WordPress Web Sitenizin Güvenliğini Nasıl Sağlarsınız?

Yayınlanan: 2020-09-25

Yönetilen WordPress barındırma hizmetleri (Presidium gibi) normalde barındırma platformlarının güvenliğine büyük önem verir. Bu sistemlerde barındırılan WordPress web sitelerinin güvenli kalmasına yardımcı olmak için bir dizi özellik dağıtılmıştır.

Bununla birlikte, bir WordPress ana bilgisayarının bir WordPress web sitesinin güvenliğini sağlamak için yapabileceği çok şey vardır. Web sitesi sahiplerinin, web sitelerinin güvenli kalmasını sağlamak için oynayacakları kendi rolleri vardır. Bu yazıda, WordPress web sitenizi güvenli hale getirmek için atabileceğiniz adımlara bir göz atacağız.

Web Sitenizi Güvende Tutma – Genel Bir Bakış

Birçok web sitesi hack'i, web sitesi sahipleri tarafından gerçekleştirilen eylemlerin (veya eylemsizliklerin) doğrudan bir sonucu olarak gerçekleşir. Eklentileri en son sürüme güncellememek veya zayıf bir parola kullanmak gibi şeyler, sitenizde bilgisayar korsanlarının hedef alacağı istismar edilebilir zayıflıklarla sonuçlanır. İyi haber şu ki, WordPress web sitenizi güvende tutmaya yardımcı olmak için atabileceğiniz birkaç basit adım var. Bunlar şunları içerir:

  • Sizin ve diğer web sitesi kullanıcılarının güçlü parolalar kullandığından emin olun
  • Bir Captcha mekanizması kullanın
  • İki Faktörlü Kimlik Doğrulamayı Kullan (2FA)
  • Etkin olmayan kullanıcıları sil
  • Bir 'giriş denemelerini sınırla' sistemi kullanın
  • Çekirdek dosyalarınızı, eklentilerinizi ve temalarınızı her zaman en son sürümlerine güncel tutun
  • Varsayılan giriş URL'nizi değiştirin
  • Nulled temalar ve eklentiler kullanmaktan kaçının

Bu adımlardan bazılarına daha yakından bakalım ve bunları web sitenize nasıl uygulayabileceğinizi öğrenelim.

Kullanıcılarınızın güçlü parolalar kullandığından emin olun

WordPress web sitenizi zayıf bir paroladan koruyabilecek sunucu tarafı güvenlik duvarı veya başka bir barındırma güvenlik sistemi yoktur. Zayıf parola kullanmayla ilgili bilinen sorunlara rağmen, istatistikler, WordPress tarafından daha güçlü bir parola seçmeleri istenmesine rağmen, şaşırtıcı bir şekilde kullanıcıların %35'inin WordPress web sitelerini güvence altına almak için hala zayıf parolalar kullandığını gösteriyor.

zayıf şifreyi onayla

Belki de bundan çıkarılabilecek sonuç, bazı kullanıcıların zayıf bir parola kullanıldığında web sitelerinin ne kadar savunmasız hale geldiğinin farkında olmadıklarıdır. Ne yazık ki, bilgisayar korsanları uzun zaman önce belirli kalıpları (doğum tarihi veya evcil hayvan adı gibi) izleyen tahmin edilebilir şifreler seçen kullanıcılardan nasıl yararlanacaklarını bulmuşlardı.

Diğerleri, zayıf parolaların güvenlik açığının farkında olmakla birlikte, belki de yapılması kolay şey olduğu için bunları kullanmaya devam ediyor. Sonuçta, basit bir parolayı hatırlamak, rastgele harfler, sayılar ve simgelerden oluşan daha karmaşık bir paroladan çok daha kolaydır.

Şüphesiz, şifreniz bilgisayar korsanlarına karşı kritik bir savunma hattı sunar. Ne kadar güçlüyse o kadar iyidir. İdeal olarak bir parola benzersiz olmalı, rastgele oluşturulmalı ve düzenli olarak güncellenmelidir.

Giriş formunda bir Captcha mekanizması kullanın

Bir captcha'nın amacı, insanları otomatikleştirilmiş görevleri gerçekleştiren yazılım uygulamaları olan 'bot'lardan ayırmaktır. Bilgisayar korsanları, bota bir web sitesine erişmek için rastgele verileri kullanarak sürekli denemeler yapma talimatı vererek, oturum açma sayfası aracılığıyla web sitelerine erişmeye çalışmak için bunlardan yararlanabilir. Bir captcha, insanlar ve botlar arasında ayrım yaparak bir sitede bu tür saldırıların gerçekleşmesini önlemeye yardımcı olmak için tasarlanmıştır. Captcha'lar otuz yıldır kullanılıyor ve hala sayısız web sitesinde onları bot etkinliğine karşı korumaya yardımcı olmak için kullanılıyor.

Bot giriş denemelerini engellemek amacıyla WordPress web sitenize bir captcha eklenebilir. Bunu yapmanın kolay bir yolu, Google'ın captcha sisteminden yararlanan Login no Captcha reCaptcha eklentisini kurmaktır.

reCaptcha'ya giriş yap

Kurulduğunda, oturum açma panelinin altında tanıdık reCaptcha onay kutusunun göründüğünü göreceksiniz. Bunu işaretleyin ve uzaktasınız (yine de doğru kullanıcı adını ve şifreyi bildiğinizi varsayarak!).

Eklentinin çalışması için, bir site anahtarı ve bir gizli anahtar oluşturmanıza olanak sağlayacak ücretsiz bir Google reCaptcha hesabına kaydolmanız gerekir.

Site ve gizli anahtar nasıl oluşturulur:

  1. Google hesabınıza giriş yapın (henüz bir hesabınız yoksa, kaydolmanız gerekir). Google reCaptcha sayfasına gidin ve sağ üstte görünen 'Yönetici Konsolu'nu tıklayın.
  2. Yeni bir web sitesine kaydolmak için tekrar sağ üstte bulunan 'Artı +' simgesine tıklayın. Gerekli bilgileri doldurun.
  3. Gönder düğmesine basın ve şöyle bir sayfa göreceksiniz:
Google reCaptcha site anahtarları

Ardından, bu değerleri, tanıtıldığı gibi eklenti ayarlarındaki kutulara yapıştırmanız gerekir.

İki Faktörlü Kimlik Doğrulama (2FA)

İki faktörlü bir kimlik doğrulama işlemi kullanmak, 'kaba kuvvet' olarak bilinen saldırıyı önleyerek web sitenizin giriş sayfalarına ekstra bir güvenlik katmanı ekler. Bu tür saldırılar, bir botun tahmin edilen parolaları ve kullanıcı adlarını kullanarak (normalde 123password vb. gibi bilinen 'zayıf' parolalardan yararlanan bazı önceden tanımlanmış listeleri izleyerek) web sitenize sürekli olarak giriş yapmaya çalıştığı durumlardır. Başarılı olana kadar sitenize erişmeye çalışın ki bu iki cephede kötü haber İlk olarak, eğer şifreyi alırsa, web siteniz şimdi saldırıya uğradı.İkincisi, bu sürekli giriş denemeleri sunucu yükünü artırabilir ve böylece web sitenizi yasal olarak yavaşlatabilir kullanıcılar.

Neyse ki, bunu durdurmaya yardımcı olabilecek üçüncü taraf eklentileri var.

İki Faktörlü Eklenti

Plugin Contributors'ın Two-actor eklentisi, kullanıcıları normal oturum açma kimlik bilgilerinin yanı sıra bir kimlik doğrulama kodu sağlamaya zorlayarak web sitelerine iki faktörlü koruma sağlayan, kullanışlı, kullanımı kolay bir eklentidir. Bu kod, e-posta yoluyla gönderilebilir veya Google Authenticator gibi tek seferlik bir şifre oluşturucu kullanılarak oluşturulabilir.

İki Faktörlü Eklenti

Google Kimlik Doğrulayıcı Eklentisi

Google Authenticator eklentisi, WordPress web sitenizi korumak için dağıtılabilen bir başka popüler 2FA eklentisidir. Bu tamamen ücretsiz eklenti, SMS ve tabii ki Google Authenticator uygulamasını kullanarak bir dizi 2FA kimlik doğrulama seçeneği sunar. Bunu ayarlamak oldukça hızlı ve kolaydır. Eklentiyi etkinleştirdiğinizde istemleri takip etmeniz yeterlidir.

Google Kimlik Doğrulayıcı Eklentisi

Etkin Olmayan Kullanıcıları Sil

Saldırganlar için bir diğer kolay hedef de uzun süredir kullanılmayan web sitesi kullanıcı hesaplarıdır. Bunun sonucu, parolanın, kullanıcının hesabı yakın zamanda oluşturmuş veya web sitesine düzenli olarak giriş yapmış olması durumunda olabileceğinden genellikle daha zayıf olmasıdır. Bu nedenle, etkin olmayan hesapları periyodik olarak silmeye değer.

Bu etkin olmayan kullanıcıları kolayca tespit etmek için, When Last Login eklentisi gibi bir eklenti kullanabilirsiniz.

Etkinleştirildiğinde, yönetici kullanıcılar listesi tablonuza, o kullanıcının son oturum açma tarihi ve saatinin zaman damgasını görüntüleyen özel bir sütun ekler. Bu sütunu sıralayabilir, böylece bir bakışta etkin olmayan kullanıcıları tanımlayabilirsiniz, bu da uygunsa onları silebileceğiniz anlamına gelir.

Son Giriş Zamanı

Ardından Kullanıcı -> Tüm kullanıcılar, eklenen “Son Giriş” sütununa göre sıralanır:

Ne zaman Son Giriş son giriş sütunu

Giriş Denemelerini Sınırla

WordPress sitenize fazladan bir güvenlik katmanı eklemenin başka bir yolu, belirli bir zaman diliminde izin verilen giriş denemelerinin sayısını sınırlamaktır. Bu teknik, sürekli oturum açma tahminleri yapan botları engeller. Ek olarak, bu işlevi sağlayan bazı eklentiler, oturum açma girişimlerinin kaynaklandığı IP adresini de engelleyebilir ve bunu yaparken, o IP adresinden çalışan belirli botun gelecekte sitenize tekrarlanan saldırılar denemesini durdurabilir.

Bu işlevi sunan iyi bir eklenti, ücretsiz Limitli Giriş Denemeleri Yeniden Yüklendi eklentisidir.

Giriş Denemelerini Sınırla Yeniden Yüklenen eklenti

Yazma sırasında 1+ milyon kurulum ile eklentinin iyi çalıştığından emin olabilirsiniz.

Kurduktan ve etkinleştirdikten sonra Ayarlar menüsüne gidin ve ardından 'Giriş Denemelerini Sınırla'yı tıklayın. Kullanıcı web sitesine kilitlenmeden önce izin verilen yeniden deneme sayısı da dahil olmak üzere bir dizi parametreyi değiştirebileceksiniz.

Giriş Denemelerini Sınırla ayarları

Oturum açma girişimlerini sınırlamak, web sitenizi korumanın son derece etkili bir yoludur; bu nedenle, bunu Pressidium tarafından barındırılan tüm web sitelerinde varsayılan olarak etkinleştiriyoruz.

Not: Jetpack kullanıyorsanız, 'Koru modülü' olarak adlandırılan yeni bir özellik sürümü, varsayılan olarak bir limit oturum açma girişimi sistemi içerir. Bu sistem ayrıca engellenen oturum açma girişimleri ve IP'leri beyaz listeye alma seçeneği hakkında bilgi sağlar. Bu eklentiyi kullanıyorsanız, ayrı bir 'limit login' eklentisi yüklemenize gerek yoktur.

Çekirdek dosyalarınızı, eklentilerinizi ve temalarınızı en son sürümlerine güncel tutun

Diğer birçok avantajın yanı sıra WordPress çekirdeğinizi, temanızı ve eklentilerinizi güncellemek web sitenizin güvenliği için kritik öneme sahiptir. İstatistikler, eski sürümlerin, temaların ve eklentilerin, bilgisayar korsanlarının web sitelerine erişmenin en popüler yolu olduğunu ve bunları güncel tutmayı birinci öncelik haline getirdiğini gösteriyor.

Pressidium'da, müşterilerimizin web sitelerinde sorun yaşamalarına neden olacak önemli bir sorun olmadığından emin olmak için ilk testten sonra WordPress çekirdeğini otomatik olarak en son sürüme güncelleriz. Bu güncellemeler otomatik olarak yapıldığından, web sitenizin her zaman WordPress'in en son sürümünü çalıştırdığından emin olabilirsiniz.

Pressidium ile web sitenizi barındırın

60 GÜN PARA GERİ GARANTİSİ

PLANLARIMIZI GÖRÜN

Ek olarak, Pressidium panosu aracılığıyla erişilebilen bir eklenti güncelleme olanağı sağlayarak, bizde barındırılan web sitelerindeki eklentileri güncellemeyi mümkün olduğunca kolaylaştırıyoruz. Bu, müşterilerimizin web sitesi/eklentilerinin güncellenmesi gerekip gerekmediğini bir bakışta görmelerini sağlar. Eğer öyleyse, güncelleme Pressidium kontrol panelinden birkaç tıklama ile gerçekleştirilebilir. Ayrıca, bizde barındırılan web sitelerini, bilinen güvenlik açıklarına sahip eklentiler için düzenli olarak tararız ve web sitesi sahibini bu güvenlik açığından e-posta yoluyla bilgilendiririz. Güncel olmayan bir eklentinin bir web sitesi için aşırı risk oluşturduğu durumlarda, bunu web sitesi sahibi adına proaktif olarak güncelleyeceğiz.

Varsayılan giriş URL'nizi değiştirin

Giriş sayfasını korumanın (aslında 'ön kapıyı' korumanın) yollarını öğrendiğimize göre, bir hırsızın (veya bilgisayar korsanının!) giriş yapmaya bile çalışmamasını sağlamak için ön kapıyı gizleme seçeneklerine bir göz atalım. .

Bunu yapmanın harika bir yolu, varsayılan WordPress giriş URL'sinin konumunu özel bir URL ile değiştirerek değiştirmektir. Bunu yaparken, wp-login'den gelen trafiği anında engellersiniz, bu da web sitenizde herhangi bir kaba kuvvet saldırısı yaşamamanız gerektiği anlamına gelir.

Giriş sayfasının konumunu hızlı bir şekilde değiştirmenize izin veren böyle bir eklenti, WPS Girişi Gizle'dir.

WPS Girişi Gizle

Nulled temalar ve eklentiler kullanmaktan kaçının

Nulled temalar veya eklentiler, genellikle kötü amaçlı yazılım veya zarar vermek üzere tasarlanmış değiştirilmiş kod içerenlerdir. Genellikle 'ucuz' olarak bulunurlar, bu yüzden insanlara hitap ederler. Sonuçta, kimse premium temalara ve eklentilere para harcamaktan hoşlanmaz. 'Orijinal' sürümün maliyetinin bir kısmı için mevcut olan bazı boş temalar ve eklentilerle, neden kullanmaya cazip geldiklerini görebilirsiniz.

Gerçekte, geçersiz kılınmış sürümleri kullanarak yaptığınız 'tasarruflar', web sitenize kötü amaçlı yazılım bulaşmasının bir sonucu olarak ortaya çıkan maliyetler tarafından genellikle gölgede kalabilir. Kötü amaçlı kod içermeseler bile, genellikle eklenti veya tema deneyimini mahvedebilecek can sıkıcı reklamlara ve açılır pencerelere sahip olurlar. Ek olarak, elbette orijinal geliştirici tarafından desteklenmiyorlar, yani bir şeyler ters giderse başvuracak kimse yok.

Kısacası, boş temalar veya eklentiler kullanmayın… gerçekten buna değmez!

Çözüm

Saldırıya uğramış bir web sitesi kimsenin çıkarına değildir (elbette hacker dışında). Yüksek kaliteli, yönetilen WordPress barındırma web sitenizin güvenliğini önemli ölçüde artırabilirken, web sitesinin sahibi olarak sizin de web sitenizin güvenliğini sağlamada sizin de bir rolünüz olduğunu unutmamak önemlidir.

Yukarıda özetlenen bazı basit adımların uygulanması bile web sitenizin güvenliğini artırmaya gerçekten yardımcı olabilir ve uygulamaya değer.