7 WordPress Güvenliği En İyi Uygulamaları

Saldırılar ve güvenlik ihlalleri, bir WordPress web sitesi işleten herkes için daha fazla endişe kaynağı haline geldiğinden, birkaç WordPress güvenlik en iyi uygulamasını kullanarak güvenliğinizi büyük ölçüde artırabileceğinizi bilmek önemlidir.

Halihazırda bir WordPress güvenlik stratejiniz yoksa, bu gönderi WordPress web sitenizi güvence altına almanın ve korumanın yedi yolunu anlamanıza yardımcı olacaktır.

WordPress Güvenlik En İyi Uygulamaları

• 1. Parola yöneticisi yardımıyla güçlü bir parola kullanın.
• 2. TÜM ŞEYLER İki Faktörlü.
• 3. WordPress tuzlarınızı düzenli olarak değiştirin.
• 4. Güvenli dosya izinlerini kullanın.
• 5. Mümkün olduğunda sFTP kullanın.
• 6. Tüm WordPress sitelerinizde SSL kullanın.
• 7. WordPress sitenizi ve üzerindeki her şeyi güncel tutun.

Tehdidi Anlamak: Hacker Nedir?

Ne yazık ki, web sitelerini hacklemek için aktif olarak çalışan insanlar ve sistemler var. "Hacker" kelimesi, aşağıdakiler dahil olmak üzere akla birkaç fikir getirebilir:

• Karanlık bir bodrumda çalışan her zaman zor kapüşonlu genç
• Suçlulara veya yabancı hükümetlere sızan hükümet ajanları
• Özgürlük, eşitlik veya yolsuzluğu ortaya çıkarmak için savaşan yeraltı ağları

Tüm bu "hacker" senaryoları mevcut olsa da, kişisel WordPress web sitenizi hedeflemeleri pek olası değildir. Saldırıları kişileştirmeye cazip gelebilirsiniz, ancak gerçek şu ki, bir "hacker" daha çok akılsız bir robot gibidir.

Robotlar ile "botlar" veya internet bağlantısı olan otomatik kod kastediyoruz. Tıpkı bir üretim tesisindeki robotik bir kolun belirli görevleri yapmak üzere programlanması gibi, bu robotlar da programlanmış görevlerini olabildiğince sık ve olabildiğince çok yerde gerçekleştirmek için her gün her saniye çalışır.

Botları hacklemenin mantığı genellikle “bir site bul ve bu özel saldırıyı başlat” olarak özetlenebilir. Saldırıların amacı genellikle saldırıya uğrayan siteyi görev verilebilecek başka bir bot haline getirmektir. Görevler, diğer sitelere saldırmaktan spam veya kimlik avı e-postaları göndermeye kadar değişebilir. Başka bir deyişle, bu botlar sitenizin ne hakkında olduğunu bilmiyor ve umurlarında değil. Botun yaratıcısı için, güvenliği ihlal edilen her site, bir şekilde bir gelir akışı oluşturmak için onlara daha fazla kaynağa erişim sağlar.

Neden Birisi Web Sitemi Hacklemek İstiyor?

Şu anda internette on milyonlarca web sitesi var. WordPress, bunların yaklaşık %26'sına güç sağlar. Ne yazık ki, çok sayıda WordPress sitesi onu bir hedef haline getiriyor.

Yakın zamanda Sucuri, 2019'un üçüncü çeyreğinde üzerinde çalıştıkları sitelerin yaklaşık %94'ünün WordPress siteleri olduğu bir Hacked WordPress Raporu yayınladı.

Bunun gibi grafikler, kullanıcıların WordPress'in güvenli olmadığı konusunda endişelenmesine neden olabilir - öyle. Yukarıdaki çizelgede Sucuri, çoğu durumda tavizlerin WordPress çekirdeği ile çok az veya hiçbir ilgisi olmadığını buldu. Bunun yerine, WordPress tavizleri, web yöneticisi ve ana bilgisayarlar tarafından uygunsuz dağıtım, yapılandırma ve genel bakım ile ilgiliydi.

Bilinen bu WordPress güvenlik sorunlarıyla bile, güncel tutarsanız ve bu WordPress güvenlik en iyi uygulamalarını kullanırsanız WordPress GÜVENLİDİR.

WordPress Sitemi Nasıl Güvende Tutabilirim?

WordPress güvenliği söz konusu olduğunda, mesele saldırıya uğrayıp uğramadığınız değil, WordPress saldırılarının başarılı olmasını nasıl önleyeceğinizdir. Öyleyse ne yapabiliriz? Birkaç WordPress güvenlik 101 ipucunu inceleyerek ve bu WordPress güvenliği en iyi uygulamalarını uygulayarak WordPress güvenliğinizi büyük ölçüde artırabilirsiniz.

1. Bir Parola Yöneticisinin Yardımıyla Güçlü Parolalar Kullanın

İşte hızlı bir sınav. Şifrelerinizden en az birini biliyor musunuz? Bu şifreyi başka bir yerde başka bir giriş için kullandınız mı? Bu soruların her ikisine de evet yanıtı verdiyseniz, parola stratejiniz ciddi bir denetim gerektirebilir.

İyi bir şifre yapan nedir?

• Uzun
• Rastgele
• Benzersiz

Parolalarınızı biliyorsanız, muhtemelen çok zayıftırlar. Bu nedenle, parolalarınızı yönetmek için bir Parola Yöneticisi kullanmak, tüm hesap oturum açma bilgilerinizi güvende tutmanın en iyi yoludur.

Parola Yöneticisi yardımıyla uzun, rastgele, benzersiz parolalar oluşturabilir ve bunları bir tarayıcı uzantısı yardımıyla güvenli bir şekilde saklayabilirsiniz. Bu nedenle, parola yöneticinize giriş yapmak için hatırlamanız gereken tek parola ana parolanızdır.

Şifre Yöneticileri:

• Son Geçiş
• 1Şifre
• Dashlane

Bir Parola Yöneticisinin yardımıyla, oturum açmanız için iyi bir parola güvenliği kullanmaya başlayabilirsiniz. Daha fazla WordPress şifre güvenliği ipucuna göz atın.

2. TÜM ŞEYLER İÇİN İki Faktör.

İki Faktörlü Kimlik Doğrulama sadece bir sıkıntı değil, Gerçek Güvenliktir. İki faktörlü kimlik doğrulama kullandınız mı ve nasıl çalıştığını biliyor musunuz?

İki faktörlü kimlik doğrulama, iki doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama sürecidir: ya bildiğiniz bir şey, sahip olduğunuz bir şey, ya da olduğunuz bir şey.

İki faktörlü kimlik doğrulamanın can sıkıcı olduğunu düşünmek kolay olsa da, rahatsızlıktan kurtulmanın ve tanıdığımız herkesi, oturum açmalarınızı güvence altına almak için bu yöntemi kullanmanın değeri konusunda eğitmenin zamanı geldi. Birisi kimlik bilgilerinizi ele geçirebiliyorsa, iki faktörlü kimlik doğrulamayı etkinleştirmişseniz, bu onlara bir fayda sağlamayacaktır. Bir bilgisayar korsanının başarılı bir şekilde oturum açabilmesi için yalnızca kullanıcı adınıza ve şifrenize değil, aynı zamanda mobil cihazınıza da sahip olması gerekir.

WordPress girişinize iki faktörlü kimlik doğrulama ekleyin ve ardından mümkün olan her yerde (e-postanız, finansal hesaplarınız, hatta varsa sosyal ağınız dahil) her şeyi iki faktörlü olarak ekleyin.

iThemes Security Pro ile WordPress girişinize WordPress iki faktörlü kimlik doğrulamasını kolayca ekleyebilirsiniz.

3. WordPress Tuzlarınızı ve Anahtarlarınızı Düzenli Olarak Değiştirin.

WordPress, oturum açmış kullanıcıların ve yorum yapanların kimliğini doğrulamak için çerezleri (veya tarayıcınızda depolanan bilgileri) kullanır. WordPress çerezlerinizde saklanan oturum açma bilgilerinin daha iyi korunması ve şifrelenmesini sağlamak için WordPress, wp-config.php dosyanıza gizli kimlik doğrulama anahtarları ve tuzları içerir. Esasen, WordPress tuzları ve anahtarları, siteniz için uzun, rastgele ve karmaşık ek şifrelerdir; bu nedenle kırılmaları neredeyse imkansızdır.

WordPress tuzlarınızı ve anahtarlarınızı sizin için değiştirebilecek iThemes Security Pro dahil olmak üzere birçok eklenti var.

• iThemes Güvenlik Uzmanı
• WP Yapılandırma Dosyası Düzenleyicisi

4. Güvenli Dosya İzinlerini Kullanın.

Herhangi biri sunucu dosyalarınızı görüntüleyebilir veya yazabilirse siteniz ne kadar güvenlidir? Öyle değil. Güvenli WordPress dosya izinleri bir zorunluluktur.

Örneğin, bu dosya ve dizin izinleri hayırdır.

• Dizin – 777
• Dosya – 666

Gerçekte ayarlayabildiğiniz şey sunucudan sunucuya değişebilir, ancak genellikle ana bilgisayar kontrol paneliniz ve FTP istemciniz aracılığıyla dosya ve dizin iznini ayarlayabilirsiniz. Dosyalarınız 400 ile 444 arasında, dizinleriniz de 700 ile 744 arasında olmalı.

iThemes Güvenlik eklentisi, emin değilseniz dosya izinlerinizin durumunu hızlı bir şekilde kontrol etmenin bir yolunu içerir.

5. Mümkün Olduğunda sFTP Kullanın.

Web sitenizdeki dosyaları düzenliyorsanız, FTP yerine sFTP kullanmaya başlamak iyi bir fikirdir. Kodu doğrudan düzenlemezseniz, web geliştiricinizin sunucu dosyalarına erişmek için en yüksek güvenlik protokollerini kullandığından emin olun.

SFTP ve FTP protokollerinin her ikisi de veri aktarırken, benzerliklerinin bittiği yer burasıdır. Tıpkı bir astar olarak FTP, Dosya Aktarım Protokolü anlamına gelir. FTP, verileri iki uzak bağlantı arasında düz metin olarak aktarır. Bir kullanıcı normal bir FTP oturumu açtığında, ana bilgisayar ile kullanıcı arasında yapılan iletimin tamamı düz metin olarak gönderilir. Ağda gizlice dolaşabilen herkes, şifre bilgileriniz de dahil olmak üzere verileri okuyabilir.

sFTP, FTP komutunun güvenli bir şeklidir. sFTP, verilerin SSH2 protokolünün kullanımıyla güvenli bir şekilde özel olarak aktarılmasını sağlar. FTP yerine sFTP kullanıldığında, parolaların iletimi dahil tüm oturum açma oturumu şifrelenir. Bu nedenle, ağda gizlice dolaşan birinin parolaları gözlemlemesi ve toplaması çok daha zordur.

6. Tüm WordPress sitelerinizde SSL kullanın.

SSL nedir? Neden kullanmalısın? Tarayıcımızda eriştiğimiz URL'nin yanındaki yeşil asma kilidi hepimiz görmüşüzdür, ancak bu neden bu kadar önemli?

İşte SSL/HTTPS terminolojisi hakkında hızlı bir başlangıç:

• HTTP, Hiper Metin Protokolü anlamına gelir. Bilgi aktarmak için HTTP kullanırken, bilgili bir kişinin araya girmesi ve onu görüntülemesi nispeten kolaydır.
• HTTPS, Güvenli Köprü Metni Protokolü anlamına gelir. HTTPS kullanırken herhangi biri onu yakalayabilirse, şifreli olduğu için yine de deşifre edemezler.
• SSL – Güvenli Yuva Katmanları, HTTPS kullanılırken aktarım sırasındaki güvenliktir.

Web'in ilk zamanlarında yöneticiler, çevrimiçi ortama koydukları bilgileri paylaşmanın bir yoluna ihtiyaç duyuyordu. Bunun için HTTP protokolünü geliştirdiler, ancak bilgiyi ele geçirmenin ve görüntülemenin kolay olduğunu çabucak öğrendiler. Daha sonra, paylaştıkları bilgileri güvence altına almak için bir prosedür üzerinde anlaştılar ve bu, HTTPS protokolüdür.

İşte burada SSL sertifikaları ve SSL devreye giriyor. Aktarımla ilgili her bilgisayardaki SSL sertifikalarının benzersiz anahtarları veya kilitleri vardır. Veriler Güvenli Yuva Katmanları aracılığıyla aktarılıyor. Verilerin her iki ucunda asma kilit bulunan güvenli bir tünelde seyahat ettiğini hayal edebilirsiniz, böylece başka hiç kimse bilgilerinize ayrıcalık tanımaz.

SSL sertifikalarının fiyatları farklıdır ancak web sitenizdeki bilgileri güvende tutmak için kesinlikle gereklidir. Ayrıca SSL sertifikaları satın alabileceğiniz birkaç yer vardır, ancak en kolay yol, onu sunucunuzdan satın almak ve yüklemelerine izin vermektir. Ayrıca WordPress HTTPS Eğitimimize de göz atabilirsiniz.

7. WordPress Sitenizi ve Üzerindeki Her Şeyi Güncel Tutun.

WordPress bakımına ayak uydurmak, sağlam bir WordPress güvenlik stratejisine sahip olmanın son kısmıdır. Tıpkı çimlerinizin biçilmesi veya arabanızın yağ değişimine ihtiyacı olduğu gibi, WordPress web sitenizde de düzenli bakım yapmanız gerekir; bu, WordPress çekirdeği, temaları ve eklentileriyle ilgili güncellemeleri aktif olarak takip etmek anlamına gelir.

• WordPress çekirdeğini güncel tutun.
• Eklentileri ve temaları güncel tutun.
• Şifrelerinizi düzenli olarak güncelleyin.
• Kullanılmayan eklentiler, temalar ve kullanıcılar için sitelerinizi düzenli olarak denetleyin ve bunları kaldırın.
• HER ZAMAN yeni bir WordPress yedeğine sahip olun. Sitenizin yedeğini almak, yalnızca bir şeyler ters gittiğinde size zaman kazandırmaz, aynı zamanda size maliyetli bir deneyim kazandırabilir. Otomatik WordPress yedeklemeleri oluşturmak ve yedekleme dosyalarını site dışında güvenli bir yerde depolamak için BackupBuddy gibi bir WordPress yedekleme eklentisi kullanın.

Birden fazla WordPress sitesini yönetiyorsanız, iThemes Sync gibi WordPress bakımını kolaylaştırmaya yardımcı olacak araçlar vardır. Güncellemeleri çalıştırmak için her bir web sitesinde oturum açmak yerine, aynı anda birden fazla web sitesini çalıştırmak için tek bir merkezi panonuz var. iThemes Sync ayrıca WordPress siteniz için yeni güncellemeler olduğunda bildirim e-postaları gönderebilir, böylece önemli bir güvenlik güncellemesini asla kaçırmazsınız.

Ancak bunu yaparsanız, lütfen WordPress web sitenizi ve üzerindeki her şeyi güncel tuttuğunuzdan emin olun.

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.