WordPress Sitesini Nasıl Güvenli Hale Getirirsiniz, WordPress Sitenizi Güvence Altına Almak İçin Adım Adım Kılavuz
Yayınlanan: 2020-09-08İnsanlar, özgür ve açık kaynaklı herhangi bir şeyin daha az güvenli olduğu konusunda yanlış bir yanılgıya sahip olma eğilimindedir. Ancak gerçek şu ki, WordPress'in arkasındakiler gibi açık kaynak toplulukları çok büyüktür ve WordPress'i en son güvenlik uygulamaları ve kalite kontrollerinden haberdar ettiğinizden emin olun. Tek yapmanız gereken en iyi uygulamaları takip etmek ve gerekli önlemleri almak. Web sitenizi korumak için WordPress Sitesini Nasıl Güvenli Hale Getireceğiniz konusunda net bir bilgiye sahip olmalısınız.
WordPress Sitesini Nasıl Güvenli Hale Getirir konusunda adım adım bir kılavuzla başlayalım ve ardından güvenli bir web sitesi sağlamak için daha fazla ipucu için okumaya devam edebilirsiniz.
WordPress Sitesini Nasıl Güvenli Hale Getireceğinize Dair Kılavuz
WordPress Sitesini nasıl güvenli hale getireceğinizi öğrenmeye başlamadan önce, ilk etapta neden gerekli olduğunu anlayın. Web sitesiyle ilgili her etkinlik gibi, güvenlik de zamanınızı, çabanızı ve kaynaklarınızı gerektirir. Bunu ciddiye almak ve gerekli kaynakları tahsis etmek tamamen faydalıdır çünkü bunu yapmamak marka itibarınıza ve işletmenizin büyümesine çeşitli zararlar verecektir.
Bir rapora göre, WordPress kurulumlarının %70'inden fazlası Alexa sıralamasında ilk 1 milyonda listelenen 40.000'den fazla WordPress web sitesinden saldırılara eğilimlidir.
Saldırı altındaki bir web sitesi, kaçırılan iş anlaşmalarına, mahremiyet kaybına, bilgisayar zaman kaybına ve ağır mali kayıplara neden olabilir. Pek çok şirketin verilerini bilgisayar korsanlarından geri almak için gözcülüklerinden ödeme yapmasına neden olan son fidye yazılımı saldırılarını düşünün.
Bu nedenle güvenlik önlemlerinin temel amacı tepki değil önleme olmalıdır. Kötü amaçlı yazılımların ve siber saldırıların sizden faydalanmasına yer bırakmamak için doğru araçları ve uygulamaları kullanmalısınız.
Adım 1: WordPress'inizi güncel tutun.
WordPress, keşfedilen bir güvenlik açığını kapatmak için güvenlik yamaları ve çözümler sağlamaya devam etmeyi sağlayan büyüyen bir geliştirme topluluğu tarafından desteklenmektedir. WordPress'inizi düzenli olarak güncel tuttuğunuzda bu güncellemelerden haberdar olabilirsiniz.
Çoğu küçük güncelleme için, WordPress ayarlarını otomatik güncellemeleri etkinleştirecek şekilde ayarlayabilirsiniz. Yeni bir sürüm çıkar çıkmaz WordPress sürümünüzü en son sürüme güncellediğinizden emin olun.
En son sürümler size yalnızca güncellenmiş güvenlik sağlamaz; ayrıca size mevcut özellikleriniz üzerinde en son özellikleri ve iyileştirmeleri sağlarlar. WordPress güncellemeleri sitenin sorunsuz çalışması için gereklidir ve sitenizin güvenliği ve istikrarı için çok önemlidir.
Profesyonel ipucu: WordPress 5.5 çıktı, web sitenizi şimdi en son sürüme güncelleyin.
2. Adım: Eklentileri ve temaları güncelleyin
Çekirdek WordPress'in yanı sıra, kullandığınız tüm eklentileri ve temaları düzenli olarak güncellemeniz gerekir.
Bazılarının bakımı yetersiz olabilecek bir dizi üçüncü taraf eklenti ve tema kullanıyor olabilirsiniz. Bu eklentileri, düzenli güncellemeler ve güvenlik özellikleri sağlayan daha iyi alternatiflerle değiştirmeye çalışın. Güncel olmayan eklentiler, farkında olmadığınız güvenlik açıkları taşıyabilir. Sitenizde şu anda kullanmadığınız herhangi bir eklenti çalışıyorsa devre dışı bırakın.
Mevcut tüm eklentilerinizi aylık olarak denetleyin ve yalnızca gerekli olanları saklamayı seçin.
3. Adım: Güçlü parolalar kullanın
Durdurma hesabı, WordPress yönetici hesabı, FTP hesapları, veritabanı hesapları ve bir WordPress sitesini çalıştırırken kullanacağınız daha pek çok kullanıcı hesabı vardır. Bu hesapların her biri, yetkili kullanımın güvenliğini sağlamak için bir e-posta kimliği ve güçlü bir parola gerektirecektir.
Bu nedenle, bu amaca özel özelleştirilmiş e-posta adresleri seçin ve güçlü şifreler kullanın. Tüm şifreleri hatırlamak zor olabilir, ancak güvenliği sağlamak için gerekli bir önlemdir. Tüm şifrelerinizi yönetmenize yardımcı olması için bir şifre yöneticisi kullanmayı deneyebilirsiniz.
4. Adım: Uygun erişim düzeylerini belirleyin
Ekip olarak bir WordPress sitesi çalıştırırken veya sitenize çeşitli konuk yazarlar yazarken, her kullanıcıya uygun kullanıcı rolleri ve yetenekleri atadığınızdan emin olun.
WordPress'te bulunan rolleri anlayın ve yalnızca atanan role göre kullanıcı hesapları oluşturun.
Adım 5: Güvenli bir barındırma platformu seçin
Bu muhtemelen WordPress güvenliğinin en önemli parçasıdır. İyi bir barındırma ortağı, herhangi bir veri sızıntısını ve siber saldırıyı önlemek için uygun güvenlik önlemleri sağlayabilmelidir. Birini seçerken kontrol etmeniz gereken iyi bir barındırma platformunun bazı özellikleri.
- Herhangi bir şüpheli etkinliği tespit etmek için sürekli ağ izleme özellikleri.
- DDOS saldırılarını engelleme araçları
- Elektrik kesintisi veya devam eden bir siber saldırı durumunda yedek sunucular sağlayın.
- Bilinen herhangi bir güvenlik açığını kapatmak için güncel donanım ve yazılım
- Herhangi bir kaza veya aksilik durumunda verileri korumak için uygun felaket kurtarma ve acil durum planı.
Sunucu kaynaklarını diğer müşterilerle paylaşacağınız için, paylaşılan barındırma planları, özel barındırma sunucularından daha risklidir. Bu, komşu bir sitenin sitenizi hacklemek için kullanılabileceği siteler arası kontaminasyon için sizi savunmasız bir duruma sokabilir.
Akılda tutulması gereken bir şey, temel sunucu korumasına ek olarak Sitelock gibi ücretli güvenlik eklentileri sunan bazı web barındırma sağlayıcıları vardır.
Genel olarak, daha iyi güvenlik için, yönetilen bir WordPress barındırma planını seçmeyi deneyin.
Adım 6. Bir yedekleme çözümünüz olsun
Bir saldırı veya büyük bir kaza durumunda size yardımcı olması için her zaman güncel bir yedek bulundurun. Yedeklemeler, WordPress sitenizin daha hızlı geri yüklenmesine ve uygun bir duruma geri alınmasına olanak tanır. WordPress eklentilerinin yedeklerini almanıza ve uzak bir yerde güvenli bir şekilde saklamanıza izin veren birçok ücretsiz ve ücretli sürümü vardır.
Uzak bir yerde depolamak, barındırma hesabınızda yapılan yedeklemelere kıyasla çok daha güvenlidir. Amazon ve Dropbox gibi herhangi bir bulut depolama hizmetinden yararlanabilirsiniz.
Sitenizi günde bir kez yedekleyin ve otomatik olarak yedeklemeye ayarlayın. Güncellemelerinizin sıklığına bağlı olarak yedekleme sıklığını artırabilir veya azaltabilirsiniz.
7. Adım. WordPress güvenlik eklentilerinden yararlanın
Site aktivitelerinizi denetlemenize ve izlemenize yardımcı olacak iyi bir güvenlik eklentisi kurun. Güvenlik eklentileri ayrıca sitenizin üçüncü taraf kanallarla yaptığı her etkileşimi izlemenize ve herhangi bir şüpheli etkinliği veya sitenize girme girişimini tespit etmenize yardımcı olabilir.
Örneğin, başarısız oturum açma girişimleri ve bot saldırıları gibi etkinlikler, güvenlik eklentileri kullanılarak doğru zamanda izlenebilir ve engellenebilir. Ayrıca güvenlik eklentilerini kullanarak kötü amaçlı yazılım taraması, dosya bütünlüğü kontrolleri ve güvenlikle ilgili daha fazla görev gerçekleştirebilirsiniz. İhtiyaçlarınıza uyan en iyi güvenlik eklentileri hakkında biraz araştırma yapın ve bunları kullanmaya başlayın.
Profesyonel ipucu: Kullanabileceğiniz güvenlik eklentilerinden bazıları Sucuri, Wordfence Security, Defender ve VaultPress'tir.
Adım 8. Web uygulaması güvenlik duvarını etkinleştirin
Güvenlik duvarları, kötü niyetli trafiğin sitenize erişmesini engellemek için bir savunma sistemi sağlamanıza yardımcı olur. Kullanmanız gereken iki güvenlik duvarı seviyesi vardır.
- DNS Seviyesi web sitesi güvenlik duvarı
Bu güvenlik duvarı, web isteklerinizi bulut proxy sunucuları aracılığıyla yönlendirecek ve yalnızca yasal trafiğin sitenize ulaşmasına izin verecektir.
- Uygulama düzeyinde güvenlik duvarı
Bu güvenlik duvarı, isteği sunucu tarafında inceler ve yalnızca gerçek bir istek olduğu tespit edilirse komut dosyalarınızın çalışmasına izin verir. Ancak bu tür bir güvenlik duvarı sunucu yükünü artırabilir.
9. Adım. https'ye geçin
Https siteleri, yalnızca şifreleme tabanlı güvenli bağlantıları kabul ettikleri için normal HTTP sitelerinden çok daha güvenlidir. SSL yuva katmanı, web siteniz ile tarayıcı arasındaki her veri aktarımını şifreleyerek bilgisayar korsanlarının web sitenize erişmesini zorlaştırır.
Özel otoriteler tarafından verilen SSL sertifikalarının fiyatları yıllık 80 dolardan başlamaktadır. Let's Encrypt programı kapsamında verilen ücretsiz sertifikaları da tercih edebilirsiniz.
WordPress Sitesini Nasıl Güvenli Hale Getireceğinize İlişkin İpuçları
Yukarıda tartışılanlar çok temel şeylerdi, güvenlik için dikkat etmelisiniz. Sıkıca güvenli bir web sitesi yapmak için bazı ek öneriler ve ipuçları.
Özel bir kullanıcı kimliği kullanın.
Bilgisayar korsanlarının tahmin etmesi daha zor ve daha kişisel bir şey için normal kullanıcı adı yöneticisinden kurtulun. Neyse ki, WordPress artık hesabınız için özel bir kullanıcı adı seçmenizi gerektiriyor. Ancak tek tıklamayla kurulum yaptığınızda, varsayılan kullanıcı adı admin olarak ayarlanır ve bu nedenle manuel olarak uygun bir özel kullanıcı adı ayarlamak için WordPress'i yüklemeniz gerekecektir. Kullanıcı adınız olarak zaten yönetici ayarladıysanız, yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin. Bu görev için bir eklenti veya phpMyAdmin sayfasını kullanabilirsiniz.
Dosya düzenlemeyi devre dışı bırak
WordPress'te yerleşik kod düzenleyiciyi devre dışı bırakmak için wp-config.php dosyasını değiştirmeniz gerekir. 'DISALLOW_FILE_EDIT' değerini true olarak ayarlayın. Bu özellik, WordPress hesabınızı bir güvenlik eklentisi aracılığıyla sağlamlaştırarak da etkinleştirilebilir.
Bir betiğin belirli dizinlerden çalıştırılması gerekmediğinde, onları orada devre dışı bırakmak güvenlidir. Örneğin, htaccess dosyasına ilgili girdiler ekleyerek PHP dosya yürütmesini devre dışı bırakabilirsiniz.
Giriş denemelerini sınırla
Bu, bir hesaptan yapılan başarısız oturum açma girişimlerini izleyebilen ve belirli bir süre boyunca engelleyebilen bir güvenlik eklentisi kullanılarak kurulabilir. Bu, kaba kuvvet saldırılarını önlemeye yardımcı olur.
İki faktörlü kimlik doğrulama kullanarak oturum açma bilgilerinizi güçlendirin. İki faktörlü kimlik doğrulama, bir parolaya ek olarak, kullanıcının cep telefonuna veya e-posta adresine bir kerelik doğrulama mesajı veya parolanın gönderildiği iki adımlı bir oturum açma işlemi gerektirir. Ayrıca giriş sayfanızın güvenliğini de düşünmelisiniz. WordPress giriş URL'niz en savunmasız yerlerden biridir.
Her oturum açma girişimi için güçlü bir koruma katmanı sağlamak için kimlik doğrulama uygulamalarından da yararlanabilirsiniz.
Veritabanı adlandırma kurallarını özelleştirin.
Varsayılan olarak, WordPress'teki veritabanı tabloları, bilgisayar korsanlarının tablo adları üzerinde tahminde bulunmalarına olanak tanıyan bir wp_ öneki ile başlar. Bu önekleri, ekstra koruma sağlayacak daha özelleştirilmiş bir adla değiştirmeyi deneyin.
DOS saldırı girişimlerini engellemek için sunucu tarafı düzeyinde ek parola koruması ekleyin.
Dizin indekslemeyi ve göz atmayı devre dışı bırakın.
Bilgisayar korsanları dizinlerinizi ve dosyalarınızı aradıklarında, herhangi bir güvenlik açığını tespit edebilir ve bundan yararlanmaya çalışabilirler. Bu ayar, htaccess dosyası değiştirilerek yapılabilir.
XML-RPC'yi devre dışı bırakın. XML RPC, istek işlemeyi optimize etmenin bir yolu olarak WordPress 3.5'ten eklendi. Ancak bu, bilgisayar korsanlarının kaba kuvvet saldırılarını kolaylaştırmak için bir arka kapı görevi görebilir. Bu nedenle, sitenizde XML-RPC için herhangi bir kullanımınız yoksa, htaccess dosyasını değiştirerek veya bir güvenlik duvarı kullanarak bunu devre dışı bıraktığınızdan emin olun.
Bir süre boşta kaldıktan sonra boşta kalan kullanıcıların oturumunu kapatın.
Etkin olmayan kullanıcıların oturumunu otomatik olarak kapatmak için etkin olmayan oturum kapatma eklentisini kullanabilirsiniz.
Ek kimlik doğrulama düzeyi için giriş ekranınıza güvenlik soruları ekleyin.
Taramaları çalıştır
Kötü amaçlı yazılım taramalarını düzenli olarak çalıştırın ve herhangi bir kötü amaçlı yazılım veya gereksiz dosya bulunursa bunları temizlediğinizden emin olun. Saldırıya uğramış bir web sitesini düzeltmek zor bir iş olabilir. Bununla ilgilenmesi için bir güvenlik uzmanı veya deneyimli bir web yöneticisi kiralamak daha iyidir. Kendi başınıza yapmaya çalışıyorsanız, iyi araştırdığınızdan emin olun, önemli dosyaları yedekleyin ve sitenizi düzeltmeye başlayın.
Birden çok güvenlik katmanına sahip iyi bir barındırma şirketi seçin.
Hassas müşteri verileri içeren bir web sitesi çalıştırırken, verileri güvende tutmak için yatırım yapmanız gerekir. Bu nedenle, güvenlik önlemleri açısından eksik olan daha ucuz barındırma planlarını seçmeye kalkışmayın. Barındırma platformunuzu seçerken güvenliği birincil endişe haline getirin.
Temalarınızı ve eklentilerinizi doğrulanmış kaynaklardan alın. Ücretsiz temalar ve eklentiler cazip gelebilir, ancak uygun bakım ve destek olmadan, bu eski eklentiler veya temalar site güvenliğinizi tehlikeye atabilecek savunmasız kod blokları taşıyabilir.
Ek olarak, htaccess ve wp-config gibi WordPress çekirdek dosyalarını gizleyin.
Toplama
Herhangi bir yazılımın güvenliğini sağlamanın temel ilkelerini hatırlayın - erişimi sınırlayın ve uygun yetkilendirme seviyelerini ayarlayın. Ek olarak, bir veritabanındaki kritik bileşenleri içerir ve korur. Sisteminizi düzenli olarak güncellediğinizden ve yedeklemeleri güvenli bir uzak konumda tuttuğunuzdan emin olun. Ve her zaman yalnızca güvenilir kaynaklardan gelen eklentileri ve temaları kullanın.
Güçlü parolalar kullanın, parolalarınızı paylaşmayın, kullanıcı ayrıcalıklarını kısıtlayın ve site etkinliğini düzenli olarak izleyin. Sitenizin güvenliğini sağlamak için izlemenize ve proaktif önlemler almanıza yardımcı olacak güvenlik araçlarını kullanın.
Son olarak, herhangi bir güvenlik sorununu bildirmeyi ve daha fazla araştırma için teknik destekten yardım almayı unutmayın. Güvenlik sorunlarıyla ilgilenmek için uzmanları işe almaktan çekinmeyin.
Yani evet, hepsi benden bu kadar umarım WordPress Sitesini nasıl güvenli hale getireceğinizi anlamışsınızdır.