Bir WordPress Sitesinin Saldırıya uğraması Nasıl Önlenir
Yayınlanan: 2024-05-28WordPress web siteleri tüm web sitelerinin yüzde 43'ünden fazlasını oluşturuyor ve bu popülerlik, platformu çevrimiçi saldırıların hedefi haline getiriyor. Bu, WordPress'in görünüşte sınırsız faydaları olsa da, bilgisayar korsanlarının yararlanabileceği bilinen güvenlik açıklarının da olduğu anlamına gelir.
Bu nedenle WordPress sitenizin saldırıya uğramasını önlemek için uygun web güvenliği önlemlerini almak iyi bir fikirdir. Bu şekilde tüm hassas verilerinizi güvence altına alabilir, işletmenizin itibarını koruyabilir ve müşteri güvenini ve sadakatini koruyabilirsiniz.
Bu yazıda yaygın WordPress saldırılarına ve güvenlik açıklarına daha yakından bakacağız. Daha sonra size WordPress hackleme girişimlerini nasıl önleyeceğinizi göstereceğiz.
WordPress saldırıları ne kadar yaygındır?
WordPress çekirdek yazılımı oldukça güvenlidir ve geliştiriciler tarafından düzenli olarak denetlenir. Bununla birlikte, içerik yönetim sisteminin (CMS) popülaritesi, onu hassas bilgileri çalmak, kötü amaçlı yazılım dağıtmak ve diğer kötü niyetli eylemleri gerçekleştirmek için geniş bir ağ oluşturmak isteyen bilgisayar korsanlarının hedefi haline getiriyor.
WordPress ayrıca açık kaynaklı bir yazılım olarak WordPress'in tüm güvenlik açıklarını kamuya açık hale getirmesi nedeniyle de hedef alınabilir. Aslında WPScan'in veritabanında şu anda listelenen 49.000 WordPress güvenlik açığı bulunmaktadır.
Bu, kötü aktörlerin yazılımı tehlikeye atmasını kolaylaştırabilir. Ayrıca, yeni başlayanlar için uygun bir platform olduğundan, birçok WordPress kullanıcısı web sitelerinin bakımını ve güvenliğini nasıl sağlayacaklarını bilmiyor. Örneğin WordPress'i korumanın en iyi yollarından biri yazılımı güncel tutmaktır. Ancak WordPress kullanıcılarının yalnızca yüzde 80'i yazılımın altıncı sürümünü yükledi.
Ve bu yüzde 80'in yalnızca yüzde 75'i en son WordPress sürümünü kullanıyor. Bu nedenle, bu web sitelerinin WordPress saldırılarını önlemesi daha zor olabilir.
WordPress site saldırılarına neden olan yaygın güvenlik açıkları
Artık sorun hakkında biraz daha fazla bilgi sahibi olduğunuza göre, WordPress saldırılarına yol açabilecek ana güvenlik açıklarına bir göz atalım.
1. Eski WordPress çekirdeği ve eklentileri
WordPress çekirdek yazılımı yeni özellikler, hata düzeltmeleri ve diğer güvenlik geliştirmeleriyle düzenli olarak güncellenmektedir. Aslında bu yıl şu ana kadar on WordPress sürümü yayınlandı.
En son sürüm Core'da iki hata düzeltmesi, blok düzenleyici için 12 düzeltme ve bir ek güvenlik düzeltmesi ile geldi. Çoğu eklenti geliştiricisi ayrıca kendi yazılımlarının güvenlik düzeltmeleriyle birlikte gelen daha yeni sürümlerini de yayınlar.
Dolayısıyla, bir yazılım parçası bir süre mevcut olduğunda, bilgisayar korsanlarının bu yazılımın zayıf noktalarından nasıl yararlanacaklarını bulma olasılıkları daha yüksektir. Daha sonra, kötü amaçlı faaliyetler gerçekleştirmek amacıyla web sitenize yetkisiz erişim sağlamak için bunu bir arka kapı olarak kullanabilirler.
2. Zayıf şifreler
WordPress saldırılarının bir diğer yaygın nedeni de zayıf şifre seçimleridir ve çözülmesi en kolay olanlardan biridir. Kötü haber şu ki, pek çok kullanıcı yeni şifre belirleme konusunda güvenliğe değil, rahatlığa öncelik veriyor.
Hatta geçen yılın en yaygın şifresi “123456” oldu ve 4,5 milyondan fazla kullanıldı. En çok kullanılan ikinci şifre ise 4 milyon kez kullanılan “admin” oldu.
Web sitesi sahipleri güçlü şifrelerin önemini anlasalar bile her kullanıcı şifre belirlemeye yönelik önlemi almayacaktır. Bu nedenle, Parola Politikası Yöneticisi gibi araçları kullanarak kullanıcıları eğitmek ve WordPress'te güçlü parolalar kullanılmasını zorunlu kılmak iyi bir fikirdir.
3. Güvensiz ve güncelliğini yitirmiş temalar
WordPress çekirdeği ve eklentilerinde olduğu gibi, güvenli olmayan ve güncelliğini yitirmiş temalar da WordPress saldırılarının bir diğer önemli adayıdır. Eklentilerde olduğu gibi, güncel olmayan temalarda da genellikle güvenlik yamaları ve hata düzeltmeleri eksiktir.
Ayrıca, diğer eklentiler ve çekirdek yazılımlarla uyumsuz hale gelebilirler ve bu da beyaz ölüm ekranı gibi WordPress hatalarına yol açabilir. Üstelik WordPress açık kaynaklı olduğundan herhangi bir geliştirici temaları çevrimiçi olarak satabilir.
Bu nedenle temaların kullanımının güvenli olduğundan emin olmak için güvenilir kaynaklara ve geliştiricilere bağlı kalmak önemlidir. Bir başka olumlu işaret de sık sık yapılan güncellemelerdir ve bunu özel tema sayfasından kontrol edebilirsiniz. Ayrıca derecelendirmelere göz atmak ve yorumları okumak da faydalıdır. Çok sayıda etkin kurulum, bir temanın kullanımının güvenli olduğunu da gösterebilir.
4. Güvenlik eklentisinin olmaması
Güvenlik eklentileri, tehditleri tespit etmek ve sitenizi WordPress saldırılarına karşı korumak için proaktif bir yol sağlar. Daha da iyisi, çoğu güvenlik eklentisi otomatik olarak çalışır. Bu, güvenlik aracınız yapılandırıldıktan sonra, çok az manuel yönetim gerektirmeden veya hiç gerektirmeden arka planda çalışacağı anlamına gelir.
Güvenlik eklentileri olmadan, WordPress hackleme girişiminin ortak işaretlerini gözden kaçırmak kolaydır. Örneğin, Jetpack Security gibi çözümler, sitenizdeki şüpheli trafiği filtrelemek için kaba kuvvet koruması ve bir web uygulaması güvenlik duvarı (WAF) ile birlikte gelir.
Dahası, Jetpack gerçek zamanlı kötü amaçlı yazılım taramasının yanı sıra yorum ve spam koruması da sağlar. Ayrıca yedekleme sürecini otomatikleştirebilir ve web sitenizin kopyalarını güvenli, uzak bir konumda saklayabilirsiniz. Ayrıca, bir şeyler ters giderse web sitenizi geri yüklemek kolaydır.
Bilgisayar korsanları bu güvenlik açıklarından nasıl yararlanıyor?
Artık WordPress saldırılarına yol açan ana güvenlik açıklarını bildiğinize göre, bilgisayar korsanlarının bu güvenlik açıklarından yararlanmanın en yaygın yollarına bir göz atalım. WordPress saldırılarının birincil yöntemi, çekirdek dosyaları, eklentileri, temaları veya oturum açma sayfalarını hedeflemektir.
Birçok bilgisayar korsanı, daha sonra yararlanılabilecek zayıflıkları belirlemek için web sitelerini otomatik olarak tarayan botlardan yararlanır. Ayrıca bilgisayar korsanları, farklı kullanıcı aracıları kullanarak web sitelerine tarayıcı ve işletim sistemi hakkında farklı bilgiler göndererek web sitelerini aldatabilirler.
WordPress giriş sayfası aynı zamanda bilgisayar korsanları için de ortak bir giriş noktasıdır. Varsayılan WordPress giriş sayfası URL'sini değiştirmezseniz, alan adınızın sonuna "/admin" gibi belirli bir sonek ekleyerek bunu herkes bulabilir.
Daha sonra saldırganlar, sitenize erişene kadar yüzlerce kullanıcı adı ve şifre kombinasyonunu denemeyi içeren kaba kuvvet saldırılarından yararlanabilir. Ve daha önce de tartıştığımız gibi, birçok kullanıcı çok çabuk kırılabilen zayıf şifrelere güveniyor.
Saldırıya uğramış bir sitenin mali ve itibar açısından sonuçları
İnsanların WordPress hackleme girişimlerini nasıl önleyeceklerini bilmek istemelerinin ana nedenlerinden biri, saldırıya uğramış bir sitenin mali sonuçlarından kaçınmaktır. Doğal olarak, yetkisiz bir kişi sitenize erişim sağlarsa özel verileri görüntüleyebilir, değiştirebilir ve çalabilir.
Müşterilerin kişisel bilgileri veya ödeme ayrıntıları kayıtlıysa, ağır cezalar gerektiren veri koruma yasalarını ihlal ediyor olabilirsiniz. Aslında ciddi GDPR ihlallerinin bedeli 20 milyon Euro'ya kadar çıkabilir. Ve geçen yıl ABD'de bir veri ihlalinin ortalama maliyeti yaklaşık 9,5 milyon dolardı.
Sadece bu da değil, bu tür bir ihlal yalnızca bir mahremiyet ihlalidir ve uzun süredir devam eden müşterilerin güven ve sadakat kaybına yol açabilir. Sonuç olarak şirketinizin itibarına kalıcı zararlar verebilir. Özellikle markanız daha az yerleşikse, bu durumdan kurtulmak zor olabilir.
Ayrıca, WordPress hack türüne bağlı olarak bir web sitesini düzeltmenin veya kurtarmanın maliyetini de düşünmelisiniz. Fidye yazılımı saldırılarıyla başa çıkmak için sitenize yeniden erişim kazanmak amacıyla çok para ödemeniz gerekebilir. Bu arada, önemli site dosyalarını temizlemek veya değiştirmek pahalı olabilir.
Son olarak, şüpheli veya tehlikeli görülen saldırıya uğramış web siteleri Google'ın engellenenler listesine yerleştirilebilir. Böyle bir durumda sitenizi engellenenler listesinden çıkarmak zor olabilir. Ayrıca, web siteniz bu listeden kaldırılana kadar arama sonuçlarında görünmeyeceğinden, trafik ve gelir açısından büyük olasılıkla bir darbe alacaksınız.
Bir WordPress sitesinin saldırıya uğramasını önlemek için önlemler
Artık saldırıların ana nedenlerini ve sonuçlarını bildiğinize göre, WordPress hackleme girişimlerini nasıl önleyeceğinize bir göz atalım.
1. WordPress’i güncel tutun
Bilgisayar korsanlarının sitenize yetkisiz erişim sağlamalarının ana yollarından biri, yazılımın eski sürümlerindeki bilinen güvenlik açıklarından yararlanmaktır. Bu, WordPress çekirdek yazılımı, eklentileri ve temaları için geçerlidir.
Ek olarak çoğu güncelleme, bilgisayar korsanlarının saldırı gerçekleştirmesini zorlaştıran hata düzeltmeleri ve diğer güvenlik geliştirmeleriyle birlikte gelir. Eklentiler ve temalar söz konusu olduğunda, devre dışı bırakılmış yazılımlar bile hedeflenebilir; bu nedenle artık kullanmadığınız yazılımı silmek en iyisidir.
WordPress saldırılarını önlemek için web sitenizi yeni sürümler mevcut olur olmaz güncellemeniz önemlidir. Güncellemeler hazır olduğunda genellikle bir bildirim görürsünüz. Ancak WordPress yönetici ekranında Kontrol Paneli → Güncellemeler bölümüne de gidebilirsiniz.
Burada, kurulacak yeni bir WordPress sürümü olup olmadığını görebilir veya emin olmak için Tekrar kontrol et bağlantısına tıklayabilirsiniz. Yeni bir sürüm mevcutsa, güncellemeyi çalıştırmadan önce sitenizi yedeklemeniz ve güncellemeyi öncelikle bir hazırlama ortamında gerçekleştirmeniz iyi bir fikirdir.
Daha aşağıda, güncellemeleri bulunan tüm temaları ve eklentileri göreceksiniz.
Eklentileri ve temaları güncellemek için her birinin yanındaki kutuyu işaretleyin ve ardından Eklentileri Güncelle veya Temaları Güncelle seçeneğine tıklayın.
İçiniz rahat olsun diye, düzenli olarak kullandığınız eklentiler için otomatik güncellemeleri etkinleştirmek en iyisi olabilir. Bu şekilde yazılımın güncelliğini yitirmesi ve güvensiz hale gelmesi konusunda endişelenmenize gerek kalmaz. Bunu yapmak için Yüklü Eklentiler sayfasına gitmeniz yeterlidir.
Otomatik Güncellemeler sütununda, yüklü her eklentinin yanında Otomatik güncellemeleri etkinleştir bağlantısını görmelisiniz. Tek yapmanız gereken linke tıklamak. Daha sonra herhangi bir noktada fikrinizi değiştirirseniz bu özelliği devre dışı bırakın.
2. Güvenli bir barındırma sağlayıcısı seçin
WordPress hackleme girişimlerini nasıl önleyeceğinizi merak ediyorsanız güvenli bir barındırma sağlayıcısı seçmeniz önemlidir. Tonlarca web barındırıcısı bulunmasına rağmen bazı çözümler, sunucuları bilinen tehditlere karşı korumak için ekstra önlemler alır.
Kaliteli bir barındırma hizmeti aynı zamanda şüpheli trafiği izlemeye yönelik bir yöntem (güvenlik duvarı gibi) içermelidir. Üstelik çoğu iyi web barındırıcısı, dağıtılmış hizmet reddi (DDoS) saldırılarını önleyecek araçlara sahiptir ve web sitenizi hızlı bir şekilde kurtarmak için düzenli yedeklemeler sağlar.
Bluehost, çeşitli uygun fiyatlı planlar sunan popüler bir barındırma sağlayıcısıdır.
Bluehost ayrıca kapsamlı bir güvenlik özellikleri paketi sunar. Aslında veri şifreleme, otomatik yedekleme, kötü amaçlı yazılım taramaları ve 7/24 destek sunar. Daha da iyisi, seçilen paketler DDoS azaltma, web uygulaması güvenlik duvarı (WAF) ve daha fazlasıyla birlikte gelir.
Kullanacağınız web sitesi barındırma türünü dikkate almak da önemlidir. Paylaşımlı barındırma en uygun fiyatlı seçenek olsa da, siteler arası kirlenme riski daha yüksektir. Bunun nedeni, bu tür bir planla, sizinle aynı güvenlik önlemlerini almayan diğer web siteleriyle aynı sunucuyu paylaşacak olmanızdır.
Bunu akılda tutarak, özel veya sanal özel sunucu (VPS) barındırmayı tercih etmek daha iyi olabilir.
Veya yönetilen barındırma çözümleri, birçok bakım görevinin sizin yerinize halledilmesi nedeniyle genellikle web siteniz için güvenli bir ortam sağlar. Bu genellikle yedeklemeleri, güncellemeleri ve diğer güvenlik yapılandırmalarını içerir.
3. Hepsi bir arada bir güvenlik eklentisi yükleyin
Belirtildiği gibi, WordPress saldırılarını önlemenin en uygun yollarından biri, hepsi bir arada bir güvenlik eklentisi yüklemektir. Bu şekilde birçok güvenlik sürecini otomatikleştirebilirsiniz, böylece yapılandırmaları sürekli olarak kontrol etmeniz veya manuel olarak güncellemeniz gerekmez.
Yine, çok sayıda güvenlik eklentisi mevcuttur ancak Jetpack Security, WordPress web siteleri için mükemmel bir seçenektir.
Şık bir kontrol paneli ve sezgisel bir arayüz ile yeni başlayanlar için bile uygundur. Gelen tüm web trafiğini filtrelemek için premium WAF'a erişim elde edeceksiniz. Hatta şüpheli olduğunu bildiğiniz belirli IP adreslerini bile engelleyebilirsiniz.
30 günlük etkinlik günlüğü sayesinde web sitenizde gerçekleştirilen her eylemi takip edebilirsiniz. Bu, güvenlik sorunlarının ve hataların nedenini tanımlamayı kolaylaştırır. Ayrıca Jetpack, tek tıklamayla birçok düzeltmeyle gerçek zamanlı kötü amaçlı yazılım taraması sağlar.
Üstelik tüm yedeklemeler Jetpack Bulut'ta saklanır. Yani sunucunuzun güvenliği ihlal edilirse yedeklemeleriniz güvende kalır. Ayrıca, mevcut müşteri sipariş ayrıntılarını korurken sitenizi belirli bir zaman noktasına geri yükleyebilirsiniz.
4. Güçlü şifre politikaları uygulayın
WordPress hackleme girişimlerini nasıl önleyeceğinizi bilmek istiyorsanız başka bir strateji de WordPress oturum açma prosedürünü güçlendirmektir. Bunun büyük bir kısmı güçlü şifre politikalarının kullanılmasını ve uygulanmasını içerir.
Güçlü bir parola, büyük ve küçük harflerin, sayıların ve özel karakterlerin bir karışımını içerir. Ancak şifreniz tüm bu parametreleri karşılasa bile yedi karakterden azsa anında kırılabilir. Bu nedenle uzun şifreleri tercih etmek en doğrusu.
Yine de, kendi şifreleriniz için bu en iyi uygulamaları izleseniz bile, sitenizdeki diğer kullanıcılar zayıf şifreler kullanıyorsa bu aslında boşunadır. Bu nedenle, Parola Politikası Yöneticisi gibi bir eklenti kullanarak WordPress genelinde güçlü parolalar uygulamak iyi bir fikirdir.
Bu şekilde şifre gücünü belirleyebilir, şifre sıfırlamayı zorunlu kılabilir ve şifrelerin otomatik olarak süresinin dolacağı bir süre tanımlayabilirsiniz. Ayrıca premium sürümle, kaba kuvvet saldırılarını önlemek için etkin olmayan kullanıcıları kilitleyebilir ve rastgele şifreler oluşturabilirsiniz.
5. İki faktörlü kimlik doğrulamayı (2FA) uygulayın
Güçlü şifreler, WordPress oturum açma prosedürünü sağlamlaştırmada hayati bir rol oynar, ancak iki faktörlü kimlik doğrulamayı kullanarak ekstra bir güvenlik katmanı ekleyebilirsiniz. Bu kurulumda kullanıcıların sitenize erişim sağlamak için ikinci bir anahtar (şifrenin yanı sıra) sağlamaları gerekir.
Tipik olarak bu ikinci anahtar, kullanıcı hesabıyla ilişkili bir e-posta adresine veya mobil cihaza gönderilen benzersiz bir koddur. İyi haber şu ki, bir WordPress.com hesabı aracılığıyla siteye giriş yapmaya zorlayarak, 2FA gerektirmesi de dahil olmak üzere, giriş işlemini güvence altına alabilirsiniz. Bu Jetpack'teki güvenli kimlik doğrulama özelliği ile yapılabilir.
Bu şekilde, bilgisayar korsanları şifreleri ve kullanıcı adlarını ele geçirmede başarılı olsalar bile ikinci anahtarı (genellikle gerçek zamanlı olarak oluşturulan) giremezler.
6. Güvenli dosya ve dizin izinleri
WordPress web siteleri, hangi kullanıcıların bunlara erişebileceğini ve düzenleyebileceğini belirleyen kontrollere sahip farklı dosya ve dizinlerden oluşur. Bu izinler olmadan sitenize erişimi olan herkes dosyaları görüntüleyebilir ve değiştirebilir.
Bu, özellikle kullanıcı hesaplarının zarar verebilecek kötü niyetli aktörler tarafından ele geçirilmesi durumunda bir güvenlik sorunu olabilir. cPanel kullanıyorsanız veya sitenize dosya aktarım protokolü (FTP) aracılığıyla erişiyorsanız, muhtemelen WordPress dosyalarını ve dizinlerini görmüşsünüzdür.
Genel olarak WordPress için doğru dosya izin değerleri dosyalar için 644 ve klasörler için 755’tir. Ancak wp-config.php dosyasında ve .htaccess dosyasında sıklıkla olduğu gibi, dosyalarınızı daha da güvenli hale getirmeyi tercih edebileceğiniz durumlar vardır.
Bu dosyaların daha az izin verilmesini istiyorsanız değerleri 640 veya 600 olarak değiştirebilirsiniz. Aslında dosyaları daha da kilitlemek için 444 değerini bile tercih edebilirsiniz ancak bu, dosyalara erişmesi gereken eklentileri kısıtlayabilir. (birçok önbellek eklentisi gibi).
7. Bir SSL sertifikası yükleyin
Güvenli yuva katmanı (SSL) protokolü, kredi kartı verileri gibi hassas bilgilerin aktarımıyla ilgilenen web siteleri için ekstra bir güvenlik katmanı sağlar. SSL sertifikası ile veriler şifrelenir. Bu, bilgisayar korsanları tarafından ele geçirilse bile okunamaz durumda kalacağı anlamına gelir.
Ek olarak, SSL güvenliği web sitenizin sahipliğini doğrular ve bu da bilgisayar korsanlarının web sitenizin sahte sürümlerini oluşturmasını engeller. Bu nedenle aynı zamanda güvenilirlik oluşturmaya ve müşteri güvenini artırmaya da yardımcı olabilir.
İyi haber şu ki, birçok web barındırma sağlayıcısı, barındırma hizmetlerinin bir parçası olarak ücretsiz SSL sertifikaları sunuyor. Veya Let's Encrypt gibi geçerli bir sertifika yetkilisinden SSL sertifikası satın alabilirsiniz.
Sitenizi koruyoruz. Sen işini yönet.
Jetpack Security, gerçek zamanlı yedeklemeler, web uygulaması güvenlik duvarı, kötü amaçlı yazılım taraması ve spam koruması da dahil olmak üzere kullanımı kolay, kapsamlı WordPress site güvenliği sağlar.
Sitenizin güvenliğini sağlayın8. Bir web uygulaması güvenlik duvarı (WAF) yükleyin
WordPress saldırılarını önlemenin bir diğer popüler yolu da bir web uygulaması güvenlik duvarı kurmaktır. Bu, gelen tüm trafiği filtrelemenize ve şüpheli IP adreslerini engellemenize olanak tanır.
Bu, bir bariyer gibi çalışan önleyici bir tedbirdir, dolayısıyla bilgisayar korsanlarının web sitenize bile ulaşamayacağından emin olabilirsiniz. Jetpack Security kullanıyorsanız, bu eklenen güvenlik katmanına erişebilir ve bunun için belirli kurallar yapılandırabilirsiniz.
Jetpack'in güvenlik duvarını etkinleştirmek için öncelikle Jetpack Scan'i içeren bir plana ihtiyacınız olacak. Ardından Jetpack → Ayarlar'a gidin. Ardından Güvenlik Duvarı bölümüne ilerleyin ve güvenlik duvarını etkinleştirmek, belirli IP'leri engellemek ve belirli IP'lere izin vermek için geçiş düğmelerini kullanın.
IP'leri engellemek veya izin vermek için ilgili kutu(lar)a tam IP adreslerini girmeniz gerekecektir. Ardından Engellenenler listesini kaydet veya İzin verilenler listesini kaydet'e tıklayın.
9. Sitenizi güvenlik açıklarına karşı düzenli olarak tarayın
WordPress hackleme girişimlerini nasıl önleyeceğinizi merak ediyorsanız düzenli güvenlik açığı taramaları ayarlamak da iyi bir fikirdir. Bu şekilde günün her saati korumaya erişebilir ve olası tehditleri hızlı bir şekilde tespit edebilirsiniz.
Jetpack Security, en güncel tehditleri tespit eden WAF ve gerçek zamanlı kötü amaçlı yazılım taramaları sayesinde 7/24 koruma sağlar. Ancak bütçeniz kısıtlıysa, yalnızca bu özelliklere erişim sağlayan (Jetpack Security'nin gerçek zamanlı yedeklemeler ve spam koruması gibi ek faydaları olmadan) Jetpack Scan ile başlamayı tercih edebilirsiniz.
Jetpack'in WAF ve kötü amaçlı yazılım hizmetini kullanmaya devam edebileceksiniz. Ayrıca sitenizde bir sorun varsa anında e-postayla bilgilendirileceksiniz. En iyi özelliklerden biri, tüm taramaların Jetpack'in kendi sunucularında gerçekleşmesidir, böylece siteniz çökse bile sitenize hâlâ erişebilirsiniz.
Bu eklenti, eklentilerdeki, temalardaki ve seçilen dosya ve dizinlerdeki tüm güvenlik açıklarını belirleyecektir. Varsayılan olarak günlük bir tarama alırsınız ancak taramaları manuel olarak da başlatabilirsiniz. Ayrıca tarama sonuçlarını doğrudan kontrol panelinizden görüntüleyebilirsiniz (ve çoğu sorun için tek tıklamayla düzeltmeleri etkinleştirebilirsiniz).
10. Etkin olmayan kullanıcı hesaplarını kaldırın
Etkin olmayan kullanıcı hesapları web sitenizi tıkayabilir ve güvenlik endişelerini artırabilir. Tipik olarak, bir kullanıcı son 90 gün içinde hesabına giriş yapmamışsa, bu, kullanıcının etkin olmadığı anlamına gelir.
Güvenlik sorunlarını önlemek için bu hesapları kaldırmak önemlidir. Örneğin, eski hesaplar uzun süredir değiştirilmemiş şifreler içerir, dolayısıyla bunların karanlık web'e sızdırılmış olma ihtimali daha yüksektir.
Ardından WordPress kontrol paneline giriş yapın ve Kullanıcılar → Tüm Kullanıcılar'a gidin. İsterseniz kullanıcı profilinin altına bir şifre sıfırlama bağlantısı gönderebilirsiniz. Veya Sil'e tıklayın ve sonraki sayfada işlemi onaylayın.
Kullanılmayan hesapları nasıl tanımlayacağınıza ilişkin belirli sınırları belirlemek size kalmıştır. Hesap oluşturmuş ancak hiçbir katkı yapmamış veya ürün satın almamış kullanıcılarınız olabilir. Veya hesaplarını hiçbir zaman tutarlı bir şekilde kullanmayan kullanıcılar olabilir.
Çok sayıda kullanıcıyla çalışıyorsanız ve ne kadar aktif olduklarından emin değilseniz, bunu takip etmek için her zaman WP Last Login gibi ücretsiz bir eklenti yükleyebilirsiniz. Bu araç, kullanıcıların son giriş tarihini doğrudan WordPress kontrol panelinde görüntülemenizi sağlar.
11. Kullanıcı etkinliğini takip edin ve izleyin
WordPress hackleme girişimlerini önlemenin bir başka harika yolu da kullanıcı etkinliğini izlemek ve izlemektir. Bu şekilde web sitenizde gerçekleştirilen her eylemin tam kaydını tutabilirsiniz.
Örneğin, kullandığınız araca bağlı olarak, bir kullanıcının ne zaman güncelleme çalıştırdığını, eklenti yüklediğini, resim yüklediğini, yorum bıraktığını ve daha fazlasını görebilirsiniz. Bu, site yönetimini çok daha şeffaf hale getirir ve onarımları ve hata ayıklamayı hızlandırabilir.
İyi haber şu ki, Jetpack Security kullanıyorsanız kullanıcı eylemlerini saklayan bir etkinlik günlüğüne erişebileceksiniz. Dahası, eylemi gerçekleştiren kullanıcı ve eylemin tam olarak gerçekleştiği zaman da dahil olmak üzere etkinlik hakkında ayrıntılı bilgi alırsınız.
Daha da iyisi, Jetpack'in ücretsiz sürümünde bile sitenizde gerçekleştirilen son 20 etkinliği görüntüleyebilirsiniz. Bu, kullanıcıların oturum açma girişimleri konusunda da bilgilendirileceğiniz için kaba kuvvet saldırılarını önlemenize yardımcı olabilir.
12. Varsayılan “yönetici” kullanıcı hesabını yeniden adlandırın
Bahsettiğimiz gibi, varsayılan giriş sayfası URL'sini değiştirmezseniz (bu konuyu daha sonra tartışacağız) bilgisayar korsanlarının sitenize erişmesi kolay olabilir. Ancak birçok kişi WordPress hesaplarının kullanıcı adı olarak “admin”i kullanmaya devam ediyor.
Bu, bilgisayar korsanlarının yalnızca şifrenizi doğru tahmin etmesi gerektiği ve yönetici hesabında herhangi bir sınırlama olmadığı için web siteniz üzerinde tam kontrol sahibi olacakları anlamına gelir. Bu nedenle, WordPress saldırılarını önlemek için varsayılan "yönetici" hesap adını değiştirmek en iyisidir.
Bunu yapmak için WordPress kontrol panelinde Kullanıcılar → Yeni Kullanıcı Ekle seçeneğine gidin. "Yönetici" olmayan benzersiz bir kullanıcı adı da dahil olmak üzere gerekli tüm alanları doldurun. Ardından, Yönetici öğesini seçmek için Rol açılır menüsünü kullanın.
Şimdi sayfanın altındaki Yeni Kullanıcı Ekle'ye tıklayın. Artık Tüm Kullanıcılar ekranında az önce oluşturduğunuz yeni yönetici hesabını görmelisiniz.
Bu noktada, mevcut hesabınızdan (eski yönetici hesabı) çıkış yapmanız ve yeni yönetici hesabı kimlik bilgilerinizi kullanarak WordPress'te tekrar oturum açmanız gerekecektir. Ardından Kullanıcılar → Tüm Kullanıcılar ekranına dönün ve eski yönetici hesabının altındaki Sil bağlantısına tıklayın.
Ancak tüm gönderileri ve sayfaları yeni yönetici hesabıyla ilişkilendirmek önemlidir. Aksi takdirde eski yönetici hesabı kullanılarak oluşturulan içerikler silinecektir.
Bu nedenle, Tüm gönderileri şuraya bağla yazan kutuyu işaretlemeniz ve yeni yönetici kullanıcıyı seçmek için açılır kutuyu kullanmanız gerekir.
Daha sonra Silmeyi Onayla'ya tıklayın.
13. wp-admin/ ve wp-login.php'yi gizleyin
WordPress hackleme girişimlerini önlemeye yardımcı olmak için wp-admin ve wp-login.php sayfalarını da gizleyebilirsiniz. Varsayılan olarak WordPress, alan adınızı wp-login.php sonekiyle birleştiren standart bir giriş URL'si kullanır.
Bu temel yapı, alt alan adlarını ve alt dizinleri kullansanız bile aynı görünür. Bu nedenle, bilgisayar korsanları bunu arama çubuğuna girebilir ve doğrudan WordPress giriş sayfanıza ulaşabilir.
Ayrıca alan adınızı wp-admin son ekiyle birleştirirseniz bilgisayar korsanları yönetici giriş sayfasına yönlendirilebilirler. Dolayısıyla, saldırganların sitenize erişmesini zorlaştırmak istiyorsanız giriş sayfası URL'lerini değiştirmek en iyisidir.
Bunu yapmanın en kolay yolu, wp-admin dizinini ve / wp-login.php sayfasını erişilemez hale getiren WPS Hide Login gibi bir eklenti kullanmaktır.
Bu aracı kullanarak, bunu yalnızca güvendiğiniz kullanıcılarla paylaşacağınız özel bir giriş URL'si ile değiştirebilirsiniz. Ayrıca alt alan adları ve alt klasörler üzerinde de çalışır. Ancak eklenti kullanmak istemiyorsanız giriş sayfası URL'lerini manuel olarak da gizleyebilirsiniz.
14. / wp-config.php dosyanızı güvence altına alın
WordPress hackleme girişimlerini önlemenin bir diğer yaygın yolu da wp-config.php dosyanızın güvenliğini sağlamaktır. Bu, veritabanı bağlantı ayrıntıları ve WordPress güvenlik anahtarları gibi WordPress kurulumunuz hakkında bilgiler içerdiğinden en önemli WordPress dosyalarından biridir.
Kötü haber şu ki, WordPress'in dosya için varsayılan bir konumu var, bu da bilgisayar korsanlarının bulmasını kolaylaştırıyor. Bu nedenle, bu klasörü sitenizin kök dizininin (genellikle / public_html olarak etiketlenir) dışına taşıyabilirsiniz. ve hala işe yarayacak.
Ayrıca, yalnızca gerçek sahiplerin dosyayı düzenleyebilmesi için dosya izinlerini de kısıtlamak isteyebilirsiniz. Bunu yapmak için kök klasörde de bulacağınız .htaccess dosyasını indirmeniz gerekir.
Ardından düz metin düzenleyicide dosyayı açın ve aşağıdaki kodu ekleyin:
<files wp-config.php> order allow,deny deny from all </files>
Artık wp-config.php dosyasına erişimi reddetmek için güncellenmiş .htaccess dosyasını kök klasöre geri yükleyebilirsiniz.
15. Sitenizi düzenli olarak yedekleyin
Web siteniz saldırıya uğradığında paniğe kapılmak kolaydır. Ancak web sitenizin güncel bir kopyasına sahipseniz sorunu hemen çözebilirsiniz.
Veritabanınızın manuel yedeklerini oluşturabilseniz de en basit yöntem Jetpack Security gibi bir güvenlik eklentisi yüklemektir. Bu şekilde, özel bir WordPress yedekleme çözümü olan Jetpack VaultPress Backup'a erişebileceksiniz.
Eklenti, satın alma işlemi tamamlanır tamamlanmaz sitenizin ilk yedeğini oluşturur. Tüm müşteri ve sipariş verilerinin yanı sıra görselleri, sayfa içeriğini ve daha fazlasını yedeklediği için e-ticaret mağazaları için ideal bir seçimdir.
En iyi yanı, yerleşik web barındırma seçeneklerinden farklı olarak, yedeklerin Jetpack'in uzak bulut depolama alanında saklanmasıdır. Bu, oturum açamasanız bile sitenizin temiz bir sürümünü geri yükleyebileceğiniz anlamına gelir. Ayrıca, sitenizi geri yüklemek istediğiniz zamanı tam olarak seçebilirsiniz.
Jetpack Security, gönül rahatlığı için WordPress güvenliğini nasıl ele alıyor?
Artık WordPress hackleme girişimlerini nasıl önleyeceğinizi bildiğinize göre, Jetpack Security'nin web sitenizi nasıl koruduğunu burada bulabilirsiniz, böylece içiniz tamamen rahat olabilir.
7/24 kötü amaçlı yazılım ve güvenlik açığı taraması
Jetpack Security'nin WordPress saldırılarını önlemenize yardımcı olmasının ana yollarından biri, gerçek zamanlı kötü amaçlı yazılım ve güvenlik açığı taramasıdır. Kötü amaçlı yazılım, verileri çalmak veya silmek, temel işlevleri ele geçirmek ve bilgisayar etkinliğinizi gözetlemek için kullanılabilecek kötü amaçlı yazılımları ifade eder.
Ancak Jetpack Taraması yalnızca kötü amaçlı yazılım tespitiyle sınırlı değildir. Ayrıca, temel WordPress dosyalarındaki, güncel olmayan veya güvenli olmayan eklentilerdeki ve bilgisayar korsanlarına sunucunuza tam erişim sağlayan web tabanlı kabuklardaki şüpheli değişiklikleri de tespit edebilir.
Jetpack Security'yi yükledikten sonra ilk tarama hemen başlayacaktır. Ardından sonuçları görüntülemek için Jetpack → Koru → Tara seçeneğine gidin (ancak önce WordPress.com hesabınızı yetkilendirmeniz gerekebilir).
Burada ayrıca manuel olarak yeni bir tarama başlatabilir ve tarama sonuçlarınızı görüntüleyebilirsiniz. Ayrıca herhangi bir aktif tehdidin olup olmadığını görebileceksiniz. Ayrıca birden fazla tehdit tespit edilirse ciddiyetine göre bunlara öncelik verilecektir.
Tehditler tespit edilirse anında bir e-posta bildirimi alırsınız ve tehditleri WordPress kontrol panelinde görebilirsiniz. Dahası, Jetpack genellikle sorunları çözmek için tek tıklamayla çözümler sunar.
Gerçek zamanlı yedeklemeler ve tek tıkla geri yükleme
Yedeklemeler, bir WordPress saldırısından hızla kurtulmanızı sağlar. Yedekleme olmadan, sorunu çözmek için yamaları belirlemeye çalışırken web siteniz bir süre kapalı kalabilir. Bunun web sitenizin trafiğini ve gelirini etkilemesi muhtemeldir.
Jetpack Security ile etkilenen web sitesini temiz ve güncel bir sürümle değiştirebilirsiniz. Jetpack'in gerçek zamanlı yedeklemeleri bulutta depolanır; böylece sunucunuzun tamamı etkilense bile kopyalanan web sitesine erişmeye devam edebilirsiniz.
Dahası Jetpack, WooCommerce siparişlerini, ürünlerini ve veritabanlarını bile yedekler; bu da veri koruma yasalarına uyumlu kalmanıza yardımcı olur. Ve restorasyon işlemi tek tıklamayla gerçekleştirilebiliyor.
Kaba kuvvet saldırısı koruması
Kaba kuvvet saldırıları, 2022 yılında Amerika Birleşik Devletleri'ndeki işletmelerin karşılaştığı siber saldırıların başlıca nedenlerinden biri olarak listelendi. Ayrıca 2023 yılı itibarıyla dünya çapında fidye yazılımı saldırılarının beşinci önde gelen nedeni olarak sıralandı.
Kaba kuvvet saldırıları, tekrarlanan sunucu istekleri nedeniyle sitenizi yavaşlatır, ancak asıl amaç, bilgisayar korsanlarının kötü amaçlı kod veya komut dosyaları ekleyebileceği önemli site dosyalarına erişim sağlamaktır. Ancak Jetpack Security ile bu türdeki saldırıları kontrol paneliniz aracılığıyla engelleyebilirsiniz.
Tek yapmanız gereken Jetpack → Ayarlar'a gitmek ve özelliği etkinleştirmek veya devre dışı bırakmak için bir geçiş göreceğiniz ilgili bölüme kaydırmak.
Aslında Jetpack, bir web sitesinin kullanım ömrü boyunca ortalama 5193 kaba kuvvet saldırısını engeller. Kötü amaçlı IP'leri sitenize ulaşmadan otomatik olarak engeller. Ayrıca bilinen IP'lerin yanlış pozitifleri azaltmasına izin verebilirsiniz.
30 günlük kullanıcı etkinliği günlüğü
WordPress hackleme girişimlerini nasıl önleyeceğinizi bilmek istiyorsanız etkinlik günlüğü mükemmel bir çözümdür. Bu şekilde, eklenti ve tema güncellemeleri, ayar değişiklikleri ve kullanıcı oturum açma işlemleri gibi sitenizde gerçekleştirilen her işlemi izleyebilirsiniz.
Jetpack Security ile kullanıcı eylemlerini 30 güne kadar saklayabilirsiniz; bu, site yönetimi görevlerini basitleştirebilir ve hata ayıklama ve onarımların etkinliğini artırabilir. Ayrıca her etkinlik hakkında zaman damgası, kullanıcı ve açıklama da dahil olmak üzere ayrıntılı bilgi alırsınız.
Tek tıklamayla kolay düzeltmeler
Jetpack Security'nin WordPress saldırılarını önlemeye yardımcı olmasının bir başka yolu da kolay, tek tıklamayla düzeltmelerdir. Bu, Jetpack'i, sorunları belirlemede iyi olabilecek ancak bunları çözmenin bir yolunu sağlamayan diğer güvenlik eklentilerinden ayırır.
Bu, web sitenizin, içeriğinize ziyaretçilerin erişemeyeceği ve gelir elde edemeyeceğiniz uzun süreli kesintiler yaşayabileceği anlamına gelir. İyi haber şu ki, Jetpack Security'yi kullanırsanız gerçek zamanlı güvenlik açığı taramalarına erişebileceksiniz.
Bahsettiğimiz gibi Jetpack → Koruma → Tara seçeneğine giderek tarama gerçekleştirebilirsiniz. Burada ayrıca tarama sonuçlarını da görebilirsiniz. Ayrıca, tespit edilen tehditler hakkında daha fazla bilgi bulabilir ve hatta sorunları toplu olarak çözmek için Tümünü düzelt düğmesine tıklayabilirsiniz.
Yorum yapma ve spam koruması oluşturma
Akismet, en popüler anti-spam eklentilerinden biridir ve bazı etkileyici yetenekler sunar. Saatte ortalama 7,5 milyon spam gönderimini engeller. Jetpack Security ile (diğer belirli Jetpack planlarının yanı sıra), spam yorumlarını ve spam formlarını engellemek için eklentiye erişebileceksiniz.
Doğal olarak, spam ile başa çıkmak çok sinir bozucu olabilir ve web sitenizin bir müşterinin bakış açısından daha az güvenilir ve güvenilir görünmesini sağlayabilir. Ancak, cihazlara zarar vermek ve hassas verileri çalmak için kullanılabilecek tehlikeli kötü amaçlı yazılımlar da içerebilir.
Temel olarak, yorum bölümü ve form alanları, herkesin web sitenizle etkileşime girmesini sağlar. Bu nedenle, bu alanlar spam saldırıları için ana hedefler olma eğilimindedir.
Neyse ki, bu sorunu gösterge panelinizden Jetpack → Akismet Anti-SPAM'a giderek ele alabilirsiniz.
Burada, kaç spam denemesinin engellendiğini görebilir ve spam ve yanlış pozitifleri kaçıran bir doğruluk derecesini görebilirsiniz.
Ek olarak, otomatik spam filtreleme kurabilirsiniz, böylece spam'in en kötü ve en yaygın örneklerini asla görmeniz gerekmez. Veya ayarları, her spam parçasının inceleyebileceğiniz özel bir spam klasörüne yönlendirilecek şekilde yapılandırabilirsiniz.
5 milyon+ site web sitesi güvenliği için jetpack güven
WordPress, web siteleri için büyük ölçüde güvenli bir platform olarak kabul edilirken, hackerlar için de çekici bir hedeftir çünkü çok popülerdir. Bunu göz önünde bulundurarak, WordPress hack'lerini önlemek için önlemler almak önemlidir. Bu şekilde, müşteri verilerini daha iyi koruyabilir ve iyi itibarınızı koruyabilirsiniz.
Güçlü şifreler, iki faktörlü kimlik doğrulama ve bir web uygulaması güvenlik duvarı harika savunmalardır. Ancak, güvenli bir web ana bilgisayarını seçmeniz, yazılımı güncel tutmanız ve güvenlik açıkları için sitenizi düzenli olarak taramanız gerekir.
Jetpack Security ile, bir dizi çevrimiçi saldırıyı önleyen hepsi bir arada bir güvenlik eklentisine erişebilirsiniz. Yedeklemeleri otomatikleştirmenize, kullanıcı etkinliğini izlemenize, yorumu engellemenize ve spam oluşturmanıza ve tek tıklamalı düzeltmelere erişmenize yardımcı olur. Bu gün başlayacağım!