WordPress güvenliği her web sitesi sahibi için büyük öneme sahip bir konudur. Google, kötü amaçlı yazılımlar için her gün yaklaşık 10.000’den fazla web sitesini ve her hafta phishing için yaklaşık 50.000’i kara listeler.
Web siteniz konusunda ciddiyseniz, WordPress güvenlik en iyi uygulamalarına dikkat etmeniz gerekir. Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olmak için en iyi WordPress güvenlik ipuçlarını paylaşacağız.
WordPress çekirdek yazılımı çok güvenli olmasına rağmen, yüzlerce geliştirici tarafından düzenli olarak denetlenirken, sitenizi güvende tutmak için yapabileceğiniz birçok şey vardır.
WPBeginner’da güvenliğin sadece risklerin ortadan kaldırılması ile ilgili olmadığına inanıyoruz. Aynı zamanda risk azaltma ile ilgili. Bir web sitesi sahibi olarak, WordPress güvenliğinizi artırmak için yapabileceğiniz çok şey var (teknik bilgili olmasanız bile).
Web sitenizi güvenlik açıklarına karşı korumak için gerçekleştirebileceğiniz birkaç uygulanabilir adım vardır.
Kolaylaştırmak için, nihai WordPress güvenlik rehberimizde kolayca dolaşmanıza yardımcı olacak bir içerik tablosu hazırladık.
İçindekiler
WordPress Güvenliğinin Temelleri
- WordPress Güvenliği Neden Önemli?
- WordPress’i Güncel Tutmak
- Şifreler ve Kullanıcı İzinleri
- Web Hostingin Rolü
Kolay Adımda WordPress Güvenliği (Kodlama Yok)
- Bir WordPress Yedekleme Çözümü yükleyin
- En İyi WordPress Güvenlik Eklentisi
- Web Uygulaması Güvenlik Duvarını (WAF) Etkinleştir
- WordPress Sitesini SSL / HTTPS’ye Taşı
DIY kullanıcıları için WordPress Güvenliği
- Varsayılan “admin” kullanıcı adını değiştir
- Dosya Düzenlemeyi Devre Dışı Bırak
- PHP Dosya Çalıştırmasını Devre Dışı Bırak
- Limit Giriş Denemeleri
- İki Faktör Kimlik Doğrulaması Ekleyin
- WordPress Veritabanı Önekini Değiştirin
- Şifre Koruması WP-Admin ve Login
- Dizin Dizinlemeyi ve Taramayı Devre Dışı Bırak
- WordPress’te XML-RPC’yi devre dışı bırakın
- Boşta Kullanıcıları otomatik olarak kapat
- WordPress Girişine Güvenlik Soruları Ekleyin
- WordPress’te Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama
- Hacked WordPress Sitesini Düzeltmek
Hazır? Başlayalım.
Web Sitesi Güvenliği Neden Önemli?
Saldırıya uğramış bir WordPress sitesi, işletme gelirinize ve itibarınıza ciddi zarar verebilir. Bilgisayar korsanları, kullanıcı bilgilerini, şifreleri çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.
En kötüsü, sadece web sitenize yeniden erişim sağlamak için bilgisayar korsanlarına fidye yazılımı ödeyerek bulabilirsiniz.
Mart 2016’da, Google, 50 milyondan fazla web sitesi kullanıcısının, ziyaret ettikleri web sitesi hakkında kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıldığını bildirdi.
Ayrıca, Google kötü amaçlı yazılımlar için yaklaşık 20.000 web sitesi ve her hafta phishing için yaklaşık 50.000 kişi için kara listeler.
Web siteniz bir işletmeyse, WordPress güvenliğine daha fazla dikkat etmeniz gerekir.
İşletme sahiplerinin fiziksel mağaza binalarını koruma sorumluluklarına benzer şekilde, bir çevrimiçi işletme sahibi olarak işletme web sitenizi korumak sizin sorumluluğunuzdadır.
WordPress’i Güncel Tutmak
WordPress düzenli olarak bakımı yapılan ve güncellenen açık kaynaklı bir yazılımdır. Varsayılan olarak, WordPress küçük güncelleştirmeleri otomatik olarak yükler. Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.
WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeleri yayınlayan üçüncü taraf geliştiriciler tarafından da korunmaktadır.
Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve kararlılığı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.
Güçlü Parolalar ve Kullanıcı İzinleri
En yaygın WordPress saldırı girişimleri, çalınan şifreleri kullanır. Web siteniz için benzersiz olan daha güçlü şifreleri kullanarak bunu zorlaştırabilirsiniz. Yalnızca WordPress yönetici alanı için değil, aynı zamanda FTP hesapları, veritabanı, WordPress barındırma hesabı ve sitenizin etki alanı adını kullanan özel e-posta adresleriniz için de geçerlidir.
Yeni başlayanların çoğu, güçlü şifreler kullanmaktan hoşlanmıyor çünkü hatırlaması zor. İyi olan, artık şifreleri hatırlamanıza gerek kalmamasıdır. Bir şifre yöneticisi kullanabilirsiniz.
Riski azaltmanın bir başka yolu, kesinlikle gerekmedikçe hiç kimsenin WordPress yönetici hesabınıza erişmesine izin vermemektir . Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress’teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun .
WordPress Hosting’in Rolü
Kişisel WordPress barındırma hizmeti WordPress sitenizin güvenliğinde en önemli rol oynar. Bluehost veya Siteground gibi iyi bir paylaşılan barındırma sağlayıcısı , sunucularını ortak tehditlere karşı korumak için ek önlemler almaktadır.
İşte iyi bir web hosting şirketi web sitelerini ve verilerinizi korumak için arka planda çalışır nasıl.
- Şüpheli faaliyetler için ağlarını sürekli izlerler.
- Tüm iyi hosting firmalarının büyük çapta DDOS saldırılarını önleyen araçları var
- Bilgisayar korsanlarının eski bir sürümde bilinen bir güvenlik açığından yararlanmalarını önlemek için sunucu yazılımlarını ve donanımlarını güncel tutarlar.
- Büyük kaza durumunda verilerinizi korumalarını sağlayan felaket kurtarma ve kaza planlarını uygulamaya hazırdırlar.
Paylaşılan bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bu, bir hacker’ın komşu bir siteyi web sitenize saldırmak için kullanabileceği siteler arası kontaminasyon riskini açar.
Yönetilen bir WordPress barındırma hizmeti kullanmak , web siteniz için daha güvenli bir platform sağlar. Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar
Tercih edilen yönetilen WordPress hosting sağlayıcısı olarak WPEngine’i tavsiye ediyoruz . Ayrıca sektördeki en popüler olanlarıdır.
Kolay Adımda WordPress Güvenliği (Kodlama Yok)
WordPress güvenliğini arttırmanın yeni başlayanlar için korkunç bir düşünce olabileceğini biliyoruz. Özellikle de teknisyen değilseniz. Bil bakalım ne oldu – yalnız değilsin.
Binlerce WordPress kullanıcısının WordPress güvenliklerini sağlamlaştırmalarına yardımcı olduk.
WordPress güvenliğinizi yalnızca birkaç tıklatmayla nasıl geliştirebileceğinizi göstereceğiz (kodlama gerekmez).
İşaretle ve tıklatırsanız, bunu yapabilirsiniz!
Bir WordPress Yedekleme Çözümü yükleyin
Yedekler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutma, hiçbir şey% 100 güvenli değildir. Hükümet web siteleri hacklenebiliyorsa, sizinki de olabilir.
Yedekler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.
Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedekleme söz konusu olduğunda bilmeniz gereken en önemli şey, tam site yedeklemelerini düzenli bir şekilde uzak bir konuma (barındırma hesabınıza değil) kaydetmeniz gerektiğidir.
Amazon, Dropbox veya Stash gibi özel bulutlar gibi bir bulut hizmetinde saklamanızı öneririz.
Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar günde bir kez veya gerçek zamanlı yedeklemeler olabilir.
Neyse ki bu VaultPress veya UpdraftPlus gibi eklentiler kullanılarak kolayca yapılabilir . Hem güvenilir hem de en önemlisi kullanımı kolaydır (kodlamaya gerek yoktur).
En İyi WordPress Güvenlik Eklentisi
Yedeklemelerin ardından, yapmamız gereken bir sonraki şey web sitenizde olan her şeyi izleyen bir denetim ve izleme sistemi kurmak.
Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması vb. Dahildir.
Neyse ki, tüm bu en iyi ücretsiz WordPress güvenlik eklentisi Sucuri Scanner tarafından halledilir .
Ücretsiz Sucuri Security eklentisini kurmanız ve etkinleştirmeniz gerekir .
Aktivasyon üzerine, WordPress yöneticinizdeki Sucuri menüsüne gitmeniz gerekir. Yapmanız istenecek ilk şey ücretsiz bir API anahtarı oluşturmaktır. Bu, denetim günlüğü, bütünlük kontrolü, e-posta uyarıları ve diğer önemli özellikleri sağlar.
Yapmanız gereken bir sonraki şey, ayarlar menüsünden ‘Sertleştirme’ sekmesine tıklamak. Her seçeneğe göz atın ve “Sertleştirme Uygula” düğmesine tıklayın.
Bu seçenekler, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları kilit alanları kilitlemenize yardımcı olur. Ücretli yükseltme olan tek sertleştirme seçeneği, bir sonraki adımda açıklayacağımız Web Uygulaması Güvenlik Duvarıdır, şimdilik şimdilik atlayın.
Ayrıca, bu makalenin ilerleyen bölümlerinde, bir eklenti kullanmadan veya “Veritabanı Öneki değişikliği” veya “Yönetici Kullanıcı Adının Değiştirilmesi” gibi ek adımlar gerektirenler için bu “Sertleştirme” seçeneklerinin çoğunu da ele aldık.
Sertleştirme bölümünden sonra, varsayılan eklenti ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişiklik yapmanıza gerek yoktur. Özelleştirmenizi önerdiğimiz tek şey ‘E-posta Uyarıları’.
Varsayılan uyarı ayarları, gelen kutunuzu e-postalarla karıştırabilir. Eklentilerdeki değişiklikler, yeni kullanıcı kaydı vb. Gibi önemli eylemler için uyarılar almanızı öneririz. Uyarıları Sucuri Ayarları »Uyarılar bölümüne giderek yapılandırabilirsiniz.
Bu WordPress güvenlik eklentisi çok güçlüdür, bu yüzden Malware taraması, Denetim kayıtları, Başarısız Oturum Açma Denemesi izleme vb. İşlemleri görmek için tüm sekmelere ve ayarlara göz atın.
Web Uygulaması Güvenlik Duvarını (WAF) Etkinleştir
Sitenizi korumanın ve WordPress güvenliğinden emin olmanın en kolay yolu, bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.
Bir web sitesi güvenlik duvarı, web sitenize ulaşmadan önce tüm zararlı trafiği engeller.
DNS Seviyesi Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca orijinal trafik göndermelerini sağlar.
Uygulama Seviyesi Güvenlik Duvarı – Bu güvenlik duvarı eklentileri trafiği sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS düzeyindeki güvenlik duvarı kadar verimli değildir.
Daha fazla bilgi için, en iyi WordPress güvenlik duvarı eklentileri listemize bakın .
Biz kullanmak ve tavsiye Sucuri WordPress için en iyi web uygulama güvenlik duvarı.
Sucuri’nin güvenlik duvarının en iyi yanı, kötü amaçlı yazılım temizleme ve kara listeden kaldırma garantisi ile birlikte gelmesidir. Temel olarak, saatlerinin altında saldırıya uğramanız gerekiyorsa, web sitenizi düzelteceklerini garanti ederler (kaç sayfanız varsa).
Bu oldukça güçlü bir garantidir, çünkü saldırıya uğramış web sitelerinin onarımı pahalıdır. Güvenlik uzmanları normalde saat başına 250 dolar alıyor. Oysa bütün Sucuri güvenlik yığınını yılda 199 $ karşılığında alabilirsiniz.
WordPress Güvenliğinizi Sucuri Güvenlik Duvarı ile Geliştirin »
Sucuri, oradaki tek DNS seviyesi güvenlik duvarı sağlayıcısı değil. Diğer popüler rakip Cloudflare. Cloudflare (Pros and Cons) vs Sucuri karşılaştırmasını görün .
WordPress Sitenizi SSL / HTTPS’ye Taşıyın
SSL (Güvenli Yuva Katmanı), web siteniz ile kullanıcı tarayıcınız arasında veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birinin etrafa burnunu sokmasını ve bilgi çalmasını zorlaştırır.
SSL’yi etkinleştirdiğinizde, web siteniz HTTP yerine HTTPS’yi kullanacak, web sitenizin yanında tarayıcıda bir asma kilit işareti göreceksiniz.
SSL sertifikaları tipik olarak sertifika yetkilileri tarafından verilir ve fiyatları her yıl 80 ila yüz dolar arasında başlar. Ek maliyet nedeniyle, çoğu web sitesi sahibi güvensiz protokolü kullanmaya devam etmeyi seçti.
Bunu düzeltmek için, Let’s Encrypt adlı kar amacı gütmeyen bir organizasyon, web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından desteklenmektedir.
Artık tüm WordPress web siteleriniz için SSL kullanmaya başlamak hiç olmadığı kadar kolay. Pek çok barındırma şirketi şimdi WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor .
Barındırma şirketiniz bir teklif sunmuyorsa, Domain.com adresinden bir tane satın alabilirsiniz . Piyasadaki en iyi ve en güvenilir SSL anlaşmasına sahiptirler. 10,000 dolar güvenlik garantisi ve TrustLogo güvenlik mührü ile birlikte geliyor.
DIY kullanıcıları için WordPress Güvenliği
Şu ana kadar bahsettiğimiz her şeyi yaparsanız, oldukça iyi durumdasınız demektir.
Ancak her zaman olduğu gibi, WordPress güvenliğinizi sertleştirmek için yapabileceğinizden daha fazlası var.
Bu adımların bazıları kodlama bilgisi gerektirebilir.
Varsayılan “admin” kullanıcı adını değiştir
Eski günlerde varsayılan WordPress admin kullanıcı adı “admin” idi. Kullanıcı adları oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bilgisayar korsanlarının kaba kuvvet saldırıları yapmalarını kolaylaştırdı.
Neyse ki, WordPress bu yana bunu değiştirdi ve şimdi WordPress’i yüklerken özel bir kullanıcı adı seçmenizi gerektiriyor .
Bununla birlikte, bazı 1 tıklamayla WordPress yükleyicileri, hala varsayılan yönetici kullanıcı adını “admin” olarak ayarlayın. Öyle olacağını fark ederseniz, muhtemelen web barındırma geçişinizi değiştirmek iyi bir fikir olabilir .
WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.
- Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
- Username Changer eklentisini kullanın
- PhpMyAdmin’deki kullanıcı adını güncelle
Not: Yönetici rolü değil, “admin” adlı kullanıcı adından bahsediyoruz.
Dosya Düzenlemeyi Devre Dışı Bırak
WordPress, tema ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenizi sağlayan yerleşik bir kod düzenleyici ile birlikte gelir. Yanlış ellerde, bu özellik bir güvenlik riski olabilir, bu yüzden kapatmanızı öneririz.
Bunu, wp-config.php dosyanıza aşağıdaki kodu ekleyerek kolayca yapabilirsiniz .
12 | // Disallow file edit define( 'DISALLOW_FILE_EDIT' , true ); |
Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak 1 tıklamayla bunu yapabilirsiniz.
Bazı WordPress Dizinlerinde PHP Dosya Çalıştırmasını Devre Dışı Bırakma
WordPress güvenliğinizi sertleştirmenin bir başka yolu da / wp-content / uploads / gibi ihtiyaç duyulmayan dizinlerde PHP dosya yürütmesini devre dışı bırakmaktır.
Bunu Notepad gibi bir metin düzenleyicisini açıp şu kodu yapıştırarak yapabilirsiniz:
123 | <Files *.php> deny from all </Files> |
Daha sonra, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki / wp-content / uploads / klasörlerine yüklemeniz gerekir .
Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak 1 tıklamayla bunu yapabilirsiniz .
Limit Giriş Denemeleri
Varsayılan olarak, WordPress kullanıcıların istedikleri kadar giriş yapmasını sağlar. Bu, WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Hackerlar farklı kombinasyonlarla giriş yapmaya çalışarak şifreleri kırmaya çalışıyorlar.
Bu, kullanıcının yapabileceği başarısız oturum açma girişimlerini sınırlayarak kolayca düzeltilebilir. Daha önce belirtilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.
Ancak, güvenlik duvarı kurulumuna sahip değilseniz, aşağıdaki adımlarla devam edin.
Öncelikle, Login LockDown eklentisini kurmanız ve etkinleştirmeniz gerekir .
Etkinleştirmeden sonra eklentiyi ayarlamak için Ayarlar »Oturum Açma LockDown sayfasını ziyaret edin .
İki Faktör Kimlik Doğrulaması Ekleyin
İki faktörlü kimlik doğrulama tekniği, kullanıcıların iki aşamalı bir kimlik doğrulama yöntemi kullanarak giriş yapmasını gerektirir. Birincisi, kullanıcı adı ve şifredir ve ikinci adım, ayrı bir cihaz veya uygulama kullanarak kimlik doğrulaması yapmanızı gerektirir.
Google, Facebook, Twitter gibi en iyi çevrimiçi web siteleri, hesaplarınız için etkinleştirmenize izin verir. Aynı işlevi WordPress sitenize de ekleyebilirsiniz.
Öncelikle, İki Faktör Kimlik Doğrulama eklentisini kurmanız ve etkinleştirmeniz gerekir . Aktivasyon üzerine, WordPress admin kenar çubuğundaki ‘Two Factor Auth’ bağlantısına tıklamanız gerekiyor.
Daha sonra, telefonunuza bir kimlik doğrulayıcı uygulaması kurmanız ve açmanız gerekir. Bunlardan bazıları Google Authenticator, Authy ve LastPass Authenticator gibi mevcut.
Hesaplarınızı buluta yedeklemenizi sağladıkları için LastPass Authenticator veya Authy kullanmanızı öneririz . Telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon almanız durumunda bu çok kullanışlıdır. Tüm hesap girişleriniz kolayca geri yüklenir.
Eğitim için LastPass Kimlik Doğrulayıcı’yı kullanacağız. Ancak, talimatlar tüm auth uygulamaları için benzerdir. Kimlik doğrulama uygulamanızı açın ve ardından Ekle düğmesine tıklayın.
Bir siteyi manuel olarak mı taramak, yoksa barkodu taramak isteyip istemediğiniz sorulacak. Barkodu tara seçeneğini seçin ve ardından telefonunuzun kamerasını eklentinin ayarları sayfasında gösterilen QRcode üzerine getirin.
Hepsi bu, kimlik doğrulama uygulamanız şimdi kaydedecek. Web sitenize bir daha giriş yaptığınızda, şifrenizi girdikten sonra iki faktörlü kimlik doğrulama kodu istenecektir.
Telefonunuzdaki kimlik doğrulayıcı uygulamasını açmanız ve üzerinde gördüğünüz kodu girmeniz yeterlidir.
WordPress Veritabanı Önekini Değiştirin
Varsayılan olarak, WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_ kullanır . WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden değiştirmenizi tavsiye ediyoruz.
Not: Bu düzgün yapılmazsa sitenizi bozabilir. Yalnızca kodlama becerileriniz konusunda rahat hissediyorsanız devam edin.
Şifre Koruması WordPress Yönetici ve Giriş Sayfası
Normalde, bilgisayar korsanları wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmadan talep edebilir. Bu, bilgisayar korsanlık numaralarını denemelerine veya DDoS saldırıları yapmalarına izin verir.
Sunucu tarafında, bu istekleri etkili bir şekilde engelleyecek ek bir şifre koruması ekleyebilirsiniz.
Dizin Dizinlemeyi ve Taramayı Devre Dışı Bırak
Dizin tarama, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim kazanmak için bu dosyalardan yararlanabilirler.
Dizin tarama, diğer insanlar tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı bulmak ve diğer bilgileri bulmak için de kullanılabilir. Bu yüzden, dizin indeksleme ve tarama işlemlerini kapatmanız şiddetle tavsiye edilir.
Web sitenize FTP veya cPanel’in dosya yöneticisini kullanarak bağlanmanız gerekir. Ardından, web sitenizin kök dizinindeki .htaccess dosyasını bulun.
Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:
Options -Indexes
.Htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın. Bu konuyla ilgili daha fazla bilgi için , WordPress’te dizin taramasının nasıl devre dışı bırakılacağı hakkındaki makalemize bakın .
WordPress’te XML-RPC’yi devre dışı bırakın
XML-RPC, WordPress 3.5’te varsayılan olarak etkindir; çünkü WordPress sitenizi web ve mobil uygulamalara bağlamaya yardımcı olur.
Güçlü doğası gereği, XML-RPC kaba kuvvet saldırılarını önemli ölçüde artırabilir.
Örneğin, geleneksel olarak bir hacker web sitenizde 500 farklı şifre denemek isterse, oturum açma kilitleme eklentisi tarafından yakalanacak ve engellenecek olan 500 ayrı oturum açma denemesi yapmak zorunda kalacaklardır.
Ancak, XML-RPC ile bir bilgisayar korsanı, 20 veya 50 istekle binlerce parolayı denemek için system.multicall işlevini kullanabilir .
Bu nedenle, XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.
WordPress’te XML-RPC’yi devre dışı bırakmanın 3 yolu vardır ve bunların hepsini , WordPress’te XML-RPC’nin nasıl devre dışı bırakılacağına ilişkin adım adım öğretici adımda ele aldık .
İpucu: .htaccess yöntemi en iyisidir, çünkü en az kaynak yoğundur.
Daha önce belirtilen web uygulaması güvenlik duvarını kullanıyorsanız, bu güvenlik duvarından sorumlu olabilir.
WordPress’teki Boşta Kullanıcıları otomatik olarak kapat
Giriş yapan kullanıcılar bazen ekrandan uzaklaşabilir ve bu bir güvenlik riski oluşturur. Birisi oturumunu ele geçirebilir, şifreleri değiştirebilir veya hesabında değişiklikler yapabilir.
Bu yüzden birçok bankacılık ve finans sitesi otomatik olarak etkin olmayan bir kullanıcı oturumunu kapattı. Benzer işlevleri WordPress sitenize de uygulayabilirsiniz.
Inactive Logout eklentisini kurmanız ve etkinleştirmeniz gerekir . Aktivasyon üzerine, eklenti ayarlarını yapılandırmak için Ayarlar »Aktif Değil Oturum Kapat sayfasını ziyaret edin .
Basitçe zaman süresini ayarlayın ve bir oturum kapatma mesajı ekleyin. Ayarlarınızı kaydetmek için değişiklikleri kaydet düğmesine tıklamayı unutmayın.
WordPress Giriş Ekranına Güvenlik Soruları Ekleme
WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birinin yetkisiz erişim sağlamasını zorlaştırır.
WP Güvenlik Soruları eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz . Etkinleştirmeden sonra eklenti ayarlarını yapılandırmak için Ayarlar »Güvenlik Soruları sayfasını ziyaret etmeniz gerekir.
WordPress’te Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama
Yüklü bir WordPress güvenlik eklentiniz varsa, bu eklentiler rutin olarak kötü amaçlı yazılımları ve güvenlik ihlallerinin belirtilerini kontrol eder.
Ancak, web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz, bir taramayı el ile çalıştırmak isteyebilirsiniz. WordPress güvenlik eklentinizi kullanabilir veya bu kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanabilirsiniz .
Bu çevrimiçi taramaları çalıştırmak oldukça basittir, web sitenizin URL’lerini girersiniz ve tarayıcıları bilinen kötü amaçlı yazılımları ve kötü amaçlı kodları bulmak için web sitenizi kullanır.
Artık çoğu WordPress güvenlik tarayıcısının sadece web sitenizi tarayabileceğini unutmayın. Kötü amaçlı yazılımları kaldıramazlar veya saldırıya uğramış bir WordPress sitesini temizleyemezler.
Bu bizi bir sonraki bölüme getirir, kötü amaçlı yazılımları temizler ve WordPress sitelerini hackledi.
Hacked WordPress Sitesini Düzeltmek
Birçok WordPress kullanıcısı, web siteleri hacklenene kadar yedeklemeler ve web sitesi güvenliğinin önemini anlamıyor.
Bir WordPress sitesinin temizlenmesi çok zor ve zaman alıcı olabilir. İlk önerimiz, bir profesyonelin ilgilenmesine izin vermek olacaktır.
Bilgisayar korsanları etkilenen sitelere arka kapılar kurar ve bu arka kapılar düzgün şekilde sabitlenmezse, web siteniz büyük olasılıkla yeniden saldırıya uğrayacaktır.
Sucuri gibi profesyonel bir güvenlik şirketinin web sitenizi düzeltmesine izin vermek , sitenizin tekrar güvenli bir şekilde kullanılmasını sağlar. Ayrıca gelecekteki saldırılara karşı sizi koruyacaktır.
Hepsi bu, bu makalenin en iyi WordPress güvenlik en iyi uygulamalarını öğrenmenin yanı sıra web siteniz için en iyi WordPress güvenlik eklentilerini keşfetmenize yardımcı olacağını umuyoruz.
Bu makaleyi beğendiyseniz, lütfen WordPress video eğiticileri için YouTube Kanalımıza abone olun . Bizi Twitter ve Facebook’ta da bulabilirsiniz .