WordPress, en popüler İçerik Yönetim Sistemidir (CMS) ve %30’dan fazla web sitesine güç sağlar. Ancak, büyüdükçe, bilgisayar korsanları not aldı ve özellikle WordPress sitelerini hedeflemeye başladı. Sitenizin sağladığı içerik türü ne olursa olsun, siz bir istisna değilsiniz. Belirli önlemleri almazsanız, saldırıya uğrayabilirsiniz. Teknolojiyle ilgili her şey gibi, web sitenizin güvenliğini kontrol etmeniz gerekir.
Bu eğitimde, WordPress web sitenizi güvende tutmak için En İyi 10 İpucumuzu paylaşacağız.
1. İyi Bir Hosting Şirketi Seçin
Basit yolu o Sitenizin güvenliğini korumanın çok katmanlı güvenlik sağlayan bir hosting sağlayıcısı ile gitmektir.
Ucuz bir barındırma sağlayıcısı ile gitmek cazip görünebilir, sonuçta web sitesi barındırmada tasarruf etmek, onu kuruluşunuzun başka bir yerinde harcayabileceğiniz anlamına gelir. Ancak bu rota sizi cezbetmemelidir. Yolda kabuslara neden olabilir ve çoğu zaman neden olur. Verileriniz tamamen silinebilir ve url’niz başka bir yere yönlendirilmeye başlayabilir.
Kaliteli bir barındırma şirketi için biraz daha fazla ödeme yapmak, ek güvenlik katmanlarının otomatik olarak web sitenize atfedilmesi anlamına gelir. Ek bir avantaj, iyi bir WordPress barındırma kullanarak WordPress sitenizi önemli ölçüde hızlandırabilirsiniz .
Dışarıda birçok barındırma şirketi varken, mavishosting’i öneriyoruz . Günlük kötü amaçlı yazılım taramaları ve yılda 365 gün 7/24 desteğe erişim dahil olmak üzere birçok güvenlik özelliği sağlarlar. Pastanın üzerine krema koymak için fiyatları da makul.
2. Nulled Temalar Kullanmayın
WordPress premium temaları, ücretsiz bir temadan daha profesyonel görünür ve daha fazla özelleştirilebilir seçeneklere sahiptir. Ancak, ödediğinizin karşılığını aldığınız iddia edilebilir. Premium temalar, son derece yetenekli geliştiriciler tarafından kodlanmıştır ve kutudan çıkar çıkmaz birden fazla WordPress kontrolünden geçecek şekilde test edilmiştir. Temanızı özelleştirme konusunda herhangi bir kısıtlama yoktur ve sitenizde bir şeyler ters giderse tam destek alırsınız. En önemlisi düzenli tema güncellemeleri alacaksınız.
Ancak, null veya crackli temalar sağlayan birkaç site var. Nulled veya crackli tema, premium temanın yasadışı yollarla erişilebilen saldırıya uğramış bir sürümüdür. Ayrıca siteniz için çok tehlikelidirler. Bu temalar, web sitenizi ve veritabanınızı yok edebilecek veya yönetici kimlik bilgilerinizi günlüğe kaydedebilecek gizli kötü amaçlı kodlar içerir.
Birkaç dolar tasarruf etmek cazip gelse de, her zaman boş temalardan kaçının.
3. Bir WordPress Güvenlik Eklentisi Kurun
Web sitenizin güvenliğini kötü amaçlı yazılımlara karşı düzenli olarak kontrol etmek zaman alan bir iştir ve kodlama uygulamaları bilginizi düzenli olarak güncellemediğiniz sürece, koda yazılmış bir kötü amaçlı yazılım parçasına baktığınızı bile fark etmeyebilirsiniz. Neyse ki diğerleri, herkesin bir geliştirici olmadığını fark etti ve yardımcı olmak için WordPress güvenlik eklentileri çıkardı. Bir güvenlik eklentisi sitenizin güvenliğini sağlar, kötü amaçlı yazılımları tarar ve sitenizde neler olup bittiğini düzenli olarak kontrol etmek için sitenizi 7/24 izler.
Sucuri.net harika bir WordPress güvenlik eklentisidir. Güvenlik etkinliği denetimi, dosya bütünlüğü izleme, uzaktan kötü amaçlı yazılım taraması, kara liste izleme, etkili güvenlik güçlendirme, saldırı sonrası güvenlik eylemleri, güvenlik bildirimleri ve hatta web sitesi güvenlik duvarı (ücretli) sunarlar.
4. Güçlü Bir Parola Kullanın
Parolalar, web sitesi güvenliğinin çok önemli bir parçasıdır ve ne yazık ki çoğu zaman gözden kaçar. ‘123456, abc123, password’ gibi düz bir şifre kullanıyorsanız, şifrenizi hemen değiştirmeniz gerekir. Bu şifrenin hatırlanması kolay olsa da, tahmin edilmesi de son derece kolaydır. Gelişmiş bir kullanıcı, şifrenizi kolayca kırabilir ve fazla uğraşmadan girebilir.
Çeşitli sayılar, anlamsız harf kombinasyonları ve % veya ^ gibi özel karakterlerle otomatik olarak oluşturulan karmaşık bir parola veya daha iyisi kullanmanız önemlidir.
5. Dosya Düzenlemeyi Devre Dışı Bırakın
WordPress sitenizi kurarken, kontrol panelinizde temanızı ve eklentinizi düzenlemenize izin veren bir kod düzenleyici işlevi vardır. Görünüm>Editör’e giderek erişilebilir . Eklenti düzenleyicisini bulmanın başka bir yolu da Eklentiler>Düzenleyici altına gitmektir.
Siteniz yayına girdikten sonra bu özelliği devre dışı bırakmanızı öneririz. Herhangi bir bilgisayar korsanı WordPress yönetici panelinize erişirse, temanıza ve eklentinize ince, kötü niyetli kodlar enjekte edebilir. Çoğu zaman, kod o kadar ince olacaktır ki, çok geç olana kadar hiçbir şeyin yanlış olduğunu fark etmeyebilirsiniz.
Eklentileri ve tema dosyasını düzenleme özelliğini devre dışı bırakmak için aşağıdaki kodu wp-config.php dosyanıza yapıştırmanız yeterlidir .
define(‘DISALLOW_FILE_EDIT’, true);
6. SSL Sertifikasını Yükleyin
Günümüzde Tek Yuva Katmanı, SSL, her türlü web sitesi için faydalıdır. Başlangıçta, bir siteyi ödemeleri işlemek gibi belirli işlemler için güvenli hale getirmek için SSL gerekiyordu. Ancak bugün, Google bunun önemini fark etti ve SSL sertifikasına sahip sitelere arama sonuçlarında daha ağırlıklı bir yer sağlıyor.
Parolalar veya kredi kartı ayrıntıları gibi hassas bilgileri işleyen tüm siteler için SSL zorunludur. Bir SSL sertifikası olmadan, kullanıcının web tarayıcısı ile web sunucunuz arasındaki tüm veriler düz metin olarak teslim edilir. Bu, bilgisayar korsanları tarafından okunabilir. Bir SSL kullanarak, hassas bilgiler, tarayıcıları ve sunucunuz arasında aktarılmadan önce şifrelenir, bu da okunmasını zorlaştırır ve sitenizi daha güvenli hale getirir.
Hassas bilgileri kabul eden web siteleri için ortalama SSL fiyatı yılda 70-199 dolar civarındadır. Herhangi bir hassas bilgiyi kabul etmiyorsanız, SSL sertifikası için ödeme yapmanız gerekmez. Hemen hemen her barındırma şirketi, sitenize yükleyebileceğiniz ücretsiz bir Let’s Encrypt SSL sertifikası sunar.
7. WP-giriş URL’nizi değiştirin
Varsayılan olarak, WordPress’e giriş yapmak için adres “siteniz.com/wp-admin”dir. Varsayılan olarak bırakarak, kullanıcı adı/şifre kombinasyonunuzu kırmak için bir kaba kuvvet saldırısına hedef olabilirsiniz. Kullanıcıların abonelik hesaplarına kaydolmasını kabul ederseniz, çok sayıda spam kaydı da alabilirsiniz. Bunu önlemek için yönetici giriş URL’sini değiştirebilir veya kayıt ve giriş sayfasına bir güvenlik sorusu ekleyebilirsiniz.
Profesyonel İpucu: WordPress’inize 2 faktörlü bir kimlik doğrulama eklentisi ekleyerek giriş sayfanızı daha da koruyabilirsiniz . Giriş yapmaya çalıştığınızda, sitenize erişmek için ek bir kimlik doğrulaması sağlamanız gerekecektir – örneğin, şifreniz ve bir e-postanız (veya kısa mesajınız) olabilir. Bu, bilgisayar korsanlarının sitenize erişmesini önlemek için geliştirilmiş bir güvenlik özelliğidir.
Profesyonel İpucu 2: Hangi IP’lerin en fazla başarısız oturum açma girişimine sahip olduğunu da kontrol edebilir, ardından bu IP adreslerini engelleyebilirsiniz.
8. Giriş Denemelerini Sınırlayın
Varsayılan olarak, WordPress, kullanıcıların istedikleri kadar oturum açmaya çalışmasına izin verir. Bu, hangi harflerin büyük olduğunu sık sık unutursanız yardımcı olabilir, ancak sizi kaba kuvvet saldırılarına da açar.
Kullanıcılar, oturum açma denemelerinin sayısını sınırlayarak, geçici olarak engellenene kadar sınırlı sayıda deneyebilir. Hacker, saldırılarını tamamlamadan önce kilitlendiğinden, kaba kuvvet girişimi şansınızı sınırlar.
Bunu bir WordPress giriş limiti deneme eklentisi ile kolayca etkinleştirebilirsiniz . Eklentiyi yükledikten sonra, Ayarlar> Giriş Sınırı Denemeleri aracılığıyla giriş denemelerinin sayısını değiştirebilirsiniz . Bir eklenti olmadan giriş denemelerini etkinleştirmek istiyorsanız, bunu da yapabilirsiniz.
9. wp-config.php ve .htaccess dosyalarını gizleyin
Bu, sitenizin güvenliğini artırmak için gelişmiş bir süreç olsa da, güvenliğiniz konusunda ciddiyseniz, bilgisayar korsanlarının bunlara erişmesini önlemek için sitenizin .htaccess ve wp-config.php dosyalarını gizlemek iyi bir uygulamadır.
Öncelikle sitenizin yedeğini almak ve ardından dikkatli bir şekilde ilerlemek zorunlu olduğundan, bu seçeneğin deneyimli geliştiriciler tarafından uygulanmasını şiddetle tavsiye ederiz. Herhangi bir hata sitenizi erişilemez hale getirebilir.
Dosyaları gizlemek için yedeklemenizi yaptıktan sonra yapmanız gereken iki şey var:
Öncelikle wp-config.php dosyanıza gidin ve aşağıdaki kodu ekleyin,
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Benzer bir yöntemde, .htaccess dosyanıza aşağıdaki kodu ekleyeceksiniz,
<Files .htaccess>
order allow,deny
deny from all
</Files>
Sürecin kendisi çok kolay olsa da, süreçte herhangi bir terslik olması durumunda başlamadan önce yedeğinizin olduğundan emin olmak önemlidir.
10. WordPress sürümünüzü güncelleyin
WordPress’inizi güncel tutmak, web sitenizi güvende tutmak için iyi bir uygulamadır. Geliştiriciler, her güncellemede, çoğu zaman güvenlik özelliklerine yönelik güncellemeler de dahil olmak üzere birkaç değişiklik yapar. En son sürümle güncel kalarak, bilgisayar korsanlarının sitenize erişmek için kullanabileceği önceden tanımlanmış boşluklar ve istismarlar için bir hedef olmaktan kendinizi korumaya yardımcı oluyorsunuz.
Aynı nedenlerle eklentilerinizi ve temalarınızı güncellemeniz de önemlidir.
Varsayılan olarak, WordPress küçük güncellemeleri otomatik olarak indirir. Ancak büyük güncellemeler için onu doğrudan WordPress yönetici kontrol panelinizden güncellemeniz gerekecektir.
Bu makaleyi beğendiyseniz, lütfen WordPress video eğiticileri için YouTube Kanalımıza abone olun. Bizi Twitter ve Facebook’ta da bulabilirsiniz.