WordPress Güvenliğini Artırma – WordPress Sitelerini Güvence Altına Almak İçin Eksiksiz Bir Kılavuz

Bu gönderiyi bitirdiğinizde, WordPress sitenizin saldırılardan ve açıklardan korunacağını garanti edeceğim.

Bekle, bunu garanti edemem. Şöyle söyleyeyim, web sitenizi nispeten güvenli tutmak için gerekli bilgilerle donatılmış olacaksınız.

Kusursuz güvenlik diye bir şey yoktur. Web sitenizin bir hack veya saldırı kurbanı olma olasılığını büyük ölçüde azaltmak için alabileceğiniz özel önlemler vardır.

Daha önce WordPress web sitelerinin nasıl tehlikeye girdiği ve neden iyi güvenlik uygulamalarına yatırım yapmanız gerektiği hakkında küçük bir yazı yazmıştım. Bunu buradan okuyabilirsiniz ya da WordPress web sitenizi güçlendirmek için belirli önlemleri tartışmadan önce size WordPress güvenlik açıklarının küçük bir özetini vereceğim.

WordPress'in kendi içinde birkaç güvenlik açığı vardır ve bunlar keşfedildiklerinde bir güncelleme ile hızla düzeltilir. Ancak, web barındırıcınızın güvenlik uygulamaları veya eksikliği ve normalde WordPress web sitelerinde çalışan üçüncü taraf yazılımları dikkate aldığınızda, web sitenizin başkalarının hataları nedeniyle bir hack kurbanı olma olasılığı daha yüksektir.

2021'de saldırıya uğramış tüm web sitelerinin %51'inin güvenliği, çalıştırdıkları temalar veya eklentiler tarafından ele geçirildi. %41'i, yanlış web barındırıcısını seçtikleri için istismar edildi ve sonuç olarak siteleri saldırıya uğradı.

Sade bir WordPress sitesi çalıştırmak ve onu güvende tutmak çok zor değil. Ancak, bir üçüncü taraf yazılımı karışımı eklediğinizde ve etki alanınızı doğru ana bilgisayarla korumanız gerektiğinde, biraz daha zor hale gelir.

Esasen işlerini çevrimiçi yapan iş adamları ve kadınlar olan başarılı web girişimcilerinin birçok blog gönderisini okudum. Ve çevrimiçi girişimleri başarılı olduğunda hedef haline geldiler. Bununla birlikte, web sitenizin bir hedef haline gelmesi için başarılı olması veya hatta bir miktar trafiğe sahip olması gerekli değildir.

Web sitelerini hackleyen kişiler, güvenlik açıkları için yüzlerce ve binlerce web sitesini taramalarına olanak tanıyan otomatik araçlar kullanır. Web siteniz bu yüzlerce kişiden biri olabilir. Yani web siteniz popüler olmasa bile yine de bir hedef olabilirsiniz.

Artık birçok web girişimcisi, web sitelerini ve çevrimiçi işletmelerini güvende tutmak için gerekli güvenlik standartlarının ve önlemlerinin farkındadır. Ancak bugün WordPress ve web ile ilgili harika olan şey, bir web sitesi başlatmak için artık bir teknoloji uzmanı veya web geliştiricisi olmanıza gerek olmamasıdır. Ve bir web sitesi oluşturmak hiç de zor değil, çok kolay ve bunun hakkında Colorlib'de bir makale bile yazdım (ilk WordPress web sitenizi oluştururken biraz yardım arayanlarınız için).

Bir web sitesi oluşturmak çok zor değil, popüler hale getirmek biraz daha karmaşık bir teklif. Ancak, özellikle birincil meşguliyeti web tabanlı olmayan bir ürün/hizmet etrafında dönen teknoloji konusunda bilgili olmayan web girişimcileri için güvenli hale getirmek oldukça zordur.

Ve elbette, onlara yardım etmesi için bir web geliştiricisi kullanabilirler. Ancak birçok küçük ölçekli web işletmesinin gelişmesinin nedeni, kesinlikle doğrudan maliyetleri düşük tutma yetenekleriyle ilgilidir. Ve saatte 100 dolar ücret alan bir web geliştiricisi istihdam etmek, finansal yetenekleriyle örtüşmez.

Bir web güvenlik uzmanı her zaman tercih edilen seçenektir, ancak ne yazık ki herkes bu masrafı karşılayacak gerekli ticari gelire sahip değildir. Ve belki sorun değil, belki değil. Ancak en önemli gerçek şu ki, küçük ölçekli işletmelerin bile ikamet adresiniz, kredi kartı bilgileriniz, telefon numaralarınız ve e-posta kimlikleriniz gibi hassas kişisel bilgileri topladığını kabul etmeliyiz.

Muhtemelen ihmalkar güvenlik uygulamaları nedeniyle müşterinizin bilgileri risk altında olmakla kalmaz, aynı zamanda kurduğunuz veya inşa etmek için çok zaman harcayacak olan işletmeniz de risk altındadır. Çevrimiçi bir iş kurmak oldukça göz korkutucu bir çabadır, başarınız marka itibarını ve Google'ın web siteniz hakkında ne düşündüğünü içeren bir dizi faktöre bağlıdır. Ve güven bana, web siteniz kapanırsa veya bir saldırıya/hack'e kurban giderse, hiç kimse işletmeniz veya hizmetleriniz hakkında olumlu görüşlere sahip olmayacaktır.

Tüm bunlar ve ilgili riskler göz önüne alındığında, bir web girişimcisi olarak web sitenizi güvenli hale getirmek için hangi adımları atabilirsiniz?

Bu gönderi, öncelikle, birincil mesleği çevrimiçi bir işletme yürütmek olmayan kişilere yöneliktir. Kısmen veya büyük ölçüde çevrimiçi bir varlığa dayanan, farklı yaşam alanlarından iş kuran insanlara yöneliktir. Ve web'in %65'inden fazlası WP tarafından yönetildiğinden ve WordPress, teknoloji konusunda bilgili olmayan web girişimcilerinin tercih ettiği CMS olduğundan, çabalarımı, WordPress web sitenizi güvenli ve emniyetli tutmak için sizi bilgiyle donatmaya odaklayacağım. .

#1. Doğru Ana Bilgisayar Hizmet Sağlayıcısını Seçin

Web sitenizin sunucu tarafında oluşturulan sorunlar nedeniyle bir aslan payı vardır. Bu gerçeği oldukça şaşırtıcı buldum, barındırma hizmetiniz potansiyel olarak web sitenizin güvenlik açıklarının en büyük kaynağıdır.

Ve üçüncü taraf bir sunucuyla web sitenizi korumak için çok fazla bir şey yapamazsınız.

Yapabileceğiniz bir sonraki en iyi şey - Doğru web barındırma hizmeti sağlayıcısını seçin.

Sistemlerini güncel olmayan yazılımlar veya şu anda bakımı yapılmayan yazılımlar üzerinde çalıştıran çok fazla web barındırma sağlayıcısı var. Artık bakımı yapılmayan yazılımlarla ilgili sorun, geçmişte güvenlik açıkları olmasa da gelecekteki güvenliğin garantisinin olmamasıdır. Ve neredeyse kesin olan bir güvenlik açığı tespit edilirse, çekirdek ekip yazılımın eski sürümlerini aktif olarak korumadığından artık yama uygulanamayabilir.

Yazılımdan bahsettiğimde, sitenizi canlı ve işlevsel tutmak için sunucunuzda çalışan her şeyi kastediyorum.

• Apaçi
• PHP
• MySQL
• MariaDB
• PostgreSQL
• PHPMyAdmin
• SSL sertifikaları

Yazılım yamaları yayınlandığında, yazılımlarını küçük bir gecikmeyle güncellemiş olsalar bile. Bilgisayar korsanlarının yalnızca son güncellemelerde düzeltilen güvenlik açıklarından yararlanma fırsatı penceresi genişler ve web sitenizi riske sokar.

Çoğu yeni başlayan çevrimiçi işletme için barındırma seçimi olan paylaşımlı barındırma, birkaç soruna sahiptir.

• Bir sunucudaki herhangi bir IP'ye yapılan DOS saldırıları, o belirli sunucuda barındırılan tüm web sitelerini etkileyebilir.
• Paylaşılan IP adresleri büyük bir sorundur. Kendinize komşu olan IP adresleri web sitenizi etkiler, paylaşılan bir IP kara listeye alınırsa siteniz sonuçlarına katlanır.
• Paylaşılan barındırma hizmeti sağlayıcıları bunun olmasını önlemek için önlemler alsalar bile, paylaşılan bir sunucuya yüklenen bazı yazılımların tüm sunucuyu tehlikeye atma olasılığı her zaman vardır.

Paylaşılan barındırma için seçimim,

• Paylaşımlı Barındırma – SiteGround – Sizi aynı sunucudaki savunmasız olabilecek web sitelerine karşı koruyan hesap izolasyonu sağlarlar. WP çekirdeği ve eklentileri için otomatik güncellemeler, Grow Big Plan ve üzeri için ücretsiz SSL sertifikası ve günlük yedeklemeler, bir filtreleme sistemi, güvenlik duvarı, izinsiz giriş önleme sistemleri ve canlı izleme ile spam'e karşı koruma. CloudFlare gibi bir CDN sistemi kullanmak, web sitenizi DDoS saldırılarına karşı koruyacaktır.

SiteGround, geçmişte maruz kalan güvenlik açıklarına hızlı ve isabetli bir şekilde yanıt verme konusunda iyi bir geçmişe sahiptir. 2013 yılında 90.000'den fazla IP adresinden bruteforce saldırıları gerçekleştirilirken SiteGround, isteklerin sunucularına bile ulaşmasını engelledi.

Brute Force saldırıları sunucuyu yük ile bunaltabilir ancak sunucuya yeterli sayıda istek gönderemezseniz etkileyemezsiniz. Saldırı sırasında sunucularındaki web sitelerine 12 saatin altında 15 milyonun üzerinde girişimde bulunuldu ve hiçbir sunucuda herhangi bir performans sorunu yaşanmadı.

Aslında, bazılarının barınma kabadayı kendi müşterilerinin web sitelerini zayıf şifreler bulmaya zorlamasından sonra, sunucularında zayıf ve güvenli olmayan şifrelere sahip birçok web sitesi buldular. Güçlü şifreler uygulayarak takip ettiler ve müşterilerine mail yoluyla bilgi verildi. Güvenliklerine ve saldırı altındayken bile paylaşılan sunucu ortamlarının performansını sağlamaya gerçekten önem veriyorlar. Aynı en büyük paylaşılan web barındırma şirketlerinden bazıları için söylenemez.

Paylaşılan barındırma için SiteGround'a alternatif seçenekler istiyorsanız, bir önceki gönderide epeyce listeledim.

Bununla birlikte, WordPress güvenliği ve bir web sitesi oluşturma, sürdürme ve büyütme konusunda uzaktan teknik herhangi bir şeyle ilgilenmek istemiyorsanız, yönetilen bir WordPress ana bilgisayarıyla daha iyi durumda olacaksınız. Yönetilen barındırmayı tercih ederim ama maliyetler oldukça yüksek.

Bir aylık yönetilen barındırma fiyatı, size 8 aylık bir süre için paylaşılan barındırma satın alacaktır. Nakit sıkıntısı çeken bir işletme işletiyorsanız, bunun işletmenizin sürdürülebilirliği üzerinde çok anıtsal bir etkisi vardır. Ancak, eğer karşılayabiliyorsa, yönetilen bir WordPress ana bilgisayarının faydalarını göz ardı etmek herkes aptal olur.

WPEngine güvenlik önlemleri-

• Disk yazma koruması, kötüye kullanılabilen güvenlik açıkları oluşturan herhangi bir kötü amaçlı kod, disk yazma kısıtlamalarıyla ciddi şekilde sınırlandırılır. Eklentileri ve temaları güvenlik açıkları ile kullanmak, sunucunuza WP'nizi artık kolayca savunmasız hale getiren kod yazamadıkları için aniden daha güvenlidir.
• WP çizgilerine giriş yapan kullanıcılar için disk yazma ayrıcalıkları, yazı yazma ve düzenleme, temalar yeni stil sayfaları ekleme ve eklentileri etkinleştirme/devre dışı bırakma gibi standart işlevleri kapsar.
• Yeni dosyaları silmek ve yazmak için bir SFTP istemcisi aracılığıyla oturum açmanız gerekir.
• Genel PHP kodunun eklenmesine izin verilmez.
• WP'yi tehlikeye atan bilinen güvenlik açıklarına sahip komut dosyaları WordPress'e eklenemez.
• Tarayıcıları eklentinin kodunda web sitenizi daha az güvenli bırakan bir şey alırsa, belirli eklentilere izin verilmeyebilir ve hatta devre dışı bırakılabilir.
• WPEngine'deki temel planlar yine de bazı sunucu paylaşımlarını içerecektir. Herhangi bir adanmış barındırma planında, ana bilgisayar, yalnızca web siteniz için kaynak sağlamaya tamamen ayrılmış bir sunucunun tamamını sağlar.
• Amazon S3 üzerinden yedeklemeler ve bunlara erişiminiz yok. Deneseniz bile yedeklerinizi tehlikeye atamazsınız. Siteniz için bir sigorta poliçesi her zaman mevcuttur.
• Sunuculara fiziksel erişim yalnızca gerekli personelle sınırlıdır. Veri merkezleri, sadece bunu okuyan Fort Knox'a benziyor.
• WP konusunda uzmandırlar ve güvenli bir WordPress sitesi oluşturmanın ayrıntılarını bilirler.
• Saldırıya uğramış bir hesap durumunda kurtarma işlemi kolaydır ve ücretsiz olarak garanti edilir.
• WP güvenlik çözümleri sağlayıcısı Sucuri'den düzenli kod denetimleri.

WPEngine'i bu şekilde düşünün, size bir bombaya mal olur, ancak saldırıya uğramış bir web sitesinin size maliyetinden çok daha azına mal olabilir. Maliyetleri rasyonalize etmeyi çok daha kolay hale getirir.

Lütfen web sitenizin WPEgnine ile daha güvenli olmayacağını, büyük ihtimalle çok daha hızlı olacağını göz ardı etmeyin. Sanal bir özel sunucu kullanan Colorlib gibi web siteleri bile, WPEngine tarafından çalıştırılan bir web sitesinin hızıyla eşleşmeyi zor buluyor.

Hala şüpheleriniz varsa ve paylaşılan bir web barındırıcısı ile yönetilen bir WP ana bilgisayarı arasında seçim yapamıyorsanız, bu başlı başına büyük bir konudur. Lütfen bir süre önce yazdığım bir parçayı okuyun. Umarım bu, web siteniz için bir barındırma planının uygunluğuyla ilgili tüm sorularınızı yanıtlayacaktır.

#2. Güvenilir Üçüncü Taraf Yazılımlarını Kullanın - Premium Temalar ve Eklentiler

Eklentiler ve temalar her zaman şüphelidir, özellikle bakımsız olduklarında ve nadiren güncellendiklerinde şüpheci olun. Artık eklentilere karşı güvenlik açıklarına göre ayrım yaparak çok sayıda adım atabilirsiniz, ancak eklentilerinizin WP Güvenlik Denetim Günlüğü ile yaptığı eylemleri not etmek her zaman işe yarar.

Bir güvenlik günlüğü, web geliştirme için çok yararlıdır ve güvenlik uzmanları, müşterilerinin ihtiyaçlarını karşılarken birden çok site temelinde değişiklikleri takip eder. Her kullanıcı tarafından yapılan her eylem, eklenti ile hesaplanabilir. Günlük ayrıca eklentilere, temaya ve diğer üçüncü taraf yazılım davranışlarına göz kulak olmaya yardımcı olur. Bu eklenti bir güvenlik sorununu engellemeyebilir, ancak bir şeyler ters giderse sorunun kaynağını bulmayı kolay bulacaksınız.

Bir başka iyi uygulama, eklentinin bir güvenlik uzmanı tarafından denetlenmesini sağlamaktır. Bunu yapmaya gücünüz yetmiyorsa, Sucuri'nin (Sucuri, WordPress kullanıcıları için lider bir güvenlik çözümleri sağlayıcısıdır) eklentilere güven damgasını arayın. Birçok eklenti/tema, ürünlerini gönüllü olarak kod denetimlerine gönderir.

Elegant Themes, amiral gemisi teması Divi'yi denetledi. Elegant Themes, WP nişindeki en büyük tema evi olmasa da en büyüklerinden biridir ve yine de amiral gemisi temalarını güvenlik sorunları için denetlemişlerdir.

Çok sayıda indirilmeyen ücretsiz eklentilerden ve temalardan uzak durun. Bazen aşırı derecede yüksek indirme sayılarına ve yüksek derecelendirmelere sahip eklentiler, daha fazla yaramazlık yapanın ilgisini çeker. Rakamlarla koruma gerçekten geçerli değil. Bir eklentiyi kullanan daha fazla insan onu daha büyük bir hedef haline getirir, ancak aynı zamanda binlerce kullanıcıya sahip olmak, hızlı güncellemeler yoluyla sıfırıncı gün istismarlarını tespit etmeye ve bunlara karşı korunmaya yardımcı olacaktır.

Premium eklentiler ve temalar kullanmak, sitenizin güvenliğinin garanti edilebileceği anlamına gelmez. Ancak, sıfır gün açıklarından herhangi biri keşfedilirse, yanıtın genellikle hızlı olduğundan emin olabilirsiniz. Tema Evleri ve eklenti geliştiricileri, ürünlerine çok fazla biniyor, istedikleri son şey güvenlik açığının ortaya çıkması.

Ücretsiz eklentiler için WordPress.org dizininde listelenen eklentilere bağlı kalın. Daha yüksek derecelendirmeler ve indirme sayısı, eklentiyi bir dereceye kadar daha güvenli bir bahis haline getirir. Aynı yazar tarafından geçmişte oluşturulan eklentilerin geçmişine göz atın, programcının soyağacının iyi bir göstergesi. Ayrıca, belirli yazarların eklentilerinin/temalarının güvenliğini sağlamak için ekstra özen gösterdiğini göreceksiniz.

Son güncelleme tarihi, dikkate alınması gereken başka bir faktördür. Eklentinin en son sürümünün WordPress'in en son sürümüyle uyumlu olduğundan emin olmak, bir eklentiyi kurmadan ve etkinleştirmeden önce kontrol listesinde işaretlemek için bir diğer önemli noktadır.

Tahmin edebileceğiniz gibi eklentiler için ne geçerliyse temalar için de geçerli. Eklentileri ve temaları kullanmak söz konusu olduğunda hatırlanması gereken birkaç şey.

• Premium Eklentiler bu anlamda daha iyidir, ekiplerinin herhangi bir güvenlik açığına ücretsiz eklentilerden çok daha hızlı yanıt vermesi muhtemeldir.
• WP Güvenlik Denetim Günlüğünü kullanın ve web sitenizin başlığı altında çalışan her şeyi izleyin.
• Rakamlarda kesinlikle güvenlik vardır, çünkü bir güvenlik tehdidinin rapor edilmesi ve ele alınması çok daha olasıdır. Ancak bunun iki ucu keskin bir kılıç olduğunu düşünmeden edemiyorum, eklentiler/temalar büyük indirme sayılarına sahip olacak ve bilgisayar korsanlarının hedefi olma olasılığı çok daha yüksek.
• WP.org'un eklenti dizini, daha az sayıda indirme ve derecelendirmeye sahip eklentiler için mükemmel derecelendirmeler sağlamak üzere değiştirilebilir.
• Eklentinin yazarına, geçmişine ve önceki ürünlerine göz atın. Geçmişte güvenlik sorunları yaşadılarsa, eklentilerinin/temalarının mutlaka kötü olduğunu göstermezler, ancak bu iyiye işaret değildir.
• Eklentilere/temalara karşı acımasızca ayrım yapın, premium eklentiler için bile olsa Envato gibi pazar yerlerinde özellikle ürün için kötü puanlar veren incelemeleri okuyun (bu ürünlerin düşük puan almasının nedenlerini araştırdığınızdan emin olun). Eklentiler ve temalar için ürün incelemelerinden yorum bölümlerini okuyun. Belirli WordPress ürünleri hakkında incelemeler yazarken veya bir tema listesi oluştururken, ürünü indiren/satın alan kullanıcılardan gelen şikayetler için her zaman yorumlar bölümüne bakarım. Bu alıştırma her zaman verimlidir, satın almayı veya indirmeyi düşündüğünüz ürün hakkında neredeyse her zaman bir şeyler öğreneceksiniz.
• Eklenti/tema, kodunu Sucuri veya diğer saygın WP güvenlik çözümü sağlayıcısı tarafından denetlendiyse, ürünün güvenlik açısından oldukça sağlam olma olasılığını artırır.
• Wordfence veya iThemes Security gibi güvenlik eklentileri ile kendinizi sahte eklentilere karşı koruyabilirsiniz. Ek olarak, kötü amaçlı komut dosyaları için WP kodunuza bakan Sucuri ücretsiz site tarama özelliğini kullanabilirsiniz.

Yukarıdaki adımların hiçbiri asla kötü bir eklenti veya tema indirmeyeceğinizi garanti etmez, ancak güvenlik sorunlarından etkilenme şansınızı azaltır.

Şimdi, doğru ana bilgisayarı, temayı ve eklentileri kullandığınızı varsayarsak. Web sitenizi güvenli hale getirmek için almanız gereken güvenlik önlemlerini anlatacağım ve anlatacağım.

Bireysel güvenlik önlemlerini açıklarken, belirli güvenlik uygulamaları için tasarlanmış bağımsız eklentiler önerdiğimi lütfen unutmayın.

Bu yazının ilerleyen bölümlerinde Wordfence'i tam teşekküllü bir freemium güvenlik eklentisi ve ayrıca Sucuri'nin güvenlik çözümlerini tartışacağım. Her ikisinin de, daha önce gönderide tartışılmış olabilecek hemen hemen tüm güvenlik işlevlerini ve bazı durumlarda daha fazlasını gerçekleştirdiğini bilmelisiniz.

Bu nedenle, bireysel güvenlik önlemleri hakkında ayrıntılı bilgi edinmek istemiyorsanız, bir güvenlik eklentisinin ve Sucuri gibi güvenlik çözümü sağlayıcılarının işlevlerini tartıştığım son bölüme geçebilirsiniz.

Ancak ilk kez bir WordPress kullanıcısıysanız, her bir farklı güvenlik önleminin önemini tam olarak anlamak için yazının tamamını okumanızı şiddetle tavsiye ederim.

#3. Giriş Sayfanızı Koruyun

WordPress Giriş Sayfası, kaba kuvvet saldırıları için ana hedeftir. Saldırganları engellemek için uygun güvenlik önlemlerini almazsanız, giriş sayfanız kesinlikle web sitenizin savunmasız bir parçasıdır.

Sitenizi güvenli hale getiren ve kaba kuvvet saldırılarına karşı koruma sağlayan birden fazla güvenlik önlemiyle güçlü ve güvenli bir giriş sayfası tutmanın önemini tartışacağım.

Güçlü Parolalar ve Olağandışı Kullanıcı Adı

Admin iyi bir kullanıcı adı değil. WordPress daha önce birincil yönetici hesabının varsayılan kullanıcı adı olarak admin'e sahipti. Ancak bugün, WordPress'i kurduğunuzda farklı bir kullanıcı adı seçebilirsiniz. Ancak insanlar genellikle WordPress'i kullanmaya başladığında, özellikle de ilk defa birçok kişi kullanıcı adı olarak admin'e bağlı kalmaya devam ediyor. "admin" son derece öngörülebilir bir kullanıcı adıdır ve sitenize girmeyi çok daha kolay hale getirir.

Kullanıcı adınızı değiştirebilen Admin Renamer Extended eklentisini de deneyebilirsiniz.

Parolalar, alışılmadık rastgele karakter dizileri seçmek, web sitenize zarar vermek veya sitenizin sunucularında saklanan hassas bilgileri ele geçirmek isteyen kişilere karşı ilk savunma hattını oluşturmaya yardımcı olacaktır.

SpashData tarafından derlenen en yaygın 5 parolanın listesi.

1. 123456
2. parola
3. 12345
4. 12345678
5. qwerty

Motivasyonu yüksek on üç yaşındaki biri admin ve 123456'yı tahmin edebilir. Yukarıda belirtilenler gibi şifrelerle, özellikle iyi bir trafik alırsanız siteniz biter.

En iyi şifreler, noktalama işaretleri ve özel karakterler içeren büyük ve küçük harf karışımıdır. Tercihen hiçbir anlamı olmayan bir şey kullanın ve en az 10 karakterden fazla olduğundan emin olun. 10 karakter için özel bir neden yok, ancak şifreler daha uzunsa onları kırmanın katlanarak zorlaştığını unutmayın.

Parolanız hiçbir anlam ifade etmiyorsa ve parolanızın arkasında mantıklı veya duygusal bir neden yoksa, tahmin edilmesi çok daha zordur. Sherlock'un Irene Addler'ın mobil şifresini nasıl tahmin ettiğini hatırlayın – “BEN _ _ _ _ KİLİTLİYİM”. Eh, Sherlock bile mantıklı bir şekilde çıkarılamayan bir şifreyi tahmin etmekte zorlanırdı!

Hangi parolayı kullanacağınızı bulmakta zorluk çekiyorsanız, Strong Password Generator veya Secure Password Generator gibi araçları deneyin, her ikisi de web sitenizin yönetici girişi için iyi bir parola bulmak için ücretsiz olarak kullanılabilen çevrimiçi araçlardır.

Güvenlik eklentileri ayrıca yönetici ve tüm kullanıcılar için güçlü parolalar zorunlu kılar. Bu önemlidir, kullanıcılarınız yönetici statüsüne ve beraberindeki ayrıcalıklara sahip olmasa bile, WordPress'te güvenliği ihlal edilmiş bir editör düzeyinde hesaba erişimi olan biri oldukça yaramazlık yapabilir.

Her zaman hatırlamak için iyi bir ipucu, şifrelerinizi sık sık değiştirin. Tüm şifrelerinizi hatırlamakta zorlanıyorsanız, bir şifre yöneticisi kullanın. Tüm şifrelerinizi güvenli bir şekilde saklamak için One Password, Last Pass, KeePass veya DashLane'i deneyebilirsiniz.

Kullanıcı adları ve şifreler söz konusu olduğunda, ne kadar az anlamlı ve ne kadar rastgele olursa, web sitenize sunabilecekleri güvenlik o kadar iyi olur.

Giriş Denemelerinin Sayısını Sınırlayın

Kaba kuvvet saldırıları, WordPress web sitelerinin giriş sayfalarını hedefler. Farkında değilseniz, çoğu kaba kuvvet saldırısı, belirli bir kullanıcı adı için sitenin şifresini kırmak için farklı alfasayısal kombinasyonları denemeyi içerir.

Şimdi, bir kaba kuvvet saldırısının başarısız olduğunu varsaysanız bile, muazzam miktarda sunucu belleği ve işlem gücü tükettiği gerçeğini kabul etmeniz gerekir. Bu neredeyse kesinlikle web sitenizi yavaşlatacak ve bir taramaya getirecektir. Birçok ana bilgisayar ayrıca kaba kuvvet saldırılarına karşı koruma sağlar. Bunun nedeni, paylaşılan bir sunucuda sitenizin aşırı miktarda kaynak tüketmesi potansiyel olarak herkesi etkileyebilir.

Ancak kaba kuvvet saldırılarını önlemenin en kolay tekniği, oturum açma girişimlerinin sayısını sınırlamaktır. Birisi birden fazla kullanıcı adı ve şifre kombinasyonu ile sunucunuza art arda vuramazsa, kaba kuvvet saldırısı çalışmayacaktır.

Login Lockdown, Login Security Solution ve Brute Force Login Protection, tümü kaba kuvvet hack girişimleri yoluyla web sitenize erişimi engellemeyi amaçlar. Brute Protect, Automattic ekibi tarafından satın alındı ​​ve artık Jetpack'in bir parçası ve kaba kuvvet saldırılarına karşı koruma sağlıyor.

Hemen hemen tüm oturum açma koruma eklentileri benzer bir arayüze sahiptir.

Tüm bu eklentiler, temelde, tekrar tekrar giriş yapmaya çalışan ve başarısız olan IP adreslerini izleyerek çalışır. Birden çok başarısız oturum açma girişiminin ardından, belirli IP'lerin sitenizin oturum açma sayfasına erişmesi engellenir.

Oturum Açma Güvenliği Çözümü, oturum açmış olan kullanıcının oldukça şüpheli olduğunu belirlerse, bir WordPress e-posta kimlik doğrulamasını ve e-posta yoluyla parola değişikliğini zorlar.

Eklenti, güçlü parolaları zorunlu kılabilir ve kullanıcılar üzerinde parolaların sık sık değiştirilmesini zorunlu kılabilir. Ayrıca hack girişimleri, tekrar tekrar yasadışı bir şekilde erişim sağlamaya çalışan IP aralıkları tarafından izlenir, web sitenize girmeye çalışmaktan caydırmak için daha uzun süre kilitlenir.

İki Adımlı Giriş Kimlik Doğrulaması

Bir oturum açmanın kimliğini doğrulamak, güçlü bir parolaya, olağandışı bir kullanıcı adına ve sınırlı sayıda başarısız oturum açma girişimine ek olarak fazladan bir güvenlik katmanı ekler.

İki adımlı oturum açma kimlik doğrulama işlemi, sitenizi iki kat daha güvenli hale getirir. WordPress sitenize giriş yapmak, yalnızca mobil mesaj yoluyla alınabilen bir kimlik doğrulama kodu gerektirir. Bu göz önüne alındığında, cep telefonunuzun hazırlık aşamasında bir bilgisayar korsanı tarafından çalınması pek olası değildir, web siteniz kaba kuvvete ve web sitenizin giriş sayfasını geçmeye dayanan diğer hack tekniklerine karşı güvende kalacaktır.

Google Authenticator, Android/iPhone/Blackberry cihazınızda yüklü olan ve web sitenizde başarılı bir şekilde oturum açmanız için gerekli kimlik doğrulama kodunu sağlayan bir uygulamaya dayanan kullanışlı bir eklentidir. Bu uygulamayı yalnızca yönetici ayrıcalık düzeyi için etkinleştirebilir veya kullanıcı bazında kullanabilirsiniz.

Bir sonraki eklentiyi çok beğendim, kimlik doğrulama kodu olmadan giriş yapmaya çalışan kişileri özelleştirilebilir bir URL'ye sahip bir yönlendirmeye göndermeyi planlıyorlar. Gizli Giriş Sayfası ayrıca botları tamamen engeller.

Bir kullanıcı tam oturum açma sırasına uymazsa, oturum açma girişimi reddedilir. Botları engellemek için kullanılabilecek bir diğer teknik ise giriş sayfalarında captcha kullanmaktır, botların giriş yapmasını engellemek için Login No Captcha reCaptcha kullanabilirsiniz.

WordPress Giriş Sayfası URL'nizi Değiştirin

Oturum açma denemelerini sınırlamayı, oturum açma kimliklerini doğrulamayı ve güçlü bir parola ve alışılmadık bir kullanıcı adı kullanmanın önemini tartıştık.

Şimdi oturum açma sayfasını gizleyeceğiz veya değiştireceğiz, bu tür güvenlik modları, belirsizliğe dayalı güvenlik olarak da bilinir. Bunun biraz abartılı göründüğünü biliyorum. Ancak burada benimle kalın, çünkü bu adım, giriş sayfanızın güvenliğini sağlamak için daha önce önerilen güvenlik önlemlerinden daha zor değil.

Kaba kuvvet saldırıları, yalnızca giriş sayfasını bulabilirlerse etkilidir. Giriş sayfanızı izinleri değiştirmeden bırakmak, bilgisayar korsanlarının giriş sayfalarınızı bulmasına neden olur.

Giriş sayfasını onlardan gizlemeye çalışalım. Bunu, giriş sayfasının URL'sini WPS Girişi Gizle ile değiştirerek yapabilirsiniz. Eklenti gerçekten hiçbir şeyi değiştirmez, sadece sayfa isteklerini engeller ve wp-admin dizinini ve wp-login.php sayfalarını erişilemez hale getirir. Eklentinin etkinleştirilmesi sırasında ayarlanan yeni giriş sayfasını hatırlamanız gerekecek.

Giriş sayfanızın URL'sini değiştirmek için alternatif seçenekler arasında iki eklenti daha var: Yöneticinizi Koruyun ve wp-login.php'yi Yeniden Adlandırın.

SSL

Giriş sayfanızı koruma altında SSL'den bahsetmeme rağmen, SSL, hassas bilgilerle uğraştığınız herhangi bir sayfanın son derece önemli ve gerekli bir özelliğidir. Ve bu hemen hemen birçok web sitesindeki her sayfayı içerir, sanki tüm web sayfalarında blog abonelik formları varmış gibi.

Siz veya ziyaretçileriniz/müşterileriniz adresler, kredi kartı bilgileri gibi hassas özel bilgileri paylaşırsanız veya hatta e-posta kimliklerini sizinle paylaşırsanız. O zaman bilgilerini korumak için onlara borçlusunuz.

SSL, http'yi https'ye çeviren ve bu süreçte paylaşılan tüm bilgileri çok daha güvenli hale getiren ekstra bir koruma katmanıdır (Güvenli Yuva Katmanı).

Üzerinde çalıştığım yazı düzenleme sayfası, Colorlib için SSL ile böyle görünüyor. URL çubuğundaki yeşil renkli “https:” dikkatinizi çekti mi?

SSL, temel olarak, bilgilerinizi bizim düz metin yaptığımız gibi okunamayacak şekilde karıştıran bir şeydir. Bu nedenle, sunucularınız ve herhangi bir tarayıcı arasında bilgi dolaşırken, ona erişen hiç kimse bundan bir anlam çıkaramaz. Bir özel anahtar ve bir ortak anahtar vardır. SSL, akan bilgiyi tamamen komik ve okunaksız hale getirdiğinde, tarayıcı sonunda tekrar anlamlandırmamız gerekir. İşleri tekrar okunabilir kılmak için özel anahtarın geldiği yer burasıdır. Oyundaki mekanizma matematiksel bir kilit ve anahtara çok benzer.

Önerilen paylaşımlı ana makinemiz SiteGround, ücretsiz SSL koruması sağlar. Ayrıca bir Sertifika Yetkilisinden bir SSL sertifikası satın alabilirsiniz. Wordfence gibi güvenlik eklentileri çalıştırırsanız, SSL etkinleştirilebilir.

Site genelinde SSL'yi öneririm, ColorLib'in dahil olduğu birçok WordPress sitesi site genelinde SSL kullanır. Site genelinde SSL değilse, kesinlikle minimum düzeyde giriş sayfaları için SSL'yi zorlamalısınız.

Chrome gibi tarayıcılar, SSL'lerde bozuk/süresi dolmuş sertifikalara sahip web sitelerine erişimi bile engeller.

CDN'nizin içeriği SSL üzerinden kolayca teslim edip etmediğini anlamanız gerekebilir ve bazen reklam ağları, SSL üzerinden sunum yaparken sorun çıkarabilir. Site genelinde SSL eklemek önemli zorluklara neden olabilir, site genelinde SSL'yi etkinleştirmenin zorluklarıyla ilgili bu çok bilgilendirici makaleyi okumalısınız.

Web sitelerinizde SSL kullanıyorsanız, Google arama sıralamalarınızda size küçük bir artış (%1) sağlar. Bu gerçek, başlı başına SSL kullanımını garanti etmelidir. Niye ya ? Google, çoğu web geliştirme uzmanının yaptığı gibi, okuyucunuzun/ziyaretçinizin verilerinin güvenliğini sağlamanın önemini anlıyor.

SSL, Wordfence güvenlik eklentisi tarafından oturum açma ekranınızda da uygulanabilir. Güvenlik sertifikalarının 2015 yılında ücretsiz olarak sunulması da bekleniyor.

WordPress.org'da SSL üzerinden yönetim hakkında daha fazla bilgi edinin.

#4. WP Çekirdeğinizi, Veritabanınızı Koruma ve Doğru Dosya İzinlerini Kullanma

Bu güvenlik önlemlerinin çoğunda WP çekirdeğinizi değiştireceğiz ve değişiklik yapmak ve yüklemek için FTP istemcisini ve nasıl kullanacağınızı bilmeniz gerekir. Ve bu güvenlik ipuçlarının çoğu WP çekirdeğinizi değiştirmeyi veya değiştirmeyi içerdiğinden, web sitenizi bozabilir. Daha fazla ilerlemeden önce WordPress çekirdeğinizi ve tüm içeriğini yedekleyin, bir yedekleme ile bir hata kolayca geri alınabilir.

WordPress Güvenlik Anahtarları

WordPress, WP satırında yorum yapmak ve değişiklik yapmak için oturum açan kullanıcıları tanımlamak ve doğrulamak için çerezleri kullanır.

Bu tanımlama bilgileri, oturum açma bilgilerini ve kimlik doğrulama ayrıntılarınızı içerir. Parola, okunaksız hale getirmek için bir matematiksel formül uygulandığı ve okunabilir hale getirmek için matematik bir kez daha uygulanmadan okunamayacağı anlamına gelir.

WP Güvenlik Anahtarları ile bu çerezin etrafına ekstra bir koruma katmanı ekleyebiliriz. Bunlar, bir kullanıcı tanımlama bilgisinde depolanan bilgilerin güvenliğini artıran bir dizi rastgele değişkendir. AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY ve NONCE_KEY olmak üzere 4 anahtar vardır.

WordPress veya 12345 gibi şifrelenmemiş bir parola, birisi kimlik doğrulama çerezini yeniden yapılandırabilirse kolayca kırılabilir. Ancak WP güvenlik anahtarlarıyla şifrelemek bunu çok daha zor hale getirir.

WP güvenlik anahtarlarını nasıl eklersiniz?

1. wp-config.php dosyasını açın.
2. "Kimlik doğrulama benzersiz anahtarları ve tuzları" için arama yapın.
3. Çevrimiçi bir otomatik anahtar oluşturma aracı kullanın.
4. Anahtarları çevrimiçi araçtan kopyalayın ve mevcut anahtar setini wp-config.php'de üzerine yazarak değiştirin.
5. Onu kurtar.
6. Her ay aynı işlemi tekrarlayabilirsiniz.

Unutmayın, güvenlik anahtarlarını her değiştirdiğinizde, kullanıcılar çıkış yapacak ve hesaplarına tekrar giriş yapmak zorunda kalacaklar.

iThemes Security, bunu WP çizgisinden yapmak için gerekli araçları sağlar. Ayrıca, güvenlik anahtarlarınızı değiştirmeniz için her ay size bir hatırlatma gönderecekler.

WP Dizinlerinizi Parolayla Koruyun

Bu, cPanel'inizden veya herhangi bir web barındırma panosundan yapılabilir. cPanel'de Güvenlik > Parola Korumalı Dizinler'i açın. Sitenizdeki tüm klasörlerin bir listesini bulacaksınız. wp-admin gibi önemli bir klasörle başlayın.

Bir kullanıcı adı ve şifre sağlayarak bir kullanıcı oluşturmanızı isteyen bir iletişim kutusu bulacaksınız. Şimdi yeni kullanıcıyı oluşturun. Bundan sonra, web sitenizde wp-admin klasörüne erişmeniz gerekiyorsa, web sitesine erişmek için kullanıcı adı ve şifre girilmelidir.

Bu, web sitenizin en önemli bölümlerine ekstra bir parola tabanlı koruma katmanı ekler.

Güvenli FTP (SFTP) Kullanın

Dahil etmek istediğiniz yeni değişiklikleri eklediğinizde web sitenizin verilerini web barındırıcınıza taşımak için bir dosya aktarım sistemi gerekir. Normal bir dosya aktarım protokolü veya bir FTP ile, birinin araya girip web sitenizden yararlanmak için güvenlik açıkları bulma olasılığı artar.

Yeni dosyalar ve değiştirilmiş kod yüklemek üzere bir SFTP bağlantısı kullanmak için doğru istemciye ihtiyacınız olacak. Başlamanıza yardımcı olması için FileZilla'yı kullanabilirsiniz.

Ek olarak, web barındırma hesabınızla ilgili bazı özel ayrıntılara ihtiyacınız olacak. Genel olarak, her ana bilgisayar, güvenli bir dosya aktarım protokolü oluşturmanıza yardımcı olacak belirli bilgiler sağlar. Normalde ana bilgisayar tarafından oluşturulan bir SSH anahtarınız olur, bu anahtarın FileZilla gibi SFTP istemcinize eklenmesi gerekir ve buradan dosya aktarımı için güvenli bir bağlantı kurmak kolaydır.

Doğru Dosya İzinlerini Kullanma

Dosyalarınıza erişimin doğru izinlere sahip olması gerekir. WordPress'inize web sunucusundan yazmak mümkündür. Sorun, o ortamı, web sitelerini paylaşılan bir sunucuda da bulunduran birden fazla web sitesiyle paylaştığınızda ortaya çıkar.

Genel olarak, WordPress klasörleri ve WordPress dosyalarının farklı ana bilgisayarlarda belirli izinleri vardır. Kabuk erişimiyle, WordPress klasörlerinizi ve dosyalarınızı güvenli ve yalnızca doğru kullanıcı tarafından erişilebilir durumda tutmak için aşağıdaki iki komutu çalıştırabilirsiniz.

 find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;
find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Protecting WordPress using .htaccess

While editing .htaccess file, please add code before # BEGIN WordPress or after # END WordPress. Any code added within these two hashtags can be overwritten by WordPress and we wouldn't want any new security protocols we've added to disappear. So when you add any code to the .htaccess file, please remember to stay out of the section starting with # BEGIN and ending with # END.

The wp-includes contains files that aren't necessary for any user, but it contains files necessary for running WP. We can protect it by preventing access and adding some text to the .htaccess file. Keeping in mind to stay out of the code within hashtags.

Add this little snippet of code to the .htaccess file.

 # Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>


# BEGIN WordPress <-- Always add code outside, before this line in your .htaccess file -->

This wouldn't work for wp multi sites. Remove this line – RewriteRule ^wp-includes/[^/]+\.php$ – [F,L], this will offer less security but it will work for multisite.

Your wp-config.php file contains sensitive information about your connection details and the WP security keys we previously discussed. Modifying your .htaccess will protect your website against hackers, spammers and significantly beef up your website's protection.

This process involves moving your .htaccess file out of your WP install and to a location accessible only with an FTP client or cPanel or from the web server.

Add this to the top your .htaccess file.

 <files wp-config.php>
order allow,deny
deny from all
</files>

This will essentially prevent access to anyone who surfs for the wp-config.php file and only access from the web server space will be permitted.

All this added protection is great, but remember all of this was accomplished from your .htaccess file. That means if someone can access your .htaccess file, all your added security isn't helpful.

Add the following to the top of your. htaccess file. It will prevent access to your .htaccess file.

 <files .htaccess>
order allow,deny
deny from all
</files>

You can add more modifications to .htaccess file, if you'd like.

You could, restrict files, by file types and extension. This piece of code will not only restrict access to your wp-config but it will prevent access to ini.php and your log files.

 <FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|install\.php|php\.info|readme\.html|bb-config\.php|\.htaccess|\.htpasswd|readme\.txt|timthumb\.php|error_log|error\.log|PHP_errors\.log|\.svn)">
Deny from all
</FilesMatch>
#Code courtesy - WPWhiteSecurity

Next we can disallow browsing of the WP directory contents.

 Options All -Indexes

Apart from that we can add a few other changes to improve security by making changes to the .htaccess file in WordPress.

1. Block IPs and IP ranges. You can limit access to your login pages by IP range, I would have covered it in the Login section but login page protection plugins already block IP ranges which try to access login pages through brute forcing techniques.
2. Keep bad bots at bay.
3. Prevent hot linking.

This is quite extensive and we are starting to get off point. If you'd like to do the other stuff as well, for which I haven't presented the code here, you can use this piece of custom code from WP White Security.

Please remember to keep track of which files you have moved to root directory of WP. You'll need to be aware of where each file/folder is, so that you can not only edit them but also be sure not create multiple copies in different locations which again jeopardizes the point of the entire exercise.

Turn Off PHP Error Reporting & PHP execution

PHP executions need to be kept to a minimum. Niye ya ? A good example of a hack would be the Mailpoet Newsletter hack which could be used to add files which are run from the wp-content/uploads folder.

To prevent such vulnerabilities, we can deny PHP any room to run on WordPress. Add this code snippet to the .htaccess file.

https://gist.github.com/puikinsh/c8bf229921dbf6af4625

This code detects PHP files and denies access. You need to add it to the following wp folders.

• wp-includes
• wp-content/uploads
• wp-content

You'll need to create a .htaccess in the other folders. By default, it may be available in the root directory but to prevent PHP execution the .htaccess file needs to be created and added to the aforementioned folders. The three folder mentioned are primarily folders where content is uploaded and is particularly vulnerable to a PHP script that can cause a lot of problems.

PHP error reporting is a signal to all hackers who are looking for vulnerabilities that there is something not working on your website.

Adding these two lines of code to your wp-config.php file should resolve the problem.

 error_reporting(0);
@ini_set('display_errors', 0);

Although having read multiple threads and discussions about PHP error reporting, it may not work. In which case your best option is to contact your web host and ask for instructions on how you can accomplish the same.

Change the wp_ table Prefix

All WordPress tables begin with a wp_ prefix. Change this wp table prefix across your entire website and make it more difficult for a hacker to infiltrate your website.

In your wp-config.php, you'll find this line of code.

 $table_prefix  = 'wp_';

Change that to something completely random,

 $table_prefix  = 'jrbf_';

Now every table like, wp_posts, wp_users, etc will change to jrbf_posts, jrbf_users and so on.

Almost all security plugins do this for you and furthermore changing wp table prefixes may be time consuming. You can do this with PHPMyAdmin or other database managers, but I'd much rather use a security plugin like iThemes Security to accomplish it.

Similarly, you can take it a step further by changing the name of your WordPress database. This way, not only do you change the prefix but you will also be changing the names of what follows the prefix. This will make it nearly impossible for hackers to randomly guess your database name and you can not access what you can not find.

Disable XMLRPC

Generally, DDOS attacks target all web pages of WordPress websites indiscriminately. But this particular part of WordPress can become a target for DDOS attacks. I'll explain, XMLPRC is used for pingbacks and trackbacks. But it has, in the past been exploited to launch DDOS attacks on websites.

You can use a plugin like Disable XMLPRC. But you will not need it, if you use security plugins or a login protection plugin. They generally provide protection against this particular vulnerability.

#5. Security Plugin – Wordfence/iThemes Security/ Sucuri

An effective security plugin is absolutely essential in ensuring your WordPress site's security, for the non-tech savvy at least. Security plugins perform the various functions many of which have already been discussed here, all of these added security measures add up to build a fortress around your website and its contents.

Wordfence performs a number of functions crucial to site security on a WordPress powered site,

• Real time blocking of attackers, blocking entire malicious networks and certain countries.
• Limit crawlers, bots and scrapers.
• Block users who trespass on your security rules.
• Two factor authentication via SMS, greatly improves security on login pages.
• Strong password enforcement for all users (non-admins).
• Protect against brute force attacks.
• Scan site for malicious scripts, back doors and phishing URLs on your site masquerading as comments on your website.
• Compare plugin/theme core files with files of the same listed on WordPress.org's directory.
• Run heuristics for Trojans, suspicious scripts and other potentially security endangering activities on your site.
• Firewall to block fake Google bots sent by hackers to scan for vulnerabilities.
• Real time awareness and live content access monitoring to enhance situational awareness.
• Geo-located down to a city level the threats to your website to find out the point of origin of threats to site security.
• Monitor DNS for unauthorized access.
• Keeps an eye on disk space consumption to prevent and react to Denial of Service attacks.
• It is multisite compatible.
• Falcon caching system to reduce server load.
• Full IPv6 compatibility for WHOIS lookup, location and security functions.

Some features are restricted to the premium version of the plugin. The premium version of the plugin is priced at $3.25/mo.

That being said, the free version of this plugin is a very capable site defender for your WordPress website. And you shouldn't be too apprehensive about the free version of the plugin, given that it has a rating of 4.9 on a five point scale and has been downloaded nearly a million times.

Security plugins require configuring and this can be an elaborate and long process. With Wordfence, you can to an extent at least customize all your security settings from Options under WordFence on your WordPress site menu.

Other options you can consider, if you still haven't settled on a security plugin for your WordPress site.

• Bullet Proof Security
• iThemes Security (Previously known as Better WP Security)
• Sucuri Security & Sucuri Cloudproxy For Firewall
• Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı

I do not think Wordfence is the best overall security system out there. What I mean by this is, there are better security solution providers/ managed hosting services that offer better overall security solutions for WordPress sites. But when it comes to simple security plugins that enforce good protection and security protocols, Wordfence is certainly one of the best. The not too distant second position would probably go to iThemes Security.

In the coming weeks, I'll probably write a post about all the security solutions available for WordPress, so stay tuned to Colorlib But right now, we'll stick to Wordfence as the recommended security plugin.

#6. Update ! Update! Update! And not just your WordPress

There are hundreds of WordPress vulnerabilities in the previous/non-current versions of WordPress.

Websites tend to be slow, when it comes to updating their WordPress platform. For example, in February of 2015 only 7.4% of websites had updated to WordPress 4.1, despite the fact that it had been released more than two months prior to February.

Whenever a software vulnerability is discovered, typically the vulnerability is reported to the software vendor. The software vendor then modifies the software and adds some added protection or merely deletes some unnecessary code. This is released as a software update or a patch. This is the best possible case, but if someone with less than noble intentions discovers a vulnerability in any web based or non web based software, then he/she is likely to exploit it to the fullest.

July 2014, Mail Poet Newsletters previously known as Wysija Newsletters, a plugin which had been downloaded over 2 million times was compromised as a result of which 50,000 websites were made vulnerable to attack. An automated attack where in, an injected PHP backdoor would allow for eventual control of the site by the hacker.

December 2014, 100,000+ websites were compromised by the Revolution Slider plugin which was targeted by the SoakSoak.ru campaign. This particular malware injected JavaScript into the wp template-loader.php file. A thousand themes were affected as they had been sold with this plugin as an add-on via Envato and other WordPress marketplaces.

The XSS vulnerability in WP Super Cache, a plugin I included in my round up for the Top 6 Caching Plugins. The list of vulnerabilities in top notch free plugins is quite concerning. But there are a number of steps you can take to decrease your chances of using a vulnerable piece of code theme or plugin on your website.

You should know that most plugins with vulnerabilities have been patched. But you need to stay fully updated at all times. Updating your site to the latest versions is an extremely important part of your site defense strategy. All the previously mentioned security measures are useless, unless you update as and when the updates for WordPress and other third party software are available.

Enable Automatic Updates For Your WordPress, Plugins & Themes.

You do not want your website's update page looking like this page on a test site.

WordPress introduced automatic background updates with the release of WordPress version 3.7.

You can enable auto updates for WP, by making a change to the WP_AUTO_UPDATE_CORE constant. This change needs to be made in the wp-config.php file.

 define( 'WP_AUTO_UPDATE_CORE', true );

This will ensure that all updates major or minor are updated as soon as they are made available.

Change the update core constant to “false” and you will disable all updates. Changing it to “minor” will enable auto updates for minor changes, normally includes security patches.

You can update plugins and themes in the same manner, by editing the auto_update$type filter.

For automatic plugin updates,

 add_filter( 'auto_update_plugin', '__return_true' );

And to enable automatic theme updates,

add_filter('auto_update_theme', '__return_true');

Kodla uğraşmaktan hoşlanmıyorsanız, kendinize yardımcı olması için bir eklenti kullanabilirsiniz. WP'nizin ve sitenizdeki tüm temaların/eklentilerin sorunsuz bir şekilde güncellenmesini sağlamak söz konusu olduğunda, eklenti biçiminde başka bir seçeneğiniz daha vardır. Gelişmiş Otomatik Güncellemeler, büyük güncellemeleri ve küçük/güvenlik güncellemelerini ayrı ayrı etkinleştirmenize olanak tanır. Eklenti ayrıca temalar ve eklentiler için otomatik güncelleme çözümleri sunar.

Çok siteli güncelleme çözümleri için, WordPress eklentileri ve temalarıyla ilgili güncellemeleri işleme konusunda yardıma ihtiyacınız varsa, Kolay Güncelleme Yöneticisi'ni deneyebilirsiniz. Ayrıca, WP Updates tarafından sunulan ve premium eklentiler ve temalar için otomatik güncelleme çözümleri sunan bir premium hizmet de bulunmaktadır.

ManageWP gibi eklentileri veya WPEngine gibi yönetilen bir WP ana bilgisayarını kullanmak, WordPress'inizi ve web sitenizde kullandığınız üçüncü taraf yazılımları güncellemeyle ilgili sorunları çözmenize de yardımcı olacaktır.

WordPress çekirdeğini güncellemek, işler bozulmaya başladığında otomatik olarak sorunlu hale gelir. Bu, bir güncelleme sırasında silinen özelleştirilmiş kod veya üçüncü taraf yazılımlarla (eklentiler ve temalar) ortaya çıkan uyumluluk sorunları nedeniyle olabilir. Bu, duraklamanıza neden olabilecek bir nedendir, belki de küçük güncellemeleri etkinleştirmek daha iyi bir fikir olabilir.

Otomatik WordPress güncellemelerinizle ilgili sorun yaşıyorsanız, Background Update Tester'ı denemenizi tavsiye ederim. Eklenti, uyumluluk sorunlarını kontrol eder ve açıklar.

Güncellemeden önce her zaman bir yedekleme çalıştırın. Hep! Bu, web sitenizi korkunç bir şekilde yanlış giden şeylere karşı korumak içindir, bu durumda web sitenizi dağıtırsınız. WP çekirdeğinizdeki eklentiler, temalar ve bazen özelleştirilmiş kodlarla uyumluluk sorunları nedeniyle hasara neden olan otomatik güncellemelere karşı korunmak için izlenmesi gereken iyi bir uygulama.

#7. WP Güvenliği Hakkında Birkaç Şey Daha – Güvenlik Duvarları, Denetim Günlükleri ve Kötü Amaçlı Yazılım Tarayıcıları

WordPress için güvenlik duvarlarını tartışmadım. İyi bir güvenlik duvarı çok şey başaracak ve web sitelerinize yapılan en yaygın saldırı biçimlerini azaltacaktır.

• Bir DDoS saldırısının etkilerini azaltın.
• Kaba kuvvet saldırıları izlerinde durdurulur.
• Yazılım güvenlik açıklarına karşı koruyun.
• SQL veya XSS saldırıları gibi kod yerleştirme saldırılarını durdurur.
• Düzeltin ve sıfır gün güvenlik açıklarına karşı savunma yapın.

Sadece göstermek için, işte Sucuri güvenlik duvarının bir WordPress web sitesi için ne yaptığının bir görüntüsü.

Güvenlik duvarı, Sucuri'nin koruma sistemini tanımlamak için kullandığı bir terim değildir, buna bir web uygulaması güvenlik duvarı ve bir izinsiz giriş tespit sisteminin birleşimi olan CloudProxy olarak atıfta bulunurlar. Tüm kötü niyetli trafik filtrelenir ve anormal aktivite izlenir.

Güvenlik duvarları geleneksel olarak bağlantıları izlemek için geliştirilmiştir, ancak Sucuri'nin CloudProxy'si yalnızca kötü adamları uzak tutmakla kalmayacak, aynı zamanda güvenlik açıklarına karşı sanal yamalar da oluşturacaktır. Bir ziyaretçiden gelen bir istek güvenlik duvarından geçtiğinde, sistemin olası saldırı kalıpları için istekleri gözden geçirdiği izinsiz giriş önleme ve tespit sistemine ulaşır.

Sizi güvenlik açıklarına karşı koruyan sanal yama özelliğinin, çok fazla özelleştirmeye sahip herhangi bir web sitesi için oldukça etkili ve paha biçilmez bir varlık olduğunu düşünüyorum (uyumluluk sorunları ortaya çıktığında birçok şeyin ters gidebileceği anlamına gelir). Güncellemeyi bir hazırlama alanında WordPress'e uygulamak ve web sitenizin sorunsuz çalışıp çalışmadığını kontrol etmek her zaman daha iyidir. Ve eğer öyleyse, web sitenizin güncellenmiş sürümünü canlı olarak alabilirsiniz. Ancak bu arada, web siteniz gerçekten tehlikede. Sıfır gün istismarlarına karşı koruma, yalnızca güvenlik açıklarını düzeltmeye yönelik güncellemeler yoluyla mümkündür, ancak Sucuri CloudProxy kullanılırken durumun böyle olması gerekmez.

Bunun dışında, web sitenizdeki tüm etkinliklerin günlüklerini tutarlar ve olası yaramazlık belirtilerini ararlar.

Güvenlik duvarını son bir önlem olarak düşünün, bir bilgisayar korsanının web sitenizin hassas içeriğine erişmek için aşması gereken duvardır. İyi uygulamalar büyük ölçüde güvenlik duvarını çok fazla kullanmanıza gerek kalmayacak şekilde tasarlanmıştır.

Kötü amaçlı yazılım tarama yazılımı veya Sucuri SiteCheck gibi web siteleri , web sitelerinizi güvenlik açıkları ve olası güvenlik boşlukları için tarayabilir. Güvenlik eklentileri, anormal görünen ve olası güvenlik sorunlarının kaynağı olan değişiklikleri izlemek için kötü amaçlı yazılım tarama yazılımına da sahiptir.

Web sitenizdeki tüm değişiklikleri izlemek için gerekli bir eklenti olduğunu belirtirken daha önce WP Security Audit Log'dan da bahsetmiştim. Bu noktayı tekrarlamak isterim, yalnızca temalar ve eklentiler tarafından gerçekleştirilen değişiklikleri değil, aynı zamanda diğer kullanıcıların eylemlerini de izlemek için son derece kullanışlı bir eklentidir. Tüm değişiklikleri takip etmek için WP Security Audit Log kullanmanız veya başka bir veri günlüğü eklentisi çalıştırmanız çok önemlidir.

Günlüğe kaydetme, aynı zamanda Sucuri'nin koruma sisteminin önemli bir özelliğidir. Güvenliği sağlamaya yönelik abartılı girişimlerine rağmen bazen kötü şeyler olur ve web siteleri saldırıya uğrar. Bu olduğunda, günlük tutma sistemleri, web sitelerini bir hendekten çıkarmaya yardımcı olmak için çok kullanışlıdır.

Güvenlik duvarları, Kötü Amaçlı Yazılım Tarayıcıları ve Denetim Günlükleri, öngörülemeyen tehditlere ve sıfır gün açıklarına karşı çok kullanışlıdır. İyi WordPress güvenlik uygulamalarının yerini tutmazlar.

#8. WordPress Sürümünüzü Gizlemek – Gerekli mi?

Birkaç web sitesinde, WordPress sürümünüzü gizlemenin kötü niyetli bilgisayar korsanlarına karşı güvenliğinizi artıracağını okudum. Sorun şu ki, belirli bir WordPress ile ilişkili güvenlik açıkları bilgisinin, birinin bunları kullanma olasılığını artırdığına dair bir varsayım var. Bu mutlaka doğru değildir. Genellikle web sitelerinden bilgi çalan kişiler, bilinen güvenlik açıkları için web sitelerini taramak için otomatik araçlar kullanır. Ve WordPress sürümünüz savunmasızsa, bunu anlarlar. Bilgisayar korsanları her seferinde bir siteyi kontrol edip WordPress sürümüne göre sıralamak gibi değil.

Daha önce de belirtildiği gibi WordPress'inizi, temalarınızı ve eklentilerinizi mümkün olan en kısa sürede güncelleyin. Bilgisayar korsanları, WordPress sürümünü gösteren siteler ile göstermeyen web siteleri arasında ayrım yapmaz.

Beklenmedik bir durumda, bir bilgisayar korsanının her web sitesini manuel olarak ziyaret etmesi ve WordPress sürümünü kontrol etmesi ve ardından güvenlik açıklarını bulmaya çalışması durumunda, WordPress sürümünüzü gizlemeyi yararlı bulabilirsiniz.

WordPress sürümünüzü kaldırmak için Sürüm Eklentisini Kaldır'ı kullanın. Bu sizin için işe yaramazsa, birkaç küçük değişiklik yapmanız gerekecek ve bu blog yazısı size yardımcı olacaktır.

#9. Yedekleme – Web Sitesi Güvenliğinin Son Hattı

Tüm güvenlik önlemlerinize rağmen WordPress sitenizin tehlikeye girmesi ihtimaline karşı her zaman hazırlıklı olmalısınız. Bu olursa, devreye girip işleri düzeltmeniz gerekir. Artık site kurtarma işleminin gerçekleştirilebileceği birden çok yol var. Güvenlik açığının veya güvenlik açığının zaten giderildiği varsayıldığında, tek tıklamayla geri yüklemeli yedeklemeler, güvenliği ihlal edilmiş bir web sitesi için kolay bir düzeltmedir.

Otomatik yedeklemeler, her WordPress web sitesinin güvenlik cephaneliğinin gerekli ve önemli bir parçasıdır. Güvenlik eklentilerini kılıcınız ve yedeği kalkanınız olarak düşünün. Saldırınız başarısız olursa, kalkanınız bu durumda yedekler, son savunma hattınız olur.

Unutmayın, tamamen farklı bir solucan torbası olan sunucunuz değil, yalnızca WordPress'inizin güvenliği ihlal edildiğini varsayıyorum. Ancak çoğu barındırma hizmeti sağlayıcısı, sunucularını sürekli olarak ve özellikle küresel saldırılar sırasında kötü niyetli unsurlara karşı koruyan güçlü bir güvenlik ekibine sahiptir. Birkaç hafta önce, ilgileniyorsanız, farklı paylaşılan barındırma hizmetleri sağlayıcıları hakkında bir yazı yazdım.

Yedeklemeler- Yedekleme hizmetleri için bir kuruş ödemeden ücretsiz bir eklenti almaya karar verirseniz, o zaman bir freemium eklentisi olan Updraft Plus ile başlayabileceğinizi söyleyebilirim.

Bu eklenti ile web sitenizin bir kopyasını bir dizi farklı hizmet tarafından sağlanan depolama alanına yedekleyebilir ve kaydedebilirsiniz. Google Drive, Amazon S3, Dropbox, Rackspace Cloud, FTP ve SFTP ve E-posta içerir. Ayrıca ücretsiz eklentinin yalnızca herhangi bir konumda yedeklemeye izin verdiğini de unutmamalısınız. Web sitenizi birden fazla yere kaydetmek için eklentiyi kullanmak istiyorsanız, premium bir eklentiye ihtiyacınız olacak.

Çoğu WordPress yedekleme sağlayıcısı gibi bu eklenti, içeriğiniz, temalarınız ve eklenti ayarlarınız dahil her şeyi kaydeder ve ayrıca normal yedeklemelerinizden ayrı bir WordPress veritabanı yedeklemesi çalıştırabilir.

Premium bir WordPress yedekleme hizmeti kullanmak istiyorsanız, BackUp Buddy, VaultPress veya BlogVault'a bir göz atmanızı tavsiye ederim (geçmişte onlarla çalıştım ve harika bir hizmetleri var).

Web sitenizin birden fazla kopyasını hazır bulundurun ve her zaman bir internet bağlantısına bağlı olmayan fiziksel bir sürücüde bulundurun. Yedeklemeler, güvenlik dışı bir bakış açısından bile iyi bir fikirdir. Temaları ve eklentileri denediğinizde, temaları, eklentileri veya WordPress'inizi güncellediğinizde, her zaman bir uyumluluk sorununun ortaya çıkma ve web sitenizi bozma olasılığı vardır.

Ve otomatik yedeklemelerle ilgili deneyimlerime göre, yeni içerik ekleme ve yedek kopyalar oluşturmaya devam etme sıklığınızla tutarlı bir şekilde yedeklerin kopyalarını silmeye devam etmeniz gerekir.

Bilgisayarım söz konusu olduğunda, tam yedeklemelerin aksine artımlı/farklı yedeklemeler sunan yedekleme çözümlerini her zaman tercih ederim, ancak aynı zamanda eski yeniden yapılandırmanın geri yükleme için daha uzun sürdüğünü de unutmayın. Aynısı kesinlikle bir WordPress yedekleme sistemi için de geçerlidir. Yine de, yedekleme sağlayıcınız veri depolama sınırlarına ilişkin katı kısıtlamalarla fazladan ücret talep etmedikçe, bu konuda endişelenmenize gerek yoktur.

Çözüm

Elimde değil, Harry Potter serisinden bu alıntı çok uygun görünüyor.

"Sürekli tetikte olma!" – Deli-Göz-Moody

Merak ettiyseniz, Moody serideki karanlık bir büyücü avcısıdır.

Daha önce de belirttiğim gibi, web'de tam kanıt güvenliği diye bir şey yoktur. Çok sayıda güvenlik önlemi alabilir ve yine de web sitenizin saldırıya uğramasını sağlayabilirsiniz. Ancak web sitenizin SSL üzerinde çalışmasını, oturum açma sayfalarınızın sağlamlaştırılmış olmasını, şifrelerinizin ve kullanıcı adlarınızın son derece yabancı olmasını, web sitenizin tamamen güncellenmesini ve bilinen tehditlere karşı korunmasını ve günlük olarak tam olarak yedeklenmesini sağlamak, şansınızı büyük ölçüde lehinize artırır. .

Tam bir hack/sömürü içermeyen WordPress istiyorsanız, yukarıda belirtilen tüm güvenlik önlemlerini takip etmek, web sitenizin hava geçirmez bir güvenliğe sahip olmasını sağlayacaktır. Ancak o zaman bile, sıfır gün istismarlarına veya web sitenizi kırmaya kararlı akıllı bir bilgisayar korsanına karşı koruma sağlayamazsınız, ancak bu çok olası bir olay değildir.

Bu şekilde düşün. Web sitem saldırıya uğrarsa, ne kadar iş ve gelir kaybederim? Müşterimin bilgilerini riske atacak mıyım? Bu beni davalardan sorumlu tutar mı? Web sitenizin saldırıya uğramasının maliyetlerinin oldukça yüksek olduğunu gördüğünüz noktaya geldiğinde, ya yönetilen bir WordPress barındırma hizmeti ya da Sucuri'nin güvenlik hizmetleri biçiminde gerçekten büyük bir web fedaisi kullanmanızı öneririm.

Web sitenizin bir hedef haline gelmesi için mutlaka popüler olması gerekmez. Ve sürekli olarak bilgisayar korsanlarının ve saldırıların kurbanı olursa, asla yüksek trafikli bir web sitesi olmayacak.

Daha önce hosting hakkında söylediğim gibi. En iyi barındırma/güvenlik hizmetlerinin maliyetlerini karşılayacak gelir getiren bir web sitesi oluşturma yeteneğinizden makul ölçüde eminseniz, o zaman en iyisiyle devam edin. En iyi web barındırma/güvenlik hizmetlerini karşılayabiliyorsanız, mesleğiniz gereği web geliştirici olmadığınızı varsayarsak, uzun vadede buna değecektir.

En iyi yönetilen web barındırma veya birinci sınıf güvenliği karşılayamıyorsanız, yukarıda belirtilen güvenlik önlemlerini alın. Şansınız, web siteniz güvende olacak.

WordPress güvenliği hakkında ek bilginiz varsa veya WordPress web sitenizi nasıl koruyacağınız konusunda farklı fikirleriniz varsa, aşağıdaki yorumlarda fikirlerinizi duymak isterim. Şerefe