2023'te WordPress Web Sitenizi Nasıl Güvenli Hale Getirirsiniz (Ayrıntılı Eğitim)
Yayınlanan: 2023-07-28WordPress, üzerine kurulu web sitelerinin %44'ünden fazlası ile dünyanın en popüler içerik yönetim sistemlerinden (CMS) biri haline geldi. Herhangi bir çevrimiçi platformda olduğu gibi, güvenlik endişeler listenizin başında yer almalıdır. Bu yazıda, WordPress güvenlik endişelerini inceleyeceğiz ve WordPress web sitenizi nasıl güvenli ve emniyetli tutacağınıza dair ipuçları vereceğiz.
Hadi dalalım.
- 1 WordPress Güvenli mi?
- 2 WordPress Güvenlik Endişeleri
- 3 WordPress Web Sitenizi Nasıl Güvenli Hale Getirirsiniz?
- 3.1 WordPress Güvenliği: İyi WordPress Barındırma Seçin
- 3.2 WordPress Girişinizi Güvende Tutun
- 3.3 Bir WordPress Güvenlik Eklentileri Paketi Kullanın
- 3.4 PHP'yi Güncel Tutun
- 3.5 Güçlü Parolalar Seçin
- 3.6 WordPress Güvenliği: Yazılımı Güncel Tutun
- 3.7 SSL Sertifikası Kurun
- 3.8 Bir Güvenlik Denetimi Gerçekleştirin
- 3.9 Gelişmiş WordPress Güvenlik Teknikleri
- 4 WordPress Web Siteniz Hacklenirse Ne Yapmalısınız?
- WordPress Güvenliği Üzerine 5 Son Düşünce
WordPress Güvenli mi?
Çoğunlukla, evet. WordPress geliştiricileri, düzenli olarak gerçekleşen yamalar ve güncellemeler aracılığıyla platformlarının güvenliğini sağlamak için çok çalışır. Bununla birlikte, WordPress açık kaynaklı bir çerçeve üzerine kurulduğundan, bilgisayar korsanları nasıl oluşturulduğunu analiz edebilir ve sıklıkla WordPress web sitelerinin kontrolünü ele geçirmek için yeni yollar geliştirebilir. Bu nedenle, WordPress güvenliği çok önemlidir. WordPress kullanmanın risklerini bilmek, web sitenizin güvenliğini nasıl sağlayacağınızı daha iyi anlamak için önemlidir.
WordPress Güvenlik Endişeleri
Bir WordPress web sitesini çalıştırırken, farkında olunması gereken birkaç potansiyel risk vardır. En büyük endişelerden biri bilgisayar korsanlarıdır. WordPress çok popüler olduğundan, sitenize yetkisiz erişim elde etmek için eski eklentiler veya çekirdek dosyalar gibi güvenlik açıklarından yararlanmaya çalışan hain aktörlerin dikkatini çeker. Arka kapılar, kaba kuvvet saldırıları başlatma, ilaç saldırıları, hizmet reddi (DoS) saldırıları veya siteler arası komut dosyası çalıştırma (XSS) gibi yöntemler kullanabilirler.
Çözümlenmeden bırakılırsa kötü amaçlı yazılım (sitenizin ziyaretçi bilgilerini çalmak için tasarlanmış kötü amaçlı kod), web sitenizi tamamen farklı bir siteye yönlendirme, farkında olmadığınız içerik ekleme, konumunuzu zedeleyebilecek Google uyarıları gibi ciddi sonuçlar doğurabilir. SERP'ler veya daha kötüsü, web sitenize giriş yapamamak.
WordPress Web Sitenizi Nasıl Güvenli Hale Getirirsiniz?
Aşağıdaki bölüm, web sitenizi olası tehditlere karşı korumak için WordPress güvenliğini geliştirmeye yönelik en iyi uygulamaları keşfedecektir.
Youtube Kanalımıza Abone Olun
WordPress Güvenliği: İyi WordPress Barındırma Seçin
Atılacak ilk adım, iyi bir WordPress barındırma şirketiyle ortaklık kurmaktır. Bu kadar çok seçenek mevcutken, doğru sunucunun nasıl seçileceğini belirlemek zor olabilir. Yeni başlayan biriyseniz, WordPress için tüm güvenlik güncellemelerini sağlarken aynı zamanda kurulu olduğu sunucuyu da koruyan SiteGround gibi iyi yönetilen bir barındırma sağlayıcısı seçmek muhtemelen en iyisidir. Daha teknoloji meraklısı olanlar için Cloudways gibi bir bulut barındırma sağlayıcısı mükemmel bir seçimdir.
Her iki seçenek de, web sitenizin güvenli ve emniyetli olmasını sağlamak için ihtiyacınız olan tüm araçları size sağlayacaktır, bunlar arasında:
- Ücretsiz SSL sertifikası
- Web uygulaması güvenlik duvarı (WAF)
- SFTP erişimi
- Dağıtılmış hizmet reddi (DDoS) koruması
- Malware koruması
WordPress Girişinizi Güvende Tutun
WordPress güvenliğinizi artırmak için yapabileceğiniz bir diğer kolay şey, oturum açma kimlik bilgilerinizi kilitlemektir. Bu, giriş URL'sini /wp-admin'den seçtiğiniz bir şeye değiştirmek için bir eklenti kullanmak da dahil olmak üzere çeşitli şekillerde yapılabilir. Ayrıca oturum açma bilgilerinize iki faktörlü kimlik doğrulama (2FA) ekleyebilir ve oturum açma girişimlerini sınırlayarak botları savuşturabilirsiniz.
Oturum açma bilgilerinizi korumanın başka bir yolu da Google Apps Login for WordPress kullanarak Google hesabınıza bağlamaktır. Girişiniz kilitlendikten sonra, kullanıcılarınızın IP adreslerini beyaz listeye eklemelisiniz. Bu, şifrenizi çözmüş olsalar bile yalnızca kayıtlı kullanıcıların içeri girebilmesini sağlar.
Bir WordPress Güvenlik Eklentileri Paketi Kullanın
Yapabileceğiniz bir başka yararlı şey de, iThemes Security gibi iyi bir güvenlik eklentisi kurmaktır. 2FA eklemenize, oturum açma girişimlerini sınırlamanıza, yedeklemeleri planlamanıza ve WordPress oturum açma bilgilerinizi gizlemenize olanak tanır.
Barındırıcınız yedekleme sunmuyorsa, bir WordPress güvenlik eklentisine ek olarak UpdraftPlus gibi iyi bir yedekleme eklentisi kurmayı düşünün. Bir yedekleme eklentisi sizi sitenizin dosyalarını kaybetmekten korur ve WordPress'i sıfırdan yeniden oluşturmaktan kaçınmanıza yardımcı olur. Bir şeyler ters giderse sitenizi çok az bir çabayla kolayca geri yükleyebilirsiniz. Son olarak, WP Activity Log gibi bir aktivite günlüğü eklentisi eklemek, neyin ne zaman yanlış gittiğini belirlemenize olanak tanır.
PHP'yi Güncel Tutun
WordPress'in düzgün çalışması için üç şey gerekir: PHP, MySQL ve HTTPS desteği. PHP veya köprü metni ön işlemcisi, web geliştirmede kullanılan popüler bir açık kaynaklı betik dilidir ve WP'nin bel kemiğidir. WordPress gibi, açık kaynak olması, onu avantaj elde etmek isteyen kötü niyetli aktörler için açık bırakır. Bu olası sorunlardan kaçınmak için PHP'yi güncel tutmak en iyisidir. Yalnızca WordPress güvenliğine yardımcı olmakla kalmaz, aynı zamanda sitenizin en iyi şekilde çalışmasını sağlar.
Güçlü Parolalar Seçin
WordPress güvenliğinin en önemli yönlerinden biri, oturum açmak için güçlü parolalar seçmektir. Zayıf veya kolayca tahmin edilebilir parolalar, sitenizi yetkisiz erişime karşı savunmasız bırakır ve sitenizi botnet'lere maruz bırakır. Bot ağları, kötü amaçlı yazılım bulaşmış ve bir bilgisayar korsanının kontrolü altına giren bir bilgisayar koleksiyonudur. İnternetteki DDoS saldırılarının önde gelen nedenidirler, ancak doğru önlemleri alarak sitenizin bunlara kurban gitmesini önleyebilirsiniz.
Örneğin, tüm kullanıcıların bir şifre politikasına uymasını sağlayarak sitenizi koruyabilirsiniz. Bunu yapmanın harika bir yolu, Password Policy Maker gibi bir eklenti kurmaktır.
WordPress Güvenliği: Yazılımı Güncel Tutun
WordPress güvenliğindeki bir başka basit adım, WordPress çekirdeğinizi, eklentilerinizi ve temalarınızı güncel tutmaktır. Yazılımın güncelliğini yitirmesi, web sitenizde güvenlik ihlalleri, WordPress beyaz ekranı veya herhangi bir sayıda yaygın hata dahil olmak üzere olumsuz sonuçlara neden olabilir.
Güncellemeleri kendiniz takip edebilir veya otomatik güncellemeleri etkinleştirebilirsiniz. Sizin için neyin doğru olduğu, zaman, uzmanlık ve WordPress kurulumunuzun çalıştırdığı yazılım türü gibi çeşitli faktörlere bağlıdır. İster güncellemeleri yönetin ister otomatik güncellemeyi seçin, herhangi bir güncelleme yapmadan önce her zaman bir yedekleme yapmalısınız.
SSL Sertifikası Yükle
İyi bir barındırma sağlayıcısıyla ortak olursanız, beraberinde gelen avantajlardan biri de ücretsiz SSL sertifikasıdır. Ancak, kendiniz yüklemeniz gereken durumlar olabilir. SiteGround gibi çoğu sağlayıcı, birkaç dakika içinde yüklenen ücretsiz bir SSL sunar. Bunu okurken “Neden bir SSL sertifikasına ihtiyacım var?” Diye sorabilirsiniz. açıklayalım.
SSL veya güvenli yuva katmanı, şifreleme ve ekstra bir güvenlik katmanı ekleyerek hipermetin aktarım protokolünü (HTTP) güvenli köprümetin aktarım protokolüne (HTTPS) genişletir. Örneğin, HTTP üzerinden satın alma işlemi yapan bir tüketici, kredi kartı bilgilerinin kullanılması riskini alır. Öte yandan, aynı satın alma işlemini HTTPS üzerinden yapmış olsalardı bilgileri korunacaktı. Siteniz ve ziyaretçileri, bu güvenli bağlantı olmadan açığa çıkar ve savunmasızdır. Bu nedenle, herhangi bir yeni web sitesine bir SSL sertifikası yüklemek çok önemlidir.
Güvenlik Denetimi Gerçekleştirin
Sitenizin güvenliğini sağlamak için adımlar attıktan sonra, ara sıra bir WordPress güvenlik denetimi yapmak önemlidir. Tıpkı teknolojinin günlük olarak değişmesi gibi, bir bilgisayar korsanının araç cephaneliği de değişir. Kötü amaçlı yazılımlar ve diğer taktikler düzenli olarak geliştirilir, bu nedenle WordPress web sitenizin güvenliğini sağlamak tek seferlik bir iş değildir. Düzenli güvenlik kontrolleri planlayın ve sitenizin başının belada olabileceğine dair işaretler arayın. Sitenizin yavaş yüklendiğini fark ederseniz, trafiğiniz düşerse, eklemediğiniz yeni bağlantılar keşfederseniz veya aşırı sayıda giriş denemesi yaşarsanız, sitenizin güvenli ve emniyette kalmasını sağlamak için bir güvenlik taraması çalıştırmanın zamanı gelmiş olabilir.
Gelişmiş WordPress Güvenlik Teknikleri
Yukarıda listelenen adımlara ek olarak, WordPress güvenliğini artırmak için sitenize dahil edebileceğiniz birkaç gelişmiş teknik daha vardır.
wp-config.php Dosyasını Sertleştirin
Bilgisayar korsanları için ortak bir giriş noktası, WordPress web sitenizin wp-config.php dosyasıdır. Ad, ana bilgisayar, kullanıcı adı ve parola dahil olmak üzere veritabanınızla ilgili bilgileri barındırır. Bu önemli dosyayı açık bırakmak zararlı olabilir, bu yüzden onu saklamak her zaman iyi bir fikirdir.
wp-config.php Dosyanızı Taşıyın
wp-config'i taşımak için sitenizin kök klasörüne (genel HTML) sürükleyebilirsiniz ve siteye her ping atıldığında WordPress onu arayacaktır. Ancak, sitenizin dosya yapısı bir htaccess dosyası içeriyorsa, aşağıdaki kodu kullanarak ona erişimi reddetmek için bir yönerge ekleyerek onu daha da koruyabilirsiniz:
<FilesMatch "wp-config/.php"> Require all denied </FilesMatch">
Not: Bunu yapmadan önce, barındırma sağlayıcınızın wp-config dosyanızı sizin yerinize taşımak için adım atmadığından emin olun. Kinsta gibi bazı barındırıcılar, sitenizi güvende tutmak için bunu otomatik olarak yapar.
WordPress Tuz Anahtarlarını Değiştirin
wp-config dosyanızı korumanın başka bir yolu da sitenizin tuz anahtarlarını değiştirmektir. Bu anahtarlar, parolaları veritabanınıza kaydederken, çerezlerde oturum açarken ve diğer önemli WordPress güvenlik özelliklerini korurken ekstra bir koruma katmanı ekler. Bilgisayar korsanları salt anahtarlarınızı ele geçirebilirse, sitenizin veri tabanına ve saklanan kredi kartı bilgileri, parolalar ve diğer önemli bilgiler dahil dosyalarına erişebilirler. Bu nedenle, periyodik olarak değiştirmeniz önerilir.
Dosya İzinlerini Değiştir
Varsayılan olarak, kök dizininizdeki dosyalar 644'e ayarlıdır; bu, hem okunabilir hem de yazılabilir oldukları ve kötü aktörlere karşı savunmasız oldukları anlamına gelir. WordPress'e göre bunlar varsayılan izinlerde bırakılmamalıdır. Bunun yerine, aynı sunucudaki diğer kişilerin bunları okumasını önlemek için 440 veya 400 olarak değiştirilmelidirler. Ancak, dosya izinlerinizde herhangi bir değişiklik yapmadan önce barındırma sağlayıcınıza danışmanız önemlidir. Benzersiz bir sisteme sahip olabilirler, bu nedenle izinleri değiştirmek sitenizde kesintiye neden olabilir.
XML-RPC'yi devre dışı bırak
XML-RPC, web sitenizi üçüncü taraf uygulamalara ve araçlara bağlamanıza izin veren bir WordPress API'sidir. Son yıllarda, WordPress sitelerine erişime izin veren kaba kuvvet saldırıları tarafından istismar edildi. Öncelikle Zapier bağlantıları yapmak veya bir uygulama aracılığıyla sitenize uzaktan erişmek için kullanılır. Bu bağlantılardan herhangi birini kullanmıyorsanız, sunucunuzda XML-RPC'yi devre dışı bırakmalısınız.
Bunu yapmanın, htaccess aracılığıyla devre dışı bırakmak, bir kod parçacığı kullanmak veya bir eklenti kullanmak dahil olmak üzere birkaç yolu vardır. En gelişmiş yöntem olan htaccess, yeni başlayanlar için yanıltıcı olabilir, bu nedenle en çok önerilen yaklaşım bir kod parçacığı kullanmaktır.
htaccess yöntemi için, sitenizin dosyalarına erişmek için bir FTP istemcisi kullanın, ardından htaccess dosyanıza aşağıdaki kodu ekleyin:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny, allow deny from all allow from 123.123.123.123 </Files>
Not: IP 123.123.123.123'ü kendinizinkiyle değiştirdiğinizden emin olun.
Alternatif olarak, kodu eklemek için AIOSEO eklentisinin araçları htaccess sekmesini kullanabilirsiniz:
Bir kod parçacığı kullanarak XML-PRC'yi devre dışı bırakmayı tercih ederseniz, bunu WPCode eklentisini kullanarak kolayca gerçekleştirebilirsiniz. API'yi devre dışı bırakmak için kullanabileceğiniz yerleşik bir snippet'e sahiptir.
WordPress Sürümünü Gizle
Bu, WordPress güvenliği söz konusu olduğunda genellikle gözden kaçan, ancak önemli bir adımdır. Varsayılan olarak, WordPress sitenizin kodunda hangi sürümün kurulu olduğunu gösteren bir ayak izi bırakır. Bu zararsız görünebilir, ancak bilgisayar korsanları web sitesinin kaynak koduna erişerek hangi WordPress sürümünü çalıştırdığınızı belirleyebilir. Güncelliğini yitirmişse, kötü amaçlı yazılım veya kötü amaçlı komut dosyaları enjekte ederek bu bilgileri sitenize girmek için kullanabilirler.
Bu nedenle, ekstra bir WordPress güvenlik önlemi olarak, bilgisayar korsanlarının sitenizin kontrolünü ele geçirmesini zorlaştırmak için sitenizin WordPress sürümünü gizleyin. Bunu yapmanın iyi yolları var. Kaynak koddaki satırı kaldıracak bir kod parçacığı eklentisi uygulayabilir veya bir alt tema oluşturup onu functions.php dosyanıza yerleştirebilirsiniz.
function elegantthemes_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
Alternatif olarak, meta etiketteki, veritabanı sorgu dizelerindeki ve RSS akışlarındaki WP sürümünü kaldırmak isterseniz şu kodu kullanın:
/* Hide WP version strings from scripts and styles * @return {string} $src * @filter script_loader_src * @filter style_loader_src */ function elegantthemes_remove_wp_version_strings( $src ) { global $wp_version; parse_str(parse_url($src, PHP_URL_QUERY), $query); if ( !empty($query['ver']) && $query['ver'] === $wp_version ) { $src = remove_query_arg('ver', $src); } return $src; } add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' ); add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' ); /* Hide WP version strings from generator meta tag */ function wordpress_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
WordPress Web Siteniz Hacklenirse Ne Yapmalı?
Her şeyi doğru yapsanız bile, kendinizi web sitenizin saldırıya uğradığı bir durumda bulabilirsiniz. Neyse ki, sitenizi kurtarma moduna almak, en son yedeklemenizden geri yüklemek veya şifrelerinizi sıfırlamak dahil olmak üzere atabileceğiniz adımlar var. Her şey başarısız olursa, barındırma sağlayıcınız yardımcı olabilir.
WordPress Güvenliği Üzerine Son Düşünceler
WordPress güvenliğinizi artırmak için gerekli adımları atarak, sitenizin ziyaretçileriniz için güvenliyken normal şekilde çalışmaya devam etmesini sağlayabilirsiniz. WordPress muazzam faydalar ve kullanım kolaylığı sunarken, eksikliklerini anlamak önemlidir. Neyse ki, işlerin yolunda gitmesine yardımcı olabilecek iThemes gibi bir dizi WordPress güvenlik eklentisi var.
WordPress hakkında daha fazla bilgi mi arıyorsunuz? Sizi kısa sürede bir WordPress uzmanına dönüştürecek derinlemesine makalelerimizden bazılarına göz atın:
- WordPress Nasıl Kurulur: Kesin Kılavuz
- 2023 Yılında En İyi 10 WordPress Barındırma Seçeneği (Özden Seçildi)
- 2023'ün En İyi 31 WordPress Eklentisi (İhtiyacınız Olan Her Şey)
- 2023'ün En İyi 10 WordPress Teması (Karşılaştırıldı ve Sıralandı)
Pikovit / shutterstock.com aracılığıyla Öne Çıkan Görsel