WordPress Güvenliği: Bir WordPress Sitesini Güvenli Hale Getirmek İçin En İyi Kılavuz
Yayınlanan: 2019-05-24Siber suç, bilgisayar korsanlarının ve kötü amaçlı yazılımların uçsuz bucaksız çevrimiçi ortamda saldırmasıyla tüm zamanların en yüksek seviyesinde. Google, her hafta 20.000'den fazla web sitesini kötü amaçlı yazılım bulundurduğu için ve 50.000'den fazla web sitesini olası kimlik avı web siteleri olarak kara listeye alıyor! Rakamların bir an için batmasına izin verin. Bu nedenle, bu okumanın amacı için, WordPress güvenliğinizi artırmanıza yardımcı olacak kapsamlı bir kılavuz hazırladık.
Görüyorsunuz, web siteniz en iyi güvenlik uygulamalarına uymazsa, sitenizi ve tüm içeriğini saldırıya maruz bırakacaksınız. Ancak, güvenli olmayan web siteleri de Google'ın arama algoritmaları tarafından cezalandırıldığından, tehlikede olan yalnızca içeriğiniz değildir.
Bilgisayar korsanları ve kötü amaçlı yazılımlar yalnızca web sitenizin içeriği için tehlikeli olmakla kalmaz, aynı zamanda web sitenizi ziyaret eden insanlar için de bir tehdit oluşturur. Ve bu nedenle, temel güvenlik yönergelerine uymazsanız – ki bunu yapmak çok basittir – Google sizi SERP'de (Arama Motoru Sonuçları Sayfası) alt sıralara indirecektir.
Neyse ki, WordPress kullanıcıları, WordPress güvenliğinizi önemli ölçüde artırmanıza yardımcı olabilecek özel eklentilere ve ultra sezgisel bir arayüze erişebilir. Sizi daha fazla bekletmeden, WordPress Güvenliğinizi Geliştirmenin En İyi 10+ Yolu:
WordPress Güvenliğinizi Geliştirmenin En İyi 10+ Yolu
1. Yedekleme Eklentilerini Kurun
Buradaki konsept oldukça basit – şimdi güvende olmak daha sonra üzülmekten daha iyidir!
Çevrimiçi içeriğinizi ve veritabanınızı yedekleyerek, bilgisayar korsanlarının ve kötü amaçlı yazılımların tuzağına düşme gibi talihsiz bir durumda bile her şey güvende ve güvende tutulur. Bu, bir yedekleme eklentisini yüklemeyi WordPress güvenliği 101'in ilk bölümü yapar ve onu öncelik listesinin en üstüne koyar.
WPvivid Yedekleme Eklentimiz gibi bir yedekleme eklentisi, veritabanı dahil tüm WordPress web sitenizin otomatik rutin yedeklemelerini alabilir. Yedeklemeleri haftalık veya günlük olacak şekilde zamanlayacak şekilde yapılandırabilirsiniz. Yedeklenen veriler genellikle ayrı bir bulut depolama platformunda saklanır – ya eklentinin kendisi tarafından sağlanır ya da Google Drive, Amazon S3, Dropbox vb. gibi halihazırda mevcut olan farklı platformlar arasında saklanır.
Şimdi, daha sonraki bir durumda siteniz kötü amaçlı yazılım veya bilgisayar korsanları nedeniyle bozulursa, tüm verilerinize erişilebilir olmaya devam eder ve web sitenizi önceki çalışma durumuna geri döndürmek için yedekleri geri yükleyebilirsiniz. Bir daha olmaması için bilgisayar korsanlarının veya kötü amaçlı yazılımların web sitenize girmek için kullandığı güvenlik açıklarını kapatmayı unutmayın.
Tüm bunlarla birlikte, WordPress güvenliğinizi geliştirmek için WPvivid Yedekleme Eklentimize ek olarak hangi yedekleme eklentisinin kullanılacağına dair bir öneri arıyorsanız, işte bazı seçenekler:
- UpDraftPlus
- BackWPup
2. WordPress Sitenizi İzlemek İçin Bir Güvenlik Duvarı Eklentisi Kurun
Masaüstünüzde/dizüstü bilgisayarınızda kurduğunuz güvenlik duvarı yazılımına benzer şekilde, bir güvenlik duvarı eklentisi gelen trafiği izler ve yaygın güvenlik tehditlerinin WordPress web sitenize ulaşmasını engeller.
Eklentiler genellikle, web sitenize gelen potansiyel tehditleri taramak ve onları hemen engellemek için kötü amaçlı imza ve kara listeye alınmış IP adreslerinden oluşan bir veritabanına atıfta bulunur.
Gördüğünüz gibi, bir WordPress eklentisi kurmak kadar basittir ancak bilgisayar korsanlarının, kötü amaçlı yazılımların, solucanların ve virüslerin web sitenize girmesini engelleyerek WordPress güvenliğinizi artırır.
3. Yönetici Girişi için Güçlü Bir Parola Belirleyin
Bunu düşündüğünüzde, WordPress arka uç kontrol panelinize erişmek o kadar da önemli değil. Bu, bir WordPress site URL'sinin sonuna “/wp-admin” eklenmesinin kullanıcıyı yönetici giriş sayfasına götürdüğü yaygın bir bilgidir. Burada web sitesinin arka ucuna erişimi sınırlayan tek şey, kullanıcı adını ve şifreyi tahmin etmektir.
Şimdi, "admin" kullanıcı adı neredeyse her zaman bir WordPress web sitesiyle ilişkilendirildiğinden, bilgisayar korsanının yapması gereken tek şey şifreyi tahmin etmektir ve ardından tüm web sitesi içeriğinize ve verilerinize doğrudan erişebileceklerdir. Hayal etmesi korkutucu bir şey değil mi?
Tüm bunlar göz önünde bulundurulduğunda, kullanabileceğiniz en açık WordPress güvenlik geliştirmesi, parolanızı son derece karmaşık ve kaba kuvvetle bile deşifre edilmesi zor hale getirmektir. Bu, en az 10-12 karakterden oluşan daha uzun şifreler oluşturmayı içerir. Ayrıca şifrenizde büyük harf, küçük harf, rakam ve özel karakter kullanmayı unutmayın.
Ve kendin unutmamak için güvenli ve emniyetli olacağını bildiğin bir yere yaz.
4. Yönetici Kullanıcı Adını Özelleştirin
WordPress yönetici girişinizin şifresini değiştirmeye benzer şekilde, kolayca tahmin edilebilir varsayılan kullanıcı adını - admin'i değiştirmeyi de düşünmelisiniz. Bu nedenle, bilgisayar korsanının sitenizin arka ucuna girmek için şifreyi doğru kullanıcı adıyla birlikte deşifre etmesi gerekiyor, bu da WordPress güvenliğinizi katlanarak artırıyor.
Ancak bununla birlikte, varsayılan yönetici kullanıcı adını değiştirmek biraz zordur. Öncelikle, WordPress arka ucunuz > Kullanıcı > Yeni Kullanıcı Ekle 'de oturum açmanız ve ardından Kullanıcı Rolü – Yönetici olarak ayarlanmış yeni bir kullanıcı (yeni kullanıcı adıyla) oluşturmanız gerekir. İşiniz bittiğinde, yeni kullanıcı hesabıyla oturum açın ve varsayılan "yönetici" kullanıcı hesabını silin, bilgisayar korsanlarını yalnızca doğru şifreyi değil, aynı zamanda yeni kullanıcı adınızı da deşifre etmeye zorlayın. Alternatif olarak, bir kullanıcı rolü düzenleyici eklentisi kullanarak kullanıcı rollerini yönetebilir ve düzenleyebilirsiniz.
5. Giriş URL'sini Özelleştirin
Şimdiye kadar, bilgisayar korsanlarının WordPress arka uç giriş bilgilerinizi tahmin etmesini nasıl zorlaştıracağımızdan bahsettik. Ancak, daha da iyi bir WordPress güvenlik taktiği, bilgisayar korsanlarının giriş ekranınıza erişimini tamamen reddetmek olacaktır.
Daha önce belirtildiği gibi, web sitenizin arka uç giriş sayfasının varsayılan URL'si, web sitenizin URL'sini ve ardından “/wp-admin” gelir. Ancak, web sitenizin giriş URL'sinin son bölümünü, "/zero-hackers-allowed" gibi hayal edebileceğiniz herhangi bir farklı alfasayısal dizeye göre özelleştirebileceğinizi biliyor muydunuz?
Ancak, bunun CMS'nin (İçerik Yönetim Sistemi) varsayılan bir özelliği olmadığını ve size yardımcı olması için WPS Hide Login gibi bir WordPress eklentisi yüklemeniz gerekeceğini unutmayın. Eklenti yüklenip etkinleştirildiğinde, bilgisayar korsanlarının wp-login.php sayfasına ve wp-admin dizinine kolayca erişememesi için oturum açma URL'sini değiştirmenize olanak tanır.
Şimdiye kadar, sadece bilgisayar korsanlarının sitemize erişmek için doğru şifre ve kullanıcı adı kombinasyonunu tahmin etmelerini zorlaştırmakla kalmadık, aynı zamanda giriş sayfasını meraklı gözlerden etkili bir şekilde gizledik. Tahmin edebileceğiniz gibi, bu WordPress güvenliğinizi büyük ölçüde artırır ve kaba kuvvet saldırılarını neredeyse imkansız hale getirir.
6. Veritabanı Kullanıcısı İçin Güçlü Parola Belirleyin
Web sitenizde, bazıları veritabanınıza veya diğer hassas bilgilere doğrudan erişimi olan birden fazla kullanıcı varsa, hesapları için güçlü parolalar belirlediklerinden emin olun. Bilgisayar korsanlarının, web sitenizdeki diğer kullanıcıları sömürerek web sitenize girmeye çalışması eşit derecede olasıdır. Bunu akılda tutarak, herhangi bir gevşek son, potansiyel bir güvenlik açığı ve güvenlik tehdididir.
Daha önce bahsedilen adımları takip ederek, kullanıcıların hesaplarına güçlü bir şifre atamasını zorunlu hale getirebilirsiniz. Alternatif olarak, hesap oluşturma işlemlerini tamamlamak için kullanıcıları güçlü bir parola oluşturmaya zorlamak için üçüncü taraf eklentileri kullanabilirsiniz.
7. SSL'yi etkinleştirin (HTTP'den HTTPS'ye)
Secure Sockets Layer'ın kısaltması olan SSL, istemci ile sunucu arasında şifreli bir bağlantı oluşturan internetteki standart güvenlik protokolüdür. Etkinleştirildiğinde, URL'nizin başlangıcındaki HTTP metninin HTTPS veya güvenli HTTP ile değiştirildiğini fark edeceksiniz. Bir SSL sertifikasını etkinleştirerek, sunucu ve istemci arasında aktarılırken bilgisayar korsanlarının verileri sifon etmesini zorlaştırırsınız.
Google ayrıca SSL sertifikasını çok ciddiye alır. Örneğin, hala HTTP'de olan web siteleri Google Chrome tarayıcısında "güvenli değil" olarak gösterilir. Ayrıca, arama motoru algoritmaları tarafından da cezalandırılırlar. Öte yandan, SSL sertifikalı web sitelerinin HTTPS'si arama motoru tarafından verilir. Bu nedenle, yeni bir WordPress blogu seo için ilk adım olarak bir SSL yüklemeyi koyduk.
Bu iki nokta, web sitenize bir SSL sertifikası yüklemeniz için yeterli neden olmalıdır - özellikle bunun o kadar da büyük bir güçlük olmadığını düşünüyorsanız. Her şeyden önce, çoğunlukla tüm popüler web barındırma hizmetleri ücretsiz bir SSL sertifikası içerir. Ücretsiz bir tane almadıysanız, Let's Encrypt kullanarak bunu kolayca yapabilirsiniz.
Özel bir WordPress SSL eklentisine bile erişebilirsiniz – HTTP'yi HTTPS'ye dönüştürmek ve WordPress güvenliğinizi geliştirmek için Gerçekten Basit SSL.
8. wp-config'i Kök Dizinden Daha Yüksek Bir Düzeye Taşıyın
Varsayılan olarak wp-config.php, WordPress blogunuz/web sitenizle aynı klasörde bulunur. Dosya MySQL veritabanı kullanıcı adınızı, parolanızı, WordPress kimlik doğrulama anahtarlarınızı ve diğer hassas verilerinizi içerdiğinden bu bir güvenlik kabusu olabilir.
Birisi bu dosyayı ele geçirirse, temel olarak web sitenizin her ayrıntısı üzerinde tam kontrole sahip olurlar. Bu nedenle WordPress kodeksi bile kullanıcıların wp-config.php dosyasını varsayılan kök dizinden genel erişimi olmayan daha yüksek bir klasöre taşımasını önerir.
Bu, aşağıdaki kod parçacığını .htaccess klasörüne ekleyerek kolayca başarılabilir:
<files wp-config.php> izin ver, reddet herkesten inkar </files>
Gördüğünüz gibi, WordPress web sitenizin temel dosyalarıyla uğraşmayı içeriyor ve bu nedenle bu adıma geçmeden önce bir yedekleme yapmanız önerilir.
9. Bir Klasörde index.php Dosyası Olmadığında .htaccess ile Dizin Listelenmesini Engelleyin
Dizin tarama olarak da bilinen dizin listeleme, herhangi bir kullanıcının web sitenizdeki tek tek klasörlerin (dizinlerin) içeriğini görüntülemesine olanak tanır. Tahmin edebileceğiniz gibi, bilgisayar korsanları tüm farklı dosyalarınızda zahmetsizce gezinebildiği ve web sitenize girmek için olası güvenlik açıklarını bulabildiği için bu, büyük güvenlik endişeleri gerektirir.
Şimdi, WordPress CMS'nin savunmasında, belirli dizinler, biri klasöre girdiğinde sunucunun anında çalıştırdığı/yüklediği bir index.php dosyaları içerir. Bu, izleyicilerin dizinlerinize göz atmasını ve site yapınıza erişmesini engeller.
Peki ya index.php dosyası yoksa?
O zaman bile, .htaccess dosyasında küçük bir ince ayar yaparak sorunlar kolayca çözülebilir. Tek yapmanız gereken .htaccess dosyasının sonuna aşağıdaki satırı eklemek ve kaydetmek.
Seçenekler Tümü - Dizinler
Bunu yaptıktan sonra, bir kullanıcı index.php dosyası olmayan dizinlerinize erişmeye çalışırsa, kullanıcıya 403 erişim yasak veya 404 sayfa bulunamadı hatası gösterecektir.
10. WordPress'i Düzenli Olarak Güncelleyin
WordPress son derece popülerdir ve World Wide Web'deki tüm web sitelerinin %30'undan fazlasına güç sağlar. Bu, CMS'yi bilgisayar korsanlarının ve kötü niyetli aktörlerin ana hedefi haline getirir. Sitenizin verilerine erişmek için yararlanabilecekleri koddaki güvenlik açıklarını ve boşlukları bulmakla her zaman meşguller.
Aynı şekilde, WordPress geliştirme ekibi de aktif olarak hataları ve güvenlik kusurlarını araştırıyor, böylece bilgisayar korsanları onları sömürmeden önce onları yamalayabilirler. Bu nedenle, WordPress'in en son sürümüne yükseltme, yalnızca yeni özelliklere ve işlevlere erişmekle ilgili değil, aynı zamanda kodun bilgisayar korsanlarının yararlanabileceği herhangi bir kusur içermediğinden emin olmakla da ilgilidir.
Artık yeni bir WordPress güncellemesi yayınlandığında, bilgisayar korsanları da dahil olmak üzere tüm dünya önceki sürümde bulunan güvenlik açıklarını öğrenebilir. Sitenizi en son yinelemeye hızlı bir şekilde yükseltmeyi ertelerseniz, bilgisayar korsanları sitenizdeki şu anda bilinen güvenlik açıklarından yararlanabilir ve WordPress güvenliğinizi eskisinden çok daha zayıf hale getirebilir. Ayrıca, WordPress PHP ile oluşturulduğundan, web sitenizin performansını ve güvenliğini artırmak için WordPress sitenizi en son PHP sürümüne yükseltmeniz de önemlidir. Herhangi bir güncelleme yapmadan önce sitenizin tam yedeğini almayı unutmayın!
11. WordPress Sürüm Numarasını Kaldırın
Yeni bir CMS güncellemesi yayınlanır yayınlanmaz WordPress web sitenizi her zaman yükseltmeniz gerekse de, bazen bu alabileceğiniz en iyi karar olmayabilir. Site yükseltmesini geciktirmenin bazı olası nedenleri, hatalı bir güncelleme, mevcut eklentileriniz ve temalarınızla uyumluluk sorunları vb. olabilir.
Ancak, az önce tartıştığımız gibi, yükseltmeyi ertelemek sizi çok sayıda güvenlik tehdidine ve hack girişimine açar. Ancak WordPress sürüm numarasını web sitenizden kaldırabilirseniz bu önlenebilir. Bu nedenle bilgisayar korsanları, sitenizin yeni keşfedilen güvenlik açıklarından yararlanma şansınızı azaltan daha eski bir sürümde çalıştığını hemen bilemezler.
Şimdi, WordPress sürüm numarasını web sitenizden kaldırmak için function.php dosyasına gitmeniz ve aşağıdaki kod parçasını girmeniz gerekiyor:
function remove_wordpress_version() {
dönüş '';
}
add_filter('the_generator', 'remove_wordpress_version');Bu, WordPress sürüm numarasını hem ana dosyanızdan hem de RSS beslemesinden kaldıracak ve bilgisayar korsanlarının hangi WordPress sürümünü kullandığınızı tahmin etmesinin bir yolu olmadığından emin olacaktır.
Sonuç olarak
Bunlar, WordPress güvenliğinizi artırmak için önerilen ipuçlarımızdan ve püf noktalarından bazılarıydı. Umarız bu yazıyı faydalı bulmuşsunuzdur ve sitenizi daha güvenli ve emniyetli hale getirmek için faydalı bir kaynak olmuştur.
Gördüğünüz gibi, iyileştirmelerin çoğu, yalnızca bazı temel bir veya iki adımı izleyerek ve bazı güvenlik eklentileri yükleyerek yapılabilir. Şimdi de dikkat etmeniz gereken bazı teknik yönler var. Ancak, WordPress blogunuz/web siteniz ile yeni başlıyorsanız, bunun için çok fazla endişelenmenize gerek yok.
Ancak siteniz büyümeye devam ettikçe, bilgisayar korsanlarının içeri girmek ve sorun çıkarmak için daha fazla çaba göstereceklerini unutmayın. Bu nedenle, her zaman en son güvenlik trendlerini takip edin, wp-config dosyanızı taşımak ve veritabanınızı koruyan parola gibi yukarıda tartışılan tüm teknik adımları kapsamaktan bahsetmeye gerek yok.
Tüm bunlar bağlamında, deneyimli kullanıcılar sohbete eğilmeye ve sitelerinin bilgisayar korsanlarından ve kötü amaçlı yazılımlardan arınmış olmasını sağlamak için kişisel taktiklerini eklemeye teşvik edilir. Diğer okuyucularınız, içgörülerinizden büyük ölçüde yararlanacak ve bu, sitelerini potansiyel siber tehditlerden korumalarına yardımcı olabilir.
İlginizi çekebilirse, bir blogdan nasıl para kazanılacağına dair kapsamlı kılavuzumuz burada.