WordPress Güvenliği: Web Sitenizi Hackerlara Karşı Güvende Tutmak için 8 Adım

Yayınlanan: 2019-02-26

Web sitesi güvenliği ciddi bir sorundur, ancak çoğu kişi bunun ne kadar ciddi bir sorun olabileceğini bilemeyebilir. Bununla birlikte, günde 50.000'den az benzersiz web sitesinin saldırıya uğradığını öğrendiğinizde, bu sorunla ilgili bir fikir edinmeye başlayacaksınız.

Sorun şu ki, bugün web sitelerinin çoğu WordPress platformunda çalıştırılıyor. Bu, bilgisayar korsanlarına düşen web sitelerinin büyük bir yüzdesinin WordPress'e dayandığı anlamına gelir.

WordPress, CMS'lerinde çalıştırılan sitelerin güvenli olmasını sağlamak için elinden gelenin en iyisini yapmış olsa da, hatalar olabilir. Bu parçada, bunun olmadığından nasıl emin olacağımız hakkında konuşacağız.

Ondan önce de…

Neden İlk Etapta WordPress Güvenliğine İhtiyacınız Var?

Web sitenizin ne hakkında olduğuna bağlı olarak, birisi güvenliğinizi ihlal ettiğinde ters gidebilecek birçok şey vardır. Bunlardan bazıları:

  • Kötü amaçlı yazılım yükleme – Bir bilgisayar korsanı, farklı nedenlerle web sitenizin sunucularına kötü amaçlı yazılım yükleyebilir.

Bunu, web siteniz ve bir nedenden ötürü nasıl çalıştırdığınızla ilgili veri ve bilgileri toplamak için kullanabilirler. Hatta böyle bir kötü amaçlı yazılımın ziyaretçinizin bilgisayarlarına otomatik olarak yüklenmesini sağlayabilirler.

Bu, yalnızca web sitesi ziyaretçileriyle olan iyi niyetinizi yok etmekle kalmaz, aynı zamanda web sitenizi kara listeye alır. Böyle bir durumda itibarınızı geri kazanmanız neredeyse imkansız olacaktır.

  • Kullanıcı bilgilerini çalma – Web siteniz kullanıcı bilgilerini (adlar, doğum tarihi, yaş, cinsiyet vb. içeren profiller) depolayacak şekildeyse, bu bilgisayar korsanları için önemli olacaktır.

Bu tür verileri toplayabilir ve kara ağda, veri madenciliği şirketlerine veya diğer ilgili personele satabilirler. Bu, kullanıcıların size güven içinde sundukları verilerin ihlali anlamına gelir ve onların verilerini güvende tutma vaadinizi bozar.

  • Finansal bilgileri çalmak – Bu, bir çevrimiçi mağaza işletmek için kullanılan WordPress web sitelerinde çok yaygındır. Bazen, kesinlikle e-ticaret tabanlı bir web sitesi olmayabilir, ancak bir teklif veya diğerini satan bir web sitesi olabilir.

Böyle bir durumda, bilgisayar korsanları, web sitenize kredi kartı/ödeme bilgilerini gönderen herkesi soymak için ihtiyaç duydukları her şeye sahiptir. Bunun birçok müşterinizi rahatsız etmesinin yanı sıra, ihlalin sizden geldiğini bilmeleri durumunda sizden tekrar satın almaktan memnun olmayacaklardır.

  • Gelirinizi manipüle etme – Web siteniz, bağlı kuruluş kaynaklarından, reklam akışlarından ve çok daha fazlasından gelir elde ediyor olabilir. Bir bilgisayar korsanı erişim elde ederse, bağlı kuruluş/reklam/gelir kaynağı ayrıntılarınızı kendileriyle değiştirebilir ve satışlarınızı kendi taraflarına yönlendirebilir.

Hatta alıcı hesaplarınızı değiştirebilir ve gelirlerinizi kendi hesaplarına alabilirler.

Elbette bunlar, WordPress web siteniz olabildiğince güvenli olmadığında yanlış gidebilecek şeylerden sadece birkaçı. Bilgisayar korsanlarının web sitenize erişmek isteyebilecekleri bir dizi başka neden vardır. Bu nedenle, bunu yapmakta zorlandıklarından emin olmak için sorumluluk size aittir.

WordPress web sitenizi güvende tutma

Web sitenizi bilgisayar korsanları için kolay hedefler listesinden çıkarmak mı istiyorsunuz? İşte yapabileceğiniz bazı şeyler:

1. Giriş sayfanızı güvenli hale getirin

Web sitenizin saldırıya uğramadan önce, bilgisayar korsanının yönetici sayfasına gitmesi gerekir. WordPress varsayılan ayarları ile giderseniz, tek yapmaları gereken alan adınızın sonuna bir / wp-admin veya /wp-login.php eklemek ve bunlar admin sayfasındadır.

Farkında bile olmadan onlar için bir adımı kolaylaştırdın.

Bunu aşmak için, giriş sayfanızı yalnızca özel olarak belirlenmiş bir adresle görünecek şekilde özelleştirin. Bu şekilde, çoğu bilgisayar korsanı için şebekeden uzak durabilirsiniz.

2. Web sitesi kilitlemelerini uygulayın

Kaba kuvvet saldırıları, doğru olanı elde edene kadar birden fazla şifreyi deneyebilmek için gelişir. Bu, bilgisayar korsanlarına panonuza girmeden önce birçok olası kombinasyonu deneme özgürlüğü verir.

Buna karşı çıkmanın basit bir yolu, bir kullanıcının yönetici alanından kapatılmadan önce sahip olabileceği başarısız denemelerin sayısını belirtmektir.

Bu hareketin en iyi yanı, bu tür herhangi bir aktivite kaydedildiğinde bildirim almanız ve daha sıkı bir gemi tutmanıza yardımcı olmasıdır. Bunu yapmanıza izin veren birçok WordPress güvenlik duvarı ve güvenlik eklentisi.

Bir göz atmaya değer olabilir.

3. İyi bir hosting şirketi seçin

Nispeten pahalı hosting şirketlerinin size marka adı için ödeme yaptırdığına inananların bir parçası olmayın. Çoğu zaman, bunlar size daha ucuz seçeneklere göre birden fazla güvenlik katmanı sağlayanlardır.

Bu ekstra paraları ödemenin getirdiği ek avantajların yanı sıra, tüm çabalarınız için daha iyi bir güvenlik elde edersiniz. Doğru barındırmayı seçme konusunda hiçbir fikriniz yoksa, nasıl bir WordPress barındırma seçeceğinize ilişkin nihai kılavuzumuzu takip edebilirsiniz.

4. Boş temalardan uzak durun

WordPress, web sitenizde kullanılacak bir dizi ücretli ve ücretsiz tema içerir. Bu temalar, ne yaptıklarını bilen yüksek vasıflı geliştiriciler tarafından tasarlanmış ve kodlanmıştır. Temalar, kurulum standartlarına uygun olduğundan emin olmak için WordPress tarafından da test edilmiştir.

Ancak, bazı web siteleri ücretli temaların crackli/nulled sürümlerini ücretsiz olarak sunmaktadır. Bu, kırık temanın web sitenize ciddi şekilde zarar verebilecek kötü amaçlı kod içerdiğini öğrenene kadar iyi bir anlaşma gibi görünebilir. Siteniz için mükemmel bir temayı nasıl seçeceğinizle ilgili kılavuzumuza bakın.

5. Dosya düzenlemeyi devre dışı bırakın

Varsayılan olarak, WordPress web siteniz, tema ve eklentilerde değişiklik yapmanıza olanak tanıyan bir kod düzenleyici işlevine sahiptir. Bunu, Görünümler veya Eklentiler altındaki Düzenleyici panosuna giderek bulabilirsiniz.

Bilgisayar korsanları sitenize eriştiğinde, kötü amaçlı kodlar eklemek için buraya gidebilirler ve çok geç olana kadar bundan haberiniz bile olmaz.

Bir şeylerin yanlış olduğunu bulana kadar bu tür saldırılara karşı tekme atmanın en iyi yolu, eklentileri ve temayı düzenleme yeteneğini devre dışı bırakmaktır.

6. Web sitenizi güncelleyin

WordPress web sitenizi korumak için yapabileceğiniz en kolay şeylerden biri, zaman zaman güncel kalmasını sağlamaktır.

Yeni bir güncelleme geldiğinde, bu, geliştiricilerin yamalanacak kadar önemli gördükleri bir kusur bulduğu anlamına gelir. Bu açığı kapatmamak, sizi gördükleri kusura karşı savunmasız bırakacak ve böyle bir kusurun etrafından dolaşmayı bilen birinin sizi sömürmesini kolaylaştıracaktır.

Aynısı PHP için olduğu kadar eklentiler için de geçerlidir - bunlar da güncellenebilir ve bildirimi alır almaz güncellenmelidir. İşte bir WordPress sitesini en son PHP sürümüne yükseltme kılavuzumuz.

WordPress sitenizde herhangi bir güncelleme yapmadan önce, sitenizin tamamının bir yedeğini oluşturmanız şiddetle tavsiye edilir.

7. XML-RPC özelliğini devre dışı bırakın

WordPress'in kullanıma sunulmasıyla birlikte, XML-RPC özelliğinin otomatik olarak dahil edilmesi gelir.

İyi yanlarına bakmasaydık, bu eklemeye kabalık olurdu. Sonuçta, WordPress hesabınızı mobil ve masaüstü uygulamalarınıza sorunsuz bir şekilde bağlamayı kolaylaştıran şey budur.

Bununla birlikte, kaba kuvvet saldırılarının çok daha hızlı gerçekleşmesini de kolaylaştırır.

Örneğin, bu özelliği etkinleştirdiğinizde bir bilgisayar korsanının 500 parola tahmini yapması gerekmez. Tek yapmaları gereken, system.multicall işleviyle yaklaşık 50 istekte bulunmak ve aynı zaman diliminde binlerce şifreyi deneyebilecekler.

Bunun basit çözümü, özellikle kullanmıyorsanız, özelliği devre dışı bırakmak olacaktır.

8. Boşta kalan kullanıcıların oturumunu kapatın

Bir bilgisayar korsanının uzak bir yerden web sitenize erişmesi her zaman gerekli değildir. Web sitenizde birden fazla kullanıcı varsa, böyle bir bilgisayar korsanı, kullanıcı bilgisayarından ayrılana kadar ortalıkta dolaşabilir.

Bu nedenle, hiç kimsenin gösterge panosu alanında çok uzun süre boşta kalmasına izin vermemelisiniz. Birçok bankacılık ve finans web sitesini gözlemlediyseniz, bu onların kullanıcı verilerini güvende tutmak için kullandıkları modelin aynısıdır.

Bunu yapmanın yollarından biri, Boşta Kullanıcı Oturumu Kapatma eklentisini kurmaktır. Her kullanıcının tekrar oturum açması gerekmeden önce boşta geçirmesini istediğiniz süreyi belirtmek için yapılandırın ve hazırsınız.

Tüm bu söylenenlerden sonra, en kötüsüne hazırlanmak iyi bir uygulamadır. Yukarıdakileri uygulamış olmanız gerekirken, zaman zaman web sitenizi yedeklediğinizden emin olun, bunu WPvivid Yedekleme Eklentimiz gibi ücretsiz bir yedekleme eklentisi kullanarak kolayca yapabilirsiniz. Bu şekilde, herhangi bir şey olursa her zaman son yedekleme noktasından geri yükleyebilirsiniz.

Yine de sizin için bunu ummuyoruz.

WordPress web sitenizi korumak için burada bahsetmediğimiz başka ipuçlarınız mı var? Yorumlarda onlar hakkında bize bilgi verin.

Bu makale, WordPress koruması için en temel adımları ele almıştır, ayrıca bir WordPress sitesinin ihtiyaç duyabileceğiniz tüm yönleriyle nasıl güvence altına alınacağı konusunda nihai bir kılavuz oluşturduk.