WordPress Güvenliği - Adım Adım Tamamlama Kılavuzu (2020) - MalCare
Yayınlanan: 2023-04-21Web sitenizin güvenliği konusunda endişelenmeniz için iyi bir neden var. Raporlar bize, WordPress web sitesinde günün her dakikasında 90.000'den fazla saldırı girişimi yapıldığını söylüyor.
Birçok web sitesi sahibi, web sitelerinin bir bilgisayar korsanının dikkatini çekemeyecek kadar küçük olduğunu düşünebilir. Gerçek şu ki, küçük web siteleri güvenliği yumuşak bir şekilde ele aldığından, bilgisayar korsanları küçük web sitelerini hacklemeyi çok daha kolay buluyor.
Büyük veya küçük - her WordPress web sitesinin güvenlik önlemleri alması gerekir.
Neyse ki, web sitenizi bilgisayar korsanlarından ve botlardan korumak için yapabileceğiniz çok sayıda şey var. Bu makalede, web sitenizin güvenli olduğundan emin olmak için tam olarak hangi adımları atmanız gerektiğini göstereceğiz.
[lwptoc jumpHeadingLevel=”h1,h4,h5,h6″ jumpHeadingText=”Son Düşünceler”]
Web Sitesi Güvenliğinin Önemi
WordPress, dünyanın en popüler web sitesi oluşturma platformudur. Şu anda internette 75 milyon WordPress web sitesi var ve her gün yüzlerce yeni site oluşturuluyor. Bu tür bir popülerliğin bir bedeli vardır.
Ne kadar çok kişi kullanırsa, bilgisayar korsanları için bir hedef olarak o kadar çekici olur. Windows, Apple'ın işletim sisteminden daha büyük bir hedeftir. Chrome, istismar için Firefox'tan daha büyük bir hedeftir. Popülerlik hem iyi hem de kötü olarak daha fazla dikkat çeker.
Daha önce küçük web sitesi sahiplerinin web sitelerini ne kadar bağışık gördüklerinden ve gerekli önlemleri almadıklarından bahsetmiştik, bu da onları ideal bir hedef haline getiriyor.
Web siteniz saldırıya uğradığında, bilgisayar korsanları kötü amaçlı faaliyetler yürütmek için web sitelerini kullanır. Diğer sitelere daha büyük saldırılar başlatıyor, spam e-postalar gönderiyor, korsan yazılım depoluyor, spam bağlantıları enjekte ediyor, yasa dışı ürünler satıyor, Japon SEO Spam ile ortaklık bağlantıları oluşturuyor ve diğer şeyler olabilir.
Ve bu sorunun sonu. İşler hızla çığ gibi büyüyebilir ve arama motorları kullanıcılara yanıltıcı site uyarıları verir ve sitenizi kara listeye alabilir. Raporlar, Google'ın her hafta 50.000 web sitesini kimlik avı faaliyetleri nedeniyle ve yaklaşık 20.000 web sitesini kötü amaçlı yazılım içermesi nedeniyle kara listeye aldığını söylüyor!
Bunun dışında hosting sağlayıcıları da hesabınızı askıya alabilir. Bu, web sitenizin günlerce kapalı kalacağı ve bunun da gelir tahsilatınızı etkileyeceği anlamına gelir. Sitenizi düzeltmek için çok uzun süre beklerseniz, işletmenizde onarılamaz bir hasar meydana gelir.
Güvenlik önlemleri almanın, saldırıya uğramış bir WordPress web sitesini düzeltmekten çok daha iyi olduğu konusunda hepimiz hemfikiriz.
Size sitenizi nasıl güvenli hale getirebileceğinizi göstereceğiz ama ondan önce okuyucularımızın çoğunun düşündüğü bir soruyu ele almak istiyoruz.
[Başa Dön ↑]
Ancak WordPress Güvenli Değil mi?
WordPress çekirdeği güvenlidir. WordPress, WordPress çekirdeğini güvende tutmak için yorulmadan çalışan en iyi geliştiricilerden oluşan bir orduya sahiptir. Sürekli olarak teknolojiyi geliştiriyorlar ve herhangi bir aksaklığı veya hatayı düzeltmek için yamalar ve güncellemeler yayınlıyorlar.
WordPress çekirdeğinde uzun süredir büyük bir güvenlik açığı olmamıştır.
Buna rağmen, WordPress web sitelerinde günün her dakikasında 90.000'den fazla hack girişimi yapılmaktadır. Ve bunun arkasında iki ana sebep var.
Öncelikle, WordPress son derece popüler bir platformdur. İnternetteki yaklaşık 75 milyon web sitesi, dünyanın dört bir yanından bilgisayar korsanlığı gruplarının dikkatini çeken WordPress üzerine kuruludur.
Diğer bir sebep ise savunmasız ve güncel olmayan temaların ve eklentilerin varlığıdır. Aslında, raporlar, güncel olmayan temaların ve eklentilerin daha fazla WordPress uzlaşmasının önde gelen nedeni olduğunu gösteriyor.
(Psst — bununla ilgili daha fazla bilgiyi WordPress güvenlik güncellemeleri makalemizde bulabilirsiniz .)
Bu nedenle, WordPress'iniz güvenli bir platform olmasına rağmen, güvenliği ihlal edilmiş bir web sitesine yol açabilecek başka faktörler de vardır. Bu nedenle, aşağıdaki güvenlik önlemlerini almak, WordPress web sitelerinizi kurtarmada uzun bir yol kat edebilir.
[Başa Dön ↑]
[ss_click_to_tweet tweet=”???? Web siteniz konusunda ciddiyseniz, WordPress güvenlik en iyi uygulamalarına dikkat edin. ????” içerik=”” stil=”varsayılan”]
Bir WordPress Web Sitesinin Güvenliği Nasıl Sağlanır?
WordPress web sitenizi korumak için alabileceğiniz 15 farklı güvenlik önlemi vardır. Onlar:
- Bir WordPress Güvenlik Eklentisi Kurun
- Düzenli Yedeklemeler Alın
- İyi Bir Hosting Şirketi Kullanın
- WordPress'i Güncel Tutun
- SSL Sertifikası kullanın
- WordPress Giriş Sayfanızı Koruyun
- Güvenlik Duvarı Kurun
- Web Sitenizi Sertleştirin
- En Az Öncelikli İlkeleri Kullanın
- Şüpheli IP Adreslerini Engelleme
- Ülke Engellemeyi Uygulayın
- WordPress Sürümünü Gizle
- Etkinlik Günlüğünü Kontrol Edin
- Oturum Açmak İçin Yalnızca E-posta Adresini Kullanın
- HTTP Kimlik Doğrulaması Kullan
Gelin bu önlemlere biraz daha yakından bakalım.
1. Bir WordPress Güvenlik Eklentisi Kurun
Bir güvenlik eklentisinin veya hizmetinin birincil işlevleri taramak, temizlemek ve korumaktır. Aralarından seçim yapabileceğiniz birçok WordPress güvenlik eklentisi olsa da, tüm eklentiler etkili değildir. Bazıları birçok özellik sunabilir, ancak çok fazla gürültü yaratır. Deneyimli bir bilgisayar korsanı, web sitenizi hacklemek için bu tür güvenlik eklentilerini atlayabilir.
MalCare, piyasadaki en iyi WordPress güvenlik Tarama eklentilerinden biridir. İşte nedeni –
Ben. MalCare'in Kötü Amaçlı Yazılım Tarayıcısı
Bir WordPress kötü amaçlı yazılım tarayıcısı, tarama yapmak için kaynak gerektirir. Birçok tarayıcı, web sunucunuzun kaynaklarına güvenir, ancak bu, web sitenizin hızını yavaşlatabilir.
Bu zorluğun üstesinden gelmek için MalCare, web sitenizi taramak için kendi sunucu kaynaklarını kullanır. Web sitenizin dosyalarını kendi sunucusuna aktarır ve ardından taramayı orada çalıştırır. Bu yöntem , sitenizin tarama işlemi sırasında etkilenmemesini sağlar.
Çoğu tarayıcı yalnızca mevcut kötü amaçlı yazılımları arar, bu da yeni kötü amaçlı yazılım türlerini kaçırdıkları anlamına gelir. MalCare, yenileri de dahil olmak üzere tüm kötü amaçlı yazılım türlerini tanımlamak için tasarlanmıştır .
ii. MalCare'in Kötü Amaçlı Yazılımını Kaldırma
MalCare, en hızlı kötü amaçlı yazılım temizleme hizmetini sunar. Çoğu WordPress güvenlik hizmeti, bilet tabanlı temizlik sunar. Bu durumda, web siteniz saldırıya uğrarsa, bir bilet oluşturmanız, kötü amaçlı yazılım temizleme ücretini ödemeniz ve ardından güvenlik personelinin sitenizi temizleyip size geri dönmesini beklemeniz gerekir. Bu süreç zaman alıcıdır ve sitenize bir üçüncü tarafa erişim vermeyi içerir.
MalCare's Cleaner farklı çalışır. Bir hacklemenin ardından zaman çok önemlidir. Ne kadar uzun sürerse, Google'ın web sitenizi kara listeye alma veya web barındırıcılarının sitenizi askıya alma şansı o kadar artar. Bu nedenle MalCare, bir bilgisayar korsanı web sitesini temizlemek için anında WordPress kötü amaçlı yazılım temizleme hizmeti sunar. Tek yapmanız gereken bir düğmeyi tıklamak , arkanıza yaslanın ve eklentinin sitenizi dakikalar içinde temizlemesine izin verin.
iii. MalCare'in WordPress Koruma Önlemleri
Güvenlik Duvarı kullanmaktan Ülke Engellemesine ve Web Sitenizi Sertleştirmeye kadar şimdiye kadar bahsettiğimiz tüm önlemler, MalCare'in yalnızca bir düğmeye basarak almanızı sağlayan koruyucu önlemlerdir.
MalCare Nasıl Kullanılır?
- MalCare'i kullanmak için önce eklentiyi indirip web sitenize yüklemeniz gerekir.
- Ardından sitenizi MalCare kontrol paneline ekleyin. Eklenti, web sitenizi hemen taramaya başlayacaktır. Web sitenizde herhangi bir kötü amaçlı dosya bulursa size haber verir.
- MalCare'in Otomatik Temizleme düğmesini kullanarak sitenizi hemen temizleyebilirsiniz.
[Başa Dön ↑]
2. Düzenli Yedeklemeler Alın
Yedeklemeler güvenlik ağınızdır. Web sitenizde bir şeyler ters giderse, web sitenizin bir kopyasına sahipseniz normale döndürebilirsiniz.
Orada birçok yedekleme eklentisi var. Mevcut çok sayıda seçenekle, hedefe uygun olmayan bir hizmetle sonuçlanmak gerçekten kolay olabilir. Doğru yedekleme hizmetini seçmek için, bir yedekleme eklentisini nasıl seçeceğinizi bilmeniz gerekir.
Ayrıca, yedekleme eklentilerini incelemek zaman alan ve pahalı bir iş olacaktır. Neyse ki, piyasadaki başlıca WordPress yedekleme eklentileri arasında bir karşılaştırma yaptık. En iyi WordPress yedekleme eklentilerine bir göz atın.
[Başa Dön ↑]
3. İyi Bir Hosting Şirketi Kullanın
En popüler iki barındırma sağlayıcısı, paylaşımlı barındırma ve yönetilen barındırmadır.
Paylaşılan barındırma, daha ucuz olduğu için popülerdir. Dünya çapında milyonlarca insanın büyük bir yatırım yapmadan kendi web sitelerini kurmasını sağladı. Ancak paylaşımlı barındırmada, bir sunucuyu diğer bilinmeyen web siteleriyle paylaşıyorsunuz. Ve genellikle bir web sitesinin güvenliği ihlal edildiğinde, aynı sunucudaki diğer web siteleri etkilenir. Bu nedenle, popüler olmasına rağmen, paylaşılan barındırma sağlayıcıları, tehdit edici durumlarla başa çıkmak için yeterli donanıma sahip değildir.
Özel bir sunucuya paranız yetiyorsa, her zaman onu seçin. Bir WordPress web sitesini güvenli tutmak için daha iyi bir iş çıkarır. Web barındırmanın web sitesi güvenliğini nasıl etkilediğini kontrol edebilirsiniz.
Aralarından seçim yapabileceğiniz birçok barındırma sağlayıcısı olduğundan, en iyi WordPress barındırma karşılaştırmasını yaptık. Umarım, hangi web barındırma sağlayıcısını seçeceğinize karar vermenize yardımcı olur.
[Başa Dön ↑]
4. WordPress Web Sitesini Güncel Tutun
Diğer tüm yazılımlar gibi, eklentiler, temalar ve hatta WordPress çekirdeği zaman içinde güvenlik açıkları geliştirir.
Geliştiriciler güvenlik açıklarını öğrendiklerinde güncelleme biçiminde bir yama yayınlarlar. Web sitesi sahipleri sitelerini güncellemediğinde güvenlik açıkları devam eder.
Bir yama yayınladıktan sonra, geliştiriciler güncellemenin nedenlerini duyurur, bu da güvenlik açığının kamuya açıklandığı anlamına gelir. Bilgisayar korsanları artık güvenlik açığının ve hangi sürümde bulunduğunun farkındalar. Her web sitesi sahibinin sitelerini hemen güncellemeyeceğinin farkındadırlar, bu nedenle güvenlik açığı bulunan sürümde çalışan web sitelerini aramaya başlarlar. Bu zaman aralığı, onlara çok sayıda siteyi başarılı bir şekilde hackleme şansı verir.
Örnek olarak, istatistikler web sitelerinin %80'inden fazlasının güncellenmedikleri için saldırıya uğradığını gösteriyor!
WordPress sitenizi düzenli olarak güncellemelisiniz. WordPress web sitenizi güvenli bir şekilde nasıl güncelleyeceğinizi öğrenin.
Uzun süredir geliştiricileri tarafından güncellenmeyen eklentiler ve temalar olduğunu fark edebilirsiniz. Çoğu durumda, yazılım geliştiriciler tarafından terk edilir. Eklentiyi veya temayı web sitenizden kaldırıp alternatif bir tema yüklemek en iyisidir.
[Başa Dön ↑]
5. Bir SSL Sertifikası Kullanın
Bu web sitesinin URL'sine hızlıca bir göz atın.
Kilidi fark ettiniz mi? Bu kilit, sitenin bir SSL sertifikası kullandığı anlamına gelir. SSL, tarayıcı ve web sitesi arasında aktarılırken verileri şifreleyen güvenli bir soket katmanıdır.
Neden? Çünkü bir ziyaretçinin tarayıcısından web sitenize aktarılan veriler (kredi kartı bilgileri gibi) ele geçirilebilir ve çalınabilir. Yani veriler çalınsa bile şifrelenmişse bilgisayar korsanları kullanamaz.
İşte web sitenize bir SSL sertifikası yüklemenize ve WordPress Sitesini HTTP'den HTTPS'ye Taşımanıza yardımcı olacak bir kılavuz.
[Başa Dön ↑]
6. WordPress Giriş Sayfanızı Koruyun
Giriş sayfası, bir WordPress sitesinin en sık saldırıya uğrayan bölümlerinden biridir. Bilgisayar korsanları, oturum açma kimlik bilgilerini tahmin etmeye ve onlara web sitesi üzerinde tam kontrol sağlayacak WordPress yönetici alanına erişmeye çalışır. Bu nedenle, WordPress giriş sayfanızda doğru korumayı uygulamak önemlidir. Giriş sayfanızı korumanızı ve WordPress giriş güvenliğini artırmanızı sağlayacak farklı tekniklere bakalım.
Ben. Benzersiz Kullanıcı Adı Kullan
Kullanıcı adınızı tahmin etmek kolaysa, bilgisayar korsanının yalnızca parolayı bulması gerekir. Endişelenecek bir şeyin daha az olması, bir bilgisayar korsanının işini çok daha kolaylaştırır.
En yaygın WordPress kullanıcı adlarından biri 'admin'dir. Birkaç yıl öncesine kadar, WordPress insanları kullanıcı adı olarak 'admin' kullanmaya teşvik ediyordu. WordPress artık otomatik olarak 'admin' önermese de, hala yaygın olarak kullanılmaktadır. Bu nedenle, yöneticilerinizin bu sık kullanılan kullanıcı adlarıyla birlikte kullanıcı adı olarak “admin” kullanmaktan kaçınmasını sağlamak için önlemler almalısınız.
Her yeni kullanıcı hesabı oluşturulduğunda bu listeye başvurmak, WordPress'inizi güvende tutmak için uzun bir yol kat edebilir. Ayrıca, mevcut kullanıcılarınızdan herhangi biri ortak kullanıcı adları kullanıyorsa, değiştirmelerini söyleyin. İşte WordPress Kullanıcı Adı Nasıl Değiştirilir? konusunda faydalı bulacakları bir kılavuz.
ii. Görünen Adınızı Değiştirin
Bilgisayar korsanları sitenize sızmak için web sitenizi gözden geçirir ve görünen adları alır. Oturum açmaya çalışmak için bu adların farklı kombinasyonlarını kullanırlar. Bilgisayar korsanları, aynı kullanıcı adına ve görünen ada sahip olmanın alışılmadık bir durum olmadığını bilirler. Örneğin, Sophia Lawrence bir görünen adsa, kullanıcı adı olarak sophialawrence veya sophia.lawrence veya sophia kullanarak oturum açmaya çalışabilirler.
Dolayısıyla, sitenizi bundan korumak için görünen adınızı değiştirebilirsiniz.
'Profilimi Düzenle'ye gidin. Ve sonra 'Takma adınızı' değiştirin. Güncellemeyi kaydedin. Şimdi, 'Adı Genel Olarak Farklı Göster'i seçin. Yeni görünen adı göreceğiniz bir açılır menü görünür. Onu seçin ve ayarı kaydedin.
Bilgisayar korsanları, görünen adı kullanmaya çalışırlarsa kaçınılmaz olarak başarısız olurlar.
[Başa Dön ↑]
iii. Kullanıcı Adının Keşfedilmesini Engelle
Görünen adın yanı sıra, web sitenizden kullanıcı adını keşfetmek için kullanılabilecek başka bir yöntem de WordPress Rest API'sidir. Bu ciddi bir WordPress güvenlik sorunudur. 2016'da kullanıma sunulan bu temel WordPress özelliği, herkesin sitenizdeki kullanıcı bilgilerini keşfetmesine olanak tanır. Tek yapmaları gereken basit bir URL çalıştırmak: example.com/wp-json/wp/v2/users
Bunun olmasını önlemek için, functions.php dosyasında aşağıdaki kod parçacığını kullanın. URL'yi tekrar çalıştırmayı denerseniz, kullanıcının listesini gizler ve size 500 hatası verir.
[php]
add_filter('rest_endpoints', function($endpoints){
if ( isset( $bitiş noktaları['/wp/v2/users'] ) ) {
unset( $bitiş noktaları['/wp/v2/users'] );
}
if ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\\d]+) '] ) ) {
unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\\d]+)'] );
}
$bitiş noktaları döndür;
});
[/php]
Kullanıcı adı, bir oturum açma kimlik bilgisinin iki bileşeninden biridir. İkinci bileşen olan parolaya bakalım ve onu bilgisayar korsanlarından nasıl koruyacağımızı bulmaya çalışalım.
[Başa Dön ↑]
iv. Güçlü Parolaları Zorlayın
Herhangi bir şifre web sitemi koruyacak, bu yeterli değil mi? Cevap hayır çünkü bilgisayar korsanları içeri girmek için sürekli olarak WordPress sitelerinin şifrelerini tahmin etmeye çalışıyor.
Birkaç dakika içinde kimlik bilgilerinizi tahmin etmeye çalışan milyonlarca oturum açma denemesi yapmak için botları programladıkları, kaba kuvvet saldırıları adı verilen bir teknik kullanırlar.
Passw0rd123$ gibi kolay bir parola kullanırsanız, bot birkaç tahminde parolayı çözecektir. Bu nedenle benzersiz ve karmaşık bir parolaya sahip olmak önemlidir.
WordPress, kullanıcıları otomatik olarak güçlü parolalar oluşturmaya teşvik eder, ancak yine de zayıf bir parola kullanarak bir hesap oluşturabilirsiniz. Bu nedenle, güçlü parolalar kullanma sorumluluğu size düşüyor.
Güçlü parolalar kullanmak için WordPress yöneticilerinizi eğitebilirsiniz. Güçlü bir parola belirleme yönergeleri aşağıdaki gibidir:
– Uzun Parolalar Oluşturun
Genel olarak, 8-10 karakteri aşan parolalar güçlü kabul edilir ve tipik olarak kırılması zordur. Parolanıza eklediğiniz her karakter onu daha güçlü hale getirir. Ancak, son birkaç yılda, şifre kırma teknolojisi önemli ölçüde ilerledi. Bu nedenle, birçok WordPress güvenlik personeli, 15 karakter uzunluğunda parolalar kullanmanızı önerir.
- Uzun parola: pd&&)xG56ZhLNrjl4jjNJ4#h (hatırlaması zor)
- Uzun parola: Hiçbir şey bilmediğiniz için kurdu beyazdı John Snow (hatırlaması kolay)
– Büyük Harf, Küçük Harf ve Özel Karakterlerin Bir Kombinasyonunu Kullanın
Kaba kuvvet saldırılarında, botlar şifre kırma prosedürlerini gerçekleştirmek üzere programlanmıştır. Belirli yönergeleri izlerler, örneğin, farklı küçük harflerin ('a', 'b', 'c' vb.) bir kombinasyonunu bularak doğru şifreyi tahmin etmeye çalışırlar. 'Testpass' gibi kolay bir parola kullanmak, yalnızca birkaç deneme yaptıktan sonra parolayı kırabilecekleri anlamına gelir.
Bu nedenle, hem küçük hem de büyük harflerin bir kombinasyonunu kullanırsanız, şifreyi bulmaları uzun zaman alacaktır. Ancak, gerçekten iyi programlanmış bir bot, her saniye birkaç milyon parola deneyebilir. Bu nedenle, özel karakterlerin, sayıların, küçük ve büyük harflerin karıştırılması, ideal olarak parolayı tahmin edilemez ve kırılması zor hale getirmelidir.
- Büyük harf ekleme – TestPass
- Rakam ve sembol ekleyin – TestPass123$
– Ortak Kelimeleri ve Genel Olarak Bilinen Ayrıntıları Kullanmaktan Kaçının
'Test', 'admin', 'login' gibi yaygın sözcükler, WordPress kullanıcılarının kullanma eğiliminde olduğu yaygın sözcüklerdir. Bunlar, botların ilk denediği şifrelerden bazılarıdır, dolayısıyla bunları kullanmaktan kaçının. Splashdata tarafından hazırlanan bir infografike göre, en sık kullanılan ilk 25 şifre şunlardır:
- "Beyzbol", "futbol" ve "Yıldız Savaşları", "Prenses", "Tek Kişilik" vb. Gibi Ortak Sporlar ve İlgi Alanları
- '87654321', '0123456' vb. gibi Sıradaki Numaralar
- 'abc123' gibi Sıralı Harfler , vb.
Web sitenizi hedefleyen bilgisayar korsanları, sitenizden ayrıntıları alabilir ve bunları deneyebilir. Örneğin, en sevdiğiniz TV programı Game of Thrones etrafında oluşturulmuş bir web siteniz varsa, botlar sitelerinize girmek için 'GoThrones123' veya 'gameofthrones123' gibi ifadelerin çeşitli kombinasyonlarını dener. Bunun olmasını önlemek için, web sitesiyle ilgili hiçbir şeyden bahsetmeyen bir şifre tasarlayın.
Parolaların güvenliğini sağlamak, güvenlik ihlali olasılığını en aza indirir. Ancak elinizde birkaç numara yoksa, güçlü parolaları hatırlamak zordur.
[Başa Dön ↑]
v. CAPTCHA Tabanlı Koruma
Benzersiz kullanıcı adları ve güçlü parolalar kullanmanın yanı sıra, CAPTCHA'ları kullanmak, WordPress web sitenize kaba kuvvet saldırılarını önlemenin başka bir mükemmel yoludur.
Belirli sayıda başarısız oturum açma girişiminin ardından, kullanıcının insan mı yoksa bot mu olduğunu belirlemek için bir CAPTCHA oluşturulur. CAPTCHA'lar botlar tarafından okunamayacak şekilde tasarlanmıştır. Bu nedenle kaba kuvvet saldırılarını engeller çünkü botlar CAPTCHA'yı çözene kadar oturum açma sayfasına erişemez.
MalCare gibi WordPress güvenlik eklentileri, yalnızca gerçek bir insan kullanıcı tarafından çözülebilen görüntü tabanlı CAPTCHA oluşturur.
Bilgisayar korsanı botlarının kimlik bilgilerinizi kırmasını önlemek için tasarlanan CAPTCHA'lar harikadır.
[Başa Dön ↑]
vi. İki Faktörlü Kimlik Doğrulamayı Uygulayın
Facebook ve Gmail gibi popüler hizmetlerin, oturum açmaya çalıştıklarında kullanıcıların kimliğini nasıl doğruladığını fark ettiniz mi? Hesabınızla ilişkili akıllı telefona, kullanıcının doğrulanmasına yardımcı olan bir kod gönderilir. Bu, iki faktörlü kimlik doğrulama olarak bilinir.
WordPress, iki faktörlü kimlik doğrulama sunmaz. Bu nedenle, bunu WordPress sitenize uygulamak için WordPress İki Faktörlü Kimlik Doğrulaması Nasıl Eklenir hakkındaki bu kılavuzu takip edebilirsiniz.
[Başa Dön ↑]
[ss_click_to_tweet tweet=”Her gün yüzlerce web sitesi saldırıya uğruyor. Bugün önlem alın ve web sitenizi bilgisayar korsanlarından ve botlardan koruyun. ” içerik=”” stil=”varsayılan”]
7. Bir Güvenlik Duvarı Kurun
Web sitenize aldığınız yüzlerce ziyaretten bazıları kötü amaçlıdır. Bu tür ziyaretçiler, sitenizin kontrolünü ele geçirmek için yararlanabilecekleri güvenlik açıklarını bulmak amacıyla sitenize gelirler.
Bir WordPress güvenlik duvarı, web sitenize yapılan her ziyaretçi isteğini kontrol eder. Ziyaretçinin kullandığı cihaz ne olursa olsun - masaüstü, akıllı telefonlar, tabletler, dizüstü bilgisayarlar - her cihaz bir IP adresiyle ilişkilendirilir. İstek şüpheli bir IP'den gelirse ziyaretçi engellenir, aksi takdirde siteye girmesine ve erişmesine izin verilir. İyi bir güvenlik duvarı, kötü niyetli trafiğe karşı ilk savunma hattınızdır.
MalCare'in sunduğu gibi bir WordPress güvenlik duvarı eklentisi, daha iyi güvenlik sunan gelişmiş bir güvenlik duvarı ile birlikte gelir. Sadece sitenize yapılan trafik isteklerini kontrol etmez, aynı zamanda kötü trafiği de kaydeder. Yani yeni bir kötü IP ile karşılaştığında bunun kaydını tutar. Kötü IP web sitenize tekrar erişmeye çalışırsa, hemen engellenir.
[Başa Dön ↑]
8. Web Sitenizi Sertleştirin
Bilgisayar korsanlarının yararlandığı bir WordPress web sitesinin bazı ortak alanlarını belirledik. Örneğin, web sitenize erişmek için güvenlik anahtarlarınızı kullanmak veya web sitenize kötü amaçlı eklentiler veya temalar yüklemek olabilir. Web sitenizi bilgisayar korsanlarından korumak için, web sitenizi güçlendirecek adımlar atmanız gerekir.
WordPress sertleştirme önlemleri almanıza yardımcı olacak bir kılavuzumuz var.
[Başa Dön ↑]
9. En Az Öncelikli İlkeleri Kullanın
WordPress, 6 varsayılan WordPress kullanıcı rolü sunar: Yönetici, Düzenleyici, Yazar, Katkıda Bulunan, Abone ve Süper Yönetici. Bu rollerin tahsisi dikkatlice yapılmalıdır. Her rolün kendi gücü ve sorumlulukları vardır. Onlara bir göz atalım:
Yönetici, hiyerarşinin en üstünde yer alır. Web sitesi üzerinde tam kontrole sahiptir ve aşağıdaki işlevleri yerine getirebilir:
- İçerik oluşturun, düzenleyin ve silin
- Eklentileri ve tema kodunu düzenleyin
- Tüm eklentileri ve temaları yönetin
- Kullanıcı hesapları oluşturun, değiştirin ve silin
Hiyerarşide aşağı inildikçe haklar azalır. Editör büyük değişiklikler yapamaz, ancak kategorileri ve bağlantıları yönetebilir, yorumları yönetebilir, bir gönderiyi ve sayfaları oluşturabilir, düzenleyebilir ve silebilir. Yazar, katkıda bulunan ve abonenin daha az izni vardır.
En büyük sorumluluk bir Yöneticinin sorumluluğudur, hakları kötüye kullanmayacağından emin olduğunuz kişilere verilmesi gereken haklardır.
Yanlış türden kişiler yönetici erişimi kazanırsa, rolden yararlanabilirler. Sahte eklentiler ve temalar yükleyebilir, verilerinizi çalabilir ve bir fiyata satabilir, diğer şeylerin yanı sıra yasa dışı dosya ve klasörleri depolayabilirler.
[Başa Dön ↑]
10. Şüpheli IP Adreslerini Engelleme
Web sitenizde MalCare gibi bir WordPress güvenlik eklentisi yüklüyse, başarısız bir şekilde oturum açmaya çalışan IP adreslerinin günlüğünü gözden geçirin.
Bazılarının "adm2016" gibi yaygın kullanıcı adlarını (bundan 'Benzersiz Kullanıcı Adı Kullan' bölümünde bahsetmiştik) nasıl kullanabileceğine dikkat edin. Aşağıdaki bu resim, web sitelerimizden birinde yapılan başarısız oturum açma girişimlerinin bir kaydıdır.
Bu kötü amaçlı IP adreslerini engellemek için kodu .htaccess dosyanıza yerleştirin:
[php]
izin ver, reddet
61.134.52.164'ten reddet
hepsinden izin ver
[/php]
“61.134.52.164” kısmını yasaklamak istediğiniz IP adresi ile değiştirin ve dosyayı kaydedin.
[Başa Dön ↑]
11. Ülke Engellemesini Uygulayın
World Wide Web, bilgisayar korsanlarına dünyanın her yerindeki web sitelerine erişim sağlar. New York'tan bir web sitesini hedefleyen Rusya'da bulunabilirler.
İstatistikler, bilgisayar korsanlığı girişimlerinin kaynaklandığı ilk beş ülkenin Çin, Amerika Birleşik Devletleri, Türkiye, Brezilya ve Rusya olduğunu gösteriyor.
MalCare'i yüklediyseniz, web sitenize giriş yapmaya çalışan kullanıcıları kontrol etmek kolaydır. Menşe ülkelerini görebilirsiniz.
Yalnızca ABD'de bulunan kullanıcılarınız varsa, diğer ülkelerden yapılan oturum açma girişimleri büyük olasılıkla kötü amaçlıdır.
Yukarıdaki görselde Amerika Birleşik Devletleri, Birleşik Krallık, Rusya ve Çin olmak üzere dört farklı ülkeden giriş denemelerinin yapıldığını görebiliriz.
Şimdi, ABD gibi yalnızca belirli ülkeleri hedefliyorsanız, diğer ülkelerden gelen trafiğe ihtiyacınız yoktur, bu nedenle Birleşik Krallık, Rusya ve Çin'i engelleyebilirsiniz.
Ülke engellemeyi nasıl uygulayacağınızı öğrenmek için, WordPress'te Bir Ülke Nasıl Engellenir?
[Başa Dön ↑]
12. WordPress Sürümünü Gizle
Bir bilgisayar korsanının, bilinen WordPress güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmesinin başka bir yolu da, kullandığınız WordPress sürümüne bakmaktır. Bazen web sitesi sahipleri, sitelerini savunmasız bırakan yeni WordPress güncellemelerini kaçırır.
Bilgisayar korsanları, çekirdek WordPress kurulumunun önceki sürümünde var olabilecek herhangi bir güvenlik açığından yararlanabilir. Bu nedenle, kullandığınız WordPress sürümünü gizlemek faydalı olabilir.
Bunu yapmak için function.php dosyasına bir kod yerleştirmeniz gerekir.
Adım 1: Ana bilgisayar hesabınıza giriş yapın. cPanel > Dosya Yöneticisi > public_html'ye erişin.
Adım 2: Public_html klasöründe, wp-content'e erişin ve aktif temanızın klasörünü seçin.
Örneğin, varsayılan WordPress teması Twenty-Nineteen kullanıyorsanız, “yirmiteenteen” adlı klasörü seçin.
Şu anda web sitelerimizde kullandığımız temanın 'personalblogily' olduğunu unutmayın, farklı bir tema kullanıyor olabilirsiniz.
Adım 3: function.php dosyasına sağ tıklayın ve Düzenle'yi seçin. Buraya aşağıdaki kodu yerleştirin.
[php]
işlev wpbeginner_remove_version() {
geri dönmek ";
}
add_filter('the_generator', 'wpbeginner_remove_version');
[/php]
Dosyayı kaydedin ve bu, WordPress sürüm numarasının sitenizin herhangi bir yerinde görüntülenmesini kaldıracaktır.
[Başa Dön ↑]
13. Etkinlik Günlüğünü Kontrol Edin
WordPress web sitenizde olup biten her şeyi dikkatli bir şekilde takip etmek, şüpheli davranışları erken bir aşamada belirlemenizi sağlar. Bu, olası kötü amaçlı saldırı saldırılarını gerçekten gerçekleşmeden önce engellemenize ve WordPress web sitenize zarar vermenize yardımcı olacaktır.
Bunu, WordPress web sitenizde gerçekleşen her şeyin kaydını bir WordPress etkinlik günlüğünde tutmak için bir eklenti yükleyerek yapabilirsiniz. Aralarından seçim yapabileceğiniz birkaç farklı eklenti var. WP Security Audit Log böyle bir eklentidir.
14. Oturum Açmak İçin Yalnızca E-posta Adresini Kullanın
WordPress oturum açma sayfasında, oturum açmak için kullanıcı adınızı veya e-posta kimliğinizi kullanabilirsiniz. Bu nedenle, kullanıcı adı kullanımının devre dışı bırakılması, bilgisayar korsanlarının web sitenize kaba kuvvet saldırıları gerçekleştirmesini engelleyebilir.
Web sitenize giriş yapmak için kullanıcı adlarının kullanılmasını engellemenizi sağlayan E-posta Adresiyle Oturum Açma Yok gibi eklentiler vardır.
[Başa Dön ↑]
15. HTTP Kimlik Doğrulaması Kullanın
HTTP kimlik doğrulaması, WordPress giriş sayfası üzerinde bir koruma katmanı sunar ve WordPress güvenliğine yönelik önemli bir adımdır. Sayfaya erişmek için kullanıcının HTTP kimlik bilgilerini girmesi gerekir. Bu olmadan, sitenizin giriş sayfasına erişmelerine izin verilmeyecektir.
HTTP Kimlik Doğrulaması gibi eklentiler, giriş sayfanız üzerinde bu koruyucu katmanın kurulmasına yardımcı olur. HTTP kimlik doğrulama bilgilerini kullanıcılarınızla paylaşmayı unutmayın. Aksi takdirde, kendilerini kilitli bulurlar ve sitenize giriş yapamazlar.
Bununla birlikte, WordPress web siteleri için gelişmiş güvenlik önlemlerinin sonuna geldik.
[Başa Dön ↑]
Yaygın Ama Eskimiş WordPress Güvenlik Önlemleri
WordPress güvenlik dünyasında, site sahiplerinin alma eğiliminde olduğu pek çok tavsiye vardır. Ancak bu tavsiyelerin bazıları çok etkili değil. Büyük dezavantajlarla birlikte gelen bazı yaygın güvenlik tavsiyelerini listeleyeceğiz. Bilgisayar korsanları bu önlemleri aşmanın yollarını bulduklarından, bu önlemler web sitenizi gerçekten güvence altına almaz.
- WordPress Giriş Sayfasını Gizle
- Parolaları Süresi Dolacak Şekilde Ayarlayın
- Etkinlik Olmadığında Otomatik Oturum Kapatma
1. WordPress Giriş Sayfasını Gizle
Bilgisayar korsanları nadiren tek bir web sitesini hedefler. WordPress oturum açma sayfalarına saldırı başlatmak için otomatik botlar programlıyorlar. WordPress'i yeterince uzun süre kullanmış olan herkes, WordPress web sitelerinin şuna benzeyen varsayılan bir oturum açma sayfası URL'si ile geldiğini bilir: ' example.com/wp-admin' .
Bu, otomatik botların işini çok daha kolay hale getirir. Bu nedenle, web sitenizin oturum açma sayfasını 'example.com/wrongpage' gibi bir şeye değiştirmek, yaklaşmakta olan bir saldırıyı saptırabilir.
WPS Girişi Gizle, WP-Admin'i Gizle vb. gibi WordPress giriş sayfanızı gizlemenize yardımcı olabilecek çeşitli eklentiler vardır.
Dezavantaj: Bu, otomatik saldırı girişimlerini kolayca engelleyebilse de, web sitenizin güvenli olacağını garanti etmez. Bunun başlıca nedeni, WPS Hide Login gibi araçların varsayılan bir oturum açma URL'si sunmasıdır. Dolayısıyla, aracı kullanan yüzbinlerce web sitesi, giriş sayfaları için aynı URL'yi kullanıyor. Bilgisayar korsanları, URL biçimini kolayca bulabilir ve saldırılar başlatabilir.
Ayrıca, tüm kullanıcıları düzgün bir şekilde bilgilendirmeden giriş sayfasını gizlemek çok zahmetli olabilir. Hatta bir günlük çalışmanıza mal olabilir.
[Başa Dön ↑]
2. Parolaları Süresi Dolacak Şekilde Ayarlayın
E-bankacılık hizmetlerinde, belirli bir süre geçtikten sonra şifreleri değiştirmenizi istediklerini fark etmişsinizdir. Bu, hesabınızın saldırıya uğraması durumunda bilgisayar korsanının hesabınızı kullanmak için yalnızca sınırlı bir pencereye sahip olmasını sağlayan bir güvenlik önlemidir. Aynı önlemi WordPress web sitelerinize uygulamak hasarı azaltır.
Expire Passwords eklentisini kullanarak, kullanıcı parolalarının belirli sayıda gün sonra sona erecek şekilde ayarlayabilirsiniz. Tüm kullanıcılar şifrelerini güncellemek zorundadır.
Dezavantajı: Bu önlem bir miktar güvenlik sağlar, ancak bilgisayar korsanları bunu aşmanın yollarını bulur. Örneğin, sitenizi hacklediklerinde yeni kullanıcı hesapları oluştururlar veya gizli arka kapılar kurarlar. Bu nedenle, şifrenizi düzenli olarak değiştirseniz bile, zaten başka erişim noktaları oluşturmuşlardır.
[Başa Dön ↑]
3. Etkinlik Olmadığında Otomatik Oturum Kapatma
Birden fazla kullanıcısı olan web sitelerinde, kullanıcı haklarının kötüye kullanılması olasılığı yüksektir. Uzaktan çalışan kullanıcılar için daha da yüksektir. Bir kullanıcı acil işleriyle ilgilenmek için masasından ayrılmak zorunda kalabilir ve oturumu kapatmayı unutabilir.
Ya birisi bu süre zarfında web sitesini kötüye kullanırsa? Bu tür kötüye kullanım riskini azaltmak için, WordPress web sitenizi, uzun süre etkin olmayan kullanıcıların oturumlarını otomatik olarak kapatacak şekilde ayarlayabilirsiniz.
Etkin Olmayan Oturum Kapatma eklentisi, Boş Oturum Oturumu Kapatma özelliği sunar. Bu, 10 veya 20 dakika gibi kabul edilebilir bir hareketsizlik süresi belirlemenizi sağlar ve ardından kullanıcının oturumu otomatik olarak kapatılır.
Dezavantajı: Ancak, birisi sitenizde dolaşmak isterse, kullanıcı ayrıldıktan hemen sonra yapacaktır. Bu gibi durumlarda boşta kalan kullanıcıların oturumlarını kapatmaları, kullanıcı haklarının kötüye kullanılmasını engelleyemez.
[Başa Dön ↑]
[ss_click_to_tweet tweet=”Sitenizin güvenliği konusunda endişeli misiniz? ???? Web sitenizi güvenlik açıklarına karşı korumak için bu eyleme geçirilebilir adımları atın." içerik=”” stil=”varsayılan”]
Son düşünceler
Bunun gerçekten uzun bir okuma olduğunu ve biraz da bunaltıcı olduğunu biliyoruz. Ancak kestirmeye gitmeden önce, yapmanızı önerdiğimiz şey şu:
- Bu makaleye yer işareti koyun.
- Arkadaşlarınızla ve komşularınızla paylaşın - rehberimizi takip etmenin fayda sağlayacağını düşündüğünüz herkes.
- WordPress blogumuzdan WordPress Sitenizi wp-config.php ile Güvenli Hale Getirin gibi diğer kılavuzlara göz atın.
Bu makaleyi yararlı bulduğunuzu içtenlikle umuyoruz. Size son bir düşünce bırakmak istiyoruz - tüm bu güvenlik önlemlerini almak çok zor olabilir, bu nedenle düzenli WordPress güvenlik denetimleri yapmanızı ve güvenliği sizin için halledecek MalCare gibi premium bir WordPress güvenlik eklentisini seçmenizi öneririz.
MalCare ile güvenlik duvarı, düzenli kötü amaçlı yazılım taramaları, WordPress güçlendirme ve çok daha fazlası gibi şık güvenlik özelliklerine erişebileceksiniz. Sitenizin güvenliğinin sağlandığını bilerek içiniz rahat olabilir.
WordPress Güvenlik Eklentimizi Deneyin – MalCare Hemen Şimdi!