2023'te WordPress Web Sitenizi Nasıl Güvenli Hale Getirirsiniz (Ayrıntılı Eğitim)

Yayınlanan: 2023-07-28

WordPress, üzerine kurulu web sitelerinin %44'ünden fazlası ile dünyanın en popüler içerik yönetim sistemlerinden (CMS) biri haline geldi. Herhangi bir çevrimiçi platformda olduğu gibi, güvenlik endişeler listenizin başında yer almalıdır. Bu yazıda, WordPress güvenlik endişelerini inceleyeceğiz ve WordPress web sitenizi nasıl güvenli ve emniyetli tutacağınıza dair ipuçları vereceğiz.

Hadi dalalım.

İçindekiler
  • 1 WordPress Güvenli mi?
  • 2 WordPress Güvenlik Endişeleri
  • 3 WordPress Web Sitenizi Nasıl Güvenli Hale Getirirsiniz?
    • 3.1 WordPress Güvenliği: İyi WordPress Barındırma Seçin
    • 3.2 WordPress Girişinizi Güvende Tutun
    • 3.3 Bir WordPress Güvenlik Eklentileri Paketi Kullanın
    • 3.4 PHP'yi Güncel Tutun
    • 3.5 Güçlü Parolalar Seçin
    • 3.6 WordPress Güvenliği: Yazılımı Güncel Tutun
    • 3.7 SSL Sertifikası Kurun
    • 3.8 Bir Güvenlik Denetimi Gerçekleştirin
    • 3.9 Gelişmiş WordPress Güvenlik Teknikleri
  • 4 WordPress Web Siteniz Hacklenirse Ne Yapmalısınız?
  • WordPress Güvenliği Üzerine 5 Son Düşünce

WordPress Güvenli mi?

WordPress.org

Çoğunlukla, evet. WordPress geliştiricileri, düzenli olarak gerçekleşen yamalar ve güncellemeler aracılığıyla platformlarının güvenliğini sağlamak için çok çalışır. Bununla birlikte, WordPress açık kaynaklı bir çerçeve üzerine kurulduğundan, bilgisayar korsanları nasıl oluşturulduğunu analiz edebilir ve sıklıkla WordPress web sitelerinin kontrolünü ele geçirmek için yeni yollar geliştirebilir. Bu nedenle, WordPress güvenliği çok önemlidir. WordPress kullanmanın risklerini bilmek, web sitenizin güvenliğini nasıl sağlayacağınızı daha iyi anlamak için önemlidir.

WordPress Güvenlik Endişeleri

Bir WordPress web sitesini çalıştırırken, farkında olunması gereken birkaç potansiyel risk vardır. En büyük endişelerden biri bilgisayar korsanlarıdır. WordPress çok popüler olduğundan, sitenize yetkisiz erişim elde etmek için eski eklentiler veya çekirdek dosyalar gibi güvenlik açıklarından yararlanmaya çalışan hain aktörlerin dikkatini çeker. Arka kapılar, kaba kuvvet saldırıları başlatma, ilaç saldırıları, hizmet reddi (DoS) saldırıları veya siteler arası komut dosyası çalıştırma (XSS) gibi yöntemler kullanabilirler.

Çözümlenmeden bırakılırsa kötü amaçlı yazılım (sitenizin ziyaretçi bilgilerini çalmak için tasarlanmış kötü amaçlı kod), web sitenizi tamamen farklı bir siteye yönlendirme, farkında olmadığınız içerik ekleme, konumunuzu zedeleyebilecek Google uyarıları gibi ciddi sonuçlar doğurabilir. SERP'ler veya daha kötüsü, web sitenize giriş yapamamak.

WordPress Web Sitenizi Nasıl Güvenli Hale Getirirsiniz?

Aşağıdaki bölüm, web sitenizi olası tehditlere karşı korumak için WordPress güvenliğini geliştirmeye yönelik en iyi uygulamaları keşfedecektir.

Youtube Kanalımıza Abone Olun

WordPress Güvenliği: İyi WordPress Barındırma Seçin

Atılacak ilk adım, iyi bir WordPress barındırma şirketiyle ortaklık kurmaktır. Bu kadar çok seçenek mevcutken, doğru sunucunun nasıl seçileceğini belirlemek zor olabilir. Yeni başlayan biriyseniz, WordPress için tüm güvenlik güncellemelerini sağlarken aynı zamanda kurulu olduğu sunucuyu da koruyan SiteGround gibi iyi yönetilen bir barındırma sağlayıcısı seçmek muhtemelen en iyisidir. Daha teknoloji meraklısı olanlar için Cloudways gibi bir bulut barındırma sağlayıcısı mükemmel bir seçimdir.

SiteGround WordPress barındırma

Her iki seçenek de, web sitenizin güvenli ve emniyetli olmasını sağlamak için ihtiyacınız olan tüm araçları size sağlayacaktır, bunlar arasında:

  • Ücretsiz SSL sertifikası
  • Web uygulaması güvenlik duvarı (WAF)
  • SFTP erişimi
  • Dağıtılmış hizmet reddi (DDoS) koruması
  • Malware koruması

WordPress Girişinizi Güvende Tutun

WordPress güvenliğinizi artırmak için yapabileceğiniz bir diğer kolay şey, oturum açma kimlik bilgilerinizi kilitlemektir. Bu, giriş URL'sini /wp-admin'den seçtiğiniz bir şeye değiştirmek için bir eklenti kullanmak da dahil olmak üzere çeşitli şekillerde yapılabilir. Ayrıca oturum açma bilgilerinize iki faktörlü kimlik doğrulama (2FA) ekleyebilir ve oturum açma girişimlerini sınırlayarak botları savuşturabilirsiniz.

Google uygulamaları girişi

Oturum açma bilgilerinizi korumanın başka bir yolu da Google Apps Login for WordPress kullanarak Google hesabınıza bağlamaktır. Girişiniz kilitlendikten sonra, kullanıcılarınızın IP adreslerini beyaz listeye eklemelisiniz. Bu, şifrenizi çözmüş olsalar bile yalnızca kayıtlı kullanıcıların içeri girebilmesini sağlar.

Bir WordPress Güvenlik Eklentileri Paketi Kullanın

Yapabileceğiniz bir başka yararlı şey de, iThemes Security gibi iyi bir güvenlik eklentisi kurmaktır. 2FA eklemenize, oturum açma girişimlerini sınırlamanıza, yedeklemeleri planlamanıza ve WordPress oturum açma bilgilerinizi gizlemenize olanak tanır.

ithemes güvenlik eklentisi

Barındırıcınız yedekleme sunmuyorsa, bir WordPress güvenlik eklentisine ek olarak UpdraftPlus gibi iyi bir yedekleme eklentisi kurmayı düşünün. Bir yedekleme eklentisi sizi sitenizin dosyalarını kaybetmekten korur ve WordPress'i sıfırdan yeniden oluşturmaktan kaçınmanıza yardımcı olur. Bir şeyler ters giderse sitenizi çok az bir çabayla kolayca geri yükleyebilirsiniz. Son olarak, WP Activity Log gibi bir aktivite günlüğü eklentisi eklemek, neyin ne zaman yanlış gittiğini belirlemenize olanak tanır.

PHP'yi Güncel Tutun

WordPress'in düzgün çalışması için üç şey gerekir: PHP, MySQL ve HTTPS desteği. PHP veya köprü metni ön işlemcisi, web geliştirmede kullanılan popüler bir açık kaynaklı betik dilidir ve WP'nin bel kemiğidir. WordPress gibi, açık kaynak olması, onu avantaj elde etmek isteyen kötü niyetli aktörler için açık bırakır. Bu olası sorunlardan kaçınmak için PHP'yi güncel tutmak en iyisidir. Yalnızca WordPress güvenliğine yardımcı olmakla kalmaz, aynı zamanda sitenizin en iyi şekilde çalışmasını sağlar.

PHP nasıl çalışır?

Güçlü Parolalar Seçin

WordPress güvenliğinin en önemli yönlerinden biri, oturum açmak için güçlü parolalar seçmektir. Zayıf veya kolayca tahmin edilebilir parolalar, sitenizi yetkisiz erişime karşı savunmasız bırakır ve sitenizi botnet'lere maruz bırakır. Bot ağları, kötü amaçlı yazılım bulaşmış ve bir bilgisayar korsanının kontrolü altına giren bir bilgisayar koleksiyonudur. İnternetteki DDoS saldırılarının önde gelen nedenidirler, ancak doğru önlemleri alarak sitenizin bunlara kurban gitmesini önleyebilirsiniz.

Şifre politikası oluşturucu eklentisi

Örneğin, tüm kullanıcıların bir şifre politikasına uymasını sağlayarak sitenizi koruyabilirsiniz. Bunu yapmanın harika bir yolu, Password Policy Maker gibi bir eklenti kurmaktır.

WordPress Güvenliği: Yazılımı Güncel Tutun

WordPress güvenliğindeki bir başka basit adım, WordPress çekirdeğinizi, eklentilerinizi ve temalarınızı güncel tutmaktır. Yazılımın güncelliğini yitirmesi, web sitenizde güvenlik ihlalleri, WordPress beyaz ekranı veya herhangi bir sayıda yaygın hata dahil olmak üzere olumsuz sonuçlara neden olabilir.

Güncellemeleri kendiniz takip edebilir veya otomatik güncellemeleri etkinleştirebilirsiniz. Sizin için neyin doğru olduğu, zaman, uzmanlık ve WordPress kurulumunuzun çalıştırdığı yazılım türü gibi çeşitli faktörlere bağlıdır. İster güncellemeleri yönetin ister otomatik güncellemeyi seçin, herhangi bir güncelleme yapmadan önce her zaman bir yedekleme yapmalısınız.

SSL Sertifikası Yükle

İyi bir barındırma sağlayıcısıyla ortak olursanız, beraberinde gelen avantajlardan biri de ücretsiz SSL sertifikasıdır. Ancak, kendiniz yüklemeniz gereken durumlar olabilir. SiteGround gibi çoğu sağlayıcı, birkaç dakika içinde yüklenen ücretsiz bir SSL sunar. Bunu okurken “Neden bir SSL sertifikasına ihtiyacım var?” Diye sorabilirsiniz. açıklayalım.

SSL sertifikası WordPress güvenliği

görüntü Valery Brozhinsky'nin izniyle | Shutterstock.com

SSL veya güvenli yuva katmanı, şifreleme ve ekstra bir güvenlik katmanı ekleyerek hipermetin aktarım protokolünü (HTTP) güvenli köprümetin aktarım protokolüne (HTTPS) genişletir. Örneğin, HTTP üzerinden satın alma işlemi yapan bir tüketici, kredi kartı bilgilerinin kullanılması riskini alır. Öte yandan, aynı satın alma işlemini HTTPS üzerinden yapmış olsalardı bilgileri korunacaktı. Siteniz ve ziyaretçileri, bu güvenli bağlantı olmadan açığa çıkar ve savunmasızdır. Bu nedenle, herhangi bir yeni web sitesine bir SSL sertifikası yüklemek çok önemlidir.

Güvenlik Denetimi Gerçekleştirin

Sitenizin güvenliğini sağlamak için adımlar attıktan sonra, ara sıra bir WordPress güvenlik denetimi yapmak önemlidir. Tıpkı teknolojinin günlük olarak değişmesi gibi, bir bilgisayar korsanının araç cephaneliği de değişir. Kötü amaçlı yazılımlar ve diğer taktikler düzenli olarak geliştirilir, bu nedenle WordPress web sitenizin güvenliğini sağlamak tek seferlik bir iş değildir. Düzenli güvenlik kontrolleri planlayın ve sitenizin başının belada olabileceğine dair işaretler arayın. Sitenizin yavaş yüklendiğini fark ederseniz, trafiğiniz düşerse, eklemediğiniz yeni bağlantılar keşfederseniz veya aşırı sayıda giriş denemesi yaşarsanız, sitenizin güvenli ve emniyette kalmasını sağlamak için bir güvenlik taraması çalıştırmanın zamanı gelmiş olabilir.

Gelişmiş WordPress Güvenlik Teknikleri

Yukarıda listelenen adımlara ek olarak, WordPress güvenliğini artırmak için sitenize dahil edebileceğiniz birkaç gelişmiş teknik daha vardır.

wp-config.php Dosyasını Sertleştirin

Bilgisayar korsanları için ortak bir giriş noktası, WordPress web sitenizin wp-config.php dosyasıdır. Ad, ana bilgisayar, kullanıcı adı ve parola dahil olmak üzere veritabanınızla ilgili bilgileri barındırır. Bu önemli dosyayı açık bırakmak zararlı olabilir, bu yüzden onu saklamak her zaman iyi bir fikirdir.

wp-config.php Dosyanızı Taşıyın

wp-config'i taşımak için sitenizin kök klasörüne (genel HTML) sürükleyebilirsiniz ve siteye her ping atıldığında WordPress onu arayacaktır. Ancak, sitenizin dosya yapısı bir htaccess dosyası içeriyorsa, aşağıdaki kodu kullanarak ona erişimi reddetmek için bir yönerge ekleyerek onu daha da koruyabilirsiniz:

<FilesMatch "wp-config/.php">
Require all denied
</FilesMatch">

Not: Bunu yapmadan önce, barındırma sağlayıcınızın wp-config dosyanızı sizin yerinize taşımak için adım atmadığından emin olun. Kinsta gibi bazı barındırıcılar, sitenizi güvende tutmak için bunu otomatik olarak yapar.

WordPress Tuz Anahtarlarını Değiştirin

wordpress tuz tuşları

wp-config dosyanızı korumanın başka bir yolu da sitenizin tuz anahtarlarını değiştirmektir. Bu anahtarlar, parolaları veritabanınıza kaydederken, çerezlerde oturum açarken ve diğer önemli WordPress güvenlik özelliklerini korurken ekstra bir koruma katmanı ekler. Bilgisayar korsanları salt anahtarlarınızı ele geçirebilirse, sitenizin veri tabanına ve saklanan kredi kartı bilgileri, parolalar ve diğer önemli bilgiler dahil dosyalarına erişebilirler. Bu nedenle, periyodik olarak değiştirmeniz önerilir.

Dosya İzinlerini Değiştir

Varsayılan olarak, kök dizininizdeki dosyalar 644'e ayarlıdır; bu, hem okunabilir hem de yazılabilir oldukları ve kötü aktörlere karşı savunmasız oldukları anlamına gelir. WordPress'e göre bunlar varsayılan izinlerde bırakılmamalıdır. Bunun yerine, aynı sunucudaki diğer kişilerin bunları okumasını önlemek için 440 veya 400 olarak değiştirilmelidirler. Ancak, dosya izinlerinizde herhangi bir değişiklik yapmadan önce barındırma sağlayıcınıza danışmanız önemlidir. Benzersiz bir sisteme sahip olabilirler, bu nedenle izinleri değiştirmek sitenizde kesintiye neden olabilir.

XML-RPC'yi devre dışı bırak

XML-RPC, web sitenizi üçüncü taraf uygulamalara ve araçlara bağlamanıza izin veren bir WordPress API'sidir. Son yıllarda, WordPress sitelerine erişime izin veren kaba kuvvet saldırıları tarafından istismar edildi. Öncelikle Zapier bağlantıları yapmak veya bir uygulama aracılığıyla sitenize uzaktan erişmek için kullanılır. Bu bağlantılardan herhangi birini kullanmıyorsanız, sunucunuzda XML-RPC'yi devre dışı bırakmalısınız.

Bunu yapmanın, htaccess aracılığıyla devre dışı bırakmak, bir kod parçacığı kullanmak veya bir eklenti kullanmak dahil olmak üzere birkaç yolu vardır. En gelişmiş yöntem olan htaccess, yeni başlayanlar için yanıltıcı olabilir, bu nedenle en çok önerilen yaklaşım bir kod parçacığı kullanmaktır.

htaccess yöntemi için, sitenizin dosyalarına erişmek için bir FTP istemcisi kullanın, ardından htaccess dosyanıza aşağıdaki kodu ekleyin:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny, allow
 deny from all
allow from 123.123.123.123
</Files>

Not: IP 123.123.123.123'ü kendinizinkiyle değiştirdiğinizden emin olun.

Alternatif olarak, kodu eklemek için AIOSEO eklentisinin araçları htaccess sekmesini kullanabilirsiniz:

AIOSEO

Bir kod parçacığı kullanarak XML-PRC'yi devre dışı bırakmayı tercih ederseniz, bunu WPCode eklentisini kullanarak kolayca gerçekleştirebilirsiniz. API'yi devre dışı bırakmak için kullanabileceğiniz yerleşik bir snippet'e sahiptir.

XML-PRC'yi devre dışı bırak

WordPress Sürümünü Gizle

Bu, WordPress güvenliği söz konusu olduğunda genellikle gözden kaçan, ancak önemli bir adımdır. Varsayılan olarak, WordPress sitenizin kodunda hangi sürümün kurulu olduğunu gösteren bir ayak izi bırakır. Bu zararsız görünebilir, ancak bilgisayar korsanları web sitesinin kaynak koduna erişerek hangi WordPress sürümünü çalıştırdığınızı belirleyebilir. Güncelliğini yitirmişse, kötü amaçlı yazılım veya kötü amaçlı komut dosyaları enjekte ederek bu bilgileri sitenize girmek için kullanabilirler.

WordPress sürümünü gizle

Bu nedenle, ekstra bir WordPress güvenlik önlemi olarak, bilgisayar korsanlarının sitenizin kontrolünü ele geçirmesini zorlaştırmak için sitenizin WordPress sürümünü gizleyin. Bunu yapmanın iyi yolları var. Kaynak koddaki satırı kaldıracak bir kod parçacığı eklentisi uygulayabilir veya bir alt tema oluşturup onu functions.php dosyanıza yerleştirebilirsiniz.

function elegantthemes_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

Alternatif olarak, meta etiketteki, veritabanı sorgu dizelerindeki ve RSS akışlarındaki WP sürümünü kaldırmak isterseniz şu kodu kullanın:

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function elegantthemes_remove_wp_version_strings( $src ) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' );
 
/* Hide WP version strings from generator meta tag */
function wordpress_remove_version() {
return '';
}
add_filter('the_generator', 'elegantthemes_remove_version');

WordPress Web Siteniz Hacklenirse Ne Yapmalı?

Her şeyi doğru yapsanız bile, kendinizi web sitenizin saldırıya uğradığı bir durumda bulabilirsiniz. Neyse ki, sitenizi kurtarma moduna almak, en son yedeklemenizden geri yüklemek veya şifrelerinizi sıfırlamak dahil olmak üzere atabileceğiniz adımlar var. Her şey başarısız olursa, barındırma sağlayıcınız yardımcı olabilir.

WordPress Güvenliği Üzerine Son Düşünceler

WordPress güvenliğinizi artırmak için gerekli adımları atarak, sitenizin ziyaretçileriniz için güvenliyken normal şekilde çalışmaya devam etmesini sağlayabilirsiniz. WordPress muazzam faydalar ve kullanım kolaylığı sunarken, eksikliklerini anlamak önemlidir. Neyse ki, işlerin yolunda gitmesine yardımcı olabilecek iThemes gibi bir dizi WordPress güvenlik eklentisi var.

WordPress hakkında daha fazla bilgi mi arıyorsunuz? Sizi kısa sürede bir WordPress uzmanına dönüştürecek derinlemesine makalelerimizden bazılarına göz atın:

  • WordPress Nasıl Kurulur: Kesin Kılavuz
  • 2023 Yılında En İyi 10 WordPress Barındırma Seçeneği (Özden Seçildi)
  • 2023'ün En İyi 31 WordPress Eklentisi (İhtiyacınız Olan Her Şey)
  • 2023'ün En İyi 10 WordPress Teması (Karşılaştırıldı ve Sıralandı)

Pikovit / shutterstock.com aracılığıyla Öne Çıkan Görsel