WordPress Güvenliği: Bir WordPress Web Sitesini Güvenli Kılmak için 14 Pro İpuçları

WordPress web sitenizin güvenliğini artırmak mı istiyorsunuz?

İşte bu ödüllü WordPress blogunu çalıştırarak öğrendiğim tüm ipuçlarını ve stratejileri paylaşıyorum.

Sadece bilmen için

Son zamanlarda, WordPress bilgisayar korsanları tarafından büyük ölçüde hedef alındı. Birçok kullanıcı “WordPress güvenli midir?” Diye sordu.

ve işte cevabım:

Evet, WordPress güvenlidir.

Bununla birlikte, çeşitli eklentiler, temalar ve bir süre kullandığımız zaman, en kötü güvenlik uygulamalarını izleyen ve dolayısıyla WordPress web sitemizi farklı tür saldırılara ve saldırılara karşı savunmasız kılan ana bilgisayardır.

Gerçek: WordPress, dünyadaki web sitelerinin yaklaşık% 33’üne güç sağlar; bu, yalnızca en popüler CMS platformu olmasını sağlamakla kalmaz, aynı zamanda hacklemeye daha eğilimlidir.

Son kullanıcı olarak, WordPress blogunu korumak için yapabileceğiniz birkaç şey var.

10 yıl boyunca, bugün sizinle paylaştığım birçok numarayı öğrendim, böylece WordPress web sitenizi bilgisayar korsanlarının ellerinde kaybetme zorluğuyla yüzleşmek zorunda kalmazsınız.

WordPress güvenli ise, WordPress güvenliği neden önemlidir?

Yukarıda belirttiğim gibi, WordPress varsayılan olarak güvenlidir ancak güvenli olmayan bir sunucuda barındırdığınızda veya temalar ve eklentiler biçiminde yeni kodlar eklediğinizde, saldırıya uğrama olasılığını artırıyorsunuz.

WordPress sertleştirme ile ilgili bu yardım sayfası ekler

“ WordPress web sitesi sahiplerini en çok etkileyen güvenlik açıkları, platformun genişletilebilir bölümlerinden, özellikle de eklentilerden ve temalardan kaynaklanıyor. Bunlar, siber suçlular tarafından WordPress sitelerini kırmak ve kötüye kullanmak için sömürülen 1 numaralı saldırı vektörü.

Bu güvenlik açıkları genellikle kasıtlı olarak ortaya çıkmaz, gelişme sırasındaki hataların ve gözetimin bir sonucudur. Pek çok eklenti ve tema geliştirici güvenlik konusunda çok bilgili değildir ve bu nedenle istemeden savunmasız kod yazmaya eğilimlidirler. Güvenlik açıkları keşfedildiğinden, geliştiriciler genellikle güncellemeleri yayınlayarak ele alır ”

Bilgisayar korsanları, genellikle bazı spam sitelere geri bağlantı ekleme veya bir WordPress sitesini başka web sitelerine yeniden yönlendirme şeklinde kişisel kazanç için bir WordPress sitesini hacklemektedir . Bazen öyle karmaşık bir şekilde yapılır ki, saldırıya uğradığınızı veya web sitenize kurulu bir arka kapı olduğunu bile bilmezsiniz.

Ancak, sahibi zaman içinde trafiğini kaybetmeye başlar (SEO cezası) ve asıl meseleyi fark ettiklerinde işler ellerinden çıkar. Olabilecek bir diğer kötü şey ise önde gelen bir kara liste otoritesi tarafından kara listeye alınması. Bu, web sitenizi kara listeden çıkarmak için size zaman ve para kazandıracaktır.

Sucuri güvenlik firmasına göre,

2018’de temizledikleri tüm CMS’lerden  WordPress, enfekte olmuş CMS’yi% 90’la almaktadır.

Bu, herhangi bir WordPress sahibi için bazı korkutucu sayılardır ve bu nedenle WordPress güvenliğini artırmak için kılıfınızı döndürmeniz ve en iyi uygulamaları izlemeniz sizin için çok önemlidir.

WordPress Blogunu Güvende Tutmanın 14 Kanıtı

1. WordPress Yedeklemelerini Yapılandırma

WordPress blogunuzu korumak için aşağıda kanıtlanmış birçok ipucu vermiş olmama rağmen, bir şey olursa, hiçbir şey kaybetmeyeceğinizden emin olmanız gerekir.

Uygun bir WordPress yedekleme çözümüne sahip olmamak, yapabileceğiniz en büyük hatadır. Sony veya Dropbox gibi büyük bir sitenin saldırıya uğraması durumunda, WordPress blogunuzun bir hacker tarafından kırılması nispeten kolay olacaktır.

Bu yüzden ilk şey, blogunuzun günlük bir yedeğini aldığınızdan emin olmaktır.

Hosting şirketiniz tarafından sunulan yedekleme sistemini kullanabilir veya VaultPress veya Updraftplus gibi bir üçüncü taraf yedekleme sistemi kullanabilirsiniz. WordPress yedekleme eklentilerinin WordPress eklenti sayfasından da bulabilirsiniz.

Barındırma şirketiniz yedekleme sağlıyorsa, yedeklemeyi farklı bir sunucuda sakladıklarından emin olun.

2. Güvenilir ve Güvenli Bir Hosting Şirketi Kullanın

WordPress kurulumunuz sadece bir sunucuya kurulmuş bir yazılımdır. Güvenli bir web sitesinin temeli, web sitenizin bilgisayar korsanlarına karşı korunmasını sağlayan yeterli korumaya sahip bir sunucudur.

WordPress Sitenin Güvenliği için ipuçları | WordPress Güvenliği
WordPress Sitenin Güvenliği için ipuçları | WordPress Güvenliği

Güvenli bir WordPress barındırma genellikle var:

Hangi barındırma şirketinin bilgisayar korsanlarına karşı güvenilir olduğunu bilmek zor olduğunu ve bu nedenle güvenli WordPress barındırma şirketlerinin listesini bu yüzden oluşturdum:

  1. SiteGround: Bazı iyi bilinen saldırıları önlemek için bot karşıtı AI sistemi kullanan ödüllü bir barındırma.
  2. Bluehost: Mükemmel güvenlik sunan en iyi puan alan ana bilgisayarlardan biri.
  3. WPEngine: İş WordPress siteleri için önerilen, yönetilen bir WordPress hosting şirketi. Birden çok düzeyde yedekleme ve güvenlik sunarlar.
  4. Kinsta hosting: Bu, yoğun trafiği olan WordPress blogları için mükemmeldir.

Mevcut barındırma şirketiniz güvenli değilse ve güvenlikle ilgili bir destek sağlamazsa, yukarıda listelenen barındırma yerlerinden birine geçmek çok büyük bir fark yaratacaktır.

3. WordPress’in En Son sürümünü kullanın.

WordPress yazılımınızı güncel tutmak, herhangi bir WordPress blog yazarı için en temel güvenlik ipucudur. Bu asla kaçırmak istemediğiniz bir şey.

WordPress her güncelleme gönderdiğinde, bazı hataları düzelttikleri, bazı özellikler eklediği ve en önemlisi bazı güvenlik özellikleri ve düzeltmeleri ekledikleri anlamına gelir.

Mesajı gördüğünüzde: “WordPress xxx kullanılabilir!”

Güncelle onu.

Günümüzde, tek tıklamayla yapılan güncellemelerle blogunuzu yükseltmek çok kolaydır.

Tema ve eklentilerinizin WordPress’in bu en son sürümüyle uyumlu olduğundan emin olun. Bir güncelleme yayınlandıysa ve bir güvenlik güncellemesi değilse, diğer kullanıcıların en son sürümdeki hataları bildirmeyi bırakmadan önce 5-6 gün beklemenizi öneririm.

4. WordPress Eklentilerini Güncelle

Yukarıda belirttiğim gibi, WordPress hataları ve güvenlik açıklarını gidermek için bir güncelleme yayınladı ve aynı eklentileri ile de devam ediyor.

Çoğu zaman, güvenlik açığı bulunan bir eklenti veya 3. taraf komut dosyası, WordPress web sitenizde bir güvenlik açığı oluşturabilir.

Geçmişte gördüğümüz bu sorunlardan biri, Timthumb güvenlik açığıdır. Bunun nedeni bir komut dosyasıydı ve bu komut dosyasını kullanan birçok eklenti de savunmasız hale geldi. Bu sıfır günlük güvenlik açığından kaçınmak zor, ancak eklentilerin, komut dosyalarının ve temaların sayısını sınırlamak WordPress sitesini daha güvenli hale getirebilir.

Her zaman sürekli güncellenen ve iyi destek olan eklentiler kullanın. Bir süredir güncellenmemiş bir eklenti kullanıyorsanız, buna bir alternatif bulun.

5. En Son PHP sürümünü kullanın

PHP, WordPress’in bel kemiğidir ve şu anda 7.3, PHP’nin en son sürümüdür. Göre resmi PHP istatistik sayfasında , sadece 2 yıl boyunca PHP herhangi kararlı sürümüne güvenlik destek sunuyoruz.

Bu, eğer PHP 7.1’in altında bir şey kullanıyorsanız, güvenlik güncellemelerini almayacaksınız demektir.

İşte WordPress.org’dan ilginç bir stat, WordPress web sitesinin yaklaşık %71.8’i eski PHP kullanıyor.

Kullanmakta olduğunuz barındırma ortamına bağlı olarak, PHP sürümünüzü hızlı bir şekilde değiştirebilirsiniz. İlk önce bir hazırlama ortamı oluşturmanızı ve ardından en son PHP sürümünü test etmenizi şiddetle tavsiye ederim. Bu zaman zaman uyumluluğu, eski eklenti ve tema bir soruna neden olabilir gibi sağlamaktır.

WordPress’in PHP sürümünü kontrol panelinden yani CPANEL üzerinden kontrol edebilir ve PHP sürümünüzü test etmek ve güncellemek için barındırma desteğinizi sorabilirsiniz.

6. Web uygulaması güvenlik duvarı (WAF) kullanın

Hosting sunucunuz ve ağ trafiğiniz arasında bir güvenlik duvarı vardır. Güvenlik duvarının rolü, WordPress web sitenizin barındırdığı makineye ulaşmadan önce en yaygın tehdidi filtrelemektir.

WordPress’te kullanabileceğiniz en yaygın üç tür güvenlik duvarı çözümü vardır:

  1. Ağ düzeyinde: Bu genellikle ağ düzeyinde veya makine düzeyinde depolanır ve WordPress’i sahip olduğunuz bir veri merkezinde barındırırken çalışır. Bu en pahalı seçenektir ve genellikle sunucunun kurulu olduğu fiziksel alan üzerinde kontrol sahibi oldukları kurumsal düzeyde bir web sitesi tarafından kullanılır.
  2. Ana bilgisayar düzeyinde: Bu, web uygulaması düzeyinde barındırılmaktadır, bizim durumumuzda WordPress. Bu sonuçta tavsiye edilmez, çünkü ev sahibiniz trafiği filtrelemek için ağır kaldırma yapmak zorundadır. Bu kesinlikle ağ tabanlı bir WAF’den daha iyidir, ancak gereksinim duyduğu yerel sunucu kaynakları en iyi seçenek değildir.
  3. Bulut Tabanlı WAF: Bulut Tabanlı WAF, genellikle DNS düzeyinde uygulanır ve WordPress sunucunuzu vurmadan önce en yaygın tehdit türlerini filtreler. Bu, uygulanması en kolay ve en ekonomik olanıdır. Tek dezavantajı, DNS’yi değiştirmenizi gerektirebilir.

WAF tarafından tespit edilen ve korunan bazı yaygın tehdit türleri şunlardır: Siteler arası komut dosyası çalıştırma (XSS) saldırıları, SQL enjeksiyon saldırıları, oturum ele geçirme ve arabellek taşması. Bu OSI modelinde bir protokol seviyesi 7 savunmadır.

WAF’yi uygulamak için kullanabileceğiniz önerilen iki servis vardır:

Bu, WooCommerce ve iş için yapılan diğer WordPress web siteleri için şiddetle tavsiye edilen bir WordPress güvenlik özelliğidir.

7. WordPress Sürümünü Gizle

WordPress çekirdek dosyalarınızı güncellemek için bu 2 dakikanız olmadığını varsayalım. Listelenen WP sürümü bir hacker’ın zorla girebileceği fikrini doğurabilir. WP’nin eski bir sürümünü kullanıyorsanız ve herkes biliyorsa, güven bana, mahkum oldunuz.

Bu günlerde çoğu tema tasarımcıları sizin için ondan kurtulur, ancak sadece emin olmak için, hands.php dosyasına gidin ve şu satırı ekleyin:

<? php remove_action (‘wp_head’, ‘wp_generator’); ?>

8. Karmaşık bir Giriş Şifresi Kullanın

Bundan bahsetmemeliydim, ama ustaca ve delice karmaşık şifreler kullanan çok fazla insan tanıyorum:

Görkemli!

Lütfen şifrelerinizi karmaşık yapın, birkaç özel karakter ekleyin (% & * #) ve her 5 veya 6 ayda bir değiştirmeye devam edin.

Login Lockdown adlı bir eklentiyi de tavsiye ederim. Login LockDown adlı wordpress eklentisi başarısız oturum açma girişimlerinin tüm IP’lerini ve zaman damgalarını kaydeder. Belirli bir IP’den belirli sayıda başarısız denemeden sonra, IP kara listeye alınır. Bu herhangi bir brute-force saldırısını önlemek için çok yardımcı olur.

Sonunda, Parola güvenliğinizi daha da geliştirmenize yardımcı olacak Dashlane gibi bir parola yöneticisi kullanmaya da başlamalısınız.

9. WordPress Giriş URL’sini değiştirin:

WordPress giriş URL sayfasını değiştirerek, WordPress güvenliği için çok sayıda saldırı ve bilgisayar korsanlığı girişimini önlüyorsunuz. Özellikle, eğer bir avuç dolusu insana sahip olan bir kişiyseniz veya sadece WordPress panosuna giriş yapmanız gerekiyorsa, oturum açma sayfasını değiştirmek size çok yardımcı olacaktır. WordPress admin oturum açma URL’sini nasıl değiştireceğinizle ilgili daha önceki eğitimimde bulan birkaç avantaj var .

10. Dizine alınmış sayfalar için Google uyarısını ayarla

Bu hemen kullanabileceğiniz daha az bilinen püf noktalarından biridir. Google, etki alanı adınıza yeni bir sayfa dizine eklediğinde size bir uyarı göndermek için Google uyarılarını kullanabilirsiniz. WordPress korsanları, çok fazla zaman, arka uçta veya ön uçta gösterilmeyen yeni sayfalar ve gönderiler ekler, ancak Google’da dizine eklenir.

Böyle bir uyarı ayarladığınızda, bildiriminiz olmadan bir şey olup olmadığını anlarsınız. Ücretsiz olduğu ve kurulumu sadece 2-3 dakika sürdüğü için tamamen buna değer.

İşte nasıl yapabilirsiniz?

Şimdi, arama motorunda yeni bir sayfa dizine eklendiğinde anında bildirim alacaksınız.

11. WordPress Klasörleri Dosya İzinlerini Kontrol Edin

CPanel’inizdeki Dosya Yöneticisine gidin  veya FTP yazılımınıza giriş yapın. ve WordPress klasörünüzün dosya özniteliklerini kontrol edin.

744 ise iyi (sadece okunur). 777 olduğunu bulursanız, henüz saldırıya uğramadığınız için kendinizi çok şanslı sayın.

Blogcuların çoğu hostingi değiştirdiğinde, dosya izinlerinin de nasıl değiştiğini anlamıyorlar. Hosting’i taşıdıktan sonra tüm dosya izinlerini doğruladığınızdan emin olun.

12. Varsayılan Yönetici Kullanıcısını Sil

Bu, güvenli bir WordPress blogu oluşturmak isteyen insanlar için en önemli ipuçlarından biridir. Varsayılan “admin” kullanıcı adı, kaba kuvvet (brute force) saldırılarına açıktır, çünkü çoğu insan asla değiştirmez.

WordPress’i yüklerken, özel bir kullanıcı adı kullandığınızdan ve “admin” kullanmadığınızdan emin olun.

“Yönetici” haklarına sahip yeni bir kullanıcı oluşturabilir ve bu yeni yöneticiye bir gönderi yazarsa halka açık olarak görüntülenecek bir takma ad verebilirsiniz. Şimdi, oturumu kapatın ve ardından yeni oluşturulan yönetici hesabına geri dönün ve eski “admin” kullanıcısını silin.

Tüm kullanıcı adlarını ve linkleri oluşturduğunuz yeni kullanıcıya attığınızdan emin olun.

13. Eklenti Dizinini Gizle

Eklentiler klasörü / wp-content / plugins / içindeki klasörlerin ve dosyaların listesini göstermemelidir. Bu durum WordPress güvenliği için risktir.

Eklentiler klasörünüzü ziyaret etmeyi deneyin ( interbilgi.com alan adını alan adınızla değiştirin ):

Bir klasör ve dosya listesi görürseniz, bunları gizlemeniz gerekir.

Bu klasörleri gizlemek için, yeni bir .htaccess dosyası oluşturmanız  ve onu eklentiler dizininize bırakmanız gerekir.

# BEGIN WordPress 
RewriteEngine RewriteBase Üzerinde 

RewriteCond% {REQUEST_FILENAME}! -F 
RewriteCond% {REQUEST_FILENAME}! -D 
RewriteRule. /index.php [L] 
# Dizin listesini engeller 
IndexIgnore * 
# END WordPress

Zaten iyi yazılmışsa. Kök dizininizdeki htaccess dosyası, ayrı bir klasöre ayrı bir .htaccess eklemek herhangi bir zarar vermeyecektir.

14. Veritabanı Hatalarını Kapatın

WordPress güvenliği için bir diğer ipucu veritabanı güvenliği. WordPress’in eski sürümlerinde, MySQL veritabanında hatalar olsaydı, hacker’a veritabanınız hakkında değerli bilgiler veren tarayıcıdaki hatayı gösterirdi.

Bunu önlemek için, WordPress’inizi en son sürüme güncellemeniz gerekir, böylece neyin yanlış olduğunu göstermek yerine yalnızca “Veritabanı bağlantısı hatası”  gibi genel bir hata mesajı gösterilecektir.

WP panonuza giriş yapın ve WordPress çekirdek dosyalarınızı güncelleyin.

WordPress güvenliği: Senin için

Umarım bu rehber WordPress güvenliğinin önemini anlamanıza yardımcı olmuş ve sertleştirmenize yardımcı olmuştur.

Yine, blogunuzu her zaman sağlıklı bir duruma geri alabilmenizi sağlamak için WordPress blog’unuzu düzenli aralıklarla otomatik olarak yedeklemeniz akıllıca bir fikirdir.

WordPress bloglarını güvende tutmak için diğer blogculara başka hangi güvenlik ipuçlarını vermek istediğinizi bize bildirin. WordPress güvenliği için püf noktalarını aşağıdaki yorumlarda paylaş!

WordPress Güvenliği: Bir WordPress Web Sitesini Güvenli Kılmak için 14 Pro İpuçları yazımızı paylaşmayı unutma!

Exit mobile version