WordPress için Koruma İpuçları. Sitenizi korumak için 12 ipucu
Yayınlanan: 2019-07-11WordPress, dünyadaki en popüler CMS'lerden biridir. Tüm internet sitelerinin %18,9'undan fazlası kullanıyor ve kurulum sayısı 76,5 milyonu aştı. Ne yazık ki, bu popülerliğin dezavantajları vardır. Sucuri'nin (web sitesi güvenliği ve koruması) raporuna göre, WordPress dünya çapında en çok hacklenebilir CMS'dir. Ancak, bu konudaki en iyi uygulamaları izler ve bu kılavuzdaki birkaç tekniği uygularsanız, WordPress korumasının birkaç basit adımla kolayca güçlendirilebileceğini fark edeceksiniz.
neye ihtiyacın olacak
Başlamadan önce aşağıdakileri kontrol edin:
- WordPress kontrol paneli erişimi;
- Barındırma hesabınızın erişimi (isteğe bağlı).
İçerik
Adım 1. WordPress'in mevcut sürümünün bakımı;
Adım 2. Standart olmayan oturum açma kimlik bilgilerinin kullanılması;
Adım 3. İki aşamalı kimlik doğrulamanın etkinleştirilmesi;
Adım 4. PHP hata raporlarını devre dışı bırakmak;
Adım 5. WordPress için boş şablonlar kullanmayın;
Adım 6. WordPress'i kötü amaçlı yazılımlara karşı tarama;
Adım 7. Web sitenizi daha güvenli bir barındırmaya aktarmak;
Adım 8. Verilerinizi mümkün olduğunca sık yedekleyin;
Adım 9. Dosyaları düzenleme seçeneğinin devre dışı bırakılması;
Adım 10. Kullanılmayan şablonları ve eklentileri silme;
Adım 11. WordPress güvenliğini artırmak için .htaccess kullanmak;
Adım 12. SQL enjeksiyonunu önlemek için standart WordPress veritabanı öneklerini değiştirme Sonuç
Adım 1. WordPress'in mevcut sürümünün bakımı
Bu, WordPress güvenliğini artırmanın ilk ve en önemli adımı olacaktır. Kötü amaçlı yazılım içermeyen temiz bir web sitesine ihtiyacınız varsa, WordPress sürümünüzün güncel olduğundan emin olmanız gerekir. Bu tavsiye basit görünebilir, ancak tüm WordPress kurulumlarının yalnızca %22'si en son sürümdedir.
WordPress, 3.7 sürümünde otomatik güncelleme özelliğini uygulamıştır, ancak yalnızca küçük güvenlik güncellemeleri için çalışır. Büyük anahtar güncellemelerinin manuel olarak yüklenmesi gerekirken.
WordPress'i nasıl güncelleyeceğinizi bilmiyorsanız, bunu kontrol edin.
2. Adım. Standart olmayan oturum açma kimlik bilgilerini kullanma
WordPress'te yönetici adı olarak "admin" kullanıyor musunuz? Cevabınız “evet” ise, WordPress güvenliğini ciddi şekilde azaltır ve kontrol panelinize girmeyi kolaylaştırırsınız. Yöneticinin kullanıcı adını başka bir adla değiştirmeniz (bunu nasıl yapacağınızdan emin değilseniz bu eğiticiye bakın) veya farklı verilerle yeni bir yönetici hesabı oluşturmanız şiddetle önerilir.
İkinci seçeneği tercih ediyorsanız şu adımları izleyin:
- WordPress kontrol paneline giriş yapın;
- “Kullanıcılar” bölümünü bulun ve “Yeni Ekle” düğmesini tıklayın;
- Yeni bir kullanıcı oluşturun ve yönetici hakları atayın;
- Yeni verilerinizle WordPress'e giriş yapın;
- Kullanıcılar bölümüne dönün ve varsayılan Yönetici hesabını silin.
İyi bir parola, WordPress güvenliğinde önemli bir rol oynar. Rakamlardan, büyük ve küçük harflerden ve özel sembollerden oluşan bir şifreyi kırmak çok daha zordur. LastPass ve 1Password gibi araçlar, karmaşık şifreler oluşturmanıza ve yönetmenize yardımcı olabilir. Ayrıca, güvenli olmayan bir ağa (örneğin kafeler, halk kütüphaneleri vb.) bağlanırken WordPress kontrol panelinizde oturum açmanız gerekirse, oturum açma bilgilerinizi koruyan güvenli bir VPN kullanmayı unutmayın.
Adım 3. İki adımlı kimlik doğrulamayı etkinleştirme
İki adımlı kimlik doğrulama, yetkilendirme sayfanıza ek bir güvenlik katmanı ekler. Kullanıcı adı onaylandıktan sonra, başarılı bir şekilde kimlik doğrulaması yapmak için tamamlamanız gereken başka bir adım ekler. Bunu büyük olasılıkla e-postanıza, çevrimiçi bankanıza ve gizli bilgiler içeren diğer hesaplarınıza erişmek için zaten kullanıyorsunuz. Neden WordPress'te de kullanmıyorsunuz?
Bu karmaşık görünse de, WordPress'te iki adımlı kimlik doğrulamayı etkinleştirmek çok kolaydır. Tek yapmanız gereken iki adımlı kimlik doğrulama için bir uygulama yüklemek ve onu WordPress'iniz için yapılandırmak. WordPress'te iki adımlı kimlik doğrulamanın nasıl etkinleştirileceği hakkında daha ayrıntılı bilgiyi burada bulabilirsiniz.
Adım 4. PHP hata raporlarını devre dışı bırakma
Bir web sitesi geliştiriyorsanız ve her şeyin düzgün çalıştığından emin olmak istiyorsanız, PHP hata raporları oldukça faydalı olabilir. Ancak hataları herkese göstermek WordPress güvenliğinde ciddi bir eksikliktir.
Bunu en kısa zamanda düzeltmelisin. Endişelenmeyin, WordPress'te PHP hata raporlarını devre dışı bırakmak için programcı olmanıza gerek yok. Çoğu barındırma hizmeti sağlayıcısı bu seçeneği kontrol panelinde sunar. Değilse, wp-config.php dosyanıza aşağıdaki satırları eklemeniz yeterlidir. wp-config.php dosyasını düzenlemek için FTP istemcisini veya Dosya Yöneticisini kullanabilirsiniz.
error_reporting(0);
@ini_set('display_errors', 0);
Adım 5. WordPress için boş şablonlar kullanmayın
Unutmayın, “tek bedava peynir fare kapanındadır.” Aynısı boş şablonlar ve eklentiler için de geçerlidir.
İnternetin her yerinde binlerce geçersiz eklenti ve şablon var. Kullanıcılar, farklı dosya paylaşımı veya torrent dosyaları kullanarak bunları ücretsiz olarak indirebilir. Çoğuna kötü amaçlı yazılım bulaştığını veya siyah arama motoru optimizasyon yöntemlerine bağlantılar olduğunu bilmiyorlar.
Boş eklentileri ve şablonları kullanmayı bırakın. Bu sadece etik dışı olmakla kalmaz, aynı zamanda WordPress güvenliğinize de zarar verir. Sonunda, web sitenizi temizlemesi için bir geliştiriciye daha fazla ödeme yapacaksınız.
6. Adım. WordPress'i kötü amaçlı yazılımlara karşı tarama
Bilgisayar korsanları, WordPress'e bulaşmak için genellikle şablonlarda veya eklentilerde delikler kullanır. Bu nedenle, blogunuzu daha sık kontrol etmeniz önemlidir. Bu amaç için birçok iyi yazılmış eklenti mevcuttur. WordFence kalabalığın arasından sıyrılıyor. Bir dizi başka ayar ile birlikte bir kullanım kılavuzu ve otomatik olarak test etme yeteneği sunar. Hatta birkaç tıklamayla değiştirilmiş/virüslü dosyaları kurtarabilirsiniz. Ücretsiz olarak mevcuttur. Bu gerçekler, hemen şimdi yüklemeniz için yeterli olmalıdır.
WordPress güvenliğini artırmak için diğer popüler eklentiler :
- Kurşun Geçirmez Güvenlik . Daha önce bahsettiğimiz WordFence'den farklı olarak, BulletProof dosyalarınızı taramaz, ancak size bir güvenlik duvarı, veritabanı koruması vb. sağlar. Ayırt edici bir özellik, eklentiyi birkaç tıklamayla yapılandırma ve yükleme yeteneğidir.
- Sucuri Güvenlik . Bu eklenti sizi DDOS saldırılarından korur, bir kara listeye sahiptir, web sitenizi kötü amaçlı yazılımlara karşı tarar ve güvenlik duvarınızı kontrol eder. Bir şey bulursa, e-posta ile bilgilendirileceksiniz. Google, Norton, McAfee – bu eklenti, bu programlardaki tüm kara listeleri içerir.
Adım 7. Web sitenizi daha güvenli bir barındırmaya aktarma
Bu tavsiye tuhaf görünebilir, ancak istatistikler WordPress web sitelerinin %40'ından fazlasının barındırma hesaplarındaki güvenlik açıkları nedeniyle saldırıya uğradığını gösteriyor. Bu istatistikler, WordPress'i daha güvenli barındırmaya taşımanız için sizi teşvik etmelidir. Yeni bir barındırma seçerken akılda tutulması gereken birkaç önemli gerçek:
- Paylaşımlı hosting ise, hesabınızın diğer kullanıcılardan izole edildiğinden ve sunucudaki diğer web sitelerinden bulaşma riski olmadığından emin olun.
- Hosting'in otomatik yedekleme özelliği vardır;
- Sunucunun bir üçüncü taraf güvenlik duvarı ve bir tarama aracı vardır.
Adım 8. Verilerinizi mümkün olduğunca sık yedekleyin
Sahiplerinin WordPress'in güvenliğini artırmak için binlerce harcama yapmasına rağmen, en büyük web siteleri bile her gün saldırıya uğruyor.
Bu alandaki en iyi uygulamaları izlemiş ve bu makaledeki ipuçlarını uygulamış olsanız bile, web sitenizi düzenli olarak yedeklemeniz gerekir.
Yedek oluşturmanın birkaç yolu vardır, örneğin site dosyalarını manuel olarak indirebilir ve veritabanını dışa aktarabilir veya barındırma şirketinizin sunduğu araçları kullanabilirsiniz. Başka bir yol, WordPress eklentilerini kullanmaktır. Bunlardan en popüler olanları:
- VaultBasın;
- BackUpWordPress;
- Yedek Koruma.
Dropbox'ta WordPress yedekleri oluşturma ve saklama sürecini bile otomatikleştirebilirsiniz.
Adım 9. Dosyaları düzenleme seçeneğini devre dışı bırakma
Muhtemelen bildiğiniz gibi, WordPress, PHP dosyalarını düzenlemenize izin veren yerleşik bir düzenleyiciye sahiptir. Bu özellik, zararlı olabileceği kadar faydalıdır. Bilgisayar korsanları kontrol panelinize erişirse, fark edecekleri ilk şey Dosya Düzenleyicidir. Bazı WordPress kullanıcıları bu özelliği tamamen devre dışı bırakmayı tercih eder. Aşağıdaki kodu ekleyerek wp-config.php dosyasını düzenleyerek devre dışı bırakılabilir:
define('DISALLOW_FILE_EDIT', true );
WordPress'te bu özelliği devre dışı bırakmak için ihtiyacınız olan tek şey bu.
ÖNEMLİ. Bu özelliği tekrar etkinleştirmek isterseniz, barındırma için FTP istemcisini veya Dosya Yöneticisini kullanın ve bu kodu wp-config.php dosyasından kaldırın.
Adım 10. Kullanılmayan şablonları ve eklentileri silme
Web sitenizi WordPress'te temizleyin ve kullanılmayan tüm şablonları ve eklentileri kaldırın. Bilgisayar korsanları, kontrol panelinize erişmek veya sunucunuza kötü amaçlı içerik indirmek için genellikle devre dışı bırakılmış ve güncelliğini yitirmiş şablonlar ve eklentiler (hatta resmi WordPress eklentileri) kullanır. Uzun zaman önce kullanmayı bıraktığınız (ve belki de güncellemeyi unuttuğunuz) eklentileri ve şablonları kaldırarak riskleri azaltır ve WordPress web sitenizi daha güvenli hale getirirsiniz.
Adım 11. WordPress güvenliğini artırmak için .htaccess kullanma
.htaccess, WordPress bağlantılarının doğru çalışması için gerekli bir dosyadır. .htaccess dosyasında doğru girişler olmadan çok sayıda 404 elde edersiniz.
Pek çok kullanıcı .htaccess'in WordPress korumasını iyileştirmek için kullanılabileceğini bilmiyor. Örneğin, belirli klasörlerde erişimi engelleyebilir veya PHP yürütmesini devre dışı bırakabilirsiniz.
ÖNEMLİ. Dosyada herhangi bir değişiklik yapmadan önce eski .htaccess dosyasını yedekleyin. Bunu yapmak için FTP istemcisini veya Dosya Yöneticisini kullanabilirsiniz.
WordPress'in yönetim bölümüne erişimi devre dışı bırakma
Aşağıdaki kod, WordPress'in yönetim bölümüne yalnızca belirli IP'lerden erişmenize izin verecektir.
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Yönetici Erişim Kontrolü”
AuthType Temel
sipariş reddet, izin ver.
herkesten inkar
xx.xx.xx.xx.xxx'den izin ver
xx.xx.xx.xx.xxx'den izin ver
IP adresinizin “xx.xx.xx.xx.xxx” olduğunu unutmayın. Mevcut IP adresinizi kontrol etmek için bu web sitesini kullanabilirsiniz. Siteyi WordPress'te yönetmek için birden fazla bağlantı kullanıyorsanız, başka IP adresleri yazdığınızdan emin olun (ihtiyacınız olduğu kadar çok adres ekleyin). Dinamik bir IP adresiniz varsa bu kodu kullanmanız önerilmez.
Belirli klasörlerde PHP yürütmesini devre dışı bırakma
Bilgisayar korsanları, arka kapı komut dosyalarını WordPress indirme klasörüne yüklemeyi sever. Varsayılan olarak, bu klasör yalnızca medya dosyalarını depolamak için kullanılır. Bu nedenle, herhangi bir PHP dosyası içermemelidir. Aşağıdaki kurallarla /wp-content/uploads/ içinde yeni bir .htaccess dosyası oluşturarak PHP yürütmesini kolayca devre dışı bırakabilirsiniz:
herkesten inkar
wp-config.php dosyasının korunması
wp-config.php dosyası, WordPress yapılandırma çekirdeğini ve MySQL veritabanı ayrıntılarını içerir. Bu nedenle, WordPress'teki en önemli dosyadır. Bu nedenle, genellikle WordPress bilgisayar korsanlarının ana hedefi haline gelir. Ancak, aşağıdaki .htaccess kurallarını kullanarak kolayca güvenceye alabilirsiniz:
izin ver, reddet.
herkesten inkar
Adım 12. SQL enjeksiyonunu önlemek için standart WordPress veritabanı öneklerini değiştirme
WordPress veritabanı, web sitenizin çalışması için gerekli tüm önemli bilgileri içerir ve saklar. Sonuç olarak, SQL kodunun uygulanması için otomatik kod gerçekleştiren bilgisayar korsanları ve spam gönderenler için başka bir hedef haline gelir. WordPress kurulumu sırasında birçok kişi standart wp_ veritabanı önekini değiştirme zahmetine girmez. WordFence'e göre, 5 WordPress hackinden 1'i SQL kodunun uygulanmasıyla bağlantılı. wp_ standart değerlerden biri olduğundan, bilgisayar korsanları önce onunla başlar. Bu aşamada, WordPress'teki bir web sitesini bu tür saldırılardan korumayı kısaca ele alacağım.
Mevcut bir WordPress sitesi için önek tablosunu değiştirme
ÖNEMLİ. Önce güvenlik! Başlamadan önce MySQL veritabanınızın yedeğini aldığınızdan emin olun.
Bölüm Bir. wp-config.php içindeki öneki değiştirme
FTP istemcisini veya Dosya Yöneticisini kullanarak wp-config.php dosyanızı bulun ve $table_prefix içeren satırı bulun.
Ek sayılar, harfler veya alt çizgi ekleyebilirsiniz. Bundan sonra, değişikliklerinizi kaydedin ve bir sonraki adıma geçin. Bu kılavuzda, yeni tablo öneki olarak wp_1secure1_ kullanacağım.
wp-config.php dosyanızdayken, hangisini değiştireceğinizi bilmek için veritabanı adınızı bulun. define('DB_NAME' bölümüne bakın.
Bölüm iki. Tüm veritabanı tablolarını güncelleme
Şimdi veritabanınızdaki tüm kayıtları güncellemeniz gerekiyor. Bu, phpMyAdmin kullanılarak yapılabilir.
İlk bölümde tanımlanan veritabanını bulun ve giriş yapın.
Varsayılan olarak, WordPress kurulumunda 12 tablo bulunur ve her birinin güncellenmesi gerekir. Ancak bu, phpMyAdmin'deki SQL bölümü kullanılarak daha hızlı yapılabilir.
Her tabloyu manuel olarak değiştirmek çok zaman alacaktır, bu nedenle süreci hızlandırmak için SQL sorgularını kullanın. Aşağıdaki sözdizimi, veritabanınızdaki tüm tabloları güncellemenize izin verecektir:
`wp_commentmeta` tablosunu `wp_1secure1_commentmeta` İÇİN RENAME;
`wp_comments` tablosunu `wp_1secure1_comments` İÇİN YENİDEN ADLANDIRIN;
`wp_links` tablosunu `wp_1secure1_links` İÇİN RENAME;
'wp_options' tablosunu 'wp_1secure1_options' İÇİN YENİDEN ADLANDIRIN;
`wp_postmeta` tablosunu `wp_1secure1_postmeta` İÇİN RENAME;
`wp_posts` tablosunu `wp_1secure1_posts` İÇİN YENİDEN ADLANDIRIN;
`wp_terms` tablosunu `wp_1secure1_terms` İÇİN RENAME;
`wp_termmeta` tablosunu `wp_1secure1_termmeta` İÇİN RENAME;
`wp_term_relationships` tablosunu `wp_1secure1_term_relationships` İÇİN RENAME;
"wp_term_taxonomy" tablosunu "wp_1secure1_term_taxonomy" olarak yeniden adlandırın;
`wp_usermeta` tablosunu `wp_1secure1_usermeta` İÇİN RENAME;
`wp_users` tablosunu `wp_1secure1_users` İÇİN RENAME;
Bazı WordPress şablonları veya eklentileri, veritabanına ek tablolar ekleyebilir. MySQL veritabanınızda 12'den fazla tablonuz varsa, kalan tabloları SQL sorgunuza manuel olarak ekleyin ve çalıştırın.
Üçüncü Bölüm. Seçenekleri ve özel meta veri tablolarını kontrol etme
Yüklenen eklentilerin sayısına bağlı olarak, veritabanınızdaki bazı değerlerin manuel olarak güncellenmesi gerekir. Bunu, seçenekler ve meta veri tabloları için ayrı SQL sorguları yürüterek yapabilirsiniz.
Seçenekler tablosu için şunu kullanın:
'%wp_%' GİBİ 'option_name' NEREDE 'wp_1secure1_options' DAN * SEÇİN
Meta veri tablosu için:
`%wp_%` GİBİ `meta_key` `wp_1secure1_usermeta` NEREDEN * SEÇİN
Sorgu sonuçlarını aldığınızda, wp_'deki tüm değerleri yeni yapılandırılmış ön ekinize güncellemeniz yeterlidir. Kullanıcının meta veri tablosunda meta_key alanını düzenlemeniz gerekirken, seçenekler tablosu için seçenek_adı değerini değiştirmeniz gerekir.
Yeni WordPress kurulumlarının güvenliğini sağlama
Yeni WordPress web siteleri kurmayı planlıyorsanız, bunu baştan yapmanız gerekmez. Kurulum işlemi sırasında WordPress tablolarının öneklerini kolayca değiştirebilirsiniz.
Tebrikler! Veritabanı güvenliğinizi başarıyla geliştirdiniz.
Çözüm
WordPress, dünyadaki en hacklenebilir CMS olmasına rağmen, korumasını geliştirmek o kadar da zor değil. Bu kılavuzda, WordPress'i güvende tutmak için izlemeniz gereken 12 ipucu verdim.
Yazar biyografisi : Roy bir teknoloji meraklısı, sevgi dolu bir ikiz babası, özel bir yazılım şirketinde program, TheHomeDweller.com'un baş editörü, açgözlü okuyucu ve bir bahçıvandır.