WordPress Güvenlik Önlemleri- Güvenlik Açıkları Nasıl Kapatılır?

Facebook
Twitter
LinkedIn
WhatsApp
Email
Bize Sorun
İçindekiler

WordPress güvenliği her web sitesi sahibi için büyük önem taşıyan bir konudur.

Web sitenize deger veriyorsanuz WordPress güvenliğinin önem vermelisiniz. Aksi takdirde Google’ın her gün kötü amaçlı yazılım ve kimlik avı nedeniyle kara listeye aldığı 10.000’den fazla web sitesinden birisi sizin web siteniz olabilir.

Bu yazımızda, web sitenizi hackerlara ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olacak en iyi WordPress güvenlik ipuçlarımızı paylaşacağız.

WordPress çekirdek yazılımı çok güvenli olmasına ve yüzlerce geliştirici tarafından düzenli olarak denetlenmesine rağmen sitenizi güvende tutmak için manuel olarak sizlerin dikkat etmesi gerekenler önlemler mevcuttur.

wordpress guvenlik neden onemli

Web Sitesi Güvenliği Neden Önemlidir?

Saldırıya uğramış bir WordPress web sitesi işletmenizin gelirine ve itibarına ciddi zarar verir. Bilgisayar korsanları kullanıcı bilgilerini ve parolalarını çalabilir, kötü amaçlı yazılımlar yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

En kötüsü, web sitenize tekrar erişebilmek için bilgisayar korsanlarına ödeme yapma durumuna gelebilirsiniz.

Wordpress guncelleme

WordPress’i Güncel Tutun

WordPress açık kaynaklı bir yazılımdır ve düzenli olarak bakımı yapılır ve güncellenir. Varsayılan olarak WordPress küçük güncellemeleri otomatik olarak yükler. Büyük güncellemeleri manuel yapmalısınız.

Ayrıca WordPress tema ve eklentilerinizi devamlı kontrol edip güncellemeniz gerekmektedir.

Güçlü Şifreler ve Kullanıcı İzinleri Kullanın

WordPress giriş bilgilerinizdeki şifreleri, ve veritabanı kullanıcı ve şifresini,e-posta şifrelerinizi kimseyle paylaşmayın ve mümkünse uzun ve güvenli şifreler kullanın.

Ayrıca veritabanı ön ekinizi değiştirin.Çok kullanıcılı bir siteniz var ise kullanıcıları bilgilendirin ve rollerini kısıtlayın.

Güvenilir WordPress Hosting Kullanın

WordPress hostinginiz site güvenliğiniz için en önemli etkendir.Hosting hizmetini güvendiğiniz bilinen bir firma tercih ediniz.

İyi hosting saglayıcı sunucu tarafında şu önlemleri almalıdır:

  • Şüpheli faaliyetlere karşı ağlarını sürekli olarak izlemeli
  • DDOS ataklarına karşı önlem almalı
  • Sunucu yazılımlarını, PHP sürümlerini ve donanımlarını güncel tutmalı
  • Saldırı veya hack sonucu kurtarma ve yedekleme hizmeti sağlamalı

Paylaşımlı hosting kullanırsanız sitenizin bulunduğu sunucudaki hacklenen herhangi bir site sonucu sizin sitenizin de hacklenme riski artar.Bu nedenle sitenizi paylaşımlı hostingler de değil VPS ve VDS alarak kendi sunucunuzda barındırın.

WordPress Güvenlik Açıkları Nasıl Kapatılır

WordPress güvenliğinizi üst seviye çıkaracak tekniklerden bazılarını sizlerle paylaşacağız. Bu teknikleri ile sitenizi güvenlik açıklarını kapatabileceksiniz.

Wordpress sitenizi yedekleyin

WordPress Sitenizi Günlük Olarak Yedekleyin

WordPress sitenizi yedekleyerek siteniz hacklenmesine karşı aldığınız en önemli önlemdir.Her site hacklenebilir bu sebeple her gün sitenizin yedeğinin alınmasını tavsiye ediyoruz.

WordPress sitenizi hosting taraflı yedekleme de yapabilirsiniz veya WordPress eklentileri le günlük yedek alabilirsiniz.UpdraftPlus ve WP Migration eklentileri ile yedekleme alabilirsiniz.

Amazon, Dropbox gibi bir bulut hizmetinde saklayabilirsiniz.

WordPress Güvenlik Eklentisi Kullanın

Web sitenizde olup biten her şeyi takip eden bir denetleyen ve izleyen WordPress güvenlik eklentisi kurmalısınız.

Sucuri veya Wordfence eklentileri kurarak ve ayarlarını yaparak güvenliğiniz artırabilirsiniz.

WordPress warez(nulled) tema ve eklentilerini kullanmayınız.Warez eklentiler ve temalar sitenizi Çin virüsü bulaştırabilir.

Web Uygulaması Güvenlik Duvarını (WAF) Etkinleştirme

Sitenizi korumanın ve WordPress güvenliğinizden emin olmanın en kolay yolu bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.

Bir web sitesi güvenlik duvarı, tüm kötü amaçlı trafiği web sitenize ulaşmadan önce engeller.

  • DNS düzeyinde bir web sitesi güvenlik duvarı , web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca gerçek trafik göndermesine olanak tanır.
  • Uygulama düzeyinde bir güvenlik duvarı , trafiği sunucunuza ulaştığında, ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem sunucu yükünü azaltmada DNS düzeyindeki güvenlik duvarı kadar etkili değildir.

WordPress güvenlik eklentileri olan SUCURİ ve Wordfence kullanarak ile WAF’ı aktif edebilirsiniz.

WordPress Sitenize SSL Yükleyin

SSL sertifikası (Güvenli Yuva Katmanı), web siteniz ile kullanıcının tarayıcısı arasındaki veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birinin etrafta dolaşmasını ve bilgiyi çalmasını zorlaştırır.

SSL’yi etkinleştirdiğinizde web sitenizin adresi HTTP yerine HTTPS’yi kullanır . Ayrıca tarayıcınızda web sitenizin adresinin yanında asma kilit veya benzeri bir simge işareti göreceksiniz.

Varsayılan Yönetici Kullanıcı Adını Değiştirme

WordPress kurulum aşamasında kullanıcı adınızı admin veya yönetici tahmin edilebilen isim kullanmayın.Yeni kullanıcı açacağınız zaman da aynı şekilde hackerların tahmin edemeyeceği isimler kullanmaya özen gösterin.

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, temanızı ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenize olanak tanıyan yerleşik bir kod düzenleyiciyle birlikte gelir.

Bu özellik yanlış ellere geçtiğinde güvenlik riski oluşturabilir, bu yüzden onu kapatmanızı öneririz.

 wp-config.php dosyanıza aşağıdaki kodu ekleyerek  kolayca dosya düzenlemeyi devre dışı bırakabilirsiniz.

// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );

PHP Dosya Yürütmeyi Devre Dışı Bırakma

WordPress güvenliğinizi güçlendirmenin başka bir yolu da, PHP dosya yürütmesinin gerekli olmadığı dizinlerde (örneğin /wp-content/uploads/)  kapatılmasıdır.

Aşağıdaki kodu .htaccess dosyanıza ekleyerek php dosya yürütmesini kapatabilirsiniz.

<Files *.php>

deny from all

</Files>

Oturum Açma Denemelerini Sınırla

WordPress varsayılan olarak kullanıcıların istedikleri kadar oturum açma denemelerini izin verir.Hacker kaba kuvvet saldırıları ile kullanıcı adı ve şifresinizi kırmaya çalışabilir.Bunun için bu denemeleri sınırlandırmanız gerekir.

Varsayılan olarak WordPress, kullanıcıların istedikleri kadar oturum açmayı denemelerine olanak tanır. Bu, WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır . Bilgisayar korsanlarının farklı kombinasyonlarla giriş yapmaya çalışarak şifreleri kırmaya çalıştığı yer burasıdır.

Ücretsiz Limit Login Attempts Reloaded eklentisini kurup etkinleştirmeniz gerekiyor ..

Etkinleştirmenin ardından eklenti, kullanıcıların gerçekleştirebileceği oturum açma denemelerinin sayısını sınırlamaya başlayacaktır.

İki Faktörlü Kimlik Doğrulama Ekle (2FA)

İki faktörlü kimlik doğrulama yöntemi , kullanıcıların oturum açması için 2 farklı adım gerektirir:

  1. İlk adım kullanıcı adı ve şifredir.
  2. İkinci adım, akıllı telefonunuz gibi, bilgisayar korsanlarının erişemediği, sahip olduğunuz bir cihazdan veya uygulamadan bir kod kullanmanızı gerektirir.

Google, Facebook ve Twitter gibi en iyi çevrimiçi web sitelerinin çoğu, bunu hesaplarınız için etkinleştirmenize olanak tanır. Aynı işlevselliği WordPress sitenize de ekleyebilirsiniz.

Öncelikle WP 2FA – İki Faktörlü Kimlik Doğrulama eklentisini kurup etkinleştirmeniz gerekiyor.

Kullanıcı dostu bir sihirbaz, eklentiyi kurmanıza yardımcı olacak ve ardından size bir QR kodu verilecektir.

WordPress Veritabanı Önekini Değiştirin

Varsayılan olarak WordPress, WordPress veritabanınızdaki wp_ tüm tablolar için önek olarak kullanılır .

WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bu durum bilgisayar korsanlarının tablo adınızı tahmin etmesini kolaylaştırır. Bu nedenle değiştirmenizi öneririz.

Veritabanı ön ekinizi sitenizi kurarken değiştirebilirsiniz.Aktif sitenizde veritabanı ön ekini değiştirmek istiyorsanız phpmyadmin ve wp-config dosyasını kullanarak değiştirmelisiniz

WordPress WP- Admin Giriş Yolunu Değiştirme

WordPress versayılan girişi olan wp-admin uzantısını eklenti kullanarak değiştirin.Çünkü hackerler bu varsayılan girişi bildikleri için kullanıcı adınızı ve şifrenize brüte force ataklar yaparak şifrenizi kırabilirler.

WPS Hide Login eklentisi WordPress wp-admin girişi yolunu değiştirebilirsiniz.

Dizin Taramayı Devre Dışı Bırak

Dizin tarama, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim kazanmak için bu dosyalardan yararlanabilirler.

Dizin tarama, diğer kişiler tarafından dosyalarınıza bakmak, görselleri kopyalamak, dizin yapınızı öğrenmek ve diğer bilgileri sağlamak için de kullanılabilir. Bu nedenle dizin indekslemeyi ve göz atmayı kapatmanız önemle tavsiye edilir.

.htaccess dosyasının sonuna aşağıdaki kodu ekleyerek dizin taramayı kapatın.

Options -Indexes

Kötü Amaçlı Yazılım ve Güvenlik Açıklarına Karşı WordPress’i Tarayın

Yüklü bir WordPress güvenlik eklentiniz varsa , bu eklenti düzenli olarak kötü amaçlı yazılımları ve güvenlik ihlali belirtilerini kontrol edecektir.

Ancak web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz , kötü amaçlı yazılımlara karşı manuel olarak tarama yapmak isteyebilirsiniz. Bunu WordPress güvenlik eklentinizi veya en iyi kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanarak yapabilirsiniz. 

WordPress Güvenlik Hizmeti için bizimle iletişime geçiniz.

WordPress güvenliği hizmeti ile sitenizi olası saldırı karşı alınabilecek tüm önlemleri alıyoruz. Saldırıya uğramış bir siteniz varsa site kurtarma hizmeti de sağlamaktayız.

Yorum Gönderin

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir