Adım Adım WordPress Güvenlik Rehberi

WordPress güvenliği her web sitesi sahibi için büyük bir öneme sahip. Her hafta Google, yaklaşık 2o bin siteyi zararlı yazılımlar, 50 bine yakın siteyi de pishing yüzünden kara listeye alıyor. Eğer sitenize değer veriyorsanız, sitenizin güvenliği için daha dikkatli olmalısınız. Bu yazıda, zararlı yazılım ve hackerlardan korunmak için WordPress güvenliğini en iyi nasıl sağlayabileceğinizi  anlatacağız.

WordPress yazılım olarak güçlü bir kodlamaya sahiptir. Birçok geliştirici tarafından daha sağlam olması için geliştirlmeye devam da ediyor. Sitenizin güvenliğini arttırabileceğiniz yolların sayısı da bir hayli çok.

Site Güvenliği Neden Önemli?

Hacklenmiş bir site sizin iş gelirlerinize ve itibarınızı ciddi zararlar verebilir. Hackerlar kullanıcı bilgilerini ve şifrelerini çalabilir, hatta zararlı yazılımları yükleyerek kullanıcılarınıza dağıtabilir.

Daha kötüsü sitenizi geri almak için hackerlara para vermek zorunda bile kalabilirsiniz.

whysecurityisimportant

Mart 2016’da Google 50 milyondan fazla kullanıcıyı ziyaret ettikleri sitelerin zararlı olabileceği ve biliglerini çalabileceği konusunda uyardığını rapor etti.

Eğer siteniz işiniz ile ilgiliyse daha fazla dikkat etmek zorundasınız. Nasıl bir iş yeri sahibi dükkanını fiziksel zararlardan koruması gerekiyorsa, online bir iş yeri sahibi de sitesini aynı şekilde korumak zorundadır.

WordPress’inizi Güncel Tutun

wpupdates

WordPress açık kaynaklı bir yazılım ve düzenli olarak güncelleniyor. WordPress küçük güncellemeri kendisi otomatik olarak yüklüyor, ancak daha büyük güncellemeleri sizin kendinizin yapması gerekiyor.

WordPress ayrıca sitenize yükleyebileceğiniz birçok eklenti ve temaya da sahip. Ayrıca üçücü parti geliştiriciler de kendi eklenti ve temalarını yayınlıyor. Bunların hepsinin güncellemelerini takip edebilirsiniz.

Bu tarz WordPress güncellemleri sitenizin güvenliği ve düzgün çalışabilmesi için hayati öneme sahip. Bu yüzden temel wordpress yazılının, eklentilerinin ve temanızın güncel olduğundan hep emin olmalısınız.

Güçlü Bir Şifre ve Kullanıcı İzinleri

En çok karşılaşılan WordPress hack girişimleri çalınan şifreler ile gerçekleştirilir. Siteniz için güçlü ve özel bir şifre belirlemelisiniz. Sadece WordPress admin paneli için değil, FTP hesabınız, databaseniz, host hesabınız ve profosyonel eposta adresiniz için de güçlü ve farklı şifreler kullanın.

Yeni başlayan biri için en sevilmeyen şey bütün bu şifreleri hatrlamak zorunda olacağını düşünmektir. Ancak artık şifrelerinizi yönetebileceğiniz ve onları güvenle saklayabileceğiniz bir uygulamalar var.

Yani kısaca vermek zorunda olmadığınız sürece kimse WordPress ile bağlantılı herhangi bir hesabınızın şifresini vermeyin. Eğer geniş bir ekibiniz var veya misafir yazarlar ile çalışıyorsanız, hangi kullanıcıya ne yetki vereceğinizi yeni bir kullanıcı ve yazar atamadan önce belirleyin.

WordPress Host’unuzun Görevleri

WordPress hosting hizmeti bir sitenin güvenliğinde öenmli role sahiptir. İyi bir paylaşımlı hosting şirketi sizi saldırılardan koruyabilir.

Ancak paylaşımlı hostinglerin sıkıntı ise birden fazla müşteriyi aynı server üzerinde barındırması. Bu da bazı durumlarda hackerlar için açık bir kapı olarak diğer komşu siteler üzerinden size saldırmak için kullanılabilir.

Bu yüzden Bluehost gibi uzun yıllardır bu işin içinde olan otomatik yedekleme ve güncelleme yapan güveilir şirketleri kullanmanızı tavsiye derim.

Kodlama Gerektirmeden WordPress Güvenliği

Bu işe yeni başlayan biri için WordPress güvenliği zor bir konuymuş gibi gözükebilir. Ancak herhangi bir kodlama bilgisi gerekmeden sadece birkaç tıklama yaparak sitenizin güvenliğini arttırabilirsiniz.

Bir WordPress Yedekleme Uygulaması İndirin

backup-1

Bir saldırıya karşı yapılabilecek ilk savunma yedeklemedir. Hiçbir şeyin %100 güvenli olmadığını unutmamak gerekiyor. CIA’nin bile sitesi hack’lenebiliyorken bizimler daha fazla risk altında.

Eğer sitenizi yedeklenerseniz bir saldırıdan sonra çok hızlı bir şekilde tekrar yenileyebilirsiniz.

Birçok ücretli ve ücretsiz WordPress yedekleme eklentisinden birini seçip kullanabilirsiniz. VaultPress ve BackupBuddy kodlama gerekmeden kullanabileceğiniz eklentilerden birkaçı.

Ayrıca Dropbox ve Google Drive gibi bulut depolama servislerinden birini kullanabilirsiniz.

Ne sıklıkla sitenize içerik yüklediğinize göre, günde bir veya anında yedekleme yapmanızı tavsiye ediyoruz.

WordPress Güvenlik Eklentisi: Sucuri

Yedeklemenizi yaptıktan sonra yapmak isteyeceğiniz şey sitenizde ne olup bittiğini izleyebilmek ve gözlemek olacaktır. Bunlar hatalı girişler, zararlı yazılımlar vb. şeyler olabilir. İşte bu konuda Sucuri Scanner  size yardımcı olacak bütün özelliklere sahip. Tek yapmanız gereken ücretsiz Sucuri güvenlik eklentisini kurmak.

Aktive Ettikten sonra WordPress admin panelinden sucuri menüsüne tıklayın.

sucuriadminmenu

 

İlk yapmanız gereken ücretsiz API anahtarı oluşturmak. Bu sayede bütün girişlerden, kontrollerden ve eposta uyarılarından haberiniz olacak.

sucurifreeapi

Daha sonra Sucuri menüsünde bulunan her seçenek için “Harden” butonuna basın. 

sucuriharden

Bu özellik hackerların saldırmak için kullandığı bütün anahtar bölgeleri kilitleyecektir. Web Application Firewall ücretli o yüzden şimdilik onu geçiyoruz. En önemli seçeneklereden biri eposta uyarı sistemi. Bunu kesinlikle aktive etmenizi tavsiye ediyoruz çünkü bütün değişiklikler ve uyarılar eposta olarak gelecek. Bu uygulama sayesinde zararlı yazılımları tarayabilecek, sitenize kimin girmeye çalıştığını, hatalı girişleri gösterecektir.

Geçerli Kullanıcı Adı(admin) Değiştirmek

WordPress ilk kurulduğu yıllarda kullanıcı adı olarak otomatik “admin” geliyordu. Tabi bu doğal olarak hackerlar için saldırı yaparken işlerini kolaylaştırıyordu.  Neyseki sistem değişti ve ve artık size özel bir kullanıcı adı seçmenizi zorunlu kılıyor.

Bazı WordPress kurulum uygulamalarında bu hala “admin” olarak gözükebilir buna dikkat edin.

Kullanıcı adınızı değiştirebilmeniz için için 3 yol var.

  1. Yeni bir kullanıcı adı oluşturun ve eskisini silin.
  2. Kullanıcı adı değiştimek için bir eklenti kullanın. (Username Changer plugin)
  3. PhpMyAdmin’den kullanıcı adını güncelleyin.

Dosya değiştirmeyi Etkisiz Hale Getirin

WordPress admin paneli üzerinden kolayca temalarını ve eklentilerinizi değiştirebilme imkanı sunuyor. Ancak kötü ellerde bu biraz riskli olabilir bu yüzden bunu etkisiz hale getirmenizi tavsiye ederiz.

filediting

Bunu kolayca wp-config.php dosyasına aşağıdaki kodu ekleyerek yapabilirsiniz.

// Disallow file edit

define( ‘DISALLOW_FILE_EDIT’, true );

Sitenize Girişeri Sınırlayın

WordPress normalde kullanıcıların sitelerine ne kadar isterse o kadar girebilmelerine izin verir. Ancak bu da kötüye  kullanılabilecek bir özellik. Hackerlar birden fazla şifre kombinasyonu ile sitenize girmeye çalışacaklardır.

Bu yüzden girişleri sınırlandıracak bir eklenti indirebilirsiniz. Login LockDown size bu konuda yardımcı olacaktır. Aktive ettikten sonra ayarlardan ne kadar sürede kaç kere giriş yapılabileceğini, yanlış girişlerde ne kadar kilitli kalmasını istediğinizi seçebilirsiniz.

loginlockdown-settings

WordPress Giriş Ekranınıza Güvenlik Sorusu Ekleyin

loginsecquest-1

WordPress giriş ekranınza güvenlik sorusu eklemek birinin sitenize giriş yapmasını daha da zorlaştıracaktır.

Wp Security Questions eklentisini kurabilirsiniz. Aktive ettikten sonra yapmanız gereken istediğiniz soruyu seçmek.

Umarız bu yazı sitenizi daha güvenli hale getirmek için işinize yarar. Yukarıda anlatılanlar kullanabileceğiniz güvenlik önlemlerinde bir kısmı geri kalanları en yakın zamanda ekleyip sitenizi daha güvenli yapmaya çalışacağız.

Cihan Barış

Teknoloji meraklısı, okumayı seven, biraz tembel, kendi yolunu arayan bir üniversite öğrencisi.

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir