WordPress Güvenlik Denetimi Nasıl Yapılır?

Yayınlanan: 2021-11-08

WordPress sitenizin güvenliğini sağlamak tek seferde yapılacak bir iş değildir. Güvenlik eklentinize ne kadar güvenirseniz veya web sitesi sağlamlaştırma konusunda ne kadar titiz olursanız olun, bugünün güvenli bir web sitesi yarın güvenli bir web sitesi yapmaz. Bilgisayar korsanlarını uzak tutmak için düzenli olarak WordPress güvenlik denetimleri yapmanız ve bulduğunuz güvenlik açıklarını doldurmanız gerekir.

Web sitesi hackleme taktikleri her zaman ilerler ve onlarla birlikte sitenizi güvende tutmak için önleyici tedbirler de vardır. Bunu bir döngü olarak düşünün. Bir web sitesi ne kadar güvenliyse, ona girmek için o kadar yaratıcı bilgisayar korsanları olmak zorundadır, bu da web sitenizin daha da güvenli hale gelmesi gerektiği anlamına gelir.

En az üç ayda bir WordPress güvenlik denetimi yapmayı hedefleyin. Her ay daha iyidir ve her hafta (hatta sitenizin ne kadar hassas olduğuna bağlı olarak günlük) en iyisidir. Ve elbette, sitenizde bir sorun olduğunu düşünüyorsanız, hemen bir güvenlik denetimi yapın. Aşağıdakilerden herhangi biri kırmızı bayrak göstermelidir:

  • Web siteniz aniden yavaşlıyor ve durgunlaşıyor.
  • Belirgin bir sebep olmadan web sitesi trafiğinde büyük bir düşüş var.
  • Yeni hesaplar, giriş denemeleri veya “şifremi unuttum” istekleri var.
  • Eklemediğiniz yeni bağlantılar sitenizde.

Aşağıdaki adımlar, sitenizi güvenlik açısından en iyi durumda tutmak için yapılması gereken adımlardır. Elinizin altında bir kontrol listesiyle, denetimlerinizi bunaltıcı olmak yerine kolaylaştıracaksınız.

WordPress Güvenlik Denetimine Genel Bakış

Bir noktada, hemen hemen her WordPress web sitesi bir tür güvenlik sorunuyla karşılaşacaktır. Yaygın olanlardan biri, bir güvenlik açığıyla boğuşan ve bilgisayar korsanlarının doğrudan sitenize girmesine izin veren bir eklenti veya temadır. Siteniz saldırıya uğradığında, birçok şey olabilir:

  • Müşterilerin kişisel verileri çalındı
  • Yasa dışı reklamlar ve görüntülenen içerik
  • Trafik başka yönlere yönlendirildi
  • WordPress verileri şifrelenmiş, silinmiş veya satılmış

Bu, birkaç saatliğine baş ağrısından veya çökmüş bir siteden çok daha fazlası. Bilgisayar korsanları verilerinizi fidye için tutabilir. Sitenizdeki bilgiler Dark Web'de satılabilir. Google, web sayfalarında spam görüntülemek için sitenizi kara listeye alabilir. Müşteriler, kredi kartı bilgilerinin çalınması durumunda size dava açabilir. Bilgisayar korsanları sizinkine eriştiğinde diğer web sitelerine virüs bulaşabilir.

WordPress güvenlik denetimleri, bu güvenlik açıklarını tespit eder, böylece bir bilgisayar korsanı yolunu bulmadan hemen onları yamalayabilirsiniz. Şu anda atmakta olduğunuz güvenlik adımlarının hala çalıştığından emin olacaksınız ve ayrıca nerede olduğunuzu da anlayacaksınız. daha fazla korumaya ihtiyaç duyar.

Kullanmakta olduğunuz Güvenlik Eklentisini Değerlendirin

WordPress güvenlik eklentiniz, sitenizi korumak için en önemli araçlardan biridir. Güvenlik eklentinizin aşağıdaki şekillerde hala çalıştığından emin olun:

  • Etkinlik Günlüğü: Bu, kimin ve ne zaman giriş yaptığı, başarısız giriş denemeleri ve site değişiklikleri dahil olmak üzere sitenizin kullanıcılarını izler.
  • Güvenlik Duvarı: Bu, sitenize girmeye çalışan botları, bilgisayar korsanlarını ve IP adreslerini engeller.
  • Oturum Açma Denemeleri: Kaliteli güvenlik eklentileri, güçlü parolaları zorunlu kılar, iki faktörlü kimlik doğrulama gerektirir ve oturum açma girişimlerini sınırlandırır.
  • Oturum Açma Koruması: Bu, bilgisayar korsanlarının oturum açmak için farklı kullanıcı adı ve parola kombinasyonları denediği kaba kuvvet saldırılarını engeller.
  • Kötü Amaçlı Yazılım Taramaları ve Temizlemeleri: Bu, günlük olarak çalışmalı, sitenizin veritabanını, dosya ve klasörlerini kötü amaçlı yazılımlara karşı derinlemesine taramalı ve bulduğu her şeyi silmelidir.
  • Gerçek Zamanlı Uyarılar: Eklenti, web sitenizde şüpheli bir şey olup olmadığını hemen size bildirmelidir.

Henüz bir güvenlik eklentiniz yok mu? WordPress güvenlik denetiminizde ilk adımınız olarak bir tane almayı düşünün. Aralarından seçim yapabileceğiniz en iyi 6 WordPress güvenlik eklentisini bir araya getirdik.

Web Sitesi Yedekleme Çözümünüzü Test Edin

Sitenizde düzeltilmesi imkansız veya çok karmaşık bir şeyler ters giderse, bir WordPress yedeğine sahip olmak, sitenizi sorun oluşmadan önceki durumuna geri yükleyebileceğiniz anlamına gelir. Ancak, yedeklemeniz başarısız olursa, geri yükleyecek hiçbir şeyiniz kalmaz, bu da virüslü veya arızalı bir siteye takılıp kalabileceğiniz anlamına gelir. İdeal olarak, BlogVault gibi yedeklemelerinizi test etmenize olanak tanıyan bir yedekleme çözümü (ister ana makineniz tarafından sağlanan isterse kullandığınız bir eklenti olsun) kullanacaksınız. Ayrıca en iyi 6 WordPress yedekleme eklentisini içeren makalemizi de okumak isteyebilirsiniz.

WordPress Yöneticinizi ve FTP Kurulumunuzu İnceleyin

WordPress ile, çeşitli projelerde çalışmak için birden fazla kişinin oturum açmasını sağlayabilirsiniz, ancak bu, oturum açan her bir kişinin web sitenize tam erişime sahip olması gerektiği anlamına gelmez. Ve FTP istemciniz söz konusu olduğunda, birden fazla kişinin erişimine izin vermek, sitenizin her şeyinde değişiklik yapabilecekleri anlamına gelir.

WordPress'te yeni bir kullanıcı eklediğinizde, onlara bir rol atarsınız (ve rollerini değiştirmek için profillerini de düzenleyebilirsiniz):

wordpress güvenlik denetimi

Farklı rollerin farklı yetenekleri vardır. Örneğin, bir Yönetici sitenin tüm yönetici araçlarına erişebilir (temayı değiştirmek veya bir eklenti yüklemek gibi), ancak katkıda bulunan bir kişi yalnızca kendi gönderilerini yazabilir ve yönetebilir. İşte farklı rollerin ve yeteneklerinin kapsamlı bir dökümü.

WordPress güvenlik denetiminiz için aşağıdakileri yapın:

  • Hangi WordPress kullanıcılarının yönetici düzeyinde erişime sahip olduğunu görün.
  • Tüm bu kullanıcıların bu erişim düzeyine ihtiyacı olup olmadığına (ve sınırlı erişimi olan diğerlerinin yönetici olması gerekip gerekmediğine) karar verin.
  • Bu kişiler için kullanıcı rollerini güncelleyerek izinleri azaltın ve erişimi kısıtlayın.
  • Kontrol panelindeki kullanıcıları tanımıyorsanız, onları silin; bunlar bir bilgisayar korsanı tarafından oluşturulmuş hesaplar olabilir.
  • Herhangi bir kullanıcı adı basitçe "admin" mi? Bu çok yaygın bir kullanıcı adıdır ve bilgisayar korsanlarının sitenize erişmek için sıklıkla kullanmaya çalıştığı bir kullanıcı adıdır. Kişi için yeni bir kullanıcı hesabı oluşturun ve eski hesabı silin.
  • Bu kadar yüksek bir erişim düzeyine ihtiyaç duymayan kullanıcılar için FTP hesaplarını silin.

Son olarak, siteniz üyelere izin veriyorsa, kaydolurken gerçekten bir hesap oluşturmaları gerektiğinden ve varsayılan rollerinin yönetici erişimine izin vermediğinden emin olmak istersiniz. Ayarlar > Genel seçeneğine gidin. Herkes Kaydolabilir seçeneğinin yanındaki kutunun işaretini kaldırın. Ardından, Yeni Kullanıcı Varsayılan Rolü altında uygun seçeneği belirleyin.

WordPress'in Güncel Olduğundan Emin Olun

Bunu otomatik olarak çalıştırabilirsiniz, ancak yine de WordPress'in en son sürümüne güncellendiğini iki kez kontrol etmek için ödeme yapar. Güncellemeler yalnızca güvenlik açıklarını kapatmakla kalmaz, aynı zamanda performansı iyileştirir ve özellikler ekler. Birinin hazır olup olmadığını görmek için Kontrol Paneli > Güncellemeler'e gidin.

wordpress güvenlik denetimi

Eklentilerinizi ve Temalarınızı Temizleyin

Eklentiler web sitenizin kapasitesini artırabilir, ancak özellikle çok uzun süre güncellenmeden giderlerse saldırılara karşı da savunmasızdırlar. Güvenilir geliştiriciler, eklentilerinin güvenlik açıklarının üstünde kalacak ve yamalarla güncellemeler yayınlayacak. WordPress güvenlik güncellemeniz sırasında eklentiler listenize gidin ve aşağıdakileri yapın:

  • Artık kullanmadığınız veya tanımadığınız eklentileri devre dışı bırakın ve kaldırın.
  • Güncellemeleri hazır olan kalan eklentileri güncelleyin.
  • Geliştiriciden güncelleme almayan bir eklenti kullanıyorsanız, aynı işlevselliğe sahip başka bir eklenti kullanmayı düşünün – eski bir eklenti güvenlik sorunlarına karşı çok savunmasızdır.

WordPress güvenlik denetiminizi ayda bir veya daha fazla yapıyor olsanız bile, gerektiğinde güncellemek için eklentilerinizi daha düzenli olarak kontrol etmek iyi bir fikirdir. Ayrıca, şu anda kullanmadığınız veya ihtiyaç duymayı beklemediğiniz tüm temaları kaldırın. Eklentilerde olduğu gibi, temalar güvenlik açıkları riski taşır, bu nedenle web sitenizi mümkün olduğunca dağınıklıktan uzak tutmak en iyisidir.

Dışarıda Güvende Kalın!

İşinizin diğer bölümlerinde çalışmayı bırakmazsınız - yeni ürünler veya hizmetler bulmak, bunları pazarlamak, satmak vb. Web sitenizin güvenliği farklı olmamalıdır. Küçük bir sorun, onu zamanında yakalamazsanız hızla işletmeyi tehdit eden bir hack'e yol açabilir, ancak sorunlu alanların nerede olduğunu bilmeden hangi düzeltmeleri uygulayacağınızı bilemezsiniz.

Web sitenizi güvende tutmak devam eden bir süreçtir ve bir WordPress güvenlik denetimi kontrol listesine sahip olmak, sizi her ay ne yapacağınızı hatırlama zahmetinden kurtarır. Ayrıca, bir güvenlik eklentisiyle ne kadar çok otomatikleştirebilirseniz o kadar iyi. Yapmanız gerekenlerin çoğu, eklentinin hala düzgün çalışıp çalışmadığını iki kez kontrol etmekse, WordPress güvenlik denetimi kontrol listeniz çok daha küçük olabilir. Önde gelen iki güvenlik eklentisi olan Sucuri ve Wordfence'in incelemelerine ilişkin derinlemesine incelemelere sahibiz.