WordPress güvenliği, her web sitesi sahibi için büyük önem taşıyan bir konudur. Google, kötü amaçlı yazılımlar için her gün yaklaşık 10.000’den fazla web sitesi ve her hafta kimlik avı için yaklaşık 50.000 web sitesini kara listeye alıyor.
Web siteniz konusunda ciddi iseniz, WordPress güvenlik en iyi uygulamalarına dikkat etmeniz gerekir.
WordPress güvenliği için ilk adım; kullanıcı adı olarak ‘admin’ kullanılmaz.
Kullanıcı adlarınız için ortak kelimeler (admin gibi) kullanmaktan kaçınmak kaba kuvvet saldırılarını çok daha az etkili hale getirebilir.
Zaten ‘admin‘ kullanıcısı olan eski bir siteyle çalışıyorsanız, söz konusu hesabı silme ve herhangi bir içeriği aktarma veya daha güvenli bir kullanıcı adına erişim zamanı gelmiş olabilir!
2. Karmaşık bir şifre kullanın
Daha iyi bir parolaya sahip olmak tahmin etmeyi veya kaba kuvvet uygulamayı zorlaştırabilir. Hatırlanması kolay bir ipucu : CLU : Complex. Uzun. Benzersiz. Ör: Turuncu1sandalyemi?
3. İki faktörlü kimlik doğrulama ekleyin (2FA)
‘Admin’ kullanmasanız ve güçlü, rastgele oluşturulmuş bir parolanız olsa bile, kaba kuvvet saldırıları hala bir sorun olabilir. Endişelenmeyin, iki faktörlü kimlik doğrulama sitenizi korumaya yardımcı olabilir.
WordPress’te kimlik doğrulamasını işlemek için Wordfence ekletntisini kullanabilirsiniz. Mobil için kimlik doğrulama eklentisi arıyorsanız Google Authenticator ve Rublon eklentisi sizin için yararlı olacaktır. Yedek kodlarınızı kaybetmediğinizden emin olun, aksi takdirde kendinizi kilitlenmiş bulabilirsiniz.
4. En az yetkili kullanıcılar
En Az Ayrıcalık kavramı basittir. Yalnızca aşağıdakilere izin verin:
- ihtiyacı olanlar,
- ihtiyaç duyduklarında ve
- sadece ihtiyaç duydukları zaman için.
Birisi yapılandırma değişikliği için geçici yönetici erişimine ihtiyaç duyarsa, bunu verin, ancak görevi tamamladıktan sonra kaldırın. İyi haber şu ki, burada en iyi uygulamaları kullanmak dışında fazla bir şey yapmanız gerekmiyor.
WordPress örneğinize erişen her kullanıcının yönetici rolü altında sınıflandırılması gerekmez . İnsanları uygun rollere atayın, güvenlik riskinizi büyük ölçüde azaltırsınız.
5. Gizle wp-config.phpve.htaccess
Sizin wp-config.phpve .htaccessdosyanız WordPress güvenliğiniz için kritik öneme sahiptir. Bunlar genellikle sistem kimlik bilgilerinizi içerir ve sitenizin yapısı ve yapılandırması hakkında bilgi verir. Saldırganların onlara erişememelerini sağlamak için çok önemlidir.
Bu dosyaları gizlemek nispeten kolaydır, ancak yanlış yapıldığında sitenize erişilemez. Bir yedek alın ve dikkatli olun. WordPress için Yoast SEO, bu işlemi sizin için biraz daha kolaylaştırır. Düzenlemek için “Araçlar> Dosya Düzenleyici” ye gitmeniz yeterlidir.
Daha iyi WordPress güvenliği için, .htaccesskorumak için bunu dosyanıza eklemeniz gerekir wp-config.php:
<Files wp-config.php>
order allow,deny
deny from all
</Files>Bu, dosyaya erişilmesini engelleyecektir. .htaccessDosyanızın kendisi için benzer kod kullanılabilir:
<Files .htaccess>
order allow,deny
deny from all
</Files>WordPress güvenliğin temeli iyi bir SSL satın almaktır. SSL hakkında her şeyi öğrenmek için bu yazıya kesinlike göz atın!
6. Kimlik doğrulaması için WordPress güvenlik anahtarlarını kullanın
‘Kimlik doğrulama anahtarları temel olarak, web sitenize özgü olan ve çerezlerdeki bilgilerin güvenliğini (şifreleme) geliştiren bir dizi rastgele değişkendir.
Dosyanızda wp-config.phpkendi değişkenlerinizi sağlayabileceğiniz özel bir alan vardır .
7. Dosya düzenlemeyi devre dışı bırak
Bir bilgisayar korsanı içeri girerse, dosyalarınızı değiştirmelerinin en kolay yolu WordPress’teki “Görünüm> Editör” e gitmek olacaktır. WordPress güvenliğinizi artırmak için , bu dosyaların düzenleyici aracılığıyla düzenlenmesini devre dışı bırakabilirsiniz . Yine, wp-config.phpbu kod satırını ekleyerek bunu dosyanızın içinden yapabilirsiniz :
define('DISALLOW_FILE_EDIT', true);Şablonlarınızı sık kullandığınız (S) FTP uygulamanız üzerinden düzenleyebileceksiniz. Bunu WordPress’in kendisi ile yapamazsınız.
8. Girişinizi gizleyin ve giriş denemelerini sınırlayın
Kaba kuvvet saldırıları genellikle giriş formunuzu hedefler. Bu nedenle, yaşamların nerede değiştiği saldırganların içeri girmesini zorlaştırabilir. All in One WP Güvenlik ve Güvenlik Duvarı eklentisi , varsayılan URL’yi (‘den /wp-admin/) daha güvenli bir şeye değiştirme seçeneğine sahiptir .
Bunun yanında, belirli bir IP adresinden oturum açma denemesi sayısını da sınırlayabilirsiniz. Giriş formunuzu, çok sayıda giriş denemesini başlatan IP adreslerinden korumanıza yardımcı olacak birkaç WordPress eklentisi vardır .
9. XML-RPC ile seçici olun
XML-RPC , bir süredir kullanılan bir uygulama programı arabirimidir (API). Bazı eklentiler ve temalar tarafından kullanılır, bu nedenle bu özel sertleştirme ucunu nasıl uyguladıklarına dikkat etmek için daha az teknik olanı uyarıyoruz.
İşlevsel olsa da, devre dışı bırakmanın bir maliyeti olabilir. Bu nedenle her şey için devre dışı bırakmayı önermiyoruz, ancak ona nasıl ve ne erişmenize izin verdiğiniz konusunda daha seçici olmak. WordPress’te, Jetpack kullanıyorsanız, burada daha dikkatli olmak isteyeceksiniz .
XML-RPC’yi varsayılan olarak uygulama ve devre dışı bırakma şeklinizde çok seçici olmanıza yardımcı olan bir dizi eklenti vardır .
10. Hosting ve WordPress güvenliği
Web sitenizin güvenliği söz konusu olduğunda titiz olsanız bile, o kadar titiz olmayan bir şirket tarafından barındırılıyorsa, hiçbir şey yapmamış olabilirsiniz.
Bir saldırgan, web sitenizin barındırma hizmetine erişebiliyorsa, her şeyin tam kontrolünü ele geçirebilir. Bu , barındırma işlemlerini ciddiye alan bir ana bilgisayarı seçmeniz (veya taşımanız) gerçekten önemlidir. Daha ucuz barındırma seçenekleri genellikle iyi güvenlik veya yedeklerle gelmez veya saldırıya uğramış bir siteyi temizlemenize yardımcı olacak destek sunmayabilir.
WordPress web sitenizi saldırganlara karşı korumanız gerek, bunun için en iyi barındırma servisine ihtiyacınız olacak. Güvenli WordPress Hosting arıyorsanız bu yazı sizin için faydalı olacaktır.
Saldırganlar aynı sistemdeki güvenliği ihlal edilmiş başka bir site aracılığıyla sitenize erişebileceğinden, paylaşılan barındırma (ucuz paketlerde yaygındır) genellikle risklidir . Bu nedenle, ciddi kullanıcıların her zaman barındırma için biraz daha fazla harcama yapmasını ve özel WordPress barındırma için büyük bir üne sahip bir şirket kullanmasını öneriyorum.
11. Güncel kalın
Güncel kalmak kolay bir ifadedir, ancak bunun web sitesi sahipleri için günlük olarak ne kadar zor olabileceğinin farkındayız. Web sitelerimiz karmaşık varlıklardır. Herhangi bir zamanda çok farklı şeyler oluyor. Ve bazen değişiklikleri hızlı bir şekilde uygulamak zordur. Bu nedenle web sitelerinin güncel olmayan kodları bitmesi nadir değildir. Hem eklentilerinde hem de çekirdek yazılımında. Ne yazık ki, bu onları bilinen istismarlara karşı özellikle savunmasız hale getiriyor.
Temalarınızı, yazılımınızı, eklentilerinizi ve diğer bileşenlerinizi güncellemenin devam eden bir rutinin parçası olması çok önemlidir. Aksi takdirde, kapıyı saldırganlara açık bırakırsınız.
12. Daha fazla güvenlik katmanı yerleştirin
En iyi güvenlik çözümleri, saldırganların web sitenizin yakınında herhangi bir yere ulaşmasını önler. Bu yüzden çoğu sitenin bir çeşit WordPress güvenlik duvarı eklentisi çalıştırmasını öneririz . Bu eklentiler, bilinen saldırganları ve yaygın saldırı kalıplarını arar ve sitenizi tehlikeye atma şansına sahip olmadan önce onları durdurur.
Wordfence iyi bir güvenlik duvarı eklentisidir, tüm ihtiyaçlarınızı karşılayabilir. Eklentiyi indirip kurmanızı şiddetle öneririm.
Ayrıca, birçok İçerik Dağıtım Sisteminin artık güvenlik duvarı işlevselliğini içerdiğini düşünmek gerekir; performans optimizasyonunu koruma ile birleştirir. Özellikle Cloudflare , ‘kötü trafiği’ engelleme konusunda harika bir iş çıkarıyor ve WordPress sitelerini korumak için özel olarak geliştirilmiş kurallar ve taramalar bile var.
13. En iyi güvenlik eklentileri ve temalar
Çoğu WordPress kullanıcısı, istedikleri zaman sitelerine tema ve eklenti uygulama eğilimindedir. Özellikle bir test sunucusu kullanmıyorsanız, farklı temaları veya eklentileri test etmeye dikkat etmenizi öneririz. Çoğu eklenti ve birçok tema ücretsizdir ve geliştiricinin bu ücretsiz hediyelere eşlik edecek sağlam bir iş modeli yoksa, güvenlik geliştirme sırasında en yüksek öncelik olmayabilir. Başka bir deyişle, bir geliştirici sadece eğlenceli olduğu için bir eklentiyi koruyorsa, uygun güvenlik kontrollerini yapmak için zaman almadı.
Doğru eklenti nasıl seçilir
Yukarıda açıklandığı gibi, ücretsiz eklentiler ve temalar olası bir güvenlik açığı olabilir. Bir eklenti (veya bu konu için tema) eklerken, WordPress.org’da her zaman bu eklentinin derecelendirmesini kontrol edin. Bir 5 yıldızlı derecelendirmenin size hiçbir şey söylemeyeceğini unutmayın, bu nedenle her zaman derecelendirme sayısını kontrol edin. Nişe bağlı olarak, bir eklenti birden fazla inceleme alabilmelidir. Daha fazla kişi bir eklentinin harika olduğunu düşünüyorsa ve bunu değerlendirmek için zaman ayırırsanız, onu kullanırken de daha güvenli hissedebilirsiniz.
Eklentinin uyumluluğu
Kontrol etmek istediğiniz başka bir şey daha var. Bir eklenti iki yıldır güncellenmediyse, WordPress bunu size söyleyecektir. Şimdi, bu mutlaka kötü bir eklenti olduğu anlamına gelmez. Ayrıca, eklentinin hala çalıştığı için güncellenmesi gerekmediği anlamına da gelebilir. Derecelendirmeler, durumun böyle olup olmadığına karar vermenize yardımcı olacaktır. Ve wordpress.org adresindeki eklenti sayfasında da gösterilen geçerli WordPress sürümüyle uyumluluğa bir göz atın.
Derecelendirmelere ve uyumluluğa bağlı olarak, eklentilerinizi dikkatli bir şekilde seçebilir ve aynı zamanda WordPress güvenliğiniz hakkında dikkatli olabilirsiniz.
Yorum Ekle