WordPress Web Sitenizin Güvenliğini Artırmak için 6 Adım
Yayınlanan: 2021-09-07Her gün binlerce web sitesi, bilgisayar korsanları veya siber suçlular tarafından hedef alınıyor. Daha derine inerseniz, WordPress web sitelerinin, güvenliği ihlal edilmiş bu sitelerin büyük bir bölümünü oluşturduğunu göreceksiniz. WordPress sitelerine yapılan saldırıların en bariz nedeni WordPress'in yüksek pazar payı olsa da, birkaç başka sebep daha var.
WordPress sitelerini güvence altına almanın yollarına dalmadan önce, önce bir şeyi aradan çıkarmak önemlidir.
WordPress güvenli mi?
WordPress sitelerinde artan sayıda siber saldırı doğal olarak şu soruyu akla getiriyor: WordPress güvenli mi? WordPress güvenlidir. Ancak burada önemli olan nokta şudur: Bu, tüm WordPress sitelerinin güvenli olduğu anlamına gelmez. İşte nedeni:
Bir WordPress web sitesi aşağıdaki iki bileşenden oluşur:
- Core WordPress sürümü (WordPress geliştirici ekibi tarafından yayınlandı)
- Eklenen eklentiler/temalar, web barındırma katmanı ve kayıtlı kullanıcılar gibi ek bileşenler
Core WordPress, zamanında yapılan güvenlik düzeltmeleri ve yamaları ile her zaman güvende tutulurken, tüm WordPress eklentileri ve temaları için aynı şey söylenemez. WordPress web sitelerinin kötü bir üne sahip olmasının başka bir nedeni daha var. Çoğu web sitesi sahibi, önerilen WordPress güvenlik önlemlerine uymamakta ve bu nedenle sitelerini bilgisayar korsanlarına karşı savunmasız hale getirmektedir.
Bir WordPress sitesi nasıl güvenli hale getirilir
Bir WordPress sitesinin güvenliğini nasıl sağlayacağınızı öğrenmek istiyorsanız, bu WordPress güvenlik kılavuzu başlamak için doğru yerdir. Bir WordPress sitesinin güvenliğini sağlamak için altı temel adıma bir göz atarak başlayalım:
1. Güvenli barındırma kullanın
İlk adım, web sitenizi daha yüksek bir maliyetle gelse bile güvenli ve güvenli bir web barındırma platformunda barındırmaktır. Bluehost veya Siteguard gibi kaliteli barındırma şirketlerinin web sitenizi korumak için en iyi uygulamaları uyguladığı ve ayrıca iyi yükleme hızı için optimize ettiği göz önüne alındığında, bu yatırım karşılığını verecektir.
2. Sitenizi her zaman güncel tutun
En çok önerilen WordPress güvenliği en iyi uygulamaları arasında yer alan bu adım, WordPress çekirdeğinin ve sitenizdeki tüm eklentilerin ve temaların her zaman en son sürüme güncellenmesini sağlar.
Her biri birçok eklenti ve tema içeren yüzlerce web sitesini yönetiyorsanız, düzenli güncellemeleri uygulamak zor olabilir. Bu durumda, WPManage gibi bir WordPress yönetim aracı kullanmanızı öneririz.
3. Web sitenizi düzenli olarak yedekleyin
Kesinlikle bir güvenlik önlemi olmasa da, sitenizin düzenli olarak yedeklenmesini web sitesi bakım planınızın bir parçası haline getirin. Siteniz saldırıya uğradığında en son yedeklemeye sahip olmak, kapalı kalma süresini önlemenin ve işe geri dönmenin tek yoludur.
Her hafta, gün ve hatta saatte bir (web sitenizin verilerinin ne kadar hızlı değiştiğine bağlı olarak) düzenli olarak yedek almalısınız. Otomatik, planlanmış ve isteğe bağlı yedeklemeler sunan BlogVault veya BackupBuddy gibi güvenilir yedekleme eklentileri arasından seçim yapabilirsiniz.
4. Bir SSL sertifikası ekleyin
Secure Sockets Layer'ın kısaltması, web sitenize bir SSL sertifikası eklemek, onu HTTPS etkin bir web sitesi yapar. Bu, sitenizin güvenliği için ne anlama geliyor? HTTPS, kullanıcılarınız ve web sunucunuz arasında değiş tokuş edilen tüm verilerin şifrelenmesini sağlar. Bilgisayar korsanları bu iletişimi engellemeyi başarsalar bile, onu kullanamayacaklar. Google gibi arama motorları, kullanıcılarının güvenliğini sağlamak ve HTTPS sitelerini sonuç sayfalarında daha yükseğe yerleştirmek için HTTPS sitelerini HTTP sitelerine tercih eder.
Web barındırma şirketinizden veya Let's Encrypt gibi üçüncü taraf bir SSL eklentisi aracılığıyla bir SSL sertifikası alabilirsiniz.
5. WordPress giriş sayfanızı güvenli hale getirin
Giriş sayfanıza bakmadan WordPress web sitesi güvenliğini düşünemezsiniz. Bunun nedeni, bilgisayar korsanlarının düzenli olarak kaba kuvvet saldırıları kullanarak giriş sayfalarını hedeflemesidir. Bu saldırılar, erişim elde etmek için WordPress hesaplarının kullanıcı adlarını ve şifrelerini tahmin etmek için otomatik botlar kullanır.
WordPress giriş sayfanızın güvenliğini şu şekilde sağlayabilirsiniz:
- Rakamlar, özel karakterler ve büyük ve küçük harfler içeren 12 karakterlik güçlü parolalar yapılandırın.
- Kullanıcı hesabınızda başarısız oturum açma girişimlerinin sayısını sınırlayın.
- Her kullanıcı oturum açmasının kimliğini doğrulamak için 2 faktörlü kimlik doğrulama veya 2FA kullanın.
6. Bir WordPress güvenlik eklentisi kullanın
WordPress sitenizin güvenliğini artırmanın en etkili yolu bir WordPress güvenlik eklentisi kullanmaktır. Bu eklentiler, en son WordPress saldırılarını tespit etmek ve bunlara karşı koruma sağlamak için özel olarak geliştirilmiştir ve bilgisayar korsanlarının web sitelerinde açığa çıkardığı en son yöntemlere ayak uydurmanın en iyi yoludur.
Çeşitli ücretsiz ve ücretli güvenlik eklentileri arasından seçim yapabilirsiniz - ancak sağladıkları kapsamlı özellikler için her zaman MalCare veya Sucuri gibi ücretli bir eklenti öneriyoruz, örneğin:
- Kötü amaçlı yazılım taraması ve kaldırılması
- Güvenlik duvarı koruması
- Kaba kuvvet saldırılarına karşı koruma
- Web sitesi sağlamlaştırma önlemleri
- Otomatik güvenlik güncellemeleri
Bu altı önlem sitenizin güvenliğini sağlamada uzun bir yol kat edebilirken, bilgisayar korsanlarının WordPress sitelerinde tam olarak nelerden yararlandığını ve neye benzediğini anlamak önemlidir. Bir sonraki bölümde, WordPress sitelerinin güvenliğine meydan okuyan en önemli altı güvenlik açığını paylaşıyoruz.
Bir WordPress Sitesindeki güvenlik açıkları nelere yol açabilir?
Bilgisayar korsanlarının savunmasız WordPress web sitelerinden yararlandığı ve bunlara saldırdığı altı yola bir göz atın:
1. SQL Enjeksiyonu
Veritabanlarının nasıl çalıştığına aşina iseniz, bir SQL enjeksiyonunun ne yaptığını tahmin edebilirsiniz. Bu saldırı ile bilgisayar korsanları, bir SQL sorgusu aracılığıyla veritabanlarına kötü amaçlı kod enjekte eder. Bu kod WordPress veritabanına girdiğinde, veritabanı kayıtlarınızı çalmak, verilerinizi değiştirmek veya izinsiz idari görevleri gerçekleştirmek gibi birden çok görevi gerçekleştirebilir.
2. Siteler Arası Komut Dosyası Çalıştırma (XSS)
Bilgisayar korsanları, XSS saldırıları aracılığıyla yüklü eklentilerinizdeki veya temalarınızdaki güvenlik açıklarından yararlanır. Bu güvenlik açıkları, web sitenizde yabancı JavaScript kodunun çalıştırılmasına izin verir. Bu saldırıları yakalamak daha zordur çünkü dikkate alınması gereken çok fazla tür vardır. Ancak açıklık adına, bunlar iki kategoride incelenebilir:
- Kötü amaçlı komut dosyasının istemci tarafında tarayıcıda yürütüldüğü yer
- Diğeri ise kötü amaçlı komut dosyalarının sunucuda depolanıp yürütüldüğü ve ardından tarayıcı tarafından sunulduğu yerdir.
Güvenlik açığı bulunan bir web sitesinin kontrolünü ele geçirdikten sonra XSS, ziyaretçilerine kötü amaçlı JavaScript kodu gönderir. Bilgisayar korsanları, verileri çalmak veya sitenizin nasıl göründüğünü ve nasıl davrandığını değiştirmek için bir XSS saldırısı kullanabilir.
3. Kimlik avı
Kimlik avı, bilgisayar korsanlarının, gerçek kaynaklardan geliyormuş gibi görünen sahte e-postaları şüphelenmeyen kullanıcılara göndermek için kullandıkları uygulamadır. Kimlik avı saldırısı, fidye yazılımı veya gelişmiş kalıcı tehditler gibi daha karmaşık saldırı biçimlerine yol açabilmesine rağmen, oturum açma kimlik bilgileri veya kredi kartı numaraları gibi hassas bilgileri çalmayı amaçlar.
4. Ayrıcalık Yükseltme
Ayrıcalık yükseltme, bir bilgisayar korsanının bir kullanıcı hesabına yasa dışı giriş yaptığı ve ardından yönetici haklarına sahip bir kullanıcının yükseltilmiş ayrıcalıklarını elde ettiği bir siber saldırı biçimidir. Yüksek ayrıcalıklara sahip bilgisayar korsanları, kullanıcı kimlik bilgilerini çalmak, kötü amaçlı yazılım kodu yüklemek ve yürütmek ve erişim günlüklerini silmek dahil olmak üzere çeşitli şekillerde zarar verebileceğinden bu tür saldırılar zararlıdır.
5. İlaç kesmek
Gayri meşru ilaç ürünleri satan yüksek rütbeli ve güvenilir bir web sitesi hayal edin. Bir ilaç hackinin yaptığı budur. İlaç korsanları, arama motorlarının web sitenizi "viagra satın al" gibi arama anahtar kelimeleri için listeleyebileceği bir SEO spam saldırısı biçimidir.
"Şüphesiz" kullanıcılar arama sonuçlarında web sitenizin bağlantısını tıkladığında, sahte farmasötik ürünler satan istenmeyen web sitelerine yönlendirilirler.
6. Japonca anahtar kelime hilesi
Bu saldırı türü, bilgisayar korsanlarının web sitenizin yüksek SEO derecesini kullanarak Japonca spam içerikli anahtar kelimelerle sitenize sızabileceği Pharma saldırısına benzer. İlaç hack'leri gibi, Japonca anahtar kelimeler kullanarak arama yapan kullanıcılar, sahte ürünler satan sahte ve istenmeyen web sitelerine yönlendirilir. İlaç ve Japonca anahtar kelime korsanlığı, markanıza olan müşteri güveninin kaybolmasına ve Google'ın sitenizi kara listeye almasına veya web barındırıcınızın siteyi askıya almasına neden olabilir.
Bilgisayar korsanlarının web sitenize uygulayabileceği birçok saldırı türünden yalnızca altısını içeren yukarıdaki liste , WordPress sitenizi neden bilgisayar korsanlarından korumanız gerektiğine dair güçlü bir kanıt oluşturuyor.
WordPress güvenliğinin rolü
Başarılı bir hack, web sitenizi haftalar olmasa da günlerce ciddi şekilde sakatlayabilir. Saldırının türüne bağlı olarak, WordPress web siteniz aşağıdaki gibi tepkilere maruz kalabilir:
- Müşteri kayıtları gibi hassas verilerin kaybı
- Pop-up reklamlar sayesinde ana sayfanızın tamamen tahrif edilmesi
- Google veya web barındırıcınız tarafından askıya alma veya kara listeye alma
- Marka güveni ve müşteri sadakati kaybı
- Daha düşük satış ve gelirlere yol açan web trafiğinde büyük azalma
Uygulanan tüm en iyi güvenlik önlemlerine rağmen, bilgisayar korsanlarının gelecekte web sitenizi hedef almayacağının garantisi yoktur. WordPress güvenliğini tek seferlik değil, sürekli bir süreç yapan da budur. Web sitelerinden ödün vermek için yenilik yapmaya ve yeni yollar yaratmaya devam ettikleri için bilgisayar korsanlarından %100 bağışıklık yoktur.
Bu kılavuzda bahsedilen 6 adımdan, kötü amaçlı yazılım temizleme, dahili güvenlik duvarı, oturum açma koruması vb. gibi birden fazla güvenlik avantajı sunan MalCare gibi bir WordPress güvenlik eklentisine yatırım yapmak , WordPress sitenizi güvenli hale getirmenin ve gelecekteki saldırıları önlemenin en iyi yoludur . WordPress web sitelerini bilgisayar korsanlarından korumak için en önemli şeyin ne olduğunu düşünüyorsunuz? Aldığınız önlemler var mı?
Bu, BlogVault'un CEO'su Akshat Choudhary ile ortaklaşa oluşturulmuş bir gönderidir.