En İyi 10 WordPress Güvenlik Önerisi
Yayınlanan: 2023-02-15WordPress sitenizi korumak için atabileceğiniz ilk on adım nedir? Hangi güvenlik güçlendirme önlemleri web sitenizin güvenliği üzerinde en büyük etkiye sahip olacak? Güvenlik, WordPress topluluğunda her zaman sıcak bir konudur ve bunun gibi sorular iyi bir nedenden dolayı önemlidir. WordPress, internetin neredeyse yarısına güç sağlıyor ve lider konumu, onu bilgisayar korsanları için yüksek öncelikli bir hedef haline getiriyor.
Her gün binlerce WordPress web sitesi siber saldırıların kurbanı oluyor. Bu, WordPress sitelerinin toplam sayısı içinde bir kovada bir düşüş, ancak bu sizin başınıza gelirse? Bu çok büyük. Bazı site sahipleri, veri kaybı, veri hırsızlığı ve dolandırıcılık nedeniyle uzun vadeli sonuçlara maruz kalmaktadır. Kötü güvenlik politikaları ve risk yönetimi, bunun gibi felaketler yaratır. Bir WordPress sitesi sahibi olarak sağlam güvenlik politikalarına sahip olmak ne anlama gelir? Ana riskler nelerdir ve bunları nasıl yönetebilirsiniz?
Kilit nokta, güvenli temeller oluşturmak ve ardından bunları tutarlı güvenlik uygulamalarıyla geliştirmeye devam etmektir. Bu kılavuz size bunu nasıl yapacağınızı öğretecek ve bugün WordPress sitenizi güvenli hale getirecektir.
Bu kılavuzda, WordPress güvenliğine derinlemesine bakacağız. WordPress'i hedef alan en tehlikeli siber saldırıları öğreneceksiniz. Onların kurbanı olma riskinizi nasıl en aza indireceğinizi öğreneceksiniz. Size en iyi on WordPress güvenlik önerimizi sunacağız ve bunları nasıl uygulayacağınızı açıklayacağız. O zaman kendinizi günümüzün en karmaşık ve kötü niyetli saldırılarına karşı savunabileceksiniz.
WordPress Güvenli mi? Evet!
Kısacası, evet, temel WordPress platformu güvenlidir.
Olgun, yirmi yıllık bir açık kaynaklı yazılım projesi olarak WordPress, zaman içinde en çok test edilmiş ve güvenli web sitesi oluşturma çerçevelerinden biridir.
Geliştiricilerden ve güvenlik uzmanlarından oluşan bir topluluk, WordPress çekirdeğini korur. Ayrıca, kod tabanı halka açıktır. Bu, güvenlik araştırmacılarının bunu analiz etmekte özgür olduğu anlamına gelir. Genel inceleme altında, yeni bir sürümün ilk test aşamalarını geçen herhangi bir hata, hızlı bir şekilde keşfedilme eğilimindedir. WordPress düzenli güncellemeler alır ve WordPress çekirdeğinde bulunan tüm güvenlik açıklarını hızlı bir şekilde yamalar. Bu sürekli uyarlama, genel olarak platformun güvenliğini ve kalitesini artırır.
Bir WordPress Sitesini Güvensiz Yapan Nedir?
İnsanlar WordPress ile site oluşturduğunda, akıllarının ilk sırasında güvenlik olmayabilir. Dikkatsiz özelleştirme, kötü güvenlik uygulamalarıyla (veya hiç uygulamayla) birleştiğinde, tüm WordPress ekosistemine önemli güvenlik riskleri getirir.
Güncellemeleri Çalıştırmayan Site Sahipleri
WordPress geliştiricilerinden düzenli güncellemeler ve destek, WordPress'i son derece güvenli hale getirir. Bununla birlikte, WordPress'in popülaritesinin, onu eklentiler ve temalarla özelleştirme kolaylığıyla çok ilgisi vardır. Bu üçüncü taraf eklentileri, WordPress çekirdeği kadar iyi desteklenebilir ve test edilebilir. Ayrıca yeni sürümler çıktığında güncellenmeleri gerekir. 12-24 eklentiye sahip bir WordPress sitesi için her hafta birkaç yeni güncelleme olabilir. Bilinen güvenlik açıklarını yamasız bırakmak ve düzenli güncellemeler yapmamak, WordPress web sitenizin saldırıya uğrama olasılığını önemli ölçüde artırır.
WordPress çekirdeği de yıl boyunca güncellemeler alır. Tipik olarak dört ana sürüm olacaktır. Güvenlik ve bakım sürümleri de ihtiyaç duyuldukça ortaya çıkacaktır. 2023 itibariyle, WordPress sitelerinin yaklaşık %60'ı WordPress çekirdeğinin en son (6.1) sürümünü kullanıyor. %40'ı bilmiyor ve bu onların güvenliği için iyi değil. Aralık 2022 itibarıyla, WordPress 3.7 – 4.0 sürümleri artık desteklenmemektedir ve güvenlik yamaları almayabilir.
PHP Güncellemesi Yapmayan Site Sahipleri ve Barındırıcılar
Daha endişe verici bir istatistik, birçok WordPress sitesinin 7.4'ten daha düşük bir PHP sürümü kullanmasıdır. PHP, sunucunuzun sunucu ortamının bir parçasıdır. WordPress'in üzerinde çalıştığı dildir. 2023'ün başlarında, tüm WordPress sitelerinin %55'i PHP 7.4'te barındırılıyordu. Bu, PHP 7 dalının son büyük sürümüdür. Pek çok WordPress sunucusu PHP 8 sunsa da, şu anda WordPress tarafından resmi olarak desteklenen en yüksek PHP sürümüdür. İyi yönetilen WordPress ana bilgisayarları, PHP 7'nin güvenliğini koruyacaktır, ancak resmi destek için ömrünün sonuna gelmiştir. WordPress eklentileri zamanla daha fazla PHP 8 gerektirecektir. WordPress ve PHP gelişimine ayak uyduramayan sitelerin saldırıya uğrama riski daha yüksektir.
WordPress Güvenliği Neden Önemlidir?
WordPress web sitesi güvenliği önemlidir! Tutarlı güvenlik uygulamalarınız yoksa, bunu ciddiye almaya başlamak için her zaman en iyi zaman şimdidir. Siber saldırıların artan karmaşıklığı ve hacmi, özellikle WordPress web sitesi sahipleri için web sitesi güvenliğini son derece önemli hale getiriyor. Saldırganlar, hangi web sitelerine gireceklerini basitçe seçmezler. Modern siber saldırılar son derece otomatiktir ve aynı anda binlerce WordPress sitesi hedeflenebilir. WordPress'in popülaritesi ve güncellenmemiş sitelerin sayısı, onu büyük ve kolay bir hedef haline getiriyor.
İster bir blog, ister bir işletme web sitesi veya bir çevrimiçi mağaza işletiyor olun, müşterilerinizin ve verilerinin güvenliği size emanet. Bir veri ihlali işinizi riske atabilir ve itibarınıza önemli ölçüde zarar verebilir. Kötü güvenlik uygulamaları ciddi mali kayıplara neden olabilir.
Yakın zamanda yapılan bir araştırma, küçük ve orta ölçekli işletmelerin (KOBİ'ler) çoğunun bilgisayar korsanlığının hedefi olmadığını düşündüklerini, ancak yanıldıklarını gösterdi. Saldırılar artıyor ve özellikle onları hedefliyor. Ortalama olarak, dijital güvenlik ihlali yaşayan küçük şirketler 100.000 doların üzerinde maliyet ödüyor.
En Yaygın Beş WordPress Güvenlik Sorunu
WordPress'in 2022'de karşılaştığı ve dahili site güvenlik açıklarından yararlanan en yaygın tehditler, siteler arası komut dosyası çalıştırma (XSS) ve siteler arası istek sahteciliği (CSRF) saldırılarının yanı sıra SQL enjeksiyonları (SQLi) idi. Saldırıya uğramış ve virüs bulaşmış sitelere verilen yaygın yükler veya hasar, arka kapıları ve kötü amaçlı yönlendirmeleri içerir. Son olarak, en yaygın saldırılar hiçbir şekilde bir yazılım güvenlik açığı içermez. Bunlar, kaba kuvvet oturum açma girişimleri, parola doldurma, kart gözden geçirme, tarama ve dağıtılmış hizmet reddi (DDoS) saldırılarıdır.
Şimdi bu tehditlere bir göz atalım ve WordPress sitenize girmelerini önleyecek çözümleri inceleyelim.
Parola Doldurma, Brute Force Oturum Açma ve DDOS Saldırıları
Kaba kuvvet ve DDoS saldırıları, yüksek oranda dağıtılmış bot güdümlü siber saldırılardır. Bir web sitesine girmeye veya onu barındıran sunucunun web istekleriyle aşırı yüklenmesini sağlayarak onu çevrimdışı duruma getirmeye çalışırlar. Her iki saldırı türü de genellikle saldırgan tarafından kontrol edilen bir bot ağını (botnet olarak da bilinir) içerir.
Parola tahmin etme saldırıları olarak da bilinen kaba kuvvet oturum açma saldırıları, hedeflenen bir site için geçerli bir oturum açma adı ve parola bulmak üzere binlerce rasgele harf, sayı ve simge kombinasyonunu test etmek için (tipik olarak saldırıya uğramış) bilgisayarlardan oluşan bir ağ kullanır.
Parola doldurma, sitenize erişmek için başka bir yerden çalınan gerçek parolaları kullanan bir tür kaba kuvvet saldırısıdır. Siz veya sitenizin kullanıcıları, güvenliği ihlal edilmiş başka bir sitede aynı oturum açma kimlik bilgilerini kullandıysanız, sitenizde şifre doldurma işlemi başarılı olabilir.
Bir saldırgan dakikada binlerce oturum açmaya çalıştığında, DDoS saldırısı etkisi yaratabilir. DDoSe'ler sunucunuza o kadar çok istek atar ki aşırı yüklenir. Bazen DDoS saldırıları, siteleri bu şekilde çevrimdışı duruma getirmek için gerçekleştirilir.
WordPress ve WooCommerce söz konusu olduğunda, kartlama saldırıları, hileli satın almalar yapmak için çalınan kredi kartı hesap numaralarını bir e-ticaret sitesine doldurmaya yönelik kaba kuvvet girişimlerinin iyi bir örneğidir. Taraklama saldırılarının da bir DDoS etkisi olabilir.
Siteler Arası Komut Dosyası Çalıştırma ve İstek Sahteciliği
XSS ve CSRF olarak da bilinen siteler arası komut dosyası çalıştırma ve siteler arası istek sahteciliği, web sitenizde ziyaretçilerinizin bilgisayarlarını istismar edecek kötü amaçlı komut dosyaları çalıştırmaya çalışan siber saldırılardır. Bu saldırılar, sitenizi kullanarak, kullanıcınız adına sitenizden yetkisiz istekler gönderir. Amaç, sitenizin ziyaretçilerini dolandırmak ve onlardan hassas bilgiler veya para çalmak. Siteler arası komut dosyası oluşturma ve istek sahteciliği, WordPress web sitelerini hedef alan en tehlikeli siber saldırılardan ikisi olarak kabul edilir.
WordPress'i etkileyen siteler arası komut dosyası çalıştırma saldırılarının en belirgin örneklerinden biri, WooCommerce mağazalarına enjekte edilen JavaScript tabanlı kart toplayıcıları içerir. Saldırganın web sitesinden yüklenen kötü amaçlı yazılım, ziyaretçilerinizin tarayıcılarına enjekte edilir. Bu kötü amaçlı kod, bir satın alma işlemi yapıldıktan sonra ödeme sayfasından kritik ödeme bilgilerini çalmaya çalışır.
Arka Kapılar ve Web Kabukları
Arka kapılar ve web kabukları, genellikle saldırıya uğramış web sitelerine ilk ihlalde bir yük olarak yüklenen, birbiriyle ilişkili iki kötü amaçlı yazılım türüdür. Her ikisi de daha derin bir hasar düzeyi sağlar: kötü amaçlı yazılım bulaşması. Her ikisi de, kötü niyetli bilgisayar korsanlarının sunucunuza ve web uygulamalarınıza daha derine inmek veya diğer sitelerde dolandırıcılık ve başka saldırılar gerçekleştirmek için kullandıkları araçlardır.
Arka kapılar, saldırganın normal kimlik doğrulama yöntemlerini atlayarak kritik alanlarına yetkisiz erişim elde etmesine olanak sağlamak için bir web sitesine enjekte edilen yazılımlardır. Web kabukları ise, bilgisayar korsanı tarafından güvenliği ihlal edilmiş web sitesine daha fazla kötü amaçlı yük yüklemek için kullanılan kötü amaçlı dosya yönetimi yardımcı programlarıdır.
Arka kapılar genellikle geçmiş web sitesi sahiplerini ve hatta virüsten koruma yazılımlarını gizleyebilir. Bir arka kapı, gerekli tüm güvenlik önlemleri alınmış olsa bile bilgisayar korsanının daha sonraki bir tarihte geri dönmesine ve bir web sitesini yeniden bulaştırmasına veya daha fazla istismar etmesine izin verecektir. Benzer şekilde, bir web kabuğu kaldırılmazsa, saldırgan web sitesinin kontrolünü elinde tutacaktır.
Kötü Amaçlı Yönlendirmeler
Bir saldırganın en yaygın hedeflerinden biri, ziyaretçilerinize kötü amaçlı yazılım bulaştırmaktır. Bu amaca ulaşmanın en yaygın yollarından biri, şüphelenmeyen kullanıcıları saldırganların kontrolünü ele geçirdiği güvenilir web sitelerinden yönlendirmektir.
Bilgisayar korsanları, saldırıya uğramış web sitelerinin herhangi bir yerine kötü amaçlı yönlendirmeler yerleştirebilir, bu da sitelerin bulunmasını ve kaldırılmasını zorlaştırabilir. Çoğu zaman, web sitesi sahipleri, bu açıktan yararlanmayı mümkün kılan güvenlik açığını yamaladıktan sonra kötü amaçlı yönlendirmeleri temizlemek için WordPress'i yeniden yüklemeli (bu basit bir işlemdir) veya tüm web sitesini bir yedekten geri yüklemelidir (bu daha zor olabilir).
Bir SEO spam türü olarak, ilaç korsanlığı, WordPress web sitelerini etkileyen en kötü şöhretli saldırılardan biri olmuştur. Saldırganlar, güvenliği ihlal edilmiş bir WordPress web sitesini, arama motorlarında üst sıralarda yer almak amacıyla popüler ilaçlar için spam anahtar kelimelerle doldurur ve ardından ziyaretçileri yasal düzenlemelere tabi farmasötikler satan sahte portallara yönlendirir. Saldırganlar çoğu zaman bir Apache .htaccess file
kötü amaçlı yönlendirmeler yerleştirir veya bu amaçla görünüşte zararsız bir .ico dosyası oluşturur.
SQL Enjeksiyon Saldırıları
SQL ekleme (SQLi) olarak da bilinen bir SQL enjeksiyon saldırısı, bir saldırganın web sitesinin veritabanını kötü niyetli bir şekilde manipüle etmesine olanak tanıyan yetersiz kullanıcı girişi doğrulamasından yararlanan bir tür veri enjeksiyon saldırısıdır. Hem SQL enjeksiyonları hem de siteler arası komut dosyası çalıştırma, WordPress web sitenizin belirli alanlarını etkileyebilecek sözde giriş güvenlik açıklarından yararlanır. Giriş güvenlik açıkları, bir eklenti kullanıcı tarafından gönderilen verileri veya içeriği kabul ettiğinde ancak bunları kötü amaçlı kod için taramadığında ortaya çıkar. Bu kod, özel verileri çalmak veya ona zarar vermek için veritabanınızda sorgular yürütebilir.
En İyi 10 WordPress Güvenlik Önerisi
WordPress web sitesi güvenliği söz konusu olduğunda, saldırı yüzeyini azaltmak için dikkatli bir yaklaşım çok önemlidir. En yaygın WordPress güvenlik açıklarını ve siber saldırı türlerini bilmek, web sitenizin güvenliğini önemli ölçüde artırmanıza yardımcı olacaktır. Aşağıdaki en önemli 10 WordPress güvenlik önerisi, herhangi bir WordPress sitesini güvence altına almak için ihtiyaç duyduğunuz temel bilgilerdir. Bu önerilerin çoğunun uygulanması nispeten kolaydır ve herhangi bir ücretli güvenlik çözümü gerektirmez.
Düzenli Güncellemeler Gerçekleştirin ve Doğrulanmamış Kaynaklardan Herhangi Bir Yazılım Yüklemeyin
En önemli WordPress güvenlik tavsiyelerinden biri, düzenli çekirdek, tema ve eklenti güncellemeleri yapmaktır. Yüklediğiniz tüm yazılımların doğrulanmış, güvenilir kaynaklardan geldiğinden emin olun. WordPress PHP ile yazıldığından, en son ana sürümden desteklenen bir PHP sürümünü kullandığınızdan emin olun. Şu anda, PHP 8 için yalnızca beta desteğiyle PHP 7.4'tür.
Varsayılan WordPress özellikleri, işletme sahiplerinin tüm ihtiyaçlarını nadiren karşılar, bu nedenle daha fazla eklenti ve tema yükleyerek platformun yeteneklerini genişletirler. Üçüncü taraf temalar ve eklentiler, saldırı yüzeyini artırarak WordPress sitelerini daha fazla güvenlik tehdidine karşı savunmasız hale getirir.
Ücretli eklentilerin ve temaların resmi olmayan, korsan sürümlerini kullanmaktan büyük sorunlar çıkabilir. Bunlar her zaman son derece şüpheli kaynaklardan gelir. Eski WordPress sürümlerini kullanmak ve güvenlik açıklarını düzeltmemek de son derece risklidir.
iThemes Security Pro Gibi Bir Güvenlik Eklentisi Kullanın
Web sitenizi güvende tutmanın en iyi yolu, çekirdek, temalar ve eklentiler için otomatik güncellemeleri etkinleştirmektir. iThemes Security Pro, mevcut tüm yazılım güncellemelerini kolayca takip edebilir ve WordPress çekirdeğinin yeni sürümlerini, temaları ve eklentileri yükleyebilir. Birden fazla WordPress web sitesini yönetiyorsanız, iThemes Sync Pro, tüm yönetici görevlerini tek bir arayüzden gerçekleştirmenize ve çalışma süresi izleme ve SEO metrik izleme avantajlarından yararlanmanıza olanak tanır.
Nexcess tarafından sunulan yönetilen bulut WordPress barındırma planları gibi çoğu WordPress barındırma çözümü, aynı zamanda tüm yazılım güncellemelerini sizin yerinize üstlenir ve hatta olası eklenti çakışmalarını ve önceki sorunları izlemenize yardımcı olmak için Görsel Karşılaştırma gibi yerleşik araçlarla birlikte gelir. herhangi bir güncelleme yapmak. Nexcess ayrıca size premium WordPress çözümlerinden oluşan bir katalog sunar. Kadence WP'yi, güvenliğini sağlarken hayallerinizdeki web sitesini tasarlamanıza yardımcı olmak için özel bloklarla yerleşik blok teması olarak sunar.
Güçlü Bir Yedekleme Stratejisi Oluşturun
Güçlü bir yedekleme stratejisi, WordPress güvenliği için kesinlikle gereklidir. WordPress sitenizin düzenli yedeklemelerini yapmak, sizi bir ihlal, başarısız güncelleme veya ortaya çıkabilecek diğer herhangi bir sorun durumunda kolayca kurtarmaya hazırlar.
WordPress veritabanınızı, web sitesi dosyalarınızı ve diğer ilgili içeriği içeren en az on günlük, hatta iki haftalık tam WordPress yedeklemelerine sahip olmak en iyisidir. Günlük ve saatlik yedeklemelere ek olarak haftalık ve aylık yedeklemeler yapmak oldukça faydalı olabilir.
Veri fazlalığı ilkesine uyduğunuzdan emin olun. WordPress web sitenizin çalışan kopyalarını birden fazla yerde tutmak. Bu, bir yedek arşive herhangi bir şey olması durumunda bilgilerinizi kurtarmanıza yardımcı olacaktır.
Web sitenizin kopyalarını günlük, haftalık ve aylık döngülerde kaydetmek için barındırma sağlayıcınız tarafından sağlanan cPanel ve Acronis yedeklemeleri dahil yedekleme çözümlerini kullanabilirsiniz. bir WordPress yedekleme eklentisi, daha esnek bir yedekleme programı oluşturmanıza yardımcı olabilir. BackupBuddy, WordPress için birinci sınıf bir veri koruma ve kurtarma eklentisidir. Güçlü bir yedekleme stratejisi oluşturmanıza ve ihtiyaç duyduğunuzda tek tıklamayla geri yüklemelere kolay erişim sağlamanıza yardımcı olabilir.
Düzenli Güvenlik Açığı ve Kötü Amaçlı Yazılım Taraması Gerçekleştirin
Güvenlik açığı taraması ve dosya bütünlüğü izleme, WordPress web sitenizin tüm kritik alanlarını korumak için kullanabileceğiniz en iyi araçlardan biridir. Yerleşik WordPress Site Sağlığı arayüzü, başlamak için harika bir araçtır. Web sitenize göre uyarlanmış daha fazla WordPress güvenlik tavsiyesine ihtiyacınız varsa, iThemes Pro Site Scan size WordPress web sitenizin güvenliği hakkında kapsamlı bir rapor sağlayacaktır.
Önleme çok önemlidir, ancak erken saldırı tespiti ve hafifletme de önemlidir. Çoğu kötü amaçlı yazılımın temel amacı, mümkün olduğu kadar uzun süre tespit edilmeden kalmaktır. WordPress web sitelerinin, sahipleri fark edene kadar haftalarca saldırıya uğraması alışılmadık bir durum değildir. iThemes Security Pro, WordPress web sitesi dosyalarınızda herhangi bir şüpheli etkinlik olduğunda sizi uyaracak gelişmiş dosya değişikliği izleme sunar.
Düzenli kötü amaçlı yazılım taramaları gerçekleştirmek, kötü amaçlı yazılım bulaşmasını erkenden belirlemeye yardımcı olur. Bu, kötü adamları engellemenin ve WordPress web sitenizi geri dönüşü olmayan bir hasar vermeden önce temizlemenin anahtarıdır. Harika ücretsiz kötü amaçlı yazılım tarayıcıları arıyorsanız, CloudLinux'un sunduğu ImunifyAV'nin son derece güvenilir ve kullanıcı dostu olduğu kanıtlanmıştır.
Dosya İzinlerini Güvende Tutun ve wp-config.php'yi Koruyun
WordPress dosya izinleri, WordPress web sitenizin genel güvenliğini büyük ölçüde etkileyebilir. Yanlış izin ayarları, özellikle kendi sunucunuza sahipseniz ve üzerinde birden çok site çalıştırıyorsanız, tüm sistemi ciddi bir risk altına sokabilir. WordPress dosya izinlerinizi güvenli bir şekilde yapılandırmak kesinlikle önemlidir.
WordPress web sitenizin en savunmasız alanlarından biri ana yapılandırma dosyasıdır: wp-config.php
. WordPress veritabanı bağlantı bilgileri de dahil olmak üzere burada depolanan kritik veriler, wp-config.php
web sitenizin kontrolünü ele geçirmeye çalışan saldırılar için yüksek öncelikli bir hedef haline getirir.
Şu anda uygulayabileceğiniz en önemli WordPress güvenlik önerilerinden biri, web sitenizin wp-config.php
dosyasının izinlerini en az 640 olarak ayarlamaktır. Diğer web sitelerinin dosyalarının hangi dosya izinlerine sahip olması gerektiğinden emin değilseniz, iThemes Security Pro'nun Dosya İzin Kontrolleri aracı öğrenmenize yardımcı olacaktır.
Hesaplar arası uzlaşmalar, güvenli olmayan dosya izinleri ve zayıf kullanıcı izolasyonu ile kolaylaştırılır
Bilgisayar korsanları, tehlikeli hesaplar arası saldırılar gerçekleştirmek için güvenli olmayan dosya izinleriyle birlikte zayıf kullanıcı izolasyonundan aktif olarak yararlanır. Bunlar “symlink hackleri” veya “Anonim Tilki” WordPress hackleri olarak bilinir.
Saldırgan, saldırıya uğramış bir web sitesini giriş noktası olarak kullanarak, hassas bilgileri açığa çıkarmak ve belirli bir sunucudaki tüm web siteleri üzerinde kontrol elde etmek için wp-config.php
gibi diğer web sitelerinin yapılandırma dosyalarına hesaplar arası sembolik bağlantılar oluşturabilir. Bu saldırı, yalnızca wp-config.php
dosyanız aynı sunucudaki diğer kullanıcılar tarafından okunabiliyorsa mümkündür.
Bazı WordPress güvenlik önerileri, yardımcı olabilecek wp-config.php
dosyasının taşınmasını önerir, ancak bu gerçekten tüm riskleri ele almaz. Dosya izinlerini güvende tutun ve tüm web sitelerinin aynı sunucu üzerinde birbirinden izole edildiğinden emin olun. Bunu başarmanın en iyi yollarından biri, CloudLinux işletim sistemi tarafından sağlanan CageFS'yi kullanmaktır.
Bir Web Uygulaması Güvenlik Duvarı Yapılandırma
Bir başka önemli WordPress güvenlik önerisi, bir web uygulaması güvenlik duvarı veya daha iyisi, ana bilgisayar tabanlı ve bulut tabanlı bir WAF gibi çoklu savunma sistemleri kullanmaktır. Bir web uygulaması güvenlik duvarı, bilinen tüm siber saldırılara karşı ilk savunma hattı görevi görür ve sürekli güncellenen bir kural setine dayalı olarak kötü amaçlı trafiği filtreler.
WAF'ler, tanımladığımız kurallar tarafından belirlenen bir dizi kalıba dayalı olarak tüm web trafiğini herhangi bir şüpheli istek için tarar. Bu, DDoS ve kaba kuvvet saldırılarının yanı sıra SQLi ve XSS'ye karşı yüksek düzeyde koruma sağlar.
Cloudflare WAF gibi bulut tabanlı bir WAF, kaynak sunucu üzerindeki yükü azaltırken çok çeşitli saldırıları azaltabilir. WordPress web sitenizi barındıran sunucuya giden istekler daha sonra ModSecurity gibi ana bilgisayar tabanlı bir WAF tarafından başka bir kontrol turuna tabi tutulur. Her iki çözüm de tamamen ücretsizdir ve WordPress güvenliği için endüstri standardı olarak kabul edilir.
HTTP Güvenlik Başlıklarını Ayarlayın
HTTP güvenlik yanıtı başlıkları, WordPress web sitenizin güvenliğini artırmak için sahip olduğunuz en değerli araçlardan biridir. Web uygulaması güvenlik duvarlarına benzer şekilde, HTTP yanıt başlıkları web sitenizin kritik alanlarına erişimi engelleyebilir ve müşterilerinizi ve onların verilerini tehlikeye atabilecek her türlü etkinliği önleyebilir.
WordPress için en önemli HTTP güvenlik başlıkları şunları içerir:
- İçerik Güvenliği Politikası (CSP). Siteler arası komut dosyası çalıştırma, tıklama hırsızlığı ve WordPress web sitelerini hedef alan diğer tehlikeli siber saldırıları azaltmaya yardımcı olabilecek sağlam bir çözüm. CSP'yi kullanmak, web sitenizden içerik yükleyebilecek kaynakların listesinin yanı sıra web sitenizin içerik yükleyebileceği kaynakların listesini tanımlamanıza yardımcı olur.
- Set-Cookie . Set-Cookie yanıt başlığı, çerezlerin sunucudan kullanıcının tarayıcısına nasıl gönderildiğini kontrol eder. SameSite özniteliğini yapılandırmak, WordPress web sitenizi siteler arası istek sahteciliğine ve tıklama hırsızlığına karşı korumanıza yardımcı olabilir.
- Sıkı Taşıma Güvenliği (HSTS). HSTS yanıt başlığı, WordPress web sitenize yalnızca sunucu ve tarayıcı arasında uçtan uca şifreleme sağlayan HTTPS aracılığıyla erişilebilmesini sağlar.
Çoğu zaman, yerel .htaccess
dosyanızda WordPress web siteniz için HTTP güvenlik başlıklarını yapılandırabilirsiniz. Lütfen çoğu WordPress barındırma sağlayıcısının sizin için HTTP yanıt başlıkları oluşturduğunu unutmayın, bu nedenle herhangi bir kuralı yerel olarak yeniden tanımlamanız gerekip gerekmediğini görmek için barındırıcınızın destek ekibine danışmanız gerekebilir.
Yüklemeler Klasöründe PHP Yürütmeyi Devre Dışı Bırakın ve Dizin Dizinlemeyi Kapatın
WordPress söz konusu olduğunda, bilgisayar korsanları kötü amaçlı yazılımları normalde herhangi bir yürütülebilir kod depolamayan klasörlerde saklama eğilimindedir. Böyle bir klasör, wp-content
içindeki yüklemeler dizini. Yüklemeler klasöründe PHP yürütmesini devre dışı bırakmak iyi bir fikirdir. Bu, bir kötü amaçlı yazılım bulaşmasının kapsamını sınırlamaya ve kötü amaçlı yazılım düzeltmesini hızlandırmaya yardımcı olabilir.
Kullanabileceğiniz Apache HTTP'niz varsa, wp-content/uploads içinde bir .htaccess
dosyası oluşturun ve aşağıdaki kuralı buna ekleyin. Bu, herhangi bir PHP betiğinin yüklemeler klasöründen yüklenmesini engelleyecektir. Bu, bir saldırganın kötü amaçlı kod yerleştirebileceği yaygın bir konumdur.
PHP yürütmesini engellemenin yanı sıra, web sitenizde dizin indekslemeyi devre dışı bırakmak, WordPress güvenlik önerilerimiz listesindeki bir diğer önemli öğedir. Dizin indeksleme devre dışı bırakılmadıysa, index.php
veya index.html
dosyası eksikse, tarayıcı istenen dizinde bulunan dosyaların listesini yükleyecektir.
Saldırganlar, özellikle kılavuzda daha önce açıklanan hesaplar arası sembolik bağlantı saldırıları söz konusu olduğunda, bu yetenekten geniş çapta yararlanır. .htaccess
aşağıdaki kuralı kullanarak dizin indekslemeyi genel olarak veya her bir dizin bazında engelleyebilirsiniz:
WordPress Veritabanı Ön Ekinizi ve Varsayılan Yönetici Kullanıcı Adını Değiştirin
Varsayılan yükleme işlemini değiştirmediğiniz sürece, WordPress otomatik olarak veritabanı için standart wp-
önekini kullanır ve varsayılan bir admin
kullanıcı oluşturur. Bu genel bir bilgi olduğu için, kaba kuvvet ve veri enjeksiyon saldırıları bunu varsayar.
Varsayılan yönetici kullanıcıyı kaldırın ve WordPress veritabanı önekini wp2789_
benzeri bir şeyle değiştirin. Bunu, phpMyAdmin kullanarak veya MySQL komut satırı arayüzü aracılığıyla tüm veritabanı tablolarını yeniden adlandırarak yapabilirsiniz. Daha sonra wp-config.php
veritabanı ön ekini güncellediğinizden emin olun.
XMLRPC ve WordPress Girişine Erişimi Kısıtlayın
Kaba kuvvet ve DDoS saldırıları söz konusu olduğunda, xmlrpc.php
ve WordPress giriş sayfası, WordPress web sitelerinin saldırganların en çok hedef aldığı iki alanıdır. Bu iki arayüze erişim kısıtlanmamışsa, WordPress siteniz muhtemelen düşük performans ve sık sık kesinti yaşayacaktır. Ayrıca, eninde sonunda bir bilgisayar korsanının yönetici hesabınızı kırması ve web sitenizi kasıp kavurması ihtimali de çok yüksek.
XMLRPC, WordPress'in diğer sistemlerle iletişim kurmasını sağlayan bir uygulama programlama arayüzüdür (API) ve platformun başlangıcından beri WordPress'in bir parçasıdır. Bununla birlikte, WordPress büyük ölçüde REST API'sine dayandığından, XMLRPC nadiren kullanılır ve genellikle herhangi bir olumsuz sonuç olmaksızın tamamen devre dışı bırakılabilir. Bu amaçla web sitenizin .htaccess file
aşağıdaki kuralı ekleyebilir veya basitçe xmlrpc.php dosyasının izinlerini sıfırlayabilirsiniz.
WordPress yönetici panelinize erişimi kısıtlamak, önemli WordPress güvenlik önerilerimizden bir diğeridir. WordPress oturum açma adresinin değiştirilmesi keşfedilmeyi çok daha zorlaştırırken, oturum açma sayfasını parola korumalı hale getirmek veya ona erişebilen özel bir IP adresi aralığı tanımlamak, bir saldırganın WordPress arka ucuna yetkisiz erişim elde etme riskini etkili bir şekilde ortadan kaldıracaktır.
Güçlü Parolalar Kullanın ve Çok Faktörlü Kimlik Doğrulamayı Yapılandırın
Güçlü parolalar kullanmanın önemi göz ardı edilemez. Bununla birlikte, bazı WordPress web sitesi sahipleri, WordPress yönetici panelinin tek saldırı vektörü olmadığını unutma eğilimindedir. Çok sayıda WordPress sitesi, bir saldırganın web barındırma kontrol paneli hesaplarına erişmesi sonucunda saldırıya uğrar.
Birçok ana bilgisayarda, WordPress web sitenizin hesap adı, ana sunucuda oluşturulan gerçek bir kullanıcıya karşılık gelir. Tahmin etmesi kolaydır veya herkes tarafından görülebilir. Kimlik bilgisi çifti, parolasıyla birlikte sitenize SSH ve SFTP aracılığıyla bağlanmanıza izin verebilir. Barındırma kontrol panelinize bu şekilde erişirsiniz. Bu hesabın güvenliği ihlal edilirse, bir saldırgan yalnızca sitenize değil, tüm barındırma hesabınıza, e-postanıza ve hatta alan adlarınıza veya DNS kayıtlarınıza tam erişim sağlayabilir.
Hem WordPress yönetici kullanıcılarınız hem de web sitenizin barındırma kontrol paneli hesabı için güçlü parola politikaları ve çok faktörlü kimlik doğrulamayı benimseyin. Mümkünse, anahtar tabanlı kimlik doğrulama yöntemleri lehine SSH için parola kimlik doğrulamasını tamamen devre dışı bırakın.
iThemes Security Pro, biyometrik girişlerle geçiş anahtarlarını kullanarak WordPress yönetici paneliniz için parolasız kimlik doğrulaması kurmanıza olanak tanır. Bu, barındırma hesabınız için ayarlanan çok faktörlü kimlik doğrulama ile birleştiğinde, kaba kuvvet saldırılarına karşı tam koruma sağlar ve oturum açma kimlik bilgileriniz ele geçirilmiş olsa bile web sitenizin güvenliğini sağlar.
iThemes Security Pro ile En İyi WordPress Güvenlik Önerilerini Uygulayın
Dünyanın en popüler içerik yönetim sistemi olan WordPress, her yerdeki bilgisayar korsanları için yüksek öncelikli bir hedeftir. Saldırganlar, veri ihlallerinden yararlanmak ve kötü amaçlı yazılım dağıtmak için veritabanı enjeksiyonları, siteler arası komut dosyası çalıştırma ve siteler arası istek sahteciliği gibi çok çeşitli gelişmiş teknikler kullanır. WordPress siteniz bu yaygın güvenlik tehditlerinden korunmadığı sürece kolay bir hedef haline gelebilir.
Ortalıkta dolaşan sayısız WordPress güvenlik önerisiyle, özellikle her bir siber saldırıyı hafifletmek için birden fazla strateji olduğunda, web sitenizi nasıl güvende tutacağınızı anlamak zor olabilir. WordPress güvenliğini daha erişilebilir hale getirmek, iThemes'in çabaladığı şeydir. iThemes Security Pro ve BackupBuddy'nin kişisel güvenlik yardımcınız olmasına izin verin! WordPress sitenizi günümüzün en tehlikeli siber saldırılarından korumak için 50'den fazla yol sunarlar.
WordPress'i Korumak ve Korumak için En İyi WordPress Güvenlik Eklentisi
WordPress şu anda tüm web sitelerinin %40'ından fazlasını destekliyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro eklentisi, WordPress web sitenizi güvenli hale getirmeyi ve korumayı kolaylaştırmak için WordPress güvenliğinin varsayımlarını ortadan kaldırır. Bu, WordPress sitenizi sizin için sürekli izleyen ve koruyan tam zamanlı bir güvenlik uzmanına sahip olmak gibidir.
Kiki, bilgi sistemleri yönetimi alanında lisans derecesine ve Linux ve WordPress'te iki yıldan fazla deneyime sahiptir. Halen Liquid Web ve Nexcess'te güvenlik uzmanı olarak çalışmaktadır. Bundan önce Kiki, yüzlerce WordPress web sitesi sahibine yardım ettiği ve sıklıkla karşılaştıkları teknik sorunları öğrendiği Liquid Web Yönetimli Barındırma destek ekibinin bir parçasıydı. Yazma tutkusu, bilgi ve deneyimlerini insanlara yardım etmek için paylaşmasına olanak tanır. Kiki, teknolojinin yanı sıra uzay hakkında bilgi edinmekten ve gerçek suç podcast'lerini dinlemekten hoşlanıyor.