Kısa Bir Mola

WordPress Güvenlik Rehberi

WordPress güvenliği, her web sitesi sahibi için çok önemli bir konudur. Google, kötü amaçlı yazılımlar için her gün yaklaşık 10.000’den fazla web sitesini ve her hafta kimlik avı için yaklaşık 50.000 web sitesini kara listeye alır.

Web siteniz konusunda ciddiyseniz, WordPress güvenliği en iyi uygulamalarına dikkat etmeniz gerekir. Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olacak en iyi WordPress güvenlik ipuçlarını paylaşacağız.

WordPress çekirdek yazılımı çok güvenli olmasına ve yüzlerce geliştirici tarafından düzenli olarak denetlenmesine rağmen, sitenizi güvende tutmak için yapılabilecek çok şey vardır.

GameJETON’da, güvenliğin sadece risklerin ortadan kaldırılması olmadığına inanıyoruz. Aynı zamanda risk azaltma ile ilgilidir. Bir web sitesi sahibi olarak, WordPress güvenliğinizi iyileştirmek için yapabileceğiniz çok şey var (teknoloji meraklısı olmasanız bile).

Web sitenizi güvenlik açıklarına karşı korumak için uygulayabileceğiniz bir dizi uygulanabilir adımımız var.

İşinizi kolaylaştırmak için, nihai WordPress güvenlik kılavuzumuzda kolayca gezinmenize yardımcı olacak bir içerik tablosu oluşturduk.

Web Sitesi Güvenliği Neden Önemlidir?

Saldırıya uğramış bir WordPress sitesi, işletmenizin gelirine ve itibarına ciddi zararlar verebilir. Bilgisayar korsanları kullanıcı bilgilerini, şifreleri çalabilir, kötü amaçlı yazılımlar yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

Web siteniz bir işletme ise, WordPress güvenliğinize daha fazla dikkat etmeniz gerekir.

Fiziksel mağaza binalarını korumanın işletme sahiplerinin sorumluluğuna benzer şekilde, çevrimiçi bir işletme sahibi olarak işletmenizin web sitesini korumak sizin sorumluluğunuzdur.

WordPress’i Güncel Tutmak

WordPress, düzenli olarak bakımı yapılan ve güncellenen açık kaynaklı bir yazılımdır. Varsayılan olarak, WordPress küçük güncellemeleri otomatik olarak yükler. Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.

WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve temayla birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeler yayınlayan üçüncü taraf geliştiriciler tarafından korunur.

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve istikrarı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.

Güçlü Parolalar ve Kullanıcı İzinleri

En yaygın WordPress hackleme girişimleri, çalınan şifreleri kullanma. Web siteniz için benzersiz olan daha güçlü şifreler kullanarak bunu gerçekleştirebilirsiniz. Sadece WordPress yönetici alanı için değil, aynı zamanda FTP hesapları, WordPress barındırma hesabı ve sitenizin alan adını kullanan özel e-posta adresleriniz için.

Yeni başlayanların çoğu, hatırlaması zor olduğu için güçlü parolalar kullanmayı sevmez. İşin iyi yanı, artık şifreleri hatırlamanıza gerek kalmamasıdır. Bir şifre yöneticisi kullanabilirsiniz. WordPress şifrelerini nasıl yöneteceğinizle ilgili kılavuzumuza bakın .

Riski azaltmanın bir başka yolu, kesinlikle mecbur kalmadıkça kimsenin WordPress yönetici erişmesine izin vermemektir. Büyük bir ekibiniz veya yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress’teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun.

WordPress Hosting’in Rolü

Kişisel WordPress barındırma hizmeti WordPress sitenizin güvenliğinde en önemli rol oynar. İşte iyi bir web barındırma şirketinin web sitelerinizi ve verilerinizi korumak için arka planda nasıl çalıştığı.

  • Şüpheli etkinlik için ağlarını sürekli izlerler.
  • Tüm iyi barındırma şirketlerinin büyük ölçekli DDOS saldırılarını önlemek için araçları vardır
  • Bilgisayar korsanlarının eski bir sürümdeki bilinen bir güvenlik açığından yararlanmasını önlemek için sunucu yazılımlarını ve donanımlarını güncel tutarlar.
  • Büyük kaza durumunda verilerinizi korumalarına olanak tanıyan olağanüstü durum kurtarma ve kaza planlarını uygulamaya hazırlar.

Paylaşılan bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bu, bir bilgisayar korsanının web sitenize saldırmak için komşu bir siteyi kullanabileceği siteler arası kirlenme riskini açar.

Yönetilen bir WordPress barındırma hizmetini kullanmak , web siteniz için daha güvenli bir platform sağlar. Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar

Kolay Adımlarda WordPress Güvenliği (Kodlama Yok)

WordPress güvenliğini iyileştirmenin yeni başlayanlar için korkunç bir düşünce olabileceğini biliyoruz. Özellikle teknoloji konusunda bilgili değilseniz.

WordPress güvenliğinizi sadece birkaç tıklama ile nasıl geliştirebileceğinizi göstereceğiz (kodlama gerekmez).

Bir; WordPress Yedekleme Çözümü Kurun

Yedeklemeler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey% 100 güvenli değildir. Devlet web siteleri saldırıya uğrayabiliyorsa, sizinki de saldırıya uğrayabilir.

Yedeklemeler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.

Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedeklemeler söz konusu olduğunda bilmeniz gereken en önemli şey, tam site yedeklerini düzenli olarak uzak bir konuma (barındırma hesabınıza değil) kaydetmeniz gerektiğidir.

Amazon, Dropbox gibi bir bulut hizmetinde veya Stash gibi özel bulutlarda depolamanızı öneririz.

Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar ya günde bir kez ya da gerçek zamanlı yedeklemeler olabilir.

En İyi WordPress Güvenlik Eklentisi

Yedeklemelerden sonra yapmamız gereken bir sonraki şey, web sitenizde olan her şeyi takip eden bir denetim ve izleme sistemi kurmaktır.

Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması vb. Dahildir.

Neyse ki, tüm bunlar en iyi ücretsiz WordPress güvenlik eklentisi Wordfence tarafından halledilebilir.

WordPress Sitenizi SSL / HTTPS’ye Taşıyın

SSL (Güvenli Yuva Katmanı), web siteniz ile kullanıcı tarayıcısı arasındaki veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birinin etrafta dolaşıp bilgi çalmasını zorlaştırır.

SSL’yi etkinleştirdiğinizde, web siteniz HTTP yerine HTTPS kullanacak, ayrıca tarayıcıda web sitesi adresinizin yanında bir asma kilit işareti göreceksiniz.

SSL sertifikaları genellikle sertifika yetkilileri tarafından verilir ve fiyatları her yıl 10 dolardan yüzlerce dolara ulaşır. Ek maliyet nedeniyle, çoğu web sitesi sahibi güvenli olmayan protokolü kullanmaya devam etmeyi seçti.

Bunu düzeltmek için Let’s Encrypt adlı kar amacı gütmeyen bir kuruluş, web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından destekleniyor.

Artık tüm WordPress web siteleriniz için SSL kullanmaya başlamak her zamankinden daha kolay. Birçok barındırma şirketi artık WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor.

Varsayılan “admin” kullanıcı adını değiştirin

Eski günlerde, varsayılan WordPress yönetici kullanıcı adı “admin” idi. Kullanıcı adları, oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bilgisayar korsanlarının kaba kuvvet saldırıları yapmasını kolaylaştırdı.

Neyse ki, WordPress o zamandan beri bunu değiştirdi ve şimdi WordPress’i yüklerken özel bir kullanıcı adı seçmenizi gerektiriyor.

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, temanızı ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenizi sağlayan yerleşik bir kod düzenleyiciyle birlikte gelir. Yanlış ellerde, bu özellik bir güvenlik riski oluşturabilir, bu yüzden onu kapatmanızı öneririz.

Aşağıdaki kodu wp-config.php dosyanıza ekleyerek bunu kolayca yapabilirsiniz.

  1. // Disallow file edit
  2. define( 'DISALLOW_FILE_EDIT', true );

Belirli WordPress Dizinlerinde PHP Dosya Yürütmeyi Devre Dışı Bırakın

WordPress güvenliğinizi sağlamanın bir başka yolu da / wp-content / uploads / gibi gerekli olmayan dizinlerde PHP dosyası yürütmeyi devre dışı bırakmaktır.

Bunu, Not Defteri gibi bir metin düzenleyicisi açıp bu kodu yapıştırarak yapabilirsiniz:

  1. <Files *.php>
  2. deny from all
  3. </Files>

Sonra, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki / wp-content / uploads / klasörlerine yüklemeniz gerekir.

Oturum Açma Girişimlerini Sınırla

Varsayılan olarak WordPress, kullanıcıların istedikleri kadar oturum açmaya çalışmasına izin verir. Bu, WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Bilgisayar korsanları, farklı kombinasyonlarla giriş yapmaya çalışarak şifreleri kırmaya çalışır.

Bu, bir kullanıcının yapabileceği başarısız oturum açma girişimlerini sınırlayarak kolayca düzeltilebilir. Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.

İki Faktörlü Kimlik Doğrulama Ekleme

İki faktörlü kimlik doğrulama tekniği, kullanıcıların iki aşamalı bir kimlik doğrulama yöntemi kullanarak oturum açmasını gerektirir. İlki kullanıcı adı ve şifredir ve ikinci adım, ayrı bir cihaz veya uygulama kullanarak kimlik doğrulamanızı gerektirir.

Google, Facebook, Twitter gibi en iyi çevrimiçi web sitelerinin çoğu, bunu hesaplarınız için etkinleştirmenize izin verir. Aynı işlevselliği WordPress sitenize de ekleyebilirsiniz.

WordPress Veritabanı Önekini Değiştirin

Varsayılan olarak, WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_ kullanır . WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden onu değiştirmenizi tavsiye ediyoruz.

Şifre Korumalı WordPress Yönetici ve Giriş Sayfası

Normalde, bilgisayar korsanları herhangi bir kısıtlama olmaksızın wp-admin klasörünüzü ve oturum açma sayfanızı talep edebilir. Bu, bilgisayar korsanlığı hilelerini denemelerine veya DDoS saldırıları gerçekleştirmelerine olanak tanır.

Sunucu tarafı düzeyinde, bu istekleri etkili bir şekilde engelleyecek ek parola koruması ekleyebilirsiniz.

Dizin İndekslemeyi ve Taramayı Devre Dışı Bırak

Dizine göz atma, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip dosyalarınız olup olmadığını öğrenmek için kullanılabilir, böylece erişim sağlamak için bu dosyalardan faydalanabilirler.

Dizine gözatma, başkaları tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı ve diğer bilgileri bulmak için de kullanılabilir. Bu nedenle dizin indekslemeyi ve taramayı kapatmanız şiddetle tavsiye edilir.

FTP veya cPanel’in dosya yöneticisini kullanarak web sitenize bağlanmanız gerekir. Ardından, web sitenizin kök dizininde .htaccess dosyasını bulun.

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Options -Indexes

WordPress’te XML-RPC’yi devre dışı bırakın

XML-RPC, WordPress sitenizi web ve mobil uygulamalara bağlamanıza yardımcı olduğu için WordPress 3.5’te varsayılan olarak etkinleştirilmiştir.

Güçlü yapısı nedeniyle XML-RPC, kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Örneğin, geleneksel olarak bir bilgisayar korsanı web sitenizde 500 farklı şifre denemek isterse, 500 ayrı oturum açma denemesi yapması gerekir ve bu giriş kilitleme eklentisi tarafından yakalanır ve engellenir.

Ancak XML-RPC ile, bir bilgisayar korsanı system.multicall işlevini kullanarak binlerce şifreyi 20 veya 50 istekle denemek için kullanabilir .

Bu nedenle XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.

İpucu: .htaccess yöntemi en iyisidir çünkü en az kaynak yoğun yöntemdir.

Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu güvenlik duvarı tarafından halledilebilir.

Hepsi bukadar, bumakale en iyi WordPress güvenlik en iyi uygulamalarını öğrenmenize ve web siteniz için en iyi WordPress güvenlik eklentilerini keşfetmenize yardımcı olur.

İlgili Yazılar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir