Güvenli Bir WooCommerce Mağazası İçin 9 Noktalı Kontrol Listesi

Yayınlanan: 2022-06-02

WooCommerce, WordPress için popüler bir e-ticaret eklentisidir ve tüm çevrimiçi mağazaların %28'inden fazlasına güç sağlar. Herkese açık bir yazılım olarak WordPress, benzersiz bir WooCommerce web sitesi oluşturmak için özelleştirilebilir ve değiştirilebilir. Öte yandan, internetteki tüm web siteleri gibi WordPress web siteleri de bilgisayar korsanlarına karşı savunmasızdır. Önlenebilir güvenlik sorunları nedeniyle bunun WordPress çekirdek web sitesiyle gerçekten ilgisi yok.

Bu gönderide, e-Ticaret mağazanızın kötü niyetli kullanıcılar tarafından güvenliğinin ihlal edilmesini önlemek için en iyi WooCommerce güvenlik ipuçlarını ele alıyoruz. Bunları farklı şekillerde planlayabilir ve uygulayabilirsiniz, ancak sitenizin güvenliğini optimize etmek için burada da tartıştığımız kolay ve etkili bir çözüm var.

WooCommerce Güvenliğinizi Güçlendirmek için 9 Noktalı Kontrol Listesi

İşte WooCommerce güvenliğinizi artırmanın yollarına bir göz atın. Bu güvenlik önlemlerinden bazıları kendi başınıza kolayca uygulayabilirsiniz, diğerleri ise WordPress uzmanlarının müdahalesini gerektirecektir.

1. Eklentilerinizi güncel tutun

Eklentilerinizi ve temalarınızı güncellemek çok önemlidir - işte nedeni:

  • Bilgisayar korsanları, eklentilerdeki ve temalardaki güvenlik açıklarından yararlanabilir ve bu eklentiler/temalar aracılığıyla web sitenize saldırmaya başlayabilir. Diğer yasa dışı eylemlerin yanı sıra karanlık ağda satış yapmak, para transfer etmek veya dolandırıcılık yapmak için iş ve müşteri verilerine erişmeyi başarabilirler.
  • Güncel olmayan eklentiler, güvenlik ihlallerinin %91'inden sorumludur ve güncellemeleri gerekli kılar. Ayrıca, her gün binlerce web sitesi saldırıya uğruyor. Bilgisayar korsanları mağazanızda yollarını bulursa, sitenize gelen şüpheli olmayan kullanıcılara kötü amaçlı kod iletebilirler. Veya web sitenizi yavaşlatmak veya kapatmak için bir DDoS saldırısı başlatarak kesinti süresine neden olabilir ve bu da dakikada ortalama 5.600 ABD dolarına mal olur.
  • Eklenti ve tema güncellemeleri, hata düzeltmeleri ve performans iyileştirmeleri ile birlikte gelir. En son sürümler, önceki yazılım sürümlerinde tanımlanan sorunları giderir ve hatta yeni özellikler ekleyebilir. Eklentilerin/temaların bakımı, onları kullanılabilir ve güvenli tutar.

WordPress temalarını veya eklentilerini güncellemek için WordPress Yöneticinizdeki 'Güncellemeler' sekmesini ziyaret edin. Değişiklikleri canlı sitenize uygulamadan önce test etmek için önce bir hazırlama sitesindeki (canlı web sitenizin bir klonu) temaları/eklentileri güncellemenizi öneririz. Bunun nedeni, eklenti kodunun çekirdek WP dosyalarında kullanılan kodla uyumsuz olması nedeniyle bir eklentiyi güncellemenin bazen 'önemli hatalara' neden olabilmesidir.

Teknik bir geçmişiniz varsa, hazırlama sitenizi daha kolay kurabilirsiniz. Değilse, bir profesyonel sizin için ayarlayabilir ve güncellemelerin yüklenmesinin doğru olduğundan emin olmanıza yardımcı olabilir. WooCommerce güvenliğinizle ilgilenebilir ve ayrıca güncelleme sorunlarından kaynaklanan sonuçlardan kaçınabilirsiniz.

2. Özel bir WooCommerce barındırma sağlayıcısı seçin

WooCommerce için özel hostinge mi ihtiyacınız var? Eh, ortalama bir WooCommerce sitesinin veritabanı açısından yoğun olduğu ve yüksek trafiği barındırması gerektiği göz önüne alındığında, özel bir WooCommerce barındırma şirketi, normal bir barındırma hizmetinden daha uygundur. WooCommerce güvenliği açısından, böyle bir sağlayıcının sitenizdeki tüm gerekli alanları kapsayan özel destek sağlaması beklenebilir.

Bir barındırma sağlayıcısı ararken gözden geçirmeniz gereken bazı güvenlik özellikleri şunlardır:

  • Şifreli bir bağlantı sağlamak ve bilgisayar korsanlarının adları, adresleri, parolaları, kredi kartı numaralarını ve diğer hassas verileri görmesini engelleyen SSL sertifikaları.
  • Bir saldırı durumunda sitenizi tekrar çalışır hale getirmek için otomatik yedeklemeler.
  • Saldırıları gerçek zamanlı olarak tespit etmek ve azaltmak için saldırı izleme.
  • Güvenlikle ilgili endişelerinizde size yardımcı olmak için, bilgili WooCommerce barındırma uzmanlarından 7/24 destek.
  • Eklentileri ve mağazanızdaki değişiklikleri canlı yayınlamadan önce güvenli bir şekilde test etmek için yerleşik bir hazırlama ortamı.

Performans konusunda, sağlayıcı tarafından vaat edilen çalışma süresi garantisine odaklanmak isteyebilirsiniz. Pek çok ürüne sahip büyük bir WooCommerce siteniz varsa ve günlük olarak önemli miktarda trafik çekiyorsanız, %99,9 kesintisiz çalışma garantisinden daha az bir şey yeterli olmayacaktır.

3. Bir WordPress güvenlik eklentisi kullanarak bir güvenlik duvarı kurun

Güvenlik duvarı kurun

Barındırma sağlayıcınız size bir güvenlik duvarı sağlasa bile, web sitesi düzeyinde bir güvenlik duvarı kurmak başka bir güvenlik katmanı ekleyerek bilgisayar ağınıza yetkisiz erişimi engeller. Bir güvenlik duvarı kurmak için bir eklenti kullanabilir ve ileri düzeyde teknik bilgiye sahipseniz daha fazla özelleştirme ekleyebilirsiniz. WordFence, WordPress için güvenilir bir güvenlik duvarıdır. Aşağıdakiler gibi bir dizi işlev sunan eksiksiz bir WordPress güvenlik eklentisidir:

  • Kötü amaçlı trafiği tanımlayan ve engelleyen bir web uygulaması güvenlik duvarı (WAF)
  • Tanımlanmış sayıda hatalı oturum açma girişiminden sonra kullanıcıları engelleyen kaba kuvvet saldırılarına karşı koruma
  • Bilgisayar korsanlarının sitenize yüklemiş olabileceği kötü amaçlı yazılımları belirlemek için kötü amaçlı yazılım taraması
  • reCAPTCHA ve iki faktörlü kimlik doğrulama gibi oturum açma güvenliğini etkinleştirir

En önemli WordFence özelliklerinin çoğu ücretsiz sürümde mevcuttur. Premium sürüme yükseltmenin maliyeti yıllık 99 ABD dolarıdır ve gerçek zamanlı IP engelleme ve siteleri WordFence ekibi tarafından algılanır algılanmaz yeni tehditlerden ve kötü amaçlı yazılımlardan koruyan güvenlik duvarı kuralları gibi gelişmiş özelliklerle birlikte gelir.

WordFence gibi hepsi bir arada güvenlik eklentilerinin sunduğu özellikleri manuel olarak uygulamak mümkündür. Bazılarının yapılması oldukça kolaydır ancak özel gereksinimleri vardır. Örneğin, kendi güvenlik duvarınızı kurmak istiyorsanız, sunucunuza tam erişime ihtiyacınız vardır ve bu, özel bir sunucu kullanmadığınız sürece mümkün değildir. Ayrıca, yalnızca web geliştirme becerileriniz varsa basit ve zevkli olan komut satırı arayüzünde çalışmanız gerekecektir.

4. Giriş sayfanızı daha güvenli hale getirin

Web sitenizin yönetici alanı, çeşitli kullanıcı adı ve şifre kombinasyonlarını deneyerek WP-admin'inize erişmeye çalışan kaba kuvvet saldırıları tehdidi altındadır. Kaba kuvvet saldırıları veya çalınan kimlik bilgilerinin kullanımı, bilgisayar korsanlığı kapsamındaki ihlallerin %80'inden fazlasını oluşturur. Mağazanız için yönetici giriş sayfasının güvenliğini artırmak için gerçekleştirebileceğiniz bazı WooCommerce güvenlik önlemleri vardır:

Kullanıcı adınızı 'admin'den başka bir şeye değiştirin

Bilgisayar korsanları için yaygın bir hile, hesabınıza giriş yapmayı denemek için 'admin' olan varsayılan WordPress yönetici kullanıcı adını kullanmaktır. WordPress'in ilk sürümleri varsayılan olarak 'yönetici' kullanıcı adına ayarlanmıştır, bu nedenle mağaza sahiplerinin bunu kullanma alışkanlığı olması mümkündür. Wp-admin saldırı riskini azaltmak için 'admin'i başka bir isimle değiştirmek gereklidir ve bunun için hiçbir şey yoktur! İşte adımlar:

  1. Git > yeni kullanıcı ekle
  2. İstediğiniz kullanıcı adıyla yeni bir kullanıcı oluşturun ve ona 'yönetici' rolü verin
  3. Önceki 'yönetici' hesabından çıkış yapın ve yeni hesaba giriş yapın
  4. Kullanıcı listesine geri dönün ve eski 'yönetici' hesabını silin

İki faktörlü kimlik doğrulamayı etkinleştir (2FA)

İki faktörlü kimlik doğrulama, kimliğinizi doğrulamak için iki yöntem gerektirir. WordPress yönetici hesabınıza erişimi kısıtlamak için ikinci savunma hattı görevi görür. Korumak istediğiniz hesaplara 2FA ekleyen bir kimlik doğrulama uygulamasıyla etkinleştirebilirsiniz.

Kimlik doğrulama uygulamaları, WP yönetici hesabınızda oturum açanın siz olduğunuzu doğrulamak için kullanabileceğiniz tek seferlik bir kod oluşturur. Önce akıllı telefonunuzda veya tabletinizde bir kimlik doğrulama cihazı kurmanız gerekir. Bu işlem sırasında uygulama, bir QR kodunu tarayarak veya telefonunuzun kamerası yoksa kodu manuel olarak yazarak telefonunuza kaydettiğiniz gizli bir anahtar oluşturur. Bununla, uygulamanın sunucusu ve telefonunuz gizli anahtarın bir kopyasına sahip olur. Bundan sonra, oturum açmak için kullanıcı adınızı ve şifrenizi her girdiğinizde, uygulama, yönetici hesabınızda oturum açmak için yazdığınız bir erişim kodu - genellikle altı haneli bir sayı - gönderir.

İşte WordFence kullanarak 2FA'nın nasıl kurulacağına dair bir örnek:

  1. Akıllı telefonunuza veya tabletinize Google Authenticator gibi bir kimlik doğrulama uygulaması indirin
  2. WordFence'i kurun ve etkinleştirin
  3. WordFence'de 'giriş güvenliği' sayfasına gidin
  4. Kimlik doğrulama uygulamanızı açın ve WordFence'de gösterilen QR kodunu tarayın
  5. Kurtarma kodu bölümünde 'indir'i tıklayın - bu, kimlik doğrulama uygulamanıza erişiminizi kaybetmeniz durumunda kullanabileceğiniz bir dizi kod sağlar.
  6. Doğrulayıcı uygulamanızdan 6 haneli kodu girin
  7. 'Etkinleştir'i tıklayın

5. Mağaza hesapları için güçlü parolalar gerektir

Güçlü şifreler oluşturun

WooCommerce, iş modelinize uygun bir mağaza oluşturma esnekliği sunar. Bu, ekipler içinde farklı erişim seviyeleri sağlamayı içerir. Tüm ekip üyelerinizin mağaza hesaplarını güvence altına almak, WooCommerce güvenliğini güçlendirmenin basit bir yoludur.

Çalışanlar parolalarının güçlü olması gerektiğini anlasalar da, bir saniyeden daha kısa sürede ele geçirilebilecek zayıf parolalar kullanmaya eğilimlidirler. Güçlü bir parola politikası, karmaşık parolalar oluşturma gerekliliğini yineleyebilir. Güvenli parolalar oluşturmak için yalnızca mağaza yöneticisi veya yönetici gibi bazı rollere sahip olmak yerine, tüm kullanıcılar için bir parola karmaşıklığı ilkesi uygulamak daha güvenli bir seçenektir.

Bunu başarmanın bir yolu, mağaza hesaplarını kendileri için güçlü parolalar belirlemeye zorlamak için iThemes Güvenlik eklentisini kullanmaktır. Bu konuda şu şekilde gidebilirsiniz:

  1. Eklentiyi kurun ve etkinleştirin
  2. Kurulum sayfasında, web sitesi türü olarak 'e-Ticaret'i seçin
  3. Kullanıcı olarak 'Kendini' seçin
  4. Eklenti, 'kullanıcı hesaplarınızı bir şifre politikasıyla güvence altına almak istiyor musunuz?' diye sorduğunda, geçişi 'evet' olarak ayarlayın.

6. Tüm üçüncü taraf e-ticaret platformları için benzersiz şifreler oluşturun

WooCommerce güvenliğinin sıklıkla gözden kaçan bir yönü, WooCommerce mağazanıza bağlı hizmetler için kullandığınız farklı hesapların parola saldırılarına karşı savunmasızlığıdır. WooCommerce mağazanıza bağladığınız tüm hizmetler için aynı şifreyi kullanmak, bir bilgisayar korsanının işini kolaylaştırır. Bunun yerine yapmayı düşünmeniz gerekenler:

  • Stripe ve PayPal gibi tüm ödeme ağ geçitleriniz, barındırma hizmetiniz ve WooCommerce mağazanız için kullandığınız diğer tüm üçüncü taraf hizmetleri için farklı şifreler belirleyin. Şifrelerinizden biri açığa çıksa bile diğer hesaplarınız güvende olacaktır.
  • Parolaların birbirinden yeterince farklı olduğundan emin olun. Sadece bir rakam veya karakter ekleyerek veya değiştirerek şifreleri tekrar kullanmak etkisizdir.

7. Mağazanızın düzenli yedeklerini alın

Yedeklemeler sitenizi bilgisayar korsanlarına karşı korumasa da, sitenizin güvenliği ihlal edildiğinde değerli verilerinize erişmenizi sağlar. Verilerinizin yedek kopyalarına sahip olmak, bir siber saldırı veya donanım arızası veya trafik artışı nedeniyle çökme gibi diğer olaylardan sonra sitenizi tekrar çevrimiçi duruma getirmenize yardımcı olabilir. Günlük yedeklemeler, öngörülemeyen olaylar meydana geldiğinde müşteri, sipariş ve ürün bilgilerinizin geri yüklenebilmesini ve müşteri ve gelir kaybını önlemek için iş sürekliliğinin korunmasını sağlar.

Kullanışlı bir çözüm, BlogVault gibi gerçek zamanlı bir WordPress yedekleme eklentisi kullanmaktır. Gerçek zamanlı yedekleme, verileri herhangi bir zamanda geri yükleme olanağı sunar ve özellikle güvenlikle ilgili sorunların sürekli tehdidiyle karşı karşıya kalan büyük bir veritabanınız varsa kullanışlıdır.

8. Veritabanınızın güvenliğini sağlayın

WordPress veritabanınız, web sitenizdeki tüm bilgileri depolayarak onu çekici bir hedef haline getirir. WordPress, MySQL'i veritabanı yönetim sistemi olarak kullanır. WordPress sitenizdeki PHP kodu, veritabanıyla iletişim kurmak için SQL komutları içerir. SQL'in saldırıya uğramasının yollarından biri, bilgisayar korsanının bir veritabanını manipüle etmek ve değerli bilgilere erişmek için bir parça SQL kodu kullanmasıdır. Bu saldırı türü bir SQL enjeksiyonudur ve veritabanına dayalı web siteleri arasında yaygındır.

Neyse ki, WordPress veritabanınızı güvence altına almanın yolları var – işte başlamanıza yardımcı olacak iki tane:

Varsayılan tablo önekini değiştirin

WooCommerce mağazaları için varsayılan tablo öneki wp_'dir . Bu ayarı varsayılan olarak bırakmak, mağazanızı SQL enjeksiyonlarına açar. Bu ayarı PhpMyAdmin'de mağazanızı kurarken değiştirebilir veya DB Prefix gibi bir eklenti kullanabilirsiniz. Tablo öneklerinde herhangi bir değişiklik yapmadan önce WP veritabanınızı yedeklediğinizden emin olun. Ve planladığınız çok fazla WordPress bakım ve güvenlik güncellemesi varsa, web sitesi ziyaretçilerini bir bakım sayfasına veya geçici bir sayfaya yönlendirebilirsiniz.

wp-config dosyanızı güvenli hale getirin

wp-config.php dosyası, yönetici şifreleri de dahil olmak üzere mağazanızın tüm veritabanı bilgilerini içerdiğinden WooCommerce mağazanızdaki en önemli dosyadır. Bu dosyayı kök alt dizindeki varsayılan konumundan daha yüksek bir alt dizine taşıyarak, potansiyel bilgisayar korsanlarının onu bulması daha zor hale gelir.

Not: Codeable, gönderide belirtilen (eklentiler) önerilerinin hiçbiriyle bağlantılı değildir.

9. Tescilli bir WordPress güvenlik uzmanı işe alın

WooCommerce mağazanızı güvende tutmak için yapabileceğiniz en etkili adım, bir WordPress güvenlik uzmanı kiralamaktır. Temel bir SSL sertifikası kurmaktan, daha büyük e-Ticaret sitelerine yönelik kaba kuvvet saldırılarına karşı koruma sağlamak için güvenlik duvarları uygulamaya kadar, bir güvenlik uzmanı işe almak, siparişleri yönetmek ve envanteri takip etmek gibi mağazanızın diğer bölümlerine odaklanmanızı sağlar.

WooCommerce güvenlik uzmanı nasıl bulunur

Kendin Yap, bir ajans kiralama veya web'deki çok sayıda pazarda bir serbest meslek sahibi bulma dahil olmak üzere birçok seçeneğiniz var. WordPress güvenlik uzmanları sağlayan ajanslar genellikle farklı hizmetleri bir pakette toplar, bu nedenle bu seçeneği seçerseniz, ihtiyacınız olmayan hizmetlere dikkat edin.

Serbest çalışan pazaryerlerinde, incelenmiş bir dizi WP geliştiricisine sahip olmak için fazladan ödeme yapabilirsiniz veya bunları kendiniz değerlendirmeniz gerekir. Bu sitelerde, en iyi teklifleri seçersiniz ve bir serbest çalışanın kendilerini yetkin hissettikleri projelere teklif vereceğine dair hiçbir garanti yoktur, çünkü site bu şartı açıkça belirtmez.

Daha iyi seçenek, Codeable'da bir güvenlik uzmanı bulmaktır:

  • Codeable, WordPress'te uzmanlaşmış serbest çalışan bir platformdur.
  • Projenizi, sizinkine benzer güvenlik projelerinde çalışmış, deneyimli WordPress/WooCommerce profesyonelleriyle eşleştirir. Bu, varsayımı ortadan kaldırır ve iş için doğru kişiye sahip olduğunuzdan emin olmanıza yardımcı olur.
  • Codeable'ı genel serbest çalışma pazarlarından ayıran şey, yalnızca projenizi başarıyla yürütebilecek uzmanlarla çalışacak olmanızdır. Projeyi dikkatlice düşündükten sonra onay veren WooCommerce güvenlik uzmanlarına erişiminiz olduğunu bilerek içiniz rahat edebilir.
  • Codeable, daha küçük projeler veya güvenlik denetimleri gibi tek seferlik görevler için harika bir seçenektir. Bir acente kiralamaktan daha ucuza çalışır ve stratejik faaliyetler için size önemli ölçüde zaman kazandırır.
  • İşe alım süreci kolaydır ve WooCommerce güvenlik ve bakım planlarınız hakkında fikrinizi değiştirirseniz işe alma zorunluluğunuz yoktur.

WooCommerce Mağazanızı Ortaya Çıkan Tehditlere Karşı Güvence Altına Alın

kodlanabilir

Bir WooCommerce güvenlik planına sahip olmak, mevcut ve yeni siber güvenlik tehditlerine etkin bir şekilde yanıt vermenizi sağlar. WordPress ve e-Ticaret'e özgü güvenlik sorunlarını proaktif bir şekilde yönetmek, iş kesintisi olmadan yürütmek, bilgisayar korsanlığı nedeniyle mali kayıpları önlemek ve müşterilerin güvenini korumak için zorunludur.

Codeable'dan WordPress güvenlik uzmanları, güvenlik riskinizi yönetmenize yardımcı olabilir.

Projenizi gönderin ve güvenlik endişelerinizi derhal azaltın. Codeable uygun maliyetlidir ve para iade garantisi sunar, böylece küçük bir görevle test edebilir ve ardından daha büyük bir güvenlik projesi için kullanmak isteyip istemediğinize karar verebilirsiniz.