WordPress Web Sitenizi Güvenlik Açıklarına Karşı Korumanın İpuçları

Bu makaleye, WordPress web sitesi istismarlara karşı nasıl güvence altına alınır? veya

WordPress sitesi tarafından saldırılara ve kötü amaçlı yazılımlara karşı nasıl önlenir?

Veya İpuçları, WordPress web sitenizi tüm istismarlara karşı korur.

Elbette bu doğru makale ve bu, WordPress web sitenizi korumanıza yardımcı olacak her türlü teknik, araç ve eklentiden bahsediyor.

W3Techs'e göre WordPress, dünyadaki tüm web sitelerinin %24,9'una ulaşan CMS kullanan tüm web sitelerinin %58'inden fazlasına güç veriyor.

Bu nedenle, WordPress kullanımındaki artış ve kurulumun ne kadar kolay olduğu ve kullanımının ne kadar kolay olduğu konusundaki artan popülaritesi ile birlikte, eklentilerin yanı sıra daha fazla WordPress Teması kullanmanın bir yükselişi oldu.

Ama kolay olduğu için yanında gelen bir binici de var. Tüm varsayılan ayarlarında kullanılırsa, bilgisayar korsanlarının onu hacklemesi oldukça kolay hale gelir.

Bu nedenle, güvenliği anlama ve WordPress destekli web sitenizi güvenceye alma ihtiyacı, çünkü hiç kimse web sitelerinin saldırıya uğramasını istemez.

Google'da şu anahtar kelimeyi aradığınızda açıktır: “WordPress hack'i önleyin”, 8 milyon veya daha fazla sonuçla çıkıyor, geliştiricilerin yanı sıra acemi kullanıcılar gibi insanların WordPress web siteleri için hack önleme tekniklerini ve araçlarını ne kadar çok bilmek istedikleri.

İşte WordPress tema geliştiricilerinin düşünebileceği tekniklerin yanı sıra ipuçlarının ve araçların bir listesi.

Elbette bu makale bir tartışmaya yol açabilir ve zaman geçtikçe daha fazla girdi ve daha fazla ekleme yapılabilir.

En basit tekniklerle başlayacağız ve ardından daha karmaşık olanlara geçeceğiz:

Güvenlik için daha basit ipuçları:

1. Barındırma : Barındırma işleminiz, WordPress web sitenizin güvenliğini sağlamada çok önemli ve önemli bir rol oynar. Çoğu zaman, saldırıya uğramanıza neden olan kötü ev sahibi.

Harika bir barındırma hizmetiniz varsa, birçok şey hızlı bir şekilde çözülebilir ve hayal kırıklığınızın çoğu azaltılabilir. Örneğin: Yedeklemeler kolaydır.

Brute Force saldırıları ve spam ve SQL enjeksiyonu genellikle kontrol edilir ve önlenir. Bu nedenle en çok önerilen ana bilgisayarlar ve araçları hakkında konuşacağız.

a. Paylaşımlı Hosting : Çoğu insan sadece web sitelerini başlatmak ister ve bu nedenle ilk seferde çok fazla harcamak istemezler ve bu nedenle platformları olarak paylaşımlı hostingi seçerler.

Paylaşımlı hosting sağlayan binlerce hosting firması var ve hepsini buraya eklememiz mümkün değil ama biz sadece bizzat denediğimiz ve önerebileceğimiz 4 paylaşımlı hosting'i dahil ediyoruz.

Ancak daha iyi veya benzer bir hizmet olabilir. Bize bildirin:

Bence. Bluehost : Bluehost, WordPress.org tarafından barındırma sayfasında sürekli olarak anılmaktadır: https://wordpress.org/hosting/ Bir WordPress web sitesine ihtiyacınız olması durumunda, hem WordPress premium barındırma hizmetine sahip olduğundan hem de paylaşılan barındırma için iyi bir başlangıç ​​noktasıdır. 1 tıklama yükleme ile gelecekteki ve basit paylaşılan barındırma.

Ayda 3 ila 4 USD'ye mal olan paylaşımlı bir barındırma olduğundan, özellik veya hizmet eksikliğinden fazla şikayet edemezsiniz.

Ancak, yedekleme sihirbazı olarak bilinen otomatik bir yedekleme aracı vardır, kullanabileceğiniz cpanel ile birlikte gelir. Böylece yedeklemeler güvende olmanızı sağlayabilir ve web siteniz saldırıya uğrarsa yedeği geri yükleyebilirsiniz.

ii. A Small Orange : Biz şahsen bu hostingde barındırılıyoruz ve Bluehost'ta bulunan özelliklerin çoğu burada mevcut. Ama hepsinden önemlisi, en çok sevdiğimiz ve yukarıdaki ana bilgisayardan bile daha iyi olduğunu söyleyebileceğimiz destek.

Destek biletleri 5-6 saat içinde cevaplanıyor ve her zaman birkaç dakika içinde canlı sohbette birisiyle sohbet ediyoruz.

Destek, bu sunucuyu diğerlerinden farklı kılan şeydir, çünkü ücretsiz sağlayabilecekleri çok sayıda yanıt ve yardım vardır. Yapmanız gereken tek şey onlardan istemek. Örnek: NGINX sunucu önbelleği kurulumu, Yedeklemeler ve nasıl kullanılacağı vb.

iii. SiteGround : Bir başka popüler WordPress paylaşımlı barındırma, web sitenizi yedeklemeniz için iyi araçlar da sağlar. Dinlenme cpaneli ve standart özellikleri mevcuttur. Sohbet ayrıca proaktiftir ve destek biletleri sıklıkla yanıtlanır.

iv. Godaddy : Godaddy, alan adlarının en büyük kayıt şirketidir ve bu nedenle çoğu, barındırma için de tercih eder. Fazla mesai Godaddy, WordPress için güvenilir bir barındırma yapmak için birkaç değişiklik yaptı.

Ayrıca, yedeklemelere ve diğer kullanımı kolay araçlara izin veren standart Cpanel WordPress barındırma hizmeti vermeye başladı.

B. Yönetilen WordPress barındırma : Küçük bir bütçesi olan ve güvenliklerini onlar için yönetmek isteyenler için.

Bu 2 barındırma şirketi, güvenilir bulduğumuz, diğerlerinden daha ucuz ve genellikle web sitenizi korumanıza yardımcı olmanın yanı sıra hangi eklentilerin iyi ve hangilerinin iyi olmadığını size bildiriyor.

Ayrıca gece yedeklemeleri vardır, bu, onlarla içinizin rahat olduğu anlamına gelir. Bu nedenle, yönettikleri için nadir görülen bir hack gerçekleştiğinde, yedeği hızlı bir şekilde geri yükleyebilirler:

Bence. WP Engine : WP Engine, çoğu için önerdikleri eklentilerin listesini bilmenizi sağlar. Bu nedenle, savunmasız eklentiler uzak tutulur.

ii. FlyWheel : Flywheel, güvenliği kendileri üstlendiği için herhangi bir güvenlik eklentisi yüklememenizi söyler; bu, eklentileri yükledikten sonra hiçbir şey yapmanıza gerek olmadığı ve gerisini onlar halledeceği anlamına gelir.

2. Yedeklemeler : Yedeklemeler, cpanel dosya yöneticisi kullanılarak veya ftp (dosyalar için) ve cpanel veya ana bilgisayar veritabanı erişimi kullanılarak phpMyAdmin kullanılarak veritabanı indirme yoluyla olabilir.

WordPress web sitenizi manuel olarak nasıl yedekleyebileceğinize dair 100'lerce eğitim var. Ancak, güvenli oldukları ve güzel bir şekilde yazılmış oldukları için Codex Yedekleme Prosedürlerini okumayı düşünmelisiniz: http://codex.wordpress.org/WordPress_Backups.

Birkaç eklenti de var. Burada bahsettiğimiz çoğu iyi çalıştığı ve diğerlerinden iyi yorumlar aldığı için kısaca onlardan bahsedeceğiz:

a. YedeklemeWordPress
B. BackUpBuddy (bu eklentinin ücretli versiyonu da mevcuttur)
C. VaultBasın
D. Dropbox Yedekleme ve Geri Yükleme
e. Amazon S3 Yedekleme ve Geri Yükleme

3. WordPress Sürümünü Güncelleyin : Çoğu zaman WordPress'in eski sürümünün kullanılması nedeniyle sitenizin saldırıya uğrama riski vardır. WordPress, önceki sürümlerinde ve zaman zaman güncellenen diğer katkıda bulunanlar tarafından bildirildiği üzere birçok güvenlik kusurunu ve parametresini tanır.

Bu nedenle, WordPress'in en son sürümünü kullanmak, saldırıya uğrama veya kötü amaçlı yazılımlar tarafından bağlanma riskini azaltmalıdır.

4. WordPress eklentilerini ve temalarını güncelleme : Genellikle aynı şekilde tema yazarları ve eklenti yazarları güncellemeleri ve özellikleri yayınlar. Çoğu zaman özellik güncellemeleridir.

Ancak zaman zaman bu yazarlar güvenlik açıklarını da fark eder ve bu nedenle güncel eklentileri ve temaları kullanmaya devam etmek iyi bir uygulamadır.

5. Varsayılan kullanıcı adını ve parolayı değiştirin : Yerel sunucuda veya bir test sitesinde olduğunuz sürece, basit sayı dizileri veya yönetici tutma gibi varsayılan kullanıcı adı ve varsayılan parola kullanımı uygundur.

Ancak ticari web siteleri için varsayılan kullanıcı adını ve şifreyi değiştirmeniz önemlidir.

Artık WordPress'in en son sürümleriyle güvenli kullanıcı adı seçmek mümkündür ve güvenli şifre oluşturur, ancak WordPress'in eski sürümlerine sahip kullanıcılar için şifrenizi değiştirmek için profilinize gidebilirsiniz.

Ancak kullanıcı adını değiştirmek için, oradan değiştirmekte rahat olmanız durumunda phpMyAdmin'i kullanın veya aşağıdaki eklentilerden herhangi birini kullanın:
a. Yönetici yeniden adlandırıcı genişletildi
B. Kullanıcı Adı Değiştirici

6. Brute Force Saldırıları için 2 Adımlı Kimlik Doğrulama : Sitenizin çok sayıda Brute Force saldırısı alması ve yüksek trafik veya hassas bilgilere sahip olması durumunda 2 adımlı doğrulama önemlidir.

2 adımlı kimlik doğrulama, WordPress web sitesi oturum açma alanınızı güvence altına alır ve onu kaba kuvvet saldırıları için çok karmaşık hale getirir. 2 adımlı kimlik doğrulama için kullanılabilecek eklentiler şunlardır:
a. nota anahtarı
B. ikili
C. Authy
D. Google Kimlik Doğrulayıcı
e. Rublon

Bu basit adımlar, bir kullanıcının en azından zamanında yedeklemeye sahip olması ve en azından web sitesini minimum güvenlikle sunması konusunda aklının bir parçası olmasını sağlamalıdır.

Tartışacağımız sonraki adımlar, WordPress web sitenizi daha da güvenli hale getirmek için daha karmaşık adımlar.

Karmaşık Adımlar:

1. WordPress'i Codex ile Sertleştirme bölümünde listelenen adımlar : http://codex.wordpress.org/Hardening_WordPress
Bu adımların çoğu geliştiriciler veya WordPress'i oldukça uzun süredir kullanan ve wp-config'in nasıl çalıştığını anlayan kişiler içindir.

Dosya yöneticisi veya ftp kullanmış ve htaccess, wp-config vb. değişiklikleri uygulayabilir.

Bu adımlar kesinlikle web sitenizi güvence altına almak için bir başlangıç ​​noktası görevi görür. Ancak yine de daha sonra tartışacağımız birkaç güvenlik eklentisinden bazıları WordPress web sitenize net bir güvenlik kapsamı yerleştirecek ve bu nedenle aşağıdakileri de kontrol etmelisiniz:

2. Kötü amaçlı yazılım tespitlerinde ve dosya değişikliği tespitinde yardımcı olacak eklentiler :

a. Sucuri Site Scan : Sucuri Site Scan'in birkaç sekmesi vardır. İlk sekmede, oturum açma, kaba kuvvet saldırıları, yeni kullanıcıların kaydı, başarısız oturum açma girişimleri için uyarılar, eklenti yükleme vb. uyarılar için ne zaman bildirim alınacağına ilişkin genel ayarlar bulunur.

Bu nedenle, web sitenizde çok sayıda kullanıcınız ve eklenti yükleyebilecek çok sayıda yöneticiniz veya düzenleyiciniz varsa, bu özellikler yararlı ve önemlidir.

İkincisi, herhangi bir eklenti veya tema dizininde bulunan her türlü kötü amaçlı yazılım veya kötü amaçlı kod hakkında bilgi veren kötü amaçlı yazılım taramasıdır.

Ayrıca hata dosyalarını, varsa değiştirilmiş dosyaları da kontrol eder. Site trafiğiniz düşükse ve paylaşılan barındırmada barındırılıyorsanız tarama azaltılmalıdır, çünkü tarama da çok fazla barındırma ramı alır.

Üçüncü kısım, WordPress sürümünün kaldırılması gibi güvenliğin güçlendirilmesidir (düşük sürümler hacklenmeye daha yatkın olduğundan, bilgisayar korsanları sürümü kontrol eder ve hangi sürümde ne tür güvenlik açıklarının bulunduğunu bilirler).

Bu nedenle WordPress sürümünün kaldırılması, Medyanın depolandığı Uploads dizininin güvenli hale getirilmesi ve sağlamlaştırılması, wp-içerik erişiminin kısıtlanması, readme.html'nin sağlamlaştırılması, varsayılan yönetici hesabının kaldırılması ve değiştirilmesi, varsayılan veritabanı önekinin değiştirilmesi Sucuri Güvenlik Duvarı koruması .

Bunu test etmedik, ancak web sitenizi DDOS, Brute Force ve SQL enjeksiyonlarına karşı korumanıza yardımcı olacağını iddia ettiği Cloudproxy Güvenlik Duvarı'nı kullanıyoruz. Bu özelliği kullandıysanız, bu güvenlik duvarının gerçekten yardımcı olduğuna dair kanıtımız olmadığı için bize bildirin.

B. Antivirus : Faydalı bulduğumuz bir diğer eklenti ise Antivirus. Güvenlik ve istismar için WordPress Tema dosyalarını ve veritabanı dosyalarını algılar.

Bu güvenlik eklentisinin tek dezavantajı, wp-cron kullanması ve günlük bir tarama kurarsanız ve paylaşılan barındırma o kadar güçlü değilse ve web sitenizin boyutu daha büyükse.

Sayfalar, gönderiler ve veritabanı açısından, bu eklenti, dosyalar ve veritabanı tablolarını tararken çok fazla kaynak tüketebilir.

C. ELI'den Kötü Amaçlı Yazılımdan Koruma ve Kaba Kuvvet Güvenliği : Adından da anlaşılacağı gibi Kötü Amaçlı Yazılımdan Koruma ve Brute Force Security bu konuda harika bir iş çıkarıyor.

Eklentiye gotmls.net adresinden kaydolursanız, bilinen tehditlerin tüm güncellemelerini alırsınız. Ayrıca herhangi bir komut dosyası için htaccess'i tarar, timethumb açıklarını kontrol eder ve sizi uyarır, herhangi bir arka kapı komut dosyasını kontrol eder ve sizi kullanmamanızı ister ve herhangi bir güvenlik açığı için oturum açma bilgilerinizi kontrol eder.

Böylece bu eklenti, kötü amaçlı yazılımdan koruma görevini yerine getirir. Tüm orijinal WordPress dosyalarını da kontrol eder. Bunu kullanabilir ve mevcut web sitenizde herhangi bir sorun olup olmadığını kontrol edebilir ve düzeltebilirsiniz.

D. Tema Orijinallik Denetleyicisi : Çoğu durumda, eklentilerin taranmasını ve oturum açma, WordPress dosyaları vb. gibi genel WordPress panosu güvenliğini sağlamaya çalışıyoruz.

Ancak WordPress temaları ve güvenlikleri de önemlidir çünkü kolayca saldırıya uğrayabilecek gereksiz komut dosyaları veya gizlenmiş kötü amaçlı kodlar olabilir.

Bu nedenle bu eklenti, temanızın taranması ve kontrol edilmesi için güzel bir araç olarak hizmet eder ve hangi dosyaların istenmeyen veya hangi kodun sorunlu olduğunu öğrendikten sonra, kodun kaldırılması veya değiştirilmesi için orijinal tema yazarına başvurabilirsiniz.

Daha güvenli uygulamalar için veya çok fazla güvenlik açığı varsa daha güvenli bir tema kullanın. Tema kontrolleri için çoğu durumda Antivirüs'ten daha iyi sonuç verir.

3. WordPress web sitenizin güvenliğini sağlayacak Güvenlik Eklentileri

a. Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı : Bu, web sitenizde alabileceğiniz güvenliğin çoğunu özetleyen aşağıdakilerle ilgilenir:
Bence. Kullanıcı Giriş Güvenliği
ii. Kullanıcı Hesabı Güvenliği
iii. Kullanıcı Kayıt Güvenliği
iv. Sistem Dosyası Güvenliği
v. Güvenlik Duvarı Kurulumu
vi. Kara Liste Özelliği
vii. Veritabanı Güvenliği
viii. Yedeklemeler
ix. Güvenlik Duvarı ve Brute Force

B. WordÇit Güvenliği

C. Daha İyi WP Güvenliği (şimdi iThemes Güvenliği)

D. Kurşun Geçirmez Güvenlik

4. Diğerleri bu listenin dışında tutulmuştur, ancak yararlı olabilir :

a. Acunetix WP Security : Son zamanlarda WordPress.org'da bu eklenti için çok sayıda olumsuz yorum geldi, bu yüzden size tavsiye edemedik.

B. 6Scan Security : Birçok müşteri, bu eklentinin yüklenmesinden sonra sitenin boş kalmasından şikayet etti ve bu nedenle size tavsiye edemedik.

C. Tarayıcıdan Yararlanma

D. Quttera Web Kötü Amaçlı Yazılım Tarayıcı