En İyi 28 WordPress Güvenliği En İyi Uygulamaları ve İpuçları
Yayınlanan: 2024-01-05WordPress güçlü bir içerik yönetim sistemidir (CMS), ancak popülaritesi bilgisayar korsanları arasında eşit derecede ilgi gösterilmesi anlamına gelir. Gerekli güvenlik önlemleri alınmadığı takdirde siteniz saldırılara açık hale gelebilir.
Neyse ki sitenizi güvende tutmak için yapabileceğiniz birkaç şey var. Bu, eklentileri güncellemek ve yedekleme yapmak gibi basit görevlerden, daha güçlü güvenlik önlemlerine sahip bir barındırma sağlayıcısına geçiş gibi daha kapsamlı stratejilere kadar uzanır.
Bu makalede, sitenizin korunduğundan emin olmanıza yardımcı olacak 28 WordPress güvenliği en iyi uygulaması konusunda size rehberlik edeceğiz.
1. WordPress'i, eklentileri ve temaları güncel tutun
Güncel olmayan yazılımlar web siteleri için büyük bir tehdit oluşturmaktadır. Bir eklenti veya tema aylar veya yıllar boyunca güncellenmediğinde, bilgisayar korsanlarının yazılımdaki güvenlik açıklarını aramak ve onu kullanan sitelere girmenin bir yolunu bulmak için daha fazla zamanı olacaktır.
Basitçe söylemek gerekirse: WordPress'in daha eski bir sürümünü kullanıyorsanız siteniz saldırılara karşı savunmasızdır. Bu aynı zamanda web sitenizdeki tüm eklentiler veya temalar için de geçerlidir.
WordPress'in şaşırtıcı derecede popüler olduğunu akılda tutmak önemlidir. Bilinen tüm web sitelerinin yaklaşık yüzde 43'üne güç sağlar. Bu, güvenlik sorunu olan tek bir eklentinin, siber suçlulara açık kapı olan yüzlerce veya binlerce siteye yol açabileceği anlamına gelir.
Kendinizi bu güvenlik açıklarına karşı korumanın en kolay yolu WordPress'i ve tüm bileşenlerini güncel tutmaktır. Bu, hangi güncellemelerin mevcut olduğunu görmek ve bunları yürütmek için her gün kontrol panelini kontrol etmek kadar basit olabilir.
Eklentiler söz konusu olduğunda, bunları tek tek otomatik olarak güncellenecek şekilde yapılandırabilirsiniz. Bunu yapmak için Eklentiler → Yüklü Eklentiler'e gidin ve otomatik olarak güncellemek istediğiniz eklentiler için Otomatik güncellemeleri etkinleştir seçeneğine tıklayın.
2. Varsayılan “yönetici” kullanıcı adını değiştirin
WordPress kullanıcılarının yapabileceği en büyük güvenlik hatalarından biri “admin” veya “yönetici” gibi bir kullanıcı adı seçmektir. Bunlar, WordPress'in sizin için belirlediği varsayılan kullanıcı adlarıdır ve bunları yerinde tutmak, saldırganların zorla içeri girmesini kolaylaştırır.
Pek çok bilgisayar korsanı, mümkün olduğu kadar çok sayıda kullanıcı adı ve şifre kombinasyonunu deneyerek bir web sitesine sızmaya çalışır. Buna kaba kuvvet saldırısı denir. Birisi kullanıcı adınızı zaten biliyorsa, bu onun yalnızca bir giriş faktörünü tahmin etmesi gerektiği anlamına gelir.
WordPress, yönetici hesabının kullanıcı adını belirledikten sonra değiştirmenize izin vermez. Değişiklik yapmak için yeni bir hesap oluşturmanız, bu hesaba Yönetici kullanıcı rolü vermeniz ve eskisini silmeniz gerekir.
Bunu Kullanıcılar → Yeni Ekle seçeneğine giderek yapabilirsiniz. Ardından, tahmin edilmesi zor bir kullanıcı adı da dahil olmak üzere hesap ayrıntılarını girin ve Rol menüsünden Yönetici'yi seçin.
Bir dahaki sefere WordPress web sitesi oluşturduğunuzda, yönetici kullanıcı adını farklı bir şeye ayarlamanız gerekecektir. Bu basit değişiklik, saldırganların hesaba erişmesini çok daha zorlaştıracak.
3. Güçlü şifreler kullanın ve bunları düzenli olarak değiştirin
“1234” gibi kolay bir şifre kullanıyorsanız veya her hesabınız için aynı şifreyi kullanıyorsanız, birisinin sitenize erişmesi an meselesidir.
Çalınan hesaplara yeniden erişim sağlamanın yolları olsa da süreç zorlu olabilir. Ayrıca bir bilgisayar korsanı içeriğinize ve itibarınıza onarılamaz zararlar verebilir.
WordPress'te yeni bir hesap oluşturduğunuzda CMS sizin için güçlü bir şifre oluşturacaktır. Bu genellikle harflerin, sayıların ve özel karakterlerin birleşimidir.
Bu şifreyi kullanabilir veya daha akılda kalıcı bir şifreyle değiştirebilirsiniz (harf ve rakam karışımını koruyarak).
Hatırlamakta zorluk çekiyorsanız bir kimlik bilgisi yöneticisi bile kullanabilirsiniz. Parola yöneticileri, tüm hesaplarınız için güvenli parolalar oluşturmanıza ve onları güvende tutmanıza yardımcı olabilir.
Daha fazla güvenlik için şifrelerinizi düzenli aralıklarla değiştirmek isteyeceksiniz. Bu şekilde, kimlik bilgilerinin sızması durumunda hesabınız güvende olacaktır.
4. İki faktörlü kimlik doğrulamayı (2FA) uygulayın
Diğer birçok web sitesi gibi, WordPress de oturum açmak için bir kullanıcı adı ve parola gerektirir. Bu, oturum açma güvenliğinin büyük ölçüde kimlik bilgilerinizin ne kadar güçlü olduğuna bağlı olduğu anlamına gelir.
En güçlü şifreyle bile birisinin hesabınıza veya sitenizdeki diğer kişilere erişme ihtimali vardır. Bu ihlali önlemenin etkili bir yolu, iki faktörlü kimlik doğrulama (2FA) kullanmaktır.
2FA'yı etkinleştirdiğinizde siteniz, kullanıcıların oturum açması için ek bir doğrulama yöntemi gerektirecektir. Bu genellikle SMS, e-posta veya kimlik doğrulama uygulaması aracılığıyla gönderilen tek seferlik bir koddur.
Bilgisayar korsanlarının mobil cihazınıza veya e-postalarınıza erişimi olmadığından hesabınıza giriş yapamayacaklardır. Bazı web siteleri 2FA kullanma seçeneğini sunarken bazıları bunu zorunlu kılar.
Jetpack kullanıyorsanız kullanıcıların WordPress.com hesaplarıyla giriş yapmalarını sağlayabilirsiniz. Ayrıca WordPress.com'un 2FA işlevini kullanma seçeneği de mevcuttur.
Bu ayarları Jetpack → Ayarlar'a gidip WordPress.com oturum açma bölümünü bularak bulabilirsiniz. Daha sonra ilgili anahtarı değiştirmeniz yeterlidir.
5. SSL sertifikası aracılığıyla HTTPS şifrelemesini kullanın
Güvenli yuva katmanı (SSL) sertifikası, web sitenizin HTTP'nin güvenli sürümü olan HTTPS üzerinden yüklenmesini sağlar. Sertifika, web sitenizin orijinal olduğunu ve tarayıcı ile sunucu arasındaki iletişimin şifrelendiğini doğrular.
Let's Encrypt gibi birçok otoriteden ücretsiz olarak SSL sertifikası alabilirsiniz. Birçok WordPress web barındırıcısı, web siteniz için otomatik olarak bir SSL sertifikası kuracaktır. Diğer web barındırıcıları cPanel aracılığıyla manuel olarak sertifika ayarlamanıza olanak tanır.
6. Saygın bir güvenlik eklentisi yükleyin
WordPress güvenlik eklentileri genellikle web sitenizi korumanıza yardımcı olacak bir dizi özellik ve araçla birlikte gelir. Bunlar genellikle şunları içerir:
- Spam koruması
- Hizmet reddi (DDoS) saldırısına karşı koruma
- Bir web uygulaması güvenlik duvarı (WAF)
- Kötü amaçlı yazılım taraması ve temizleme
- Otomatik yedeklemeler
Bu görevlerin her birini ayrı ayrı yapan ayrı WordPress eklentileri bulabilirsiniz. Ancak kapsamlı bir güvenlik aracını tercih ederseniz, birden fazla özelliği aynı yerden yönetebileceksiniz ve bu da işinizi kolaylaştırabilecek.
Aslında doğru eklentiyi kullanmak, en iyi WordPress güvenlik uygulamaları listesindeki birçok öğeyi işaretlemenize yardımcı olabilir. Jetpack Security, yukarıda bahsedilen tüm özellikleri ve daha birçok özelliği içerir.
7. Web sitenizi düzenli olarak yedekleyin
Verilerinizi düzenli olarak yedeklemek, muhtemelen onları güvende tutmak için yapabileceğiniz en önemli şeydir. Web siteleri söz konusu olduğunda tam yedekleme, güvenlik ihlali veya arıza durumunda cankurtaran olabilir.
Siteniz saldırıya uğrarsa veya düzgün çalışmayı durdurursa, sorunu çözmenin en kolay yolu yeni bir yedeği geri yüklemek olabilir. Yedekleme ne kadar yeni olursa, kritik bilgileri kaybetme olasılığınız da o kadar azalır.
Site tekrar düzgün bir şekilde çalışmaya başladığında, siteyi başka saldırılara karşı korumak için gerekli adımları atabilirsiniz.
WordPress için birçok yedekleme seçeneği vardır. Bazı web barındırıcıları, barındırma planınızın bir parçası olarak (genellikle yönetilen bir hizmetse) otomatik yedeklemeler sunar. Ancak yalnızca bu yedeklemelere güvenmemek en iyisidir. Sunucunuzun güvenliği ihlal edilmişse (bir kodlama hatası, ana bilgisayar hatası veya hack nedeniyle) yedeklemeler de tehlikeye girebilir.
Daha iyi bir seçenek, yedekleri site dışında saklayan bir eklenti kullanmaktır. Jetpack VaultPress Backup böyle bir seçenektir. Araç, ayrı bir eklenti olarak ve daha önce bahsedilen Jetpack Güvenlik paketinin bir parçası olarak mevcuttur. Her değişiklik yaptığınızda siteniz otomatik olarak yedeklenir.
Bu gerçek zamanlı yedeklemeler, web sitenize sürekli olarak yeni içerik ekliyorsanız idealdir. Bu, her zaman en son sürümün bir kopyasına sahip olacağınız anlamına gelir. Ayrıca, yedeklemeler site dışında depolanır, böylece siteniz tamamen kapalı olsa bile bunlara her zaman erişebilirsiniz.
8. Bir web uygulaması güvenlik duvarı (WAF) kullanın
WAF, bir web sitesine gelen ve bir web sitesinden gelen trafiği filtrelemek için tasarlanmış bir tür güvenlik duvarıdır. Belirli trafik türlerini filtrelemek için kuralları kullanır ve bilinen kötü amaçlı IP'leri engelleyebilir.
WAF'ler, SQL enjeksiyonları, siteler arası komut dosyası oluşturma (XSS) ve siteler arası istek sahteciliği (CSRF) dahil olmak üzere yaygın siber saldırı türlerini durdurmanıza yardımcı olmak için tasarlanmıştır. Bunu karmaşık kural sistemleri sayesinde yapabiliyorlar.
Güvenlik duvarının kuralları ne kadar kapsamlı olursa o kadar etkili olur. Pek çok güvenlik eklentisi (Jetpack Security dahil), WordPress saldırılarıyla ilgili uzun yıllara dayanan deneyimlerden yola çıkarak tasarlanmış kural kümelerine sahip gelişmiş WAF'lara sahiptir.
Bir WAF'ı manuel olarak kurup yapılandırabilseniz de, en iyi seçeneğiniz, bir web barındırıcısı veya sizin için ayarlayan bir güvenlik eklentisi kullanmaktır. Bu şekilde mevcut tehdit veritabanlarından yararlanabilir ve güvenlik duvarını kolayca açabilirsiniz.
9. Kötü amaçlı yazılımlara karşı düzenli olarak tarama yapın
Web sitenizi kötü amaçlı yazılımlara karşı taramak, üçüncü taraf bir araç veya güvenlik eklentisi kullanmayı içerir. Bu yazılım, kötü amaçlı yazılım bulaşmalarını aramak için sitenizin dosyalarını, eklentilerini ve temalarını inceler. Yanlış bir şey tespit ederse sorunun nerede olduğunu size bildirecektir.
Bilgisayarınızda antivirüs taramaları çalıştırdığınız ve bunun sonsuza kadar sürdüğünü hatırlıyor musunuz? Artık çoğu antivirüs yazılımı arka planda çalışıyor ve yalnızca bir sorun olduğunda sizi rahatsız ediyor. Jetpack Security ile yapılan kötü amaçlı yazılım taramaları da aynı şekilde sorunsuz çalışır.
Ve size yalnızca bir sorun olduğunu söyleyen diğer araçların aksine, Jetpack bir şey bulduğunda genellikle tek bir tıklamayla sorunu çözecek çözümler sunar.
Sitenizin güvenliğini sağlamak için gerekli adımları atarsanız, kötü amaçlı yazılım bulaşmalarının son derece nadir olması gerekir. Öyle olsa bile, sıfır gün açıklarından yararlanmaya veya durdurulması zor başka tür bir saldırıya maruz kalmanız durumunda, otomatik kötü amaçlı yazılım taramalarını ayarlamanın hiçbir zararı olmaz.
10. Formu ve yorum spamını engelleyin
Açık yorum bölümleri veya formları olan herhangi bir WordPress sitesi spam ile karşılaşabilir. Bu, rakiplerin kendi sitelerine bağlantı yayınlamasından, kötü amaçlı URL'ler paylaşan veya yetkisiz erişim elde etmek için komut dosyaları kullanmaya çalışan saldırganlara kadar değişebilir.
Bu sorunun basit çözümü sitenizdeki yorumları yönetmektir. Ancak siteniz büyüdükçe spam yorumları filtrelemek tam zamanlı bir iş haline gelebilir. Binlerce mesajın denetlenmeyi beklemesi alışılmadık bir durum değil.
Robot spam gönderimlerini durdurmak için CAPTCHA kullanmayı deneyebilirsiniz, ancak kaçınılmaz olarak bazı kullanıcıları rahatsız edecek ve sitenizin gelişmesi için ihtiyaç duyduğu meşru etkileşimi ve dönüşümleri azaltacaksınız.
En iyi seçenek Akismet'i kullanmaktır. Bu araç, yorumlara ve formlara spam gönderimini durdurmak için tamamen arka planda çalışır, böylece bunun olduğunu fark etmezsiniz bile. Meşru kullanıcıların bir bulmacayı çözmelerine, bir bilmeceyi cevaplamalarına ve hatta bir kutuyu tıklamalarına gerek kalmadan devam etmelerine izin verilir.
Bütün bunlar %98 doğrulukla gerçekleşir.
Akismet ayrıca, belirli yorumları anında silmek ve diğerlerini manuel olarak incelemeniz, onaylamanız veya reddetmeniz için saklayacak şekilde özelleştirilebilir.
Akismet'i kendi eklentisi olarak alabilirsiniz, ancak genel güvenliğinizi ve kullanıcı deneyiminizi en az çaba (ve masraf) ile iyileştirmeye kararlıysanız, onu Jetpack Güvenlik planının bir parçası olarak da alabilirsiniz.
11. FTP kullanarak güvenli dosya izinlerini uygulayın
UNIX tabanlı bir sistemdeki her dosya ve klasörün bir dizi izni vardır. Bu izinler üç sayı kümesiyle temsil edilir. Örneğin “777”, her kullanıcının bir dosya veya dizin için tam yazma, okuma ve yürütme izinlerine sahip olduğu anlamına gelir.
Üç sayıdan ilki dosyanın veya dizinin kime ait olduğunu gösterir. İkinci sayı, sahip grubundaki hesapları, üçüncüsü ise diğer tüm kullanıcıları temsil eder.
Yukarıdaki örnekte her yedi, bu türdeki kullanıcıların her birinin okuma (dört), yazma (2) ve yürütme (1) izinlerine sahip olduğu anlamına gelir. Bu değerleri toplarsanız yedi elde edersiniz.
WordPress dosyalarına ve dizinlerine atadığınız dosya izinleri, bunlara kimlerin erişebileceğini, okuyabileceğini ve düzenleyebileceğini belirler. WordPress için önerilen dosya izinleri dizinler için 755 ve dosyalar için 644'tür.
Bu izinleri ayarlamak için web sitenize FileZilla gibi bir dosya aktarım protokolü (FTP) aracı aracılığıyla bağlanmanız gerekir. FTP kimlik bilgilerinizi hosting hesabınızdan alabilirsiniz.
Sitenize bağlandıktan sonra kök dizine gidin (bu genellikle public_html olarak etiketlenir). Bu klasörün içinde istediğiniz herhangi bir alt dizini veya dosyayı seçip sağ tıklayıp Dosya izinleri yazan seçeneği seçebilirsiniz.
Sayısal değer alanı aracılığıyla seçtiğiniz dosya veya dizin için izni ayarlayabileceğiniz yeni bir pencere açılacaktır.
Dizinlerin izinlerini değiştirirseniz Alt dizinlere yinele yazan bir seçenek de görürsünüz. Bu, tüm alt dizinler veya dosyalar için aynı izinleri ayarlamanıza olanak tanır.
WordPress dosyaları için en uygun izinler söz konusu olduğunda kuralın bazı istisnaları olduğunu unutmayın. Bunlardan biri, bir sonraki bölümde tartışacağımız wp-config.php dosyasıdır.
12. wp-config.php dosyanızı güvence altına alın
wp-config.php dosyası web siteniz ve veritabanı hakkında kritik bilgiler içerir. Bu, WordPress'in en önemli çekirdek dosyalarından biridir, bu da onu güvence altına almak için ek adımlar atmanız gerektiği anlamına gelir.
İzinler açısından wp-config.php'yi 400 veya 440 olarak ayarlamak en iyisidir. Önceki bölümdeki dökümü hatırlarsanız, bu izin değerlerinin şu anlama geldiğini bilirsiniz:
- 400: Dosyayı yalnızca sahibi okuyabilir.
- 440: Dosyayı yalnızca sahip ve sahip grubundaki kullanıcılar okuyabilir.
Bu, wp-config.php dosyasındaki yazma izinlerini tamamen kaldırır. Bu genellikle güvenli bir seçimdir çünkü herhangi birinin dosyanın ayarlarını değiştirmesini engeller.
wp-config.php dosyasını güvence altına almanın başka bir yolu da kök dizinin bir seviye üstüne çıkmaktır. WordPress, dosyayı varsayılan konumda bulamazsa bir dizin yukarısında arayacaktır.
Bu, WordPress'in hala normal şekilde çalışacağı anlamına gelir, ancak saldırganlar dosyayı bulamadıkları gerçeğine aldanabilirler.
13. wp-config.php dosyanızda dosya düzenlemeyi devre dışı bırakın
WordPress, dosyaları düzenlemek için çeşitli seçenekler sunar. Bunlardan biri, kontrol panelinde bulunan eklenti ve tema dosyası düzenleyicilerini kullanmaktır.
Bu dosya düzenleyicileri, sitenize FTP yoluyla bağlanmanıza gerek kalmadan sitenizin kodunda değişiklik yapmanızı sağlar. Bu yaklaşımın dezavantajı, bir bilgisayar korsanının bu düzenleyicileri kullanma izni olan bir hesaba erişim sağlaması durumunda web sitenize zarar verebilmesidir.
Bu nedenle WordPress'te dosya düzenlemeyi devre dışı bırakmayı düşünebilirsiniz. Bunu wp-config.php dosyasını açıp aşağıdaki kod satırını dosyaya ekleyerek yapabilirsiniz:
define('DISALLOW_FILE_EDIT', true);
Bazı temaların ve eklentilerin dosya düzenlemeyi otomatik olarak devre dışı bırakacağını unutmayın. Kontrol panelinde dosya veya tema düzenleyicilerini göremiyorsanız büyük olasılıkla bu araçlardan birini kullanıyorsunuzdur.
14. .htaccess dosyanızda dizin taramasını kısıtlayın
Dizin taraması etkinse web siteniz.com/content/ adresini ziyaret edebilirsiniz. 403 yasak hatası almak yerine, o klasörün içindeki alt dizinlerin ve dosyaların bir listesini göreceksiniz.
Sitenizi korumak istiyorsanız dizine göz atmayı devre dışı bırakmak şarttır. Herhangi biri sitenizin klasörlerinin içeriğini görebilirse, hangi temayı ve eklentileri kullandığınız gibi birçok bilgiye sahip olabilir. Ayrıca medya dosyalarında sınırsız olarak gezinebilecekler ki bu da gizlilik açısından korkunç bir durum.
Çoğu WordPress web sunucusu, dizin taramayı varsayılan olarak devre dışı bırakır. Eğer sizinki bu özelliği sunmuyorsa, kök dizindeki .htaccess dosyasını düzenleyerek bu özelliği kendiniz etkinleştirebilirsiniz.
Bunu yapmak için dosyayı açın ve aşağıdaki kod satırını ekleyin:
Options -Indexes
Değişiklikleri kaydedin ve dosyayı kapatın. Artık bir tarayıcı aracılığıyla bir dizine gitmeyi denerseniz, o dizine erişiminizin olmadığını belirten bir hata alırsınız.
15. wp-admin dizinine erişimi kısıtlayın
wp-admin, WordPress dizini için varsayılan konumdur. Web sitenizin ana sayfasını ziyaret ederseniz ve URL'nin sonuna /wp-admin eklerseniz WordPress kontrol paneline ulaşırsınız (giriş sayfasını geçtikten sonra).
Bu yapı WordPress web siteleri için standarttır. Bu, hem sizin hem de saldırganların kontrol panelini bulmasını ve erişmesini kolaylaştırır.
WordPress yöneticisini korumanın bir yolu, onu bir parola ile güvence altına almaktır. Bu sayede kullanıcıların giriş sayfasından geçtikten sonra farklı bir şifre girmeleri gerekecektir.
Web sunucunuz cPanel kullanıyorsa, Dizin Gizliliğini kullanarak wp-admin dizinine bir şifre ekleyebilirsiniz. alet.
Bu araca girdikten sonra wp-admin dizinini bulana kadar klasörlere göz atın. DÜZENLE'ye tıklayın yanındaki düğmeye tıklayın ve sonraki sayfada Bu dizini parolayla koruyun yazan seçeneği işaretleyin.
Artık dizin gizlilik aracı sizden wp-admin için bir şifre belirlemenizi isteyecektir. Şifreyi kaydettikten sonra WordPress kontrol paneline erişmeyi deneyin. Doğrudan tarayıcının içinde bir şifre açılır penceresi görünmelidir.
16. wp-admin giriş URL'nizi gizleyin
WordPress yöneticisini korumanın başka bir yolu da giriş sayfasına yönlendiren URL'yi değiştirmektir. Bu stratejiyi yukarıdaki bölümde anlatılan ek şifre korumasıyla birleştirirseniz hiçbir saldırgan sitenizin kontrol paneline giremeyecektir.
Wp-login URL'sini manuel olarak değiştirebilirsiniz, ancak bir eklenti kullanmak süreci basitleştirebilir. WPS Hide Login, sitenizin herhangi bir kodunu düzenlemenize gerek kalmadan yeni bir giriş URL'si belirlemenizi sağlayan basit bir araçtır.
Eklentiyi yükledikten sonra Ayarlar → WPS Girişi Gizle seçeneğine gidin ve Giriş URL'si yazan bölümü arayın. Bu seçeneğin yanındaki alanı kullanın ve varsayılan giriş URL'sini özel bir URL ile değiştirin.
Harf ve sayıların rastgele bir karışımını kullanmak isteyebilirsiniz. Bu, saldırganların tahmin etmesini zorlaştıracaktır. Yeni giriş sayfasına yer işareti koyduğunuzdan veya hatırlayabileceğiniz bir URL ayarladığınızdan emin olun.
17. Oturum açma denemelerini sınırlayın
Daha önce de belirtildiği gibi, saldırganlar birden fazla kullanıcı adı ve şifre kombinasyonunu deneyerek sitenize erişebilir. Güçlü parolalar belirlemek, bu girişimleri engellemenin etkili bir yolu olabilir ancak kaba kuvvet saldırılarını durdurmak için yapabileceğiniz başka bir şey daha vardır.
Bu, kullanıcıların belirli bir süre içinde yapabileceği oturum açma denemelerinin sayısını sınırlamayı içerir. Bu sınırlama normal kullanıcıları etkilemeyecek ancak botların kullanıldığı kaba kuvvet saldırılarını engellemek için yeterli olacaktır. Yeni kimlik bilgilerini deneyebilecekleri oranı sınırlayarak başarılı olma şanslarını en aza indirebilirsiniz.
WordPress'te oturum açma girişimlerini sınırlamak için kullanabileceğiniz birçok araç vardır. Jetpack kullanıyorsanız kaba kuvvete karşı koruma özelliğine erişebilirsiniz. Bu, Jetpack'in kötü amaçlı olarak tanımladığı oturum açma girişimlerini otomatik olarak sınırlar.
Jetpack ayrıca IP adreslerini izin verilenler listesine almanıza da yardımcı olabilir, böylece bunlar kaba kuvvet koruma aracı tarafından engellenmez. Yanlış işaretlemeleri önlemek amacıyla bunu kendi IP adresiniz ve iş arkadaşlarınızın IP adresi için kullanabilirsiniz.
18. Boşta kalan kullanıcıların oturumunu otomatik olarak kapatın
Pek çok web sitesi belirli bir süre sonra hesabınızdan çıkış yapar. Bu, diğer kişilerin bilgisayarınıza erişmeleri durumunda oturumunuzu ele geçirmelerini önlemek için tasarlanmış bir güvenlik önlemidir.
Bu, nereden oturum açtığınıza bağlı olarak bir sorun olmayabilir ancak yine de uygulamaya değer bir güvenlik önlemidir. Bu, özellikle sitenizin kontrol paneline erişimi olan başka kişiler varsa geçerlidir.
WordPress kullanıcıların oturumunu otomatik olarak kapatmaz. Bu işlevselliği eklemek için Etkin Olmayan Oturumu Kapatma gibi bir eklenti kullanmanız gerekir.
Eklentiyi yükledikten sonra Ayarlar → Etkin Olmayan Oturumu Kapat → Genel Ayarlar seçeneğine gidin. Boşta Kalma Zaman Aşımı seçeneğini arayın ve değeri dakika cinsinden istediğiniz zamanlayıcıya ayarlayın.
Artık kullanıcıların bu süre boyunca boşta kalmaları durumunda oturumları otomatik olarak kapatılacak. Eklenti ayrıca oturumlarının neden kapatıldığını bildiren bir mesaj yapılandırmanıza da olanak tanır, böylece geri döndüklerinde kafaları karışmaz.
19. Varsayılan WordPress veritabanı önekini değiştirin
Her WordPress veritabanının bir adı vardır. Varsayılan olarak bu ad wp_something'dir ve "bir şey" veritabanının gerçek adının yerine geçer.
Burada gerçekten önemli olan önektir. WordPress varsayılan olarak wp_ önekini kullanır; bu, saldırganların veritabanının tam adını kolayca tahmin edebileceği anlamına gelir.
Basitçe öneki değiştirmek, saldırganlar için bu görevi çok daha zorlaştırabilir. Ne yazık ki WordPress veritabanı önekini değiştirmek o kadar kolay değil.
Bu işlem, hem çekirdek dosyaları düzenlemenizi hem de veritabanının kendisinde değişiklik yapmanızı gerektirir. Bu nedenle, başka bir şey yapmadan önce, tüm dosyaları ve veritabanını içeren tam bir web sitesi yedeklemesi yapmanız gerekir. Bu şekilde, bir şeyler ters giderse yedeği geri yükleyebilirsiniz.
Başlamak için web sitesine FTP aracılığıyla erişin ve wp-config.php dosyasına gidin. Dosyayı açın ve içinde şu satırı arayın:
$table_prefix = 'wp_';
Devam edip "wp_" önekini "newprefix_" gibi başka bir şeyle değiştirebilirsiniz. Ancak bu sadece bir örnek. Tahmin edilmesi zor bir şey seçmek isteyeceksiniz.
Şimdi dosyayı kaydedin ve phpMyAdmin'i kullanarak veritabanına erişin. Soldaki listeden WordPress veritabanını seçin ve ekranın üst kısmındaki tablolar listesinin üzerindeki menüde SQL'e tıklayın.
Bu, veritabanını etkileyen SQL komutlarını çalıştırabileceğiniz bir sayfa açacaktır. Şimdi yapmanız gereken, veritabanındaki tüm tablolar için mevcut tablo öneklerini değiştirmek. Varsayılan olarak bu, aşağıdaki tablolar anlamına gelir:
- wp_options
- wp_postmeta
- wp_posts
- wp_term_relationships
- wp_term_taxonomy
- wp_terms
- wp_commentmeta
- wp_comments
- wp_links
Bazı eklentilerin veritabanına yeni tablolar da ekleyebileceğini unutmayın. Bu tabloların öneklerini de güncellemeniz gerekecektir.
Her tablo için aşağıdaki SQL komutunu çalıştırmanız gerekir:
RENAME table wp_xxxx TO newname_xxxx;
“xxxx” yer tutucuları, alt çizgiden sonra her tablonun adını temsil eder. Benzer şekilde, wp-config.php dosyasını değiştirirken yeniisim_ önekini daha önce belirlediğiniz önek ile değiştirmeniz gerekecektir.
Veritabanındaki her tablo için bu işlemi gerektiği kadar tekrarlayın. Hazır olduğunuzda kontrol paneline dönebilirsiniz.
Veritabanı önekini değiştirmek sitenizdeki tüm etkin eklentileri ve temaları bozabilir. Bu araçlar, siz bunları devre dışı bırakıp yeniden etkinleştirene kadar güncellenen veritabanını tanımayacaktır.
Bu nedenle sitenizdeki her eklentiyi ve temayı tek tek inceleyip o süreci takip etmeniz gerekir. İşiniz bittiğinde her şeyin olması gerektiği gibi çalıştığından emin olmak için sitenizi kontrol edin.
20. WordPress sürümünüzü gizleyin
Geçmişte WordPress, bir sitenin kullandığı yazılımın sürümünü altbilgide gösteriyordu. Buradaki fikir, bu bilgilerin sorun giderme amacıyla yararlı olabileceği ve ön uç ziyaretçilerin kullanımına hazır olup olmadığını bulmanın çok daha kolay olacağıydı.
Bu yaklaşımdaki sorun, sürüm numarasını göstermenin saldırganların o sürüme özel güvenlik açıklarını arayabileceği anlamına gelmesidir. Bu, kötü niyetli aktörlere web sitenize saldırı gerçekleştirmek için kullanabilecekleri birçok bilgi sağlar.
Üstelik bu özelliğin size pratik bir faydası da yok. Sonuçta sitenizin WordPress sürümünü her zaman kontrol panelinden kontrol edebilirsiniz.
WordPress'in daha yeni sürümleri artık bu bilgileri ön uçta görüntülemiyor. Altbilgide sürüm numarasını görebiliyorsanız bu, web sitenizin WordPress güncellemesinin geciktiği anlamına gelir.
21. PHP sürümünüzü güncel tutun
Muhtemelen bildiğiniz gibi, WordPress büyük ölçüde PHP üzerine kurulmuştur. Yönetici görevlerinin çoğunu gerçekleştirmek için bu programlama diline güvenir.
PHP aynı zamanda bir yazılımdır. Bu, yeni özellikler ve işlevler ile iyileştirilmiş performansla düzenli güncellemeler aldığı anlamına gelir.
WordPress, sunucunuzun PHP 7.4 veya daha üst sürümünü çalıştırmasını gerektirir. PHP'nin daha yeni sürümleri de mevcut ve bunların her biri yazılıma performans ve güvenlik yükseltmeleri getiriyor. Bu yükseltmeler aynı zamanda WordPress'in kendisine de aktarılır.
Saygın web sunucularının çoğu, yeni sürümler çıktıkça sunucularında PHP'yi günceller. Bazı sağlayıcılar, sürümler arasında manuel olarak geçiş yapmanıza bile olanak tanır (bu, WordPress sitenizdeki hataları gidermek için gerekli olabilir).
WordPress kontrol panelinizde Ayarlar → Site Sağlığı → Bilgi → Sunucu seçeneğine giderek sitenizin hangi PHP sürümünü çalıştırdığını kontrol edebilirsiniz. Burada, kullandığı PHP sürümü de dahil olmak üzere sunucunuzun yapılandırmasına ilişkin bir genel bakış göreceksiniz.
Bu sürüm güncel değilse web barındırıcınızla iletişime geçmek isteyebilirsiniz. Sizin için PHP'yi güncelleyebilirler. Öyle olsa bile, bu yapmamanız gereken bir şey Saygın bir barındırma sağlayıcısı kullanıyorsanız bunu yapmanız gerekir, çünkü onlar sizin için bu işi halledecektir.
22. PHP hata raporlamasını kapatın
WordPress, CMS'nin PHP hatalarını günlüğe kaydetmesini sağlayan bir hata ayıklama aracıyla birlikte gelir. Web sitenizdeki teknik sorunları gidermek için bu hata raporlarını kullanabilirsiniz.
Ne yazık ki bu raporlar güvenlik sorunlarına da yol açabilir. Saldırganlar PHP hata günlüklerine erişim sağlarsa sitenizin nasıl çalıştığına dair birçok bilgi edinebilirler. Sitenizde hangi eklentilerin etkin olduğunu (hata gösteriyorlarsa) ve ayrıca sitenizde PHP sorunları olan önemli dosyaları görebilirler.
WordPress'te bir hatayı aktif olarak gidermiyorsanız PHP hata raporlamasını etkinleştirmenize gerek yoktur. Bir sorunu teşhis etmek için kullanıyorsanız, ihtiyacınız olan bilgiyi alır almaz WordPress hata ayıklama modunu devre dışı bırakmak isteyeceksiniz.
PHP hata raporlamasını devre dışı bırakmak, WordPress kökünde bulunan wp-config.php dosyasını değiştirmenizi gerektirir. dizin. Dizine daha önce gösterildiği gibi FTP yoluyla erişebilirsiniz.
Ardından wp-config.php dosyasını açın ve aşağıdaki kod satırını ekleyin:
define ( 'WP_DEBUG', true );
Doğruyu değiştir false değeri ve dosyayı kaydedin. Bu, WordPress'teki hata günlüklerini devre dışı bırakacaktır.
Gerektiğinde bunları istediğiniz zaman tekrar açabilirsiniz. Değeri tekrar true olarak değiştirmeniz yeterli olacaktır.
23. Gereksiz eklentileri ve temaları kaldırın
Eklentiler ve temalar WordPress'i bu kadar çok yönlü bir platform yapan şeydir. Sitenize yeni özellikler ekler ve tasarımını özelleştirmenizi sağlar.
Sorun, bazı kişilerin düzinelerce eklenti ve tema yüklemesine rağmen bunlardan yalnızca birkaçını kullanmasıdır. Örneğin, en sevdiğiniz temayı seçmeden önce birçok farklı temayı deneyebilirsiniz, ancak geri kalanını asla kaldırmayın.
Web sitenizdeki her aktif eklenti bir güvenlik riski taşır. Tipik olarak bu risk, düzenli güncellemeler alan ve arkasında saygın bir geliştirme ekibi bulunan eklentiler için minimum düzeydedir. Güncel olmayan eklentiler veya artık güncelleme almayan eklentiler için bu risk büyük ölçüde artar.
Aynı durum temalar için de geçerlidir. Sitenizde kullanmadığınız temaların bulunması güvenlik açıklarına yol açabilir.
Belirli bir temayı veya eklentiyi aktif olarak kullanmıyorsanız, en güvenli seçenek onu kaldırmaktır (yalnızca devre dışı bırakmak değil). Bu yalnızca birkaç dakika sürer ancak sitenizin güvenliğinde büyük bir fark yaratabilir. Ayrıca, fikrinizi değiştirirseniz silinmiş bir eklentiyi veya temayı her zaman yeniden yükleyebilirsiniz.
Ancak burada bir istisna vardır. Sorun giderme amacıyla Twenty Twenty-Three gibi varsayılan bir temayı yüklü ancak etkin olmayan halde tutmak isteyebilirsiniz.
24. Gereksiz kullanıcı hesaplarını kaldırın
Genel bir kural olarak, kesinlikle gerekli olmadıkça hiç kimsenin web sitenize erişimi olmamalıdır. Birine erişim vermeniz gerekiyorsa (içerik yayınlamak, bakım yapmak veya siteyi güncellemek için), onlara ihtiyaç duyduklarından daha fazla izne sahip bir kullanıcı rolü atamadığınızdan emin olmak istersiniz.
Bir kişinin artık web sitesine erişmesi gerekmediğinde, devam edip hesabını silebilirsiniz. Bu onların onayınız olmadan web sitesini değiştirmelerini önleyecektir.
Bu kullanıcı hesapları başka bir risk oluşturmaktadır. Bazı kişiler web sitenize giriş yapmak için kişisel hesaplarındaki kimlik bilgilerini yeniden kullanabilir. Bu kimlik bilgileri bir güvenlik ihlali nedeniyle sızdırılırsa, saldırganlar bunları web sitenize erişim sağlamak için kullanabilir.
WordPress'te kullanıcı hesaplarını silmek basittir. Bunu yapmak için Kullanıcılar → Tüm Kullanıcılar'a gidin ve bir hesap seçin. Kaldırmak istediğiniz hesabı belirledikten sonra fareyle üzerine gelin ve Sil'i tıklayın.
Bu seçeneğin yalnızca yönetici olmanız durumunda görüneceğini unutmayın. Yönetici hesabına başka hiç kimsenin erişimi olmadığı sürece, kullanıcı hesaplarını silme yetkisine sahip olan tek kişi siz olmalısınız.
25. Kullanıcı etkinliğini izleyin
Başkalarının içerik yayınlamak, sitede değişiklik yapmak ve güncellemek için kontrol paneline erişebildiği bir WordPress web sitesi işletiyorsanız, er ya da geç güvenlik sorunlarıyla karşılaşmanız muhtemeldir. Örneğin birisi kimlik bilgilerini çaldırabilir veya siteye güvenlik riski oluşturan bir eklenti yükleyebilir.
Bu nedenle yöneticinin, siteyi kullanırken başkalarının ne yaptığına dikkat etmesi iyi bir fikirdir.
Etkinlik günlükleri, belirli olayları izleyen ve bunların ne zaman gerçekleştiğini not eden araçlardır. Bu günlüğe erişebilir ve kimin neyi, ne zaman yaptığını görebilirsiniz. Bu, sitenizin güvenliğini olumsuz yönde etkileyebilecek olayları ve eylemleri tespit etmenize olanak tanır.
Bu özellik WordPress'te varsayılan olarak mevcut değildir ancak bir eklentiyle ekleyebilirsiniz. Jetpack Security, son 30 güne ait verileri saklayan bir etkinlik günlüğü içerir.
Günlük, tesis dışında barındırılır. Bu nedenle, siteye erişiminizi kaybederseniz, en son yedeklemeyi geri yüklemeden önce ne olduğunu görmek için günlüğü kontrol edebilirsiniz.
26. DDoS saldırısı riskini azaltmak için CDN kullanın
İçerik dağıtım ağları (CDN'ler), yükleme sürelerini önemli ölçüde azaltmanıza yardımcı olabilir. Bunu, dünya çapında dağıtılmış bir veri merkezleri ağını kullanarak web sitenizi önbelleğe alarak yaparlar. Birisi siteyi ziyaret ettiğinde CDN isteği yakalar ve en yakın sunucudan bir kopyasını yükler.
CDN kullanmak, yükleme sürelerini kısaltmanın ötesinde birçok avantaj sunar. Örneğin, sunucunuz üzerinde daha az yük olur, bu da web sitenizin trafikteki büyük artışlarla başa çıkabilmek için daha iyi konumlandırılacağı anlamına gelir. Ayrıca CDN, bir saldırı durumunda bariyer görevi görebilir.
Web siteniz bir DDoS saldırısının hedefiyse CDN sitenizi hızlı bir şekilde kapatabilir. Ağın bağlantıda tuhaf bir şey tespit etmesi durumunda birçok CDN, ziyaretçilerden insan olup olmadıklarını doğrulamalarını isteyebilir. DDoS saldırıları botlara dayandığından çoğu zaman bu tür güvenlik kontrollerini atlayamazlar.
DDoS saldırısı CDN'ye ulaşmayı başarsa bile veri merkezleri büyük trafik akışını yönetecek şekilde inşa edilmiştir. Bu arada web siteniz CDN tarafından korunacaktır.
İstediğiniz herhangi bir CDN'yi WordPress ile entegre edebilirsiniz. Jetpack CDN'nin kurulumu çok kolaydır. Jetpack eklentisinde bunu ücretsiz olarak etkinleştirebilirsiniz; CDN, web sitenizdeki medya dosyalarını önbelleğe almaya başlayacaktır.
27. Güvenlik odaklı bir barındırma sağlayıcısına geçiş yapın
Her web sunucusunun kendi satış noktası vardır. Örneğin, bazı barındırma sağlayıcıları güvenlik ve performansa daha fazla odaklanırken, diğerleri uygun fiyatlandırmaya öncelik veriyor.
İdeal olarak, birinci sınıf performans ve güvenlik vaat eden (ve bunun için adil olmayan bir ücret talep etmeyen) bir web barındırma seçeceksiniz. Bu kriterlere uyan ve sizin için temel güvenlik görevlerini üstlenen birçok web ana bilgisayar var. Bu görevler şunları içerebilir:
- Yedekler
- Bir WAF kurmak
- Sizi DDOS saldırılarından korumak
- Kötü amaçlı yazılım taraması ve temizleme
Web sitenizi çalıştırmak için daha fazla zaman ve enerji harcamak ve saldırılara karşı korumak için daha az harcama yapmak istiyorsanız, güvenliğe değer veren bir ev sahibi seçmek istersiniz. Başlamak için önerilen WordPress ana bilgisayarlarının bir listesini almak isteyebilirsiniz.
Yönetilen barındırma planları sağlayan web ana bilgisayarları güvenlik açısından daha fazla sunma eğilimindedir. Tabii ki, bu hizmetler yönetilmeyen planlardan biraz daha pahalı olacak, ancak zihninizi rahatlatmaya yardımcı olabilirler.
28. Bir kurumsal güvenlik çözümünü düşünün
Kurumsal düzeyde bir web sitesi çalıştırırsanız, güvenlik önlemleriniz eklentileri güncellemenin ve yedeklemelerin ötesine geçmelidir. Web siteniz için uçtan uca koruma sağlayan bir güvenlik çözümüne ihtiyacınız olacak.
WPSCAN, piyasadaki en büyük WordPress güvenlik açıkları veritabanına sahiptir.
WPSCAN, işletme odaklı bir güvenlik çözümü sunar. Bu, şirketinizin ihtiyaçlarına ve sahip olduğunuz web sitesine göre uyarlanabilir. Sitenizin güvenliği hakkında bir değerlendirme almak ve bir teklif talep etmek için doğrudan WPSCAN'a ulaşabilirsiniz.
Sıkça Sorulan Sorular
Bu WordPress güvenlik ipuçları listesi, sitenizi korumak için en önemli önlemleri ele almıştır. Web sitenizin güvenliğini nasıl artıracağınızla ilgili hala herhangi bir sorunuz varsa, bu bölüm bunlara cevap vermeyi amaçlayacaktır.
Bu WordPress güvenlik en iyi uygulamaları tarafından hangi yaygın tehditler azaltılabilir?
Bu kılavuz, temel koruyucu önlemlerden daha gelişmiş güvenlik uygulamalarına kadar her şeyi kapsamaktadır. Bu makalede belirtilen her önlemi uygulamak için zaman ayırırsanız, web siteniz en yaygın tehditlere karşı korunmalıdır. Bunlar arasında kaba kuvvet saldırıları, veri hırsızlığı ve kötü amaçlı yazılımlar bulunur.
Bu önlemlerin nihai amacı, hiçbir kötü amaçlı aktörün sitenize erişememesini ve hasara neden olmasını sağlamaktır. Ayrıca, kötü bir eklenti yüklemek gibi deneyimsiz kullanıcıların hatalarını önleyebilirler.
WordPress güvenliğini artırmanın en kolay yolu nedir?
Bu kılavuzdaki her önlemi uygulamak için zamanınız yoksa, yapabileceğiniz en iyi şey bir WordPress güvenlik eklentisi kurmaktır. Bu araçlar, web sitenizi korumaya yardımcı olan sayısız özellikleri otomatik olarak etkinleştirecektir.
Jetpack Security, birçok temel görevi otomatikleştiren hepsi bir arada bir çözümdür. Gerçek zamanlı yedeklemeler yapar, bir güvenlik duvarı ayarlar, kötü amaçlı yazılım için hızlı düzeltmeler sağlar ve hızlı yazılımlar sağlar, sitenizi spam'e karşı korur ve daha fazlasını sağlar. Ayrıca etkinlik günlüklerine erişim sağlar, böylece sitenizde bir güvenlik sorununa neden olabilecek (ve bunları gerçekleştiren) eylemleri belirleyebilirsiniz.
WordPress için en iyi güvenlik eklentisi nedir?
Aralarından seçim yapabileceğiniz birçok WordPress güvenlik eklentisi var, ancak Jetpack Security piyasadaki en kapsamlı çözümlerden biri. Yedeklemeler, kötü amaçlı yazılım taraması ve kaldırma ve spam koruması dahil olmak üzere bu yazıda tartışılan güvenlik uygulamalarının çoğunu ele almaktadır.
WordPress sitemi nasıl yedeklerim ve yedekleri nerede saklamalıyım?
Bir WordPress web sitesini yedeklemenin birçok yolu vardır. Tüm dosyaları ve veritabanını manuel olarak yedekleyebilir, sizin için yapan bir eklenti kullanabilir veya bazı sınırlı yedeklemeler içeren bir barındırma planına kaydolabilirsiniz.
Çoğu durumda, yedeklemeleri yerel veya tek bir yerde saklamak istemezsiniz. Bu nedenle genellikle tek başına yedekleme barındırmaya güvenmek önerilmez. Bulut yedeklemeleri daha güvenli olma eğilimindedir, çünkü çoğu sağlayıcı fazlalık uğruna birden fazla kopya saklar.
Jetpack güvenliği gerçek zamanlı bulut yedeklemeleri içerir. Her şey saha dışında depolanır ve web sitenizde her değişiklik yaptığınızda yeni bir yedekleme yapılır.
WordPress sitemi ne sıklıkla güncellemeliyim?
İdeal olarak, güncellemeler varsa WordPress ve bileşenlerini güncellemelisiniz. Herhangi bir yazılımın en son sürümünü kullanmak, sitenizin güvenliğini ve performansını artıracaktır. Ayrıca, size en son özelliklere erişim sağlar.
Birçok güncelleme, güvenlik açıklarının yamalanmasına odaklanmıştır. İdeal olarak, sitenizi günlük güncellemeler için kontrol etmek isteyeceksiniz. Eklentiler için otomatik güncellemeleri bile etkinleştirebilirsiniz. Tüm bunlar ve daha fazlası, en iyi gerçek zamanlı güvenlik ve yedekleme eklentisi olan Jetpack Security ile mümkündür.
WordPress sitemi kötü amaçlı yazılım için ne sıklıkla taramalıyım?
Mümkünse, web sitenizi günlük olarak kötü amaçlı yazılım için taramalısınız. Bu çok kritik bir görev olduğundan, onu otomatikleştirmek mantıklıdır. Bu şekilde, güvenlik eklentiniz veya kötü amaçlı yazılım tarayıcınız, mevcut olmasanız bile güvenlik açıkları arayacaktır.
Jetpack güvenliği otomatik kötü amaçlı yazılım taraması içerir. Eklenti, sitenizi periyodik olarak tarar ve şüpheli bir şey bulursa sizi bilgilendirir.
JetPack Güvenliği: Güze Etme Koruması ve Yedeklemeleri
Bir WordPress web sitesini korumak çok fazla iş olabilir. Düzenli yedeklemeler yapmanız, güncellemeler yapmanız, sitenizi kötü amaçlı yazılım için taramanız ve daha fazlası yapmanız gerekir. Ayrıca, sitenize erişimi olan herkesin güçlü kullanıcı adları ve şifreler kullandığından emin olmak isteyeceksiniz.
Jetpack Security gibi hepsi bir arada bir çözüm bu görevlerin çoğunu sizin için işleyebilir. Otomatik yedeklemeler ve taramalar, spam koruması, güçlü bir güvenlik duvarı ve daha fazlasını alacaksınız. Tek yapmanız gereken eklentiyi yüklemek ve bu özellikleri etkinleştirmek.
Sitenizin güvenliğini artırmaya hazır mısınız? Bugün Jetpack Security ile başlayın!