2024'te İhtiyaç Duyacağınız Tek WordPress Güvenlik Kontrol Listesi

WordPress güvenli bir içerik yönetim sistemidir (CMS), ancak web sitenizi kurma ve yapılandırma şekliniz güvenlik düzeyini etkileyebilir. Sitenizi korumak için gerekli adımları atmazsanız veri ihlaliyle karşı karşıya kalabilir veya içeriğinizi kaybedebilirsiniz.

Size yardımcı olmak için en iyi WordPress güvenlik kontrol listesini oluşturduk. Bu, web sitenizi botlara ve saldırganlara karşı korumak için ihtiyaç duyduğunuz tüm adımlarda size yol gösterecektir.

Bu yazıda WordPress'in yerleşik güvenlik özelliklerine bir göz atacağız. Ardından sitenizi daha fazla korumak için yapabileceğiniz 30 şeyi size göstereceğiz.

WordPress yerleşik güvenlik sunuyor mu?

Evet, WordPress bazı güvenlik önlemleri sunmaktadır. Yönetici kontrol paneliniz, kullanıcıların geçerli bir kullanıcı adı ve şifre girmesini gerektiren bir giriş sayfası tarafından korunmaktadır.

CMS ayrıca güvenlik açıklarını ortadan kaldırmak için düzenli yamalar ve güncellemeler alır. Genel olarak konuşursak, WordPress'i ve bileşenlerini güncel tutarsanız en yaygın güvenlik açıklarından kurtulursunuz.

Bunu söyledikten sonra dikkate alınması gereken insan unsuru da var. Çoğu durumda WordPress siteleri, oturum açma kimlik bilgilerinin paylaşılması veya yeniden kullanılması gibi insan hatası nedeniyle saldırıya uğrar. Bir saldırgan yüksek düzeyde ayrıcalıklara sahip bir hesaba erişim kazanırsa web sitenize zarar verebilir.

CMS çok popüler bir platform olduğundan saldırganlar, bilinen güvenlik açıklarına sahip WordPress sitelerini bulmaya çalışarak web'i tarar. Siteniz ne kadar büyürse, hedef de o kadar büyük olur.

Bir WordPress sitesini korumanın en kolay yolu nedir?

Bir WordPress web sitesinin güvenliğini sağlamak, sitenizin yapılandırmasını değiştirmenizi ve saldırganların sızmasını zorlaştıracak çeşitli özellikler eklemenizi gerektirir. Bu WordPress güvenlik kontrol listesinin tamamını takip edecek zamanınız yoksa, yapabileceğiniz en iyi şey bir güvenlik yüklemektir. Eklenti.

Jetpack Security, otomatik kötü amaçlı yazılım taraması ve kaldırılması, spam koruması ve gerçek zamanlı yedeklemeler gibi çeşitli güvenlik özelliklerine erişmenizi sağlar.

Hiçbir eklentinin web sitenizi karşılaşabileceği tüm potansiyel tehditlere karşı koruyamayacağını unutmamak önemlidir. Bu nedenle, verilerinizi koruma ve sıkı çalışma konusunda ciddiyseniz sitenizi daha da güvenli hale getirmek isteyeceksiniz.

Örneğin, güçlü şifreleri zorunlu kılmak ve iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmek isteyeceksiniz. Kontrol listemizde bu güvenlik önlemlerine (ve diğerlerine) daha yakından bakacağız.

30 adımlı WordPress güvenlik kontrol listesi

Bu güvenlik önlemlerinin tümü üzerinde aynı anda çalışmanıza gerek olmadığını unutmayın. Kontrol listesindeki her öğenin üzerini çizmek biraz zaman alabilir ancak bunların çoğu yalnızca bir kez uygulamanız gereken düzeltmelerdir.

İşte sitenizin güvenliğini artırmanın 30 yolu.

1. WordPress’i güncel tutun

Güncel olmayan WordPress kurulumları belki de güvenlik ihlallerinin en büyük nedenidir. Pek çok kullanıcı, sitelerindeki eklentiler ve temalarla birlikte WordPress'i de güncellemeyi unutuyor. Güncel olmayan yazılımlar saldırganlar arasında birincil hedef olma eğiliminde olduğundan bu önemli bir sorundur.

Yazılım ne kadar eski olursa, saldırganların kodunu analiz etmek ve güvenlik açıklarını bulmak için o kadar fazla zamanı olur. Geliştiriciler bu tehditleri izler ve göründükleri anda düzeltirler. Bu nedenle güncellemeleri yayınlanır yayınlanmaz çalıştırmak isteyeceksiniz.

Neyse ki WordPress, güncellemelerden haberdar olmayı kolaylaştırıyor. Kontrol panelinizde Güncellemeler'e gidin sekmesini tıkladığınızda mevcut her şeye genel bir bakış göreceksiniz.

Çalıştırılacak çok sayıda güncellemeniz varsa, devam etmeden önce WordPress web sitenizi yedeklemeniz önemlidir. Bu özellikle daha yeni bir WordPress sürümüne güncelleme yaparken önemlidir çünkü bazen eklentiler ve temalarla uyumluluk sorunlarına neden olabilir.

Güncellemeler sayfanızı günlük olarak kontrol etmek isteyeceksiniz. Alternatif olarak eklentileriniz ve temalarınız için otomatik güncellemeleri etkinleştirebilirsiniz.

Bu şekilde, sitenizi güncellemeler için kontrol etmeyi unutursanız bunlar otomatik olarak çalıştırılacaktır.

2. Güçlü kullanıcı adları ve şifreler oluşturun

Web siteniz yalnızca ona erişmek için kullandığınız kimlik bilgileri kadar güvenlidir. Yeni bir hesap oluştururken zayıf bir şifre ayarlayıp ayarlamadığınızı WordPress'in kendisi size bildirecektir.

"Zayıf" bir şifre, tahmin edilmesi kolay olan herhangi bir şifredir. Kimlik bilgileriniz “yönetici” ve “1234” gibiyse siteniz büyük olasılıkla kaba kuvvet saldırılarının kurbanı olacaktır.

İdeal olarak, şifreniz en az sekiz karakterden ve harf, sayı ve özel karakterlerin birleşiminden oluşmalıdır. WordPress sitenizde birden fazla kullanıcınız varsa, onlara güçlü kimlik bilgileri kullanmalarını ve şifrelerini birkaç ayda bir değiştirmelerini hatırlatmak isteyebilirsiniz.

3. 2FA ile ekstra bir koruma katmanı ekleyin

İki faktörlü kimlik doğrulama, bir siteye giriş yaparken ikinci bir kimlik doğrulama katmanı kullanmanızı gerektiren bir güvenlik önlemidir. Örneğin, bazı web siteleri e-posta veya SMS yoluyla gönderilen tek seferlik bir kodu girmenizi isteyebilir.

2FA'nın amacı, saldırganların kimlik bilgilerinizi tahmin etmesini neredeyse imkansız hale getirmektir. Başka bir cihaza veya hesaba erişim olmadan WordPress'te oturum açamazlar.

WordPress varsayılan olarak 2FA işlevselliğini içermediğinden bu özelliği sitenize eklemek için Jetpack gibi bir eklenti kullanmanız gerekecektir. Jetpack ile WordPress.com hesabınızla çalışan 2FA (güvenli kimlik doğrulama adı verilen) ekleyebilirsiniz.

4. Güvenilir bir güvenlik eklentisi yükleyin

Güçlü WordPress güvenlik eklentileri, bu WordPress güvenlik kontrol listesindeki birkaç öğeyi işaretlemenize yardımcı olacaktır. İdeal olarak aşağıdaki özellikleri sunan tek bir araç seçeceksiniz:

Kötü amaçlı yazılım taraması

Web sitenize virüs bulaşırsa, mümkün olan en kısa sürede bunu bilmek isteyeceksiniz. Düzenli kötü amaçlı yazılım taramaları, web sitenizin herhangi bir bölümünün risk altında olup olmadığını size bildirir.

Kötü amaçlı yazılım temizleme araçları

Güvenlik eklentiniz kötü amaçlı yazılım tespit ederse, onu kaldırmak için yardım isteyeceksiniz. Bu, WordPress sitenizin virüslü kısmına bağlı olarak dosyaların silinmesini veya değiştirilmesini içerebilir.

Yedeklemeler

WordPress için pek çok bağımsız yedekleme çözümü ve eklentisi vardır. Bazı hepsi bir arada güvenlik araçları otomatik yedeklemeler içerir, dolayısıyla ek bir eklenti yüklemenize gerek kalmaz.

Güvenlik günlükleri

İdeal olarak, web sitenizde olup biten her şeyi bilmek isteyeceksiniz. Güvenlik günlükleri, WordPress'teki olayları kaydeder ve şüpheli etkinlikleri bulmak için bunları aramanıza olanak tanır.

2FA uygulaması

Daha önce de tartıştığımız gibi 2FA, çalınan kimlik bilgileri nedeniyle güvenlik ihlali riskini en aza indirmenize yardımcı olabilecek kritik bir araçtır.

Jetpack Security tüm bu özellikleri içerdiğinden, bu güvenlik kontrol listesindeki birçok adımı tek bir araçla gerçekleştirebilirsiniz.

5. Bir web uygulaması güvenlik duvarı (WAF) kullanın

WAF, trafiği filtreleyip izleyerek, WordPress siteleri de dahil olmak üzere uygulamaları ve web sitelerini saldırılara karşı korumaya yardımcı olan bir güvenlik çözümüdür. Yazılıma bağlı olarak, önceden belirlenmiş kuralları veya bilinen saldırganların veritabanlarını kullanarak kötü amaçlı trafiği tanımlayabilmelidir.

Birçok web sunucusu, müşterileri için otomatik olarak güvenlik duvarları kurar. WordPress web sitenize WAF eklemek için Jetpack Security'yi de kullanabilirsiniz.

Jetpack Security, WAF'ı önceden belirlenmiş kurallarını kullanacak ve belirli IP adreslerini engelleyecek şekilde yapılandırmanıza olanak tanır. Etkinlik verilerini, bilinen tehditlerin veritabanını büyüterek WAF'ın daha etkili olmasına yardımcı olan Jetpack ile de paylaşabilirsiniz.

6. WordPress'i kötü amaçlı yazılımlara ve güvenlik açıklarına karşı düzenli olarak tarayın

Web sitenizi kötü amaçlı yazılımlara ve güvenlik açıklarına karşı taramak, yetkisiz değişiklikleri veya kötü amaçlı kodları aramak için tüm dosyalarının incelenmesini içerir. Süreç göz korkutucu görünse de bunu sizin için yapabilecek araçlar var.

Jetpack Security, web sitenizi taramak için WPScan'i (bilinen WordPress güvenlik açıklarının en büyük veritabanı) kullanır.

WordPress eklentisi kötü amaçlı yazılım veya güvenlik açıkları bulursa sizi hemen bilgilendirebilir ve hatta etkilenen dosyaların kaldırılmasına veya onarılmasına yardımcı olabilir. Bu, hangi dosyaların silineceğini belirlemenizi ve bunları nasıl onaracağınızı bulmanızı gerektiren manuel yaklaşımdan çok daha basittir.

7. Sitenizi düzenli olarak veya gerçek zamanlı olarak yedekleyin

Yedeklemeler web sitesi güvenliğinin kritik bir bileşenidir. Sitenize herhangi bir şey olursa, hızlı bir şekilde tekrar çalışır duruma gelmenizi sağlarlar.

Yedeklemeler için barındırma sağlayıcınıza güvenmek güvenli bir seçenek değildir, çünkü sunucunuzun ele geçirilmesi hem WordPress sitenizi hem de yedeklerini işe yaramaz hale getirebilir.

Bunun yerine, 7/24 korunmanızı ve sitenizi tamamen kapalı olsa bile anında geri yükleyebilmenizi sağlamak için gerçek zamanlı, tesis dışı bir yedekleme çözümüne ihtiyacınız var.

Jetpack VaultPress Backup tam da bunu yapar ve her değişiklik yaptığınızda sitenizi kaydeder.

Eklenti, sunucunun aşırı kalabalıklaşmasını önlemek için bu yedekleri bulutta saklar. Artımlı ve diferansiyel yedeklemelerin bir kombinasyonunu kullanır, bu nedenle her değişiklik yaptığınızda sitenizin tamamını ve veritabanınızı kopyalamasına gerek kalmaz, bu da süreci çok daha verimli hale getirir.

Jetpack VaultPress Backup, web sitesi değişikliklerinin ötesinde yeni yorumları, siparişleri ve diğer kullanıcı eylemlerini kaydeder. WordPress sitenizi önceki bir sürüme döndürmeniz gerekse bile siparişleri kaydedeceği için WooCommerce mağazaları için önde gelen yedekleme aracıdır.

8. Yedeklerinizi ayrı bir sunucuda saklayın

Yukarıda da belirttiğimiz gibi sadece yedek almak yeterli değildir. Bunları birden fazla, güvenli, tesis dışı konumlarda saklamanız gerekir; böylece bir veri merkezinde dijital güvenlik ihlali veya fiziksel bir felaket olması durumunda site dosyalarınıza erişmeye ve onları geri yüklemeye devam edebilirsiniz. Bu, yalnızca ana makinenizden gelen yedeklemelere güvenememenizle aynı sebeptendir; hem siteniz hem de yedeklemeleriniz aynı anda tehlikeye girebilir.

VaultPress Backup kullanıyorsanız tüm bunlar sizin için halledilir. Yedeklemeleriniz bulutta birden fazla konumda depolanır ve siteniz kapalı olsa bile her zaman erişilebilir durumdadır.

9. Kullanıcı etkinliğini takip edin

Sitenizin etkinlik günlüklerine erişiminiz varsa, birinin birden çok kez oturum açmaya çalışıp başarısız olduğunu, WordPress dosyasında değişiklik olup olmadığını, birisinin yeni bir eklenti yüklediğini ve daha fazlasını görebilirsiniz.

Günlükleri güvenlik kayıtlarının teknolojik eşdeğeri olarak düşünün. Bunları hiçbir zaman kullanmak zorunda kalmayacağınızı umarsınız, ancak bunların yaygın olarak kullanılan bir güvenlik özelliği olmasının bir nedeni vardır. WordPress bu işlevi varsayılan olarak sunmaz, bu nedenle bunu sunan bir eklenti aramanız gerekir.

Jetpack Security, web sitenizde olup biten her şeyi izlemenizi sağlar. Kimin ne yaptığını tarih ve saatlerle birlikte kaydeden bir etkinlik günlüğü tutar. Bir güvenlik sorunuyla karşılaşırsanız sorunun nedenini görmek için bu günlüğü kontrol edebilirsiniz.

Ayrıca VaultPress Backup işleviyle de entegre olur, böylece etkinlik günlüğünde bulduğunuz bilgilere göre sitenizi belirli bir ana geri yükleyebilirsiniz.

10. Kullanıcı erişimini ve izinlerini kontrol edin

Herhangi bir sistemi güvende tutmanın en basit yollarından biri, sisteme kimlerin erişebileceğini sınırlamaktır. Sitenizde çalışan tek kişi sizseniz, WordPress giriş bilgilerinizi başka hiç kimse bilmemelidir.

Bir ekiple çalışırken WordPress kullanıcı rolü sisteminden tam olarak yararlanmanız önemlidir. CMS, sahip olmalarını istediğiniz izinlere bağlı olarak kullanıcılara atayabileceğiniz birden fazla rol sunar.

En yüksek rol yönetici rolüdür ve bu, tüm WordPress özelliklerine ve ayarlarına tam erişime sahip tek kullanıcıdır. Yazarlar gibi diğer WordPress kullanıcıları yalnızca kendi içeriklerini yayınlayabilir ve sitenin yapılandırmasını değiştiremez, hatta ayarlarına erişemez.

Her kullanıcıya hangi rolün atanacağını değerlendirirken, görevlerini gerçekleştirmek için ihtiyaç duydukları izinleri düşünün. Hiçbir kullanıcı hiçbir zaman ihtiyaç duyduğundan daha fazla izne sahip olmamalıdır. Bu kısıtlamalar sitenizi daha güvenli tutacaktır.

11. İzin verilen oturum açma denemesi sayısını sınırlayın

Tekrarlanan oturum açma girişimleri, birisinin kimlik bilgilerini unuttuğunun bir işareti olabilir. Ancak deneme sayısı bir avuçtan fazlaysa muhtemelen web sitenize sızmaya çalışan biriyle karşı karşıyasınız demektir.

Otomatik kaba kuvvet saldırılarını durdurmak için belirli bir süre içinde izin verilen oturum açma denemelerini sınırlandırmalısınız. Bu güvenlik önlemini uygulamak için bir kez daha Jetpack'i kullanabilirsiniz.

Eklenti, web sitenize girmek için ortak kimlik bilgilerini kullanmaya çalışan saldırganları engelleyebilir. Ayrıca belirli IP adreslerini izin verilenler listesine alacak şekilde de yapılandırabilirsiniz, böylece yalnızca onların kullanıcıları WordPress'te oturum açabilir.

12. DDoS saldırılarına karşı korunmaya yardımcı olması için CDN kullanın

İçerik dağıtım ağı (CDN), web sitenizin kopyalarını dünyanın farklı yerlerindeki sunucularda saklayan bir veri sistemidir; bu sayede birisi uzak bir ülkede barındırılan bir siteyi ziyaret etmeye çalıştığında ortaya çıkabilecek gecikmeyi azaltır. Birisi WordPress sitenizi ziyaret etmeye çalıştığında CDN, yakındaki bir sunucudan gelen isteğe otomatik olarak yanıt verecektir.

CDN, sunucularınızdaki yükü hafifletebilir, daha fazla trafiği yönetmenize yardımcı olabilir, yükleme sürelerini azaltabilir ve sizi dağıtılmış hizmet reddi (DDoS) saldırılarına karşı koruyabilir. Saldırılar sunucunuza doğrudan saldırmayacağından, bot trafiğine maruz kalması halinde sunucunuz o kadar ağır etkilenmeyecektir.

Jetpack Security kullanıyorsanız, daha hızlı yükleme süreleri için medya dosyalarını önbelleğe almanıza yardımcı olabilecek bir görüntü CDN'sine erişiminiz olur. Ayrıca görselleri otomatik olarak yeniden boyutlandırır ve her ziyaretçinin bireysel cihazına göre en iyi seçeneği sunar. Yükleme sürelerini daha da azaltmak ve sitenizi trafikteki ani artışlardan korumak için diğer CDN'leri WordPress ile entegre etmeyi de düşünebilirsiniz.

13. Bir SSL sertifikası yükleyin

Güvenli yuva katmanı (SSL) sertifikası, web sitenize güvenilebileceğinin bir işaretidir. Ayrıca sitenizi, web sitenize gelen ve web sitenizden gelen verileri şifreleyen HTTPS üzerinden yüklemenize de olanak tanır.

Çoğu tarayıcı, gezinme çubuğundaki basit bir kilit simgesiyle web sitelerinin SSL sertifikalarına sahip olduğunu belirtir.

Bugünlerde çoğu saygın web sunucusu, kullanıcılar için ücretsiz SSL sertifikaları ve otomatik kurulum sunuyor. Web sunucunuz bunu yapmıyorsa Let's Encrypt gibi bir kaynaktan ücretsiz sertifika alabilirsiniz.

Sertifika hazır olduğunda onu yüklemeniz ve ardından HTTPS'yi etkinleştirmeniz gerekir. WordPress'i HTTPS üzerinden yüklenmeye zorlamanın birkaç yolu vardır. Gerçekten Basit SSL bunu basit bir tıklamayla yapmanızı sağlar.

Sitenizi koruyoruz. Sen işini yürütürsün.

Jetpack Security, gerçek zamanlı yedeklemeler, web uygulaması güvenlik duvarı, kötü amaçlı yazılım taraması ve spam koruması da dahil olmak üzere kullanımı kolay, kapsamlı WordPress site güvenliği sağlar.

Sitenizin güvenliğini sağlayın

14. Dosyaları aktarırken SFTP'yi FTP'ye tercih edin

Dosya aktarım protokolü (FTP), web sitenize bağlanmanıza ve dosyaları doğrudan yüklemenize, indirmenize ve değiştirmenize olanak tanır. Protokol, web barındırıcınızın size sağlaması gereken farklı bir kimlik bilgileri kümesi kullanır.

Bazı ana bilgisayarlar, protokolün SFTP adı verilen güncellenmiş ve daha güvenli bir sürümünü kullanır. Modern FTP istemcileri her iki protokolü de destekler ve aynı şekilde çalışırlar. Temel fark, SFTP'nin sunucuya gönderdiğiniz ve sunucudan aldığınız verileri (HTTPS'ye benzer şekilde) şifrelemesidir.

Web barındırıcınız hem FTP hem de SFTP kullanmanıza izin veriyorsa, varsayılan olarak ikincisini kullanın. Web barındırıcınızın yalnızca FTP'yi desteklemesi durumunda, daha iyi güvenlik özellikleri sunan bir sağlayıcıya geçmeyi düşünebilirsiniz.

15. PHP sürümünüzü güncel tutun

WordPress PHP üzerine kuruludur ve kullandığınız sürüm site hızında önemli bir rol oynar. PHP'nin daha yeni sürümleri, web sitenizin daha hızlı çalışmasına ve kötüye kullanımların önlenmesine yardımcı olabilecek güvenlik düzeltmeleri içerir.

Site Sağlığı → Bilgi'ye giderek sunucunuzun hangi PHP sürümünü kullandığını görebilirsiniz. ve Sunucuyu açma sekmesi.

Bu bilgiyi en son PHP sürümüyle karşılaştırın ve web barındırıcınızın en son sürümü kullanıp kullanmadığını görün. Bazı web barındırıcıları PHP sürümleri arasında geçiş yapmanıza olanak sağlayabilir. Sizinki değilse, yeni bir WordPress ana bilgisayarına geçmeyi düşünmenin zamanı gelmiş olabilir.

16. Etkin olmayan WordPress temalarını ve eklentilerini silin

Artık kullanmadığınız eklentileri veya WordPress temalarını devre dışı bırakmak ve silmek iyi bir kuraldır. Bu, uyumluluk sorunlarının veya güvenlik açıklarının olasılığını azaltabilir.

Etkin olmayan temaları ve eklentileri silmek web sitenizi daha güvenli ve daha düzenli tutacaktır. Aktif eklentilerinizi periyodik olarak gözden geçirmek ve artık kullanmadıklarınızı not etmek isteyeceksiniz.

17. Yeni eklentileri ve temaları dikkatlice değerlendirin

Web sitenize herhangi bir eklenti veya tema yüklemeden önce, bunların saygın geliştiricilerden geldiğinden ve iyi bir performans geçmişine sahip olduğundan emin olmak önemlidir. Bunu derecelendirmelerini ve incelemelerini kontrol ederek yapabilirsiniz.

Aynı şey WordPress temaları için de geçerli. Çoğu eklenti ve tema deposu size bir güncelleme geçmişi gösterecektir. Saygın bir eklenti veya temanın düzenli güncellemeleri olacaktır; bu, geliştiricilerin aktif olarak üzerinde çalıştığı anlamına gelir.

Artık güncelleme almayan WordPress eklentilerinden ve temalarından kaçınmak istiyorsunuz. Ne kadar faydalı olursa olsunlar, kod güncel olmadığı için web sitenizde güvenlik açıklarına yol açabilirler.

18. Güvenli bir barındırma sağlayıcısına yatırım yapın

Tüm barındırma sağlayıcıları aynı düzeyde hizmet, performans ve özellikler sunmaz. Bazıları diğerlerinden daha iyidir ve bu mutlaka daha pahalı oldukları anlamına gelmez.

Güçlü, güvenli bir WordPress barındırma sağlayıcısı seçmek çok önemli bir karardır çünkü genellikle onlara uzun bir süre bağlı kalacaksınız. Herhangi bir hizmete başvurmadan önce mümkün olduğunca çok sayıda inceleme okumanız ve araştırmanızı yapmanız önemlidir.

Yardıma ihtiyacınız varsa, bazıları yönetilen WordPress barındırma hizmetlerinin bir parçası olarak önemli Jetpack özelliklerini içeren Jetpack tarafından önerilen ana bilgisayarların bu listesine göz atabilirsiniz.

19. Varsayılan yöneticiyi değiştirin Kullanıcı adı

WordPress'i kurduğunuzda varsayılan olarak yönetici kullanıcı adı oluşturulur. Bu, kimlik bilgilerinizi hatırlamayı kolaylaştırır, ancak aynı zamanda saldırganların bilgilerinizi tahmin etmesini de kolaylaştırır.

WordPress yönetici hesabınız zaten kurulmuşsa, varsayılan yönetici kullanıcı adını değiştirmek için iki seçeneğiniz vardır:

1. Yeni bir yönetici hesabı oluşturun. İstediğiniz kullanıcı adı ile yeni bir yönetici hesabı oluşturabilir ve daha sonra bu hesaba geçiş yapabilirsiniz. Bunu yaptıktan sonra eski hesabı silebilir ve yeni hesabı kullanmaya devam edebilirsiniz.
2. PhpMyAdmin'i kullanarak kullanıcı adını değiştirin. Mevcut hesabı korumak istiyorsanız kullanıcı adını veritabanı üzerinden değiştirebilirsiniz.

Özellikle yönetici hesabı söz konusu olduğunda hiçbir kullanıcı adının tahmin edilmesi kolay olmamalıdır. Birisi buna erişebilirse web sitenizde istediği değişiklikleri yapabilir.

20. Varsayılan veritabanı önekini değiştirin

WordPress'teki varsayılan veritabanı öneki wp_'dir . Bu, eğer bir saldırgan veritabanının adını biliyorsa, öneki de tahmin edebilir ve bu bilgiyi onu denemek ve sorgulamak için kullanabilir anlamına gelir.

Varsayılan veritabanı önekini wp_ dışında herhangi bir şeyle değiştirerek bu riski en aza indirebilirsiniz. Bu iki aşamalı bir süreçtir. İlk adım, wp-config.php dosyasındaki veritabanı önekini değiştirmektir; bu dosyanın şuna benzer bir satıra sahip olması gerekir:

 $table_prefix = 'wp_';

wp-config.php dosyasında değişiklik yaptıktan sonra veritabanındaki tabloları yeni önekle güncellemeniz gerekecektir. Bunu phpMyAdmin'i kullanarak ve buna benzer birden fazla sorgu çalıştırarak yapabilirsiniz:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Bu sorgu yapısını kullanabilir ve "TO"dan sonra gelenleri değiştirebilirsiniz. tablo adını güncellenmiş önekle eşleştirmek için. Bu sorguyu veritabanındaki her tablo için çalıştırmanız gerekeceğini ve bunu yapana kadar sitenizin düzgün çalışmayacağını unutmayın.

21. Varsayılan /wp-admin ve /wp-login.php URL'lerini değiştirin

/wp-admin ve /wp-login.php URL'leri, WordPress'teki kontrol paneline ve giriş sayfasına erişmenizi sağlar. Bu URL'lerin hatırlanması kolaydır ancak sitenizi daha savunmasız hale getirirler. Birisi web sitenize izinsiz girmek isterse, genellikle varsayılan WordPress giriş URL'siyle başlar.

Bu varsayılan URL'leri değiştirerek saldırganların hayatını zorlaştırabilirsiniz. WPS Hide Login gibi bunu yapmanızı sağlayan eklentiler var. Alternatif olarak, manuel bir yaklaşımı tercih ediyorsanız, oturum açma URL'lerini .htaccess dosyası aracılığıyla değiştirebilirsiniz.

22. wp-admin erişimini yalnızca yetkili IP adresleriyle sınırlayın

/wp-admin URL'si WordPress'teki kontrol panelini açar. Teknik olarak hiç kimsenin doğru kimlik bilgileri olmadan kontrol paneline erişimi olmamalıdır. Erişimi yalnızca izin verilenler listesindeki IP'lerle sınırlayarak güvenliği bir adım daha ileri götürebilirsiniz.

Bu WordPress'in sunduğu bir özellik değil. Bunu uygulamak için .htaccess dosyasına aşağıdaki kodu eklemeniz gerekir:

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx, izin verilenler listesine eklemek istediğiniz IP adresini ifade eder. Bu satırı kopyalayıp farklı adresleri girerek birden fazla IP ekleyebileceğinizi unutmayın.

Ayrıca dizin yolunu da değiştirmeniz gerekecektir, böylece sunucudaki kök dizinin konumuyla eşleşecektir. Dosyayı kaydettikten sonra listede olmayan herhangi bir IP adresi, kontrol paneline erişmeye çalışırsa bir hata görecektir.

23. FTP erişimini yalnızca yetkili IP adresleriyle sınırlayın

İlgili kimlik bilgilerine kimlerin erişebileceğini kısıtlayarak web sitenize FTP/SFTP erişimini sınırlayabilirsiniz. Bazı barındırma kontrol panelleri, FTP erişimini IP adresine göre sınırlamanıza da olanak tanır.

Statik bir IP adresiniz varsa bu idealdir, çünkü doğru kimlik bilgilerine sahip olsa bile başkalarının web sitesine bağlanmasını ve FTP aracılığıyla dosyalarına erişmesini engelleyecektir. Statik IP olmadan bu ayar siteye erişiminizi bile sınırlayabilir.

Yalnızca seçilmiş birkaç kişinin FTP kullanarak web sitesine bağlanabilmesi gerektiğini unutmayın. Başkalarıyla çalışıyorsanız ve onların çekirdek dosyalara doğrudan erişmeleri veya bunları düzenlemeleri için bir nedenleri yoksa, FTP kimlik bilgilerinize erişimleri olmamalıdır.

24. wp-config.php dosyanızı güvence altına alın

wp-config.php dosyası, veritabanıyla ilgili ayrıntılar da dahil olmak üzere web siteniz hakkında kritik bilgiler içerir. Varsayılan olarak dosya WordPress kök dizininde bulunur.

Dosyayı korumanın en kolay yolu onu doğrudan kök dizinin dışına taşımaktır. WordPress wp-config.php dosyasını genellikle bulunduğu yerde bulamazsa, onu normal konumunun üzerindeki bir dizinde arayacaktır.

Diğer bir seçenek de dosyanın izinlerini, erişimi yönetici dışındaki herhangi biriyle (yani siz) kısıtlayacak şekilde yapılandırmaktır. Bunu yapmak için UNIX tabanlı sistemlerde dosya izinlerinin nasıl çalıştığını anlamanız ve SFTP kullanarak dosyanın yapılandırmasını değiştirmeniz gerekir.

25. Kötü amaçlı değişiklikleri engellemek için dosya düzenlemeyi devre dışı bırakın

Yalnızca yöneticinin WordPress çekirdek dosyalarına erişme ve bunları değiştirme izni olmalıdır. Genellikle dosya düzenleme işlevine kontrol panelinden erişebileceksiniz. Bu, WordPress yöneticisinden ayrılmadan çekirdek, eklenti ve tema dosyalarını doğrudan düzenleyebileceğiniz anlamına gelir.

Kullanıcıların sahip olduğu izin düzeyine bağlı olarak dosya düzenleyiciye erişmeleri mümkün olabilir. Bunu önlemenin en iyi yolu dosya düzenlemeyi tamamen devre dışı bırakmaktır.

Bu güvenlik önlemini uygulamak için wp-config.php dosyasını açın ve sonuna aşağıdaki kod satırını ekleyin:

 define('DISALLOW_FILE_EDIT', true);

Değişiklikleri dosyaya kaydedin ve kapatın. Dosyaları hâlâ düzenleyebileceğinizi ancak bunu yapmak için SFTP kullanmanız gerekeceğini unutmayın; bu, WordPress dosya düzenleyicisini kullanmaktan daha iyi (ve daha güvenli) bir seçenektir.

26. PHP dosya yürütmesini devre dışı bırakın

WordPress web sitenizin belirli dizinlerinde PHP dosya yürütmesini devre dışı bırakmak, kötü amaçlı komut dosyalarının çalışmasını engellemeye yardımcı olan bir güvenlik önlemidir. Bir saldırgan web sitenize bir PHP betiği yüklemeyi başarırsa, yetkisiz erişim elde etmek, verileri değiştirmek veya kötü amaçlı yazılım dağıtmak için bu betiği çalıştırabilir.

WordPress'e FTP aracılığıyla bağlanıp kök klasöre giderek, belirli dizinlerde PHP dosya yürütmesini devre dışı bırakabilirsiniz. İçeride hangi dizinleri korumak istediğinizi seçebilir ve her birinin içinde yeni .htaccess dosyaları oluşturabilirsiniz.

İşte bu dosyalara eklemeniz gereken kod:

 <Files *.php> Order Allow,Deny Deny from all </Files>

PHP yürütmesinin kök dizin düzeyinde devre dışı bırakılmasının WordPress'in işlevselliğini etkileyebileceğini unutmayın. Sonuçta CMS'nin tamamı PHP üzerine inşa edilmiştir. Bu, medya dosyası dizini gibi ayrı klasörler için onu devre dışı bırakmanın daha iyi olduğu anlamına gelir.

27. PHP hata raporlamasını kapatın

Hataları herkese açık olarak görüntülemek, WordPress web sitenizdeki potansiyel güvenlik açıklarını saldırganların eline geçirebilir. PHP hata mesajları, dosya yolları, veritabanı yapısı ayrıntıları veya web sitenizden yararlanmak için kullanılabilecek diğer veriler gibi hassas bilgileri içerebilir.

WordPress, wp-config.php dosyasını değiştirerek PHP hata raporlamasını devre dışı bırakmanıza olanak tanır. WordPress hata ayıklama modunu devre dışı bırakmak ve ön uçtaki hataları gizlemek için dosyaya aşağıdaki kodu ekleyebilirsiniz:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Bu kodu wp-config.php dosyasının sonuna ekleyin ve kaydetmeden önce WordPress sitenizin güncel bir yedeğini aldığınızdan emin olun. Hata raporlamanın bazen sorun giderme için yararlı olabileceğini, dolayısıyla bir noktada bu özelliği yeniden etkinleştirmeniz gerekebileceğini unutmayın.

28. Web sitenizde dizin taramayı devre dışı bırakın

Dizin tarama, ziyaretçilerin web siteniz.com/wp-content gibi URL'lere erişmesine ve o dizinin içeriğini görmesine olanak tanıyan bir özelliktir. Dizin taraması etkinleştirilirse kullanıcılar dahili klasör ve dosya listelerini görebilir ve hatta izinlerine bağlı olarak bunlara erişebilir.

Güvenlik açısından bakıldığında, dizine göz atmayı devre dışı bırakmak mantıklıdır. Birçok WordPress web sunucusu bunu varsayılan olarak yapar. Sizinki yoksa, aşağıdaki kodu .htaccess dosyanıza ekleyerek dizine göz atmayı devre dışı bırakabilirsiniz:

 Options -Indexes

Bu basit bir değişiklik, dolayısıyla uygulanması uzun sürmeyecek. Daha sonra kullanıcılar bir dizini ziyaret etmeye çalışırsa bunun yerine basit bir hata mesajı görecekler.

29. WordPress sürümünüzü gizleyin

Varsayılan olarak, kullandığınız WordPress'in geçerli sürümü kaynak kodunuzda listelenir. Birisi WordPress'in hangi sürümünü kullandığınızı biliyorsa (ve bu eski bir sürümse), o sürüme yönelik belirli güvenlik açıklarını inceleyerek web sitenizin ihlal edilmesini kolaylaştırabilir.

WordPress sürümünüzü gizlemek için bu kodu function.php dosyanıza ekleyebilirsiniz:

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Spam koruması için CAPTCHA'dan kaçının

CAPTCHA, web sitelerini ve formları spam'a karşı korumak için iyi bir çözümdür, ancak sorunsuz da değildir.

Web sitenizde CAPTCHA'yı kullanmak, meşru ziyaretçileri rahatsız edebilecek ve geri çevirebilecek, hatta özellikle engelli olanlar için çözülmesi imkansız olabilecek bir karmaşıklık katmanı ekler.

Saldırı vektörlerindeki son gelişmeler de CAPTCHA'ları daha az etkili hale getirdi. İstenmeyen e-postaları (güvenlik ihlaliyle sonuçlanabilecek) önlemeyi önemsiyor ancak aynı zamanda optimum kullanıcı deneyimi yoluyla dönüşüm oranlarını en üst düzeye çıkarmak istiyorsanız, alternatifleri değerlendirmenin zamanı geldi.

Akismet, WordPress için tamamen arka planda çalışan, hepsi bir arada spam koruma çözümüdür. WordPress eklentisi, bilinen kötü niyetli aktörlerden oluşan veritabanını kullanarak ve sitenizdeki yorumlardaki belirli kelimeleri ve URL'leri tanımlayıp engelleyerek spam'i engellemenize yardımcı olur. Ziyaretçilerin insan olup olmadıklarını doğrulamak için CAPTCHA'ları kullanmasına gerek kalmadan tüm bunları otomatik olarak yapar.

WordPress güvenliği hakkında sık sorulan sorular

WordPress web sitenizi nasıl koruyacağınız konusunda hala sorularınız varsa bu bölüm onlara cevap verecektir.

WordPress güvenlik kontrol listesine sahip olmanın faydaları nelerdir?

Bir WordPress güvenlik kontrol listesine erişime sahip olmak, sitenizi korumak için hangi önlemleri aldığınızı ve hala ne yapılması gerektiğini belirlemenize yardımcı olacaktır. Kontrol listesi, WordPress'te hangi güvenlik önlemlerini uygulayabileceğinizi görmek için istediğiniz zaman başvurabileceğiniz basit bir kaynaktır.

WordPress güvenliğimi geliştirmenin en hızlı yolu nedir?

WordPress web sitenizi korumanın en hızlı yolu WordPress güvenlik eklentilerini kullanmaktır. Kullandığınız eklentiye bağlı olarak 2FA, etkinlik günlükleri, yedekleme araçları ve kötü amaçlı yazılım taraması gibi özelliklere erişebileceksiniz. Jetpack Security bu özelliklerin tümünü içerir.

WordPress sitemi kötü amaçlı yazılımlara ve güvenlik açıklarına karşı nasıl tarayabilirim?

WordPress sitenizi kötü amaçlı yazılımlara karşı taramak için Jetpack Security gibi bir eklenti kullanabilirsiniz. Bu araç aynı zamanda web sitenizdeki olası güvenlik açıklarını da vurgulayacaktır. Daha sonra bu sorunları ortadan kaldırmak için gerekli adımları atabilirsiniz.

Kapsamlı bir WordPress güvenlik eklentisine ihtiyacınız yoksa Jetpack Protect gibi bağımsız bir WordPress eklentisi aracılığıyla kötü amaçlı yazılım taraması da yapabilirsiniz.

WordPress sitemi yedeklemenin ve geri yüklemenin en güvenilir yolu nedir?

En iyi seçeneğiniz otomatik bir çözüm kullanmaktır, böylece yedeklemeleri manuel olarak oluşturmanıza gerek kalmaz. Eklenti ayrıca, sunucunuzun güvenliği ihlal edildiğinde sorunları önlemek için kopyaları site dışı bir depolama çözümüne kaydetmelidir.

Jetpack VaultPress Yedekleme eklentisi gerçek zamanlı yedeklemeler sunar. Ayrıca WordPress sitenizin bulutta güvenli kopyalarını da oluşturur. Jetpack Security'nin bir parçası olarak VaultPress Backup'a ve diğer birçok özelliğe de erişebilirsiniz.

Jetpack Security: WordPress için 1 numaralı güvenlik eklentisi

Jetpack Security, WordPress web sitenizi koruyacak bir dizi güvenlik özelliği sunar. Bu eklentiyle WordPress güvenlik kontrol listesindeki birkaç öğenin üzerini çizebilirsiniz.

Örneğin, bir yedekleme çözümüne, kötü amaçlı yazılım taramasına ve tek tıklamayla kaldırmaya, spam korumasına, etkinlik günlüklerine, iki faktörlü kimlik doğrulamaya ve daha fazlasına erişim elde edersiniz. Bu, Jetpack'i WordPress için kullanabileceğiniz en kapsamlı güvenlik araçlarından biri haline getirir.

Sitenizin güvenliğini artırmaya hazır mısınız? Jetpack güvenliğine bugün başlayın!