WordPress Güvenliği: Sitenizi Hackerlardan Nasıl Korursunuz?

Yayınlanan: 2021-10-15

İster bir iş sitesi, çevrimiçi mağaza veya hobi blogu kuruyor olun, WordPress esneklik, kullanım kolaylığı ve onu büyük bir başarıya dönüştürmeye yardımcı olacak gelişmiş işlevsellik sunar.

Ancak canlı yayına geçmeye hazır olmadan önce birkaç dakikanızı güvenliği düşünerek geçirin. Sitenizi bilgisayar korsanlarından korumak ve her zaman hayranlar ve müşteriler için çalışmak için mümkün olduğunca koruyun.

WordPress güvenliği neden önemlidir?

Web siteniz, ziyaretçilerinize kim olduğunuzu, ne tür içerik ve hizmetler sunduğunuzu ve markanızdan neler bekleyebileceklerini söyler. Harika bir ilk izlenim bırakmak ve mevcut hayranlar arasında güven ve sadakat oluşturmak için bir yer.

Bu nedenle, web sitenizin her zaman çalışır durumda olduğundan emin olmanız çok önemlidir. Aniden kötü amaçlı yazılımlara bağlantılar içeriyorsa, bir saldırıdan sonra çok yavaş çalışmaya başlarsa veya tamamen çevrimdışı olursa, itibarınızı etkiler.

Siteniz saldırıya uğradıysa, azalan görüntülemeler, satışlar veya reklam gösterimleri nedeniyle para kaybedebilirsiniz. İyi çalışır duruma getirmenin maliyeti olabilir. Ayrıca arama motorlarında sıralamanızı kaybedebilirsiniz - bazen kalıcı olarak. Bu nedenle, paradan tasarruf etmek (ve itibar kazanmak için!) için web sitenizin kilitli ve güvenli olduğundan emin olun.

WordPress web siteleri nasıl saldırıya uğrar?

Google kısa süre önce bilgisayar korsanlarının web sitelerine erişmesinin en iyi yollarının bir listesini yayınladı. Bunlardan birkaçına ayrıntılı olarak bakalım:

Güvenliği ihlal edilmiş şifreler

Kaba kuvvet saldırıları, bilgisayar korsanlarının bir siteye gizlice girmelerinin en yaygın yollarından biridir. Doğru olanı bulana kadar farklı kullanıcı adlarını ve şifreleri (saniyede binlerce kombinasyon) denemek için botları kullanırlar.

Güvenli olmayan eklentiler ve temalar

Eklentilerde ve temalarda bulunan güvenlik açıkları, kötü oyuncuların içeri girmesi için nispeten kolay bir yoldur. Yüksek kaliteli tema geliştiricileri, düzenli güncellemelerde bu güvenlik açıkları için yamalar yayınlar, ancak tüm WordPress kullanıcıları sitelerini sık sık güncellemez. Premium eklentilerin ve temaların boş, ücretsiz sürümleri genellikle kodlarında gömülü arka kapılara sahiptir - bilgisayar korsanlarının sitenize uzaktan oturum açmaları ve istediklerini yapmaları için erişim noktaları.

Zayıf güvenlik politikaları

Siteye ihtiyacı olmayan kişilere site erişimi vermek veya güvenli olmayan parolalara izin vermek gibi zayıf güvenlik uygulamaları, insanların web sitenize girmesini kolaylaştırır.

Bir insan neden bir web sitesini hackler?

  1. Para çalmak istiyorlar . Müşteri kredi kartı bilgilerini toplamak veya ziyaretçileri insanları dolandırmak için tasarlanmış kötü niyetli web sitelerine yönlendirmek isteyebilirler.
  2. Bilgi almak istiyorlar. Para karşılığında kişisel verileri üçüncü taraflara satabilir veya bilgileri rehin tutabilirler.
  3. Sitenizi çökertmek istiyorlar . Bunun genellikle kişisel bir nedeni vardır ve ortak web sitesi sahibi için nadiren bir tehdit oluşturur.
  4. Sitenizi vandalize etmek istiyorlar. Yine, bu genellikle kişiseldir. Bilgisayar korsanı, bir açıklama yapmak için aynı fikirde olmadığı birinin web sitesini tahrif edebilir.
  5. Başka birine saldırmak istiyorlar . Saldırganlar, internet üzerinden kötü amaçlı yazılım veya fidye yazılımı yaymak için web sitenizi kullanabilir veya başka birine kötü niyetli olarak saldırmak için web sunucunuzu kullanabilir.
  6. Öğrenmek istiyorlar. Bilgisayar korsanlarının bir şekilde pratik yapması gerekiyor, değil mi? Web sitenizi gelecekte daha büyük, daha kazançlı hedefler için bir eğitim alanı olarak kullanabilirler.

WordPress sitenizi bilgisayar korsanlarından nasıl korursunuz?

1. Kaliteli bir ev sahibi seçin

Barındırma şirketiniz güvenlik ortağınızdır ve iyi bir üne sahip birini seçmek önemlidir. Ödediğinizin karşılığını alırsınız ve birçok indirimli ev sahibi sağlam güvenlik uygulamaları uygulamaz.

Ama hangisini seçeceğinizi nereden biliyorsunuz? Güvenli bir barındırma sağlayıcısının bazı göstergeleri şunlardır:

  • Planınıza dahil olan veya ek bir ücret karşılığında düzenli yedeklemeler.
  • Site ziyaretçilerinizin verilerini koruyan SSL sertifikaları.
  • Sitenizin saldırıya uğraması durumunda 7/24 destek.
  • Sunucunuzdaki dosyaları ve veritabanını koruyan yerleşik bir güvenlik duvarı.
  • Sizi sitenizdeki şüpheli kod ve etkinlik konusunda uyaracak güvenlik taramaları.
  • İyi bir şöhret. İncelemeler ve öneriler, genellikle bir ev sahibinin kalitesini belirlemenin en iyi yoludur.

Ve unutmayın, iyi bilgiye ve güçlü güvenliğe sahip bir şirket, her türlü ek maliyete değer. Başlamanız için önerilen WordPress ana bilgisayarlarının bir listesi.

2. Yazılımı güncel tutun

Web sitenizi güvende tutmanın bir numaralı yolu, yazılımınızı düzenli olarak güncellemektir: WordPress, temalar ve eklentiler. Yeni sürümler genellikle güvenlik açıklarını düzeltir, bu nedenle ne kadar erken güncelleme yaparsanız o kadar iyi olur.

Ayrıca kararlı olan ve aynı anda birden fazla ihtiyacı karşılayan güvenilir eklentiler seçerek WordPress güvenlik risklerini en aza indirebilirsiniz. Örneğin, Jetpack Security, tek bir Jetpack eklentisinde yerleşik olarak bulunan eksiksiz bir WordPress güvenlik araçları paketi sunar. Böylece düzinelerce eklenti yüklemeden ve sitenize saldırı riskini artırmadan ek işlevlerden de yararlanabilirsiniz.

3. Güvenli kullanıcı adları ve şifreler oluşturun

Benzersiz bir kullanıcı adı ve güvenli bir parola seçerek bilgisayar korsanlarının tahminde bulunmasını sağlayın. En az 20 karakter, bir büyük harf, küçük harf, sayı ve simge kullanın.

Ek kullanıcılarla bir site oluşturuyorsanız, her biri için doğru izinleri ayarladığınızdan emin olun. Örneğin, yeni stajyerinizin çekirdek dosyalara veya diğer önemli verilere erişmesini istemeyebilirsiniz. İşte WooCommerce için kullanıcı izinleri hakkında harika bir makale, ancak çoğu her tür site için geçerlidir.

Geliştirici, pazarlama ajansı veya destek görevlisi gibi üçüncü bir taraf için hesap oluşturursanız, işlerini tamamladıktan sonra erişimi kaldırdığınızdan emin olun.

4. Site dışı yedeklemeleri ayarlayın

Yedeklemeler, içeriğinizi, sıkı çalışmanızı ve müşteri veya ziyaretçi verilerinizi korumak için kritik öneme sahiptir. Sitenizle ilgili sorun ne olursa olsun, elinizde tam bir yedeğe sahip olmak, hızla yeniden çalışmaya başlayabileceğiniz anlamına gelir.

Ancak doğru türde yedeklemeleri seçmek önemlidir. Örneğin, yedeklerinizin sunucunuz yerine bulutta depolandığından emin olun. Bu, sitenize erişiminizi kaybetseniz veya sunucunuzun güvenliği ihlal edilse bile temiz bir sürümü geri yükleyebileceğiniz anlamına gelir.

Jetpack Backup'ın parladığı yer burasıdır. Tüm yedekleri yalnızca kendi siteleri için kullandıkları aynı, güvenli sunucularda depolamakla kalmaz, aynı zamanda ekstra bir koruma katmanı için birden çok, şifreli yedek tutarlar.

Jetpack Yedeğinin Geri Yüklenmesi

Ayrıca, iki seçenek arasından seçim yapabilirsiniz: gerçek zamanlı ve günlük.

Gerçek zamanlı yedeklemeler , çevrimiçi mağazalar, üyelik forumları veya düzenli olarak güncellenen web siteleri için en iyi seçimdir. Jetpack, bir satış yapıldığında, bir sayfa güncellendiğinde veya bir yorum eklendiğinde, her şey değiştiğinde sitenizin bir kopyasını kaydeder. Bu, ne olursa olsun tek bir satış veya bilgi parçasını kaybetmeyeceğiniz anlamına gelir.

Günlük yedeklemeler , sık güncellenmeyen statik siteler için uygundur. Jetpack, dosyalarınızı ve veritabanınızı değişiklik yapıldıkça değil, günde bir kez kaydeder.

En iyi kısım? Kurulumu son derece kolaydır - karmaşık sunucu yapılandırmasına gerek yoktur. Sadece birkaç basit adımı izleyin ve herhangi bir yardıma ihtiyacınız olursa Jetpack'in rakipsiz müşteri destek ekibine ulaşın.

En iyi WordPress yedekleme eklentisini bağımsız bir araç olarak veya tam güvenlik paketinin bir parçası olarak kullanabilirsiniz.

5. Kaba kuvvet saldırı koruması ekleyin

Bilgisayar korsanları, sonunda sitenize erişim elde edene kadar saniyede binlerce kullanıcı adı/şifre kombinasyonunu tahmin etmek için botlar kullandıklarında kaba kuvvet saldırıları meydana gelir. Bu saldırılar yalnızca site bilgilerinizi riske atmakla kalmaz, aynı zamanda sunucunuzu aşırı yükleyerek işleri yavaşlatabilir.

Güvenli oturum açma bilgileri kesinlikle yardımcı olacak olsa da, en iyi önlem, onları kendi yollarında durduracak bir araçtır. Jetpack'in ücretsiz kaba kuvvet saldırı koruması özelliği, şüpheli IP adreslerini sitenize ulaşmadan önce engeller!

bir sitede engellenen kötü niyetli saldırı sayısı: 14.989

Kurulum bundan daha kolay olamazdı - tek yapmanız gereken özelliği açmak - ve engellenen saldırı sayısını doğrudan kontrol panelinizden görüntüleyebilirsiniz. İpucu: ortalama 5,193!

6. Kötü amaçlı yazılım taraması yapın

Bir bilgisayar korsanı içeri girmeyi başarırsa, sorunu gidermek için hemen bilmek istersiniz. Sonuçta, siteniz ne kadar uzun süre kapalı veya güvensiz olursa, itibarınız ve verileriniz o kadar büyük zarar görür.

Ancak Jetpack Scan, sitenizi otomatik olarak kötü amaçlı yazılım, kötü niyetli kişi ve şüpheli etkinlik için arar ve herhangi bir şey bulunursa sizi hemen uyarır. Bilinen bilgisayar korsanlıklarının çoğunu tek bir tıklamayla düzelterek hem zamandan hem de paradan tasarruf edebilirsiniz.

bir web sitesinde çalışan kötü amaçlı yazılım taraması

Ve karmaşık teknik dili deşifre etmek için zaman harcamak zorunda kalmayacaksınız — Jetpack Scan panosu her şeyi sıradan terimlerle açıklıyor ve atmanız gereken her adımda size yol gösteriyor. Web sitenizin 7/24 izlendiğini bilerek kolayca ayarlayabilir ve unutabilirsiniz.

WordPress kötü amaçlı yazılım tarama aracımız hakkında daha fazla bilgi edinin.

7. Kesinti süresi izlemeyi uygulayın

İster kötü niyetli bir saldırı sonucu, ister basit bir hata sonucu olsun, web siteniz çökerse hemen harekete geçmeniz gerekir. Ancak, çalıştığından emin olmak için tüm gün sitenizi yeniden yüklemek için zamanınız yok!

Jetpack'ten kesinti bildirimi

Jetpack'in WordPress kesinti izleme aracı, sitenizi 7/24 izler ve yanıt vermeyi keserse size bildirir. Ardından, tam olarak neyin ne zaman yanlış gittiğini belirlemek için etkinlik günlüğünü kullanabilirsiniz, böylece uygun şekilde yanıt verebilir ve saatler veya günler değil, dakikalar içinde yeniden çalışmaya başlayabilirsiniz.

8. Kullanılmayan eklentileri ve temaları silin

Sitenize ne kadar çok tema ve eklenti yüklerseniz, bir bilgisayar korsanının bunlardan faydalanması için o kadar fazla fırsat olur. Eklentiler, ek işlevler eklemek için harika bir yol olsa da, biraz temizlik yapın ve artık kullanmadıklarınızı kaldırın.

Ayrıca, site hatalarını giderirken başvurabileceğiniz varsayılan bir tema dışında, ek temaları depolamanıza gerek yoktur.

Bonus: Bunları silmek site hızınızı da artırabilir!

9. Yöneticiler için iki faktörlü kimlik doğrulamayı açın

İki faktörlü kimlik doğrulama, giriş sayfanızı korumanın son derece etkili bir yoludur, çünkü bir bilgisayar korsanının hem parolanıza hem de fiziksel bir öğeye sahip olmasını gerektirir - olası bir kombinasyon. Bir yönetici sitenizde oturum açtığında, telefonlarına gönderilen bir kerelik kullanım kodunu girmeleri gerekir.

Jetpack, bu özelliği ücretsiz olarak sunarak güçlü parolalardan bir adım daha ileri gitmenin kolay bir yoludur. Birden fazla kullanıcınız var mı? Hepsi için kolayca iki faktörlü kimlik doğrulama gerektirir.

10. Bir WordPress güvenlik duvarı kurun

Bir WordPress güvenlik duvarı, sitenize gelen tüm trafiği izleyerek bilgisayar korsanlarına karşı bir barikat görevi görür. İyi bir barındırma planı, sunucunuzu koruyan bir güvenlik duvarı içerirken, ayrıca WordPress için özel bir güvenlik duvarı da yüklemek isteyeceksiniz.

İyi bir güvenlik duvarı eklentisi, kötü aktörler (şüpheli IP adresleri, kötü niyetli botlar ve "kapalı" görünen trafik) hakkında bir bilgi veritabanına sahiptir ve web sitenize saldırmadan önce bunları engeller. WordPress eklenti deposunda en popüler seçeneklerden bazılarını görebilirsiniz.

11. Site etkinliğinize göz atın

Web sitenizde olup biten her şeyin kaydını tuttuğunuzda, kolayca gözden geçirebilir ve şüpheli her şeyi belirleyebilirsiniz. Ayrıca siteniz saldırıya uğradıysa, bunun ne zaman gerçekleştiğini belirleyebilir, hangi işlemlerin yapıldığını öğrenebilir ve hangi hesapların güvenliğinin ihlal edildiğini çok daha kolay öğrenebilirsiniz.

bir web sitesinde gerçekleşen etkinlik

Jetpack'in WordPress için etkinlik günlüğü, oturum açma denemelerinden ve yayınlanan sayfalardan silinen eklentilere, güncellenen temalara ve değiştirilen ayarlara kadar meydana gelen tüm büyük değişiklikleri takip eder. Her olay için bir zaman damgası, değişikliği yapan kullanıcı ve yaptıklarının açıklamasını görebilirsiniz. Daha sonra bu bilgileri, bir sorun oluşmadan hemen önceki bir yedeği gidermek veya geri yüklemek için kullanabilirsiniz.

WordPress sitem güvenli değilse ne olur?

Çoğu saldırgan özellikle sizi hedef almıyor, yalnızca erişmesi en kolay siteyi arıyorlar. Bu nedenle, WordPress siteniz uygun şekilde güvenli değilse, bir saldırıya kurban gitme olasılığı daha yüksektir. Sonuç olarak, bu şunlara yol açabilir:

  • Zarar görmüş bir itibar . Sitenizde güvenlik uyarıları varsa, çöküyorsa veya şüpheli bir web sitesine yönlendirme yapıyorsa site ziyaretçileri için iyi olmayacaktır. Blogunuza veya işinize olan güvenini kaybedebilir, satışlarınızı veya reklam gelirinizi kaybedebilirler.
  • Çalınan müşteri verileri . Bir bilgisayar korsanı e-ticaret mağazanıza erişirse, kendilerinin kullanabileceği veya üçüncü taraflara satabilecekleri kişisel bilgileri toplayabilir.
  • Hasarlı web sitesi dosyaları . Potansiyel olarak yıllarca süren sıkı çalışmayla web sitenizin bir kısmını veya tamamını kaybedebilirsiniz!
  • Arama sonuçlarından kaldırma . Siteniz saldırıya uğradıysa, Google tarafından engellenenler listesine alınabilir ve arama sonuçlarından tamamen kaldırılabilir.
  • Kayıp site trafiği . Daha düşük (veya var olmayan) arama motoru sıralamaları ile güvenlik uyarısı olan bir siteyi ziyaret etmek istemeyen kişiler arasında site trafiğiniz önemli ölçüde düşebilir.
  • Azaltılmış reklam geliri . Reklam ağları, müşterilerinin reklamlarının güvenli olmayan sitelerde yayınlanmasını istemez. Bu nedenle, siteniz saldırıya uğrarsa, reklam ağlarından kaldırılabilir ve reklamlardan elde ettiğiniz geliri azaltarak veya ortadan kaldırarak tamamen yasaklanabilirsiniz. Kaldırılmasa bile azalan trafik, reklam tıklamalarını olumsuz etkiler.

WordPress sitemin saldırıya uğradığını nasıl anlarım?

Bazen web sitenizin saldırıya uğrayıp uğramadığını veya başka türden bir sorun yaşayıp yaşamadığını anlamak zor olabilir. Ancak, burada bir site hackinin birkaç göstergesi vardır:

  • URL'nizi yüklediğinizde web sitenizin bir güvenlik uyarısı vardır.
  • Güvenlik eklentiniz bir sorun bildiriyor.
  • Ev sahibiniz size bir sorun hakkında e-posta gönderir.
  • Web siteniz tamamen başka bir yere yönlendiriyor ve bu yönlendirmeyi siz yapmadınız.
  • Sitenizin sayfalarında garip kod satırları görüyorsunuz.
  • Siteniz tamamen kapalı, ancak bunun nedeni başka sebepler de olabilir.
  • Sitenizdeki reklamlar şüpheli web sitelerine yönlendiriyor.
  • Siteniz aniden çok yavaş yükleniyor veya başka şekillerde garip davranıyor.

WordPress sitem saldırıya uğradıysa ne yapmalıyım?

WordPress siteniz saldırıya uğradıysa, sorunu çözmek ve dosyalarınızı ve veritabanınızı kurtarmak için uygulayabileceğiniz birkaç adım vardır:

  1. Ne olduğunu belirleyin. Jetpack kullanıyorsanız, kimin, ne zaman giriş yaptığını ve neyi değiştirdiğini görmek için etkinlik günlüğüne bakın. Bu, güvenliği ihlal edilmiş hesapları belirlemenize ve hangi dosyaların etkilendiğini anlamanıza yardımcı olabilir.
  2. Kötü amaçlı yazılım taraması çalıştırın. Web sitenizdeki dosyaları kötü amaçlı yazılım veya saldırının diğer belirtileri için aramak için Jetpack Scan gibi bir araç kullanın. Jetpack'in WordPress için kötü amaçlı yazılım tarama aracını kullanırsanız, sorunların çoğunu tek tıklamayla da çözebilirsiniz.
  3. Bir yedeği geri yükleyin. Web sitenizin düzenli yedeğini alıyorsanız, saldırı gerçekleşmeden önceki bir yedeklemeyi geri yükleyin. Jetpack Yedekleme kullanıyorsanız, dosyalarınız sunucunuzdan ayrı olarak depolanır, bu nedenle güvenliği ihlal edilmemelidir.
  4. Tüm şifreleri sıfırlayın ve şüpheli kullanıcıları silin . WordPress siteniz ve barındırma sağlayıcınız için tüm şifreleri sıfırlayın. Kendi oluşturmadığınız şüpheli kullanıcı hesapları görürseniz bunları silin.
  5. Bir web sitesi güvenlik uzmanı işe alın. Kötü amaçlı yazılımları kendi başınıza kaldıramıyorsanız veya yalnızca sitenizin güvenli olduğundan emin olmak istiyorsanız, Codeable gibi bir hizmetten bir güvenlik uzmanı tutmayı düşünün.
  6. Eklentilerinizi, temalarınızı ve WordPress sürümünüzü güncelleyin. Bu, bilgisayar korsanının yararlanabileceği güvenlik açıklarının güvenliğini sağlamaya yardımcı olacaktır.
  7. Sitenizi Google'a yeniden gönderin. Siteniz engellenenler listesine alınmışsa, inceleme talep etmek ve siteyi listeden çıkarmak için Google Arama Konsolunu kullanın.

Daha fazla ayrıntı için, WordPress siteniz saldırıya uğradığında ne yapacağınızı anlatan kılavuzumuzu okuyun.

Başlatmaya hazır

Çalışmayı baştan uygun WordPress güvenliğine sokmak, sitenizi başarıya hazırlar ve gelecek yıllar boyunca güvenli ve verimli çalışmasına yardımcı olur. Unutmayın, site saldırılarını önlemek, oluştuktan sonra düzeltmekten çok daha kolaydır.

Jetpack Security paketiyle, bu listedeki öğelerin çoğunu yalnızca birkaç dakika içinde kontrol edebilirsiniz - bir geliştiriciye veya karmaşık kuruluma gerek yok.

En iyi WordPress güvenlik eklentisini kullanmaya başlayın.