.

Google, Facebook, Twitter gibi en iyi çevrimiçi web siteleri, hesaplarınız için etkinleştirmenize izin verir. Aynı işlevi WordPress sitenize de ekleyebilirsiniz.

WordPress Veritabanı Önekini Değiştirin

Varsayılan olarak, WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_ kullanır . WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden değiştirmenizi tavsiye ediyoruz.

Not: Bu düzgün yapılmazsa sitenizi bozabilir. Yalnızca kodlama becerileriniz konusunda rahat hissediyorsanız devam edin.

Dizin Dizinlemeyi ve Taramayı Devre Dışı Bırak

Dizin tarama, diğer insanlar tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı bulmak ve diğer bilgileri bulmak için de kullanılabilir. Bu yüzden, dizin indeksleme ve tarama işlemlerini kapatmanız şiddetle tavsiye edilir.

Web sitenize FTP veya cPanel’in dosya yöneticisini kullanarak bağlanmanız gerekir. Ardından, web sitenizin kök dizinindeki .htaccess dosyasını bulun. Orada göremiyorsanız, WordPress’te .htaccess dosyasını neden göremediğinizle ilgili kılavuzumuza bakın.

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Options -Indexes

.Htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın.

WordPress’te XML-RPC’yi devre dışı bırakın

XML-RPC, WordPress 3.5’te varsayılan olarak etkindir; çünkü WordPress sitenizi web ve mobil uygulamalara bağlamaya yardımcı olur.

XML-RPC kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Ancak, XML-RPC ile bir bilgisayar korsanı, 20 veya 50 istekle binlerce parolayı denemek için system.multicall işlevini kullanabilir .

Bu nedenle, XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.

Not: .htaccess yöntemi en iyisidir, çünkü en az kaynak yoğundur.

WordPress’te Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama

Yüklü bir WordPress güvenlik eklentiniz varsa, bu eklentiler rutin olarak kötü amaçlı yazılımları ve güvenlik ihlallerinin belirtilerini kontrol eder.

Ancak, web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz, bir taramayı el ile çalıştırmak iyi bir seçenek olabilir.

Bu çevrimiçi taramaları çalıştırmak oldukça basittir, web sitenizin URL’lerini girersiniz ve tarayıcıları bilinen kötü amaçlı yazılımları ve kötü amaçlı kodları bulmak için web sitenizi kullanır.

WordPress’de hacklenmenizi önleyebilecek eklentiyi görmek için tıklayınız.

WordPress Dosya izinleri hakkında bilgi almak için tıklayın.

Hacklenmiş WordPress Sitesini Düzeltmek

Bir WordPress sitesinin temizlenmesi çok zor ve zaman alıcı olabilir. İlk önerimiz, bir profesyonelin ilgilenmesine izin vermek olacaktır.

Bilgisayar korsanları etkilenen sitelere arka kapılar kurar ve bu arka kapılar düzgün şekilde sabitlenmezse, web siteniz büyük olasılıkla yeniden saldırıya uğrayacaktır.

Sucuri gibi profesyonel bir güvenlik şirketinin web sitenizi düzeltmesine izin vermek , sitenizin tekrar güvenli bir şekilde kullanılmasını sağlar. Ayrıca gelecekteki saldırılara karşı sizi koruyacaktır.

Gerekli WordPress Eklentileri

WordPress’te spam yorumlardan nasıl kurtulacağınızı merak ediyorsanız WordPress’te Spam Yorumlardan Kurtulma İpuçları yazısına bakmanızı öneririm.