WordPress Sitenizi Güvenli Hale Getirmenin 14 Yolu – Adım Adım

WordPress güvenliği, site sahipleri için en önemli öncelik olmalıdır. Neden? Niye? Çünkü WordPress sitelerinde her dakika 90.000'e kadar saldırı gerçekleşmektedir.

Bu yeterli değilse, Google her hafta yaklaşık 20.000 web sitesini kötü amaçlı yazılım ve 50.000 web sitesini kimlik avı için kara listeye alır. Ve bir web sitesi kara listeye alındığında - ve kullanıcılar riskleri kabul etmeye zorlandıklarında - bu, trafiğin yaklaşık %95'inin kaybına neden olur.

WordPress'in en son sürümü her zaman mevcut en güvenli sürüm olsa da, sitenizin bilgisayar korsanlarına ve botlara karşı dayanıklı olmasını sağlamak için yapabileceğiniz daha çok şey var.

Sitenizin güvenliğini sağlamanıza yardımcı olacak bazı en iyi uygulama ipuçlarını burada bulabilirsiniz.

1. İyi Bir Web Sunucusu Kullanın
2. Yalnızca Kaliteli Temalar ve Eklentiler Kullanın
3. WordPress Çekirdeği, Temalar ve Eklentileri Güncel Tutun
4. Kullanıcı Adı Olarak “Yönetici” Kullanmayın
5. Güçlü Bir Parola Kullanın
6. İki Faktörlü Kimlik Doğrulamayı Kullan
7. Giriş Denemelerini Sınırla
8. SSL sertifikası yükleyin
9. Veritabanı Önekini Değiştir
10. wp-config.php ve .htaccess Dosyalarını Koruma
11. Güvenlik Anahtarları Ekle
12. Dosya Düzenlemeyi Devre Dışı Bırak
13. PHP Dosyalarının Yürütülmesini Önleyin
14. XML-RPC'yi Seçerek Devre Dışı Bırak

1. İyi Bir Web Sunucusu Kullanın

İyi bir web barındırma, sitenize yapılan saldırılara karşı ilk savunma hattınızdır. Bu nedenle, otomatik olarak ucuz paylaşılan barındırmayı tercih etmeyin. Bunun yerine ödevini yap.

PHP ve MySQL gibi temel web teknolojilerinin en son sürümlerini destekleyen saygın bir ana bilgisayarla gidin. Sunucunuzun PHP 7'yi desteklediğini kontrol ettiğinizden emin olun – bu, WordPress için önerilen resmi PHP sürümüdür.

Yönetilen bir WordPress ana bilgisayarı seçmeyi düşünün. Bu hizmetler özellikle WordPress için kurulur ve güvenlik, yedeklemeler, çalışma süresi ve performans dahil olmak üzere barındırmanın tüm önemli teknik yönleriyle ilgilenir.

2. Yalnızca Kaliteli Temalar ve Eklentiler Kullanın

WPScan'a göre, web sitesi güvenlik açıklarının %52'si eklentilerden, %11'i ise temalardan kaynaklanıyor. Birleştirin, bu WordPress güvenliğinin %60'ından fazlası

Eklentilerinizin ve temalarınızın saldırılara karşı koyabilmesini sağlamanın en kolay yolu, onları yalnızca saygın kaynaklardan indirmektir. Buna WordPress.org ve premium sağlayıcılar dahildir. Temalarında ve eklentilerinde kötü amaçlı kod saklayan tehlikeli geliştiricilerden indirme yapmak sitenizin güvenliğini tehlikeye atabilir.

İndirmek istediğiniz bir web sitesinin güvenli olup olmadığından emin değilseniz, istediğiniz ürünün ses kalitesinden emin olmak için referanslara ve incelemelere bakın.

Ayrıca, kullandığınız eklentilerin ve temaların da iyi desteklendiğinden ve düzenli olarak güncellendiğinden emin olun. Bir eklenti veya tema uzun süredir güncellenmediyse, yamalanmamış güvenlik açıkları veya hatta sizi saldırılara karşı savunmasız bırakabilecek kötü kodlar içeriyor olabilir.

Son olarak, yalnızca gerçekten ihtiyacınız olan ve kullandığınız eklentileri ve temaları saklayın. Ne kadar çok sahipseniz, saldırıya uğrama riskiniz o kadar yüksek olur. Bu nedenle, eklentiler ve temalar listenizi düzenli olarak gözden geçirin ve ihtiyacınız olmayanları devre dışı bırakın ve silin.

3. WordPress Çekirdeğini, Temalarını ve Eklentilerini Güncel Tutun

WordPress açık kaynaklı bir yazılımdır ve dünya çapında bir gönüllü topluluğu tarafından geliştirilir ve sürdürülür. Her yeni sürümde, tüm güvenlik açıkları yamalanır.

Varsayılan olarak, WordPress küçük güncellemeleri otomatik olarak yükler (ör. WordPress 4.9.4). Ancak büyük sürümler için (ör. WordPress 4.9), en son sürüme manuel olarak güncelleme yapmak sizin sorumluluğunuzdadır.

Sitenizin her zaman WordPress'in en son sürümünü çalıştırdığından emin olun.

Bu temel güncellemeler, sitenizin güvenliği ve performansı için kritik öneme sahiptir. Bu nedenle, sitenizi yedeklediğinizden ve mevcut olduklarında temel güncellemeleri uyguladığınızdan emin olun.

Aynı şekilde, her zaman en güncel ve güvenli yazılım sürümlerini kullanabilmeniz için eklentileri ve temaları düzenli olarak güncellemek de önemlidir.

4. Kullanıcı Adı Olarak “Yönetici” Kullanmayın

Siteniz için kullanıcı adı olarak "admin" kullanmayın. WordPress'in önceki sürümlerinde varsayılan kullanıcı adı olarak "admin" kullanılıyordu, bu da bilgisayar korsanlarının işini kolaylaştırıyordu - kaba kuvvet saldırısı sırasında bulmacanın bir parçası daha az tahmin ediliyordu.

Ancak WordPress'in son sürümleri bunu değiştirerek kullanıcılara kurulum sırasında kendi kullanıcı adlarını girme fırsatı verdi. Ancak, bazı insanlar hala orijinal bir kullanıcı adı bulmak yerine “admin” kullanmayı tercih ediyor. Sadece yapma.

Kötü niyetli saldırganların sitenize girmesini zorlaştırmak istiyorsunuz, bu nedenle saldırılar daha uzun sürüyor ve siz veya barındırma sağlayıcınız tüm saldırıları başarılı olmadan önce tespit edip durdurabiliyor.

5. Güçlü Bir Parola Kullanın

WordPress yönetici hesabınız, veritabanınız, barındırma hesabınız, e-posta adresiniz ve tüm FTP hesaplarınız için her zaman güçlü ve benzersiz parolalar oluşturun. Kullanıcı adları gibi, parolalar da bilgisayar korsanlarının tahmin etmesi için bulmacanın başka bir parçasıdır ve parolanız ne kadar güçlüyse, bilgisayar korsanlarının sitenize başarıyla giriş yapmasını o kadar zorlaştırırsınız.

Kurulum sırasında, WordPress size güçlü bir şifre koymaya çalışacak ve eğer zayıf bir şifre girerseniz bir kutuyu işaretlemenizi isteyecektir. Kendi şifrenizi oluşturmak isteyebilirsiniz, ancak Secure Password Generator gibi araçlar sizin için güçlü bir şifre oluşturabilir.

Güvenli Parola Oluşturucu, benzersiz ve rastgele parolalar oluşturmanıza olanak tanır.

6. İki Faktörlü Kimlik Doğrulamayı Kullanın

Güçlü bir kullanıcı adı ve parola ile bile, kaba kuvvet saldırıları birçok web sitesi için hala bir sorundur. İki faktörlü kimlik doğrulamanın yardımcı olabileceği yer burasıdır.

İki faktörlü kimlik doğrulama, oturum açma işlemine başka bir adım ekleyerek, kullanıcıları normal oturum açma kimlik bilgilerinin yanı sıra cep telefonlarına gönderilen bir kodu girmeye zorlar. Bu, otomatik saldırıları engelleyebilir ve sitenizin bilgisayar korsanlarının kurbanı olmamasını sağlayabilir.

iThemes Security gibi eklentiler, iki faktörlü kimlik doğrulamayı uygulayabilir. Sitenize bu ekstra güvenlik katmanını ekleyebilecek İki Faktörlü Kimlik Doğrulama gibi ücretsiz eklentiler de vardır.

Ücretsiz İki Faktörlü Kimlik Doğrulama eklentisi, sitenize giriş yaparken kolayca başka bir koruma katmanı eklemenizi sağlar.

7. Giriş Denemelerini Sınırlayın

Varsayılan olarak, WordPress hesabınıza istediğiniz kadar giriş yapmayı deneyebilirsiniz. Unutkansanız ve parolanızı her zaman ilk, hatta üçüncü seferde alamazsanız bu sizin için uygun olsa da, kaba kuvvet saldırganları gerçekleştiren bilgisayar korsanları için de uygundur - onlara sınırsız sayıda kırma girişimi sağlar kullanıcı adı ve şifre kombinasyonunuz.

Bu, bir kullanıcının sitenizde yapabileceği başarısız oturum açma denemelerinin sayısını sınırlayarak kolayca düzeltilebilir. WP Limit Login Attempts gibi ücretsiz eklentiler, giriş denemelerini sınırlamanıza ve IP adreslerini geçici olarak engellemenize izin verir.

8. Bir SSL Sertifikası yükleyin

Özellikle bir e-ticaret mağazanız varsa, sitenize bir SSL sertifikası yüklemek bir zorunluluktur. Yalnızca bilgisayar korsanlarının kullanıcı tarayıcıları ve sunucunuz arasındaki hassas bilgileri ele geçirmesini zorlaştıracağı için değil, aynı zamanda Google'ın artık tüm sitelerde bir tane olması gerektiğinde ısrar etmesi nedeniyle.

Temmuz 2018'de Chrome 68'in piyasaya sürülmesiyle birlikte HTTPS olmadan yüklenen web sayfaları "güvenli değil" olarak işaretlenecek. Bu, SSL sertifikası olmayan sitelere erişmeye çalışan kullanıcıların sitenin güvenilmez olduğuna dair bir uyarı alacağı anlamına gelir.

Bu duyuru çok önemli çünkü Cloudflare'a göre web ziyaretçilerinin yarısından fazlası bu uyarıları görecek.

Let's Encrypt, site sahipleri için SSL sertifikaları sağlayan ücretsiz bir sertifika yetkilisidir.

SSL sertifikası almak giderek daha kolay hale geliyor. Let's Encrypt ücretsiz açık kaynak sertifikaları sunarken, barındırma şirketleri genellikle bir tane ücretsiz (ve hatta bazen ücretsiz) sağlar.

9. Veritabanı Önekini Değiştirin

Varsayılan olarak, WordPress sitenizin veritabanındaki tüm tablolar için ön ek olarak wp_ kullanır. Bu, varsayılanı kullanıyorsanız - ki bu yaygın WordPress bilgisidir - bilgisayar korsanlarının tablonuzun adını kolayca tahmin ederek SQL enjeksiyonlarına karşı savunmasız kalması anlamına gelir.

Bunu düzeltmenin basit bir yolu, ön eki rastgele bir dizi oluşturucu kullanarak 5jiqtu69dg_ gibi rastgele bir şeyle değiştirmek. Tablonuzun önekini güncellemek için sitenizin dosya dizininin kökündeki wp-config.php dosyasını açın ve şu satırı bulun:

 $table_prefix = 'wp_';

Örneğimi kullanarak, satırı şu şekilde değiştirirsiniz:

 $table_prefix = '5jiqtu69dg_';

Ardından, veritabanınızda kullanılan öneki güncellemeniz gerekecek. iThemes Security gibi güvenlik eklentileri bunu hızlı ve kolay bir şekilde yapmanıza yardımcı olabilirken, bunu phpMyAdmin aracılığıyla manuel olarak nasıl yapacağınızı buradan öğrenebilirsiniz.

10. wp-config.php ve .htaccess Dosyalarını Koruma

Sitenizin, genellikle web sitenizin kök klasöründe bulunan wp-config.php dosyası, veritabanınız için ad, ana bilgisayar, kullanıcı adı ve şifre dahil olmak üzere WordPress kurulumunuzla ilgili kritik bilgileri içerir. Bu arada, .htaccess, dizin düzeyinde sunucu yapılandırmasını belirleyen, güzel kalıcı bağlantılar sağlayan ve yeniden yönlendirmelere izin veren gizli bir dosyadır.

Bu kritik dosyalara erişimi engellemek kolaydır. wp-config.php'yi korumak için aşağıdakileri .htaccess dosyanıza ekleyin:

 <Dosyalar wp-config.php>
izin ver, reddet
herkesten inkar
</Dosyalar>

Alternatif olarak, wp-config.php dosyanızı daha yüksek bir dizine taşıyabilirsiniz çünkü WordPress onu otomatik olarak orada arayacaktır.

.htaccess'e istenmeyen erişimi durdurmak için tek yapmanız gereken koddaki dosya adını değiştirmek:

 <Dosyalar .htaccess>
izin ver, reddet
herkesten inkar
</Dosyalar>

11. Güvenlik Anahtarlarını Ekleyin

WordPress güvenlik anahtarları ve tuzları, tarayıcı çerezlerinde depolanan bilgileri şifreleyerek şifreleri ve diğer hassas bilgileri korur. Toplamda dört güvenlik anahtarı vardır: AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY ve NONCE_KEY .

Bu kimlik doğrulama anahtarları temelde bir dizi rastgele değişkendir ve parolalarınızı kırmayı zorlaştırır. “Wordpress” gibi şifrelenmemiş bir parola, saldırganların kırmak için fazla çaba gerektirmez. Ancak “L2(Bpw 6#:S.}tjSKYnrR~.Dys5c>+>2l2YMMSVWno4`!%wz^GOBf};uj*>-tkye” gibi uzun ve rastgele bir şifreyi kırmak çok daha zordur.

Güvenlik anahtarları ve tuzları eklemek manuel bir işlemdir ve yapılması kolaydır. Bunu nasıl yapacağınız aşağıda açıklanmıştır:

1. Yeni bir dizi güvenlik anahtarı ve tuz alın. Bunları burada rastgele oluşturabilirsiniz.
2. Ardından, wp-config.php dosyanızı güncelleyin. Dosyanızı açın ve aşağıdaki bölümü bulana kadar aşağı kaydırın ve eski değerleri yeni anahtarlarınız ve tuzlarınızla değiştirin:

 /**#@+
 * Kimlik Doğrulama Benzersiz Anahtarlar ve Tuzlar.
 *
 * Bunları farklı benzersiz ifadelerle değiştirin!
 * Bunları {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org gizli anahtar hizmetini} kullanarak oluşturabilirsiniz.
 * Mevcut tüm çerezleri geçersiz kılmak için bunları istediğiniz zaman değiştirebilirsiniz. Bu, tüm kullanıcıları tekrar oturum açmaya zorlayacaktır.
 *
 * @2.6.0'dan beri
 */
define('AUTH_KEY', 'buraya benzersiz değişkenler ekleyin');
define('SECURE_AUTH_KEY', 'buraya benzersiz değişkenler ekleyin');
define('LOGGED_IN_KEY', 'buraya benzersiz değişkenler ekleyin');
define('NONCE_KEY', 'buraya benzersiz değişkenler ekleyin');
define('AUTH_SALT', 'buraya benzersiz değişkenler ekleyin');
define('SECURE_AUTH_SALT', 'buraya benzersiz değişkenler ekleyin');
define('LOGGED_IN_SALT', 'buraya benzersiz değişkenler ekleyin');
define('NONCE_SALT', 'buraya benzersiz değişkenler ekleyin');

/**#@-*/

3. wp-config.php dosyanızı kaydedin. WordPress sitenizden otomatik olarak çıkış yapacaksınız ve tekrar giriş yapmanız gerekecek.

12. Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, eklenti ve tema dosyaları için dahili bir kod düzenleyiciye sahiptir. Bu, dosyalarda hızlı değişiklik yapmak isteyen yöneticiler için faydalı olsa da, bilgisayar korsanlarının ve üst düzey kullanıcıların da dosya değişiklikleri yapabileceği anlamına gelir. Bu özelliği, WordPress yöneticinizde Görünüm > Düzenleyici'ye giderek bulabilirsiniz.

wp-config.php dosyanızda dosya düzenlemeyi devre dışı bırakabilirsiniz. Sadece dosyanızı açın ve şu kod satırını ekleyin:

 define('DISALLOW_FILE_EDIT', true);

Eklentilerinizi ve temalarınızı, WordPress yöneticisinde değil, FTP veya cPanel aracılığıyla düzenlemeye devam edebileceksiniz.

13. PHP Dosyalarının Yürütülmesini Önleyin

Bilgisayar korsanlarının WordPress'e kötü amaçlı yazılım yüklemesi için ortak bir klasör wp-content/uploads, ayrıca wp-includes/ . Dosyaların bu klasörlerde yürütülmesini önlemek için, bir metin düzenleyicide yeni bir metin dosyası oluşturun ve şu kodu yapıştırın:

 <Dosyalar *.php>
herkesten inkar
</Dosyalar>

Ardından, bu dosyayı .htaccess olarak kaydedin ve FTP veya cPanel aracılığıyla hem /wp-content/uploads hem de wp-includes/ klasörlerinize yükleyin.

14. XML-RPC'yi Seçerek Devre Dışı Bırakın

XML-RPC veya XML Uzaktan Yordam Çağrısı, web ve mobil uygulamaları WordPress sitenize bağlamanıza yardımcı olan bir API'dir. WordPress 3.5'te varsayılan olarak etkinleştirildi, ancak o zamandan beri kaba kuvvet saldırılarını önemli ölçüde artırdığı bulundu.

Örneğin, bir bilgisayar korsanı sitenizde 500 farklı şifre denemek isterse, genellikle 500 ayrı giriş denemesi yapmak zorunda kalır. Ancak XML-RPC ile bilgisayar korsanı, tek bir HTTP isteğinde çok sayıda kullanıcı adı ve parola kombinasyonunu denemek için system.multicall işlevini kullanabilir.

Siteniz için bu özelliği tamamen devre dışı bırakmak kolay olsa da, Jetpack gibi eklentiler için işlevselliği kaybetmek anlamına gelir. Bunun yerine, özel olarak tasarlanmış eklentileri kullanarak XML-RPC'yi uygulama ve devre dışı bırakma yönteminizde seçici olmak en iyisidir.

Bonus: Güvenlik Açıkları Nasıl Kontrol Edilir

Sitenizde güvenlik açıklarını kontrol etmenin birkaç farklı yolu vardır: çevrimiçi bir site tarayıcısı veya bir eklenti ile.

Bu ücretsiz çevrimiçi araçlarla, tek yapmanız gereken sitenizin URL'sini girin ve sitenizi bilinen güvenlik açıkları için taramaya başlayacaklar:

WordPress Güvenlik Taraması – Bu araç, temel güvenlik sorunlarını pasif olarak kontrol eder. Gelişmiş testler için premium plana geçmeniz gerekecek.

Sucuri SiteCheck – Bilinen kötü amaçlı yazılımlar, kara listeye alınma durumu, web sitesi hataları ve güncel olmayan yazılımlar için web sitenizi kontrol edin. Premium yükseltme ile bu araç, kötü amaçlı yazılım temizleme, DDoS/kaba kuvvet koruması, kara liste kaldırma ve güvenlik izleme işlemlerini gerçekleştirir.

WPScan - GitHub'da barındırılan bu kara kutu WordPress güvenlik açığı tarayıcısı, sitenizi çekirdek, eklentiler ve temalarla bilinen güvenlik açıkları için taramanıza olanak tanır. Bu uygulamayı çalıştırmak için Terminal'i kullanmanız gerekecek. Kişisel kullanım için ücretsizdir ve Sucuri sponsorluğundadır.

Bonus: En İyi WordPress Güvenlik Eklentileri

WordPress sitenize bir güvenlik eklentisi yüklemek, olası saldırılara karşı başka bir savunma hattı ekler. Site taramaları da dahil olmak üzere sitenizin güvenliğini sağlamaya yardımcı olacak çok çeşitli özellikler sunarlar ve sitenizin güvenliği ihlal edildiğinde sizi bilgilendirebilirler.

İşte en iyi 3 eklenti:

kelime çiti

Wordfence güvenlik eklentisi.

WordFence, 2 milyondan fazla aktif kurulum ve mevcut bir premium seçenek ile oldukça popüler bir ücretsiz güvenlik eklentisidir. En yeni güvenlik duvarı kurallarını, kötü amaçlı yazılım imzalarını ve kötü amaçlı IP adreslerini alarak web sitenizi koruyan bir “Tehdit Savunması Akışı” içerir.

Bir web uygulaması güvenlik duvarı kötü niyetli trafiği tespit edip engellerken, gerçek zamanlı bir IP kara listesi kötü amaçlı IP'lerden gelen tüm istekleri engelleyerek sitenizi korurken yükü azaltır.

Bu eklenti, oturum açma girişimlerini sınırlayarak, güçlü parolaları zorunlu kılarak ve diğer oturum açma güvenlik önlemlerini alarak kaba kuvvet saldırılarına karşı koruma sağlar. Sitenizde herhangi bir enfeksiyon türü bulursa, sizi e-posta ile bilgilendirecektir. Ayrıca saldırı altında olup olmadığını kontrol etmek için sitenize gelen trafiği gerçek zamanlı olarak izleyebilirsiniz.

Sucuri

Sucuri güvenlik eklentisi.

Ücretsiz bir güvenlik eklentisi olarak, Sucuri'nin güvenlik eklentisi, sitenizde yapılan tüm değişiklikleri gözleyebilmeniz için güvenlik etkinliği denetimi, dosya bütünlüğü izleme, uzaktan kötü amaçlı yazılım taraması, kara liste izleme ve güvenlik güçlendirme önlemleri dahil olmak üzere kapsamlı bir dizi özellik sunar.

Eklentinin "saldırı sonrası güvenlik eylemleri" bölümü, bir uzlaşmadan sonra yapmanız gereken üç önemli şeyde size yol gösterir. Ayrıca, sitenizde bir enfeksiyon bulunduğunda veya güvenliği ihlal edildiğinde güvenlik bildirimlerini etkinleştirebilirsiniz, böylece anında uyarılırsınız.

Premium sürüme yükselttiğinizde, ek koruma için bir web sitesi güvenlik duvarına erişim elde edersiniz.

iThemes Güvenliği

iThemes Güvenlik eklentisi.

iThemes Security'nin ücretsiz sürümü WordPress'i kilitlemeye, ortak delikleri düzeltmeye ve kullanıcı kimlik bilgilerini güçlendirmeye yardımcı olurken, profesyonel sürüm, ihtiyaç duyabileceğiniz hemen hemen her güvenlik önlemini içerir.

İki faktörlü kimlik doğrulama, kötü amaçlı yazılım tarama planlaması ve kullanıcı eylemi günlüğü vardır, böylece kullanıcıların ne zaman içerik düzenlediğini, oturum açtığını veya oturumu kapattığını takip edebilirsiniz. Güvenlik anahtarlarını ve tuzları güncelleyebilir, şifre süre sonu ayarlayabilir ve sitenize Google reCAPTCHA ekleyebilirsiniz.

Diğer özellikler arasında çevrimiçi dosya karşılaştırması, WP-CLI entegrasyonu ve sitenize geçici yönetici veya düzenleyici erişimi verebilmeniz için geçici ayrıcalık yükseltme bulunur.

Çözüm

WordPress sitenizi güvenlik tehditlerine karşı korumanın doğru bir yolu yoktur. Yapabileceğiniz en iyi şey, WordPress çekirdeğini, temalarını ve eklentilerini güncel tutmak ve güvenlik açıklarını yamalayan, kritik dosyaları koruyan ve kullanıcıları kimlik bilgilerini güçlendirmeye zorlayan bir dizi farklı çözüm uygulamaktır.

Düzenli yedeklemeler planlamak da bir zorunluluktur. Sitenizin bir saldırıya ne zaman yenik düşeceğini asla bilemezsiniz, bu nedenle hazır olmanız ve acil bir durumda sitenizi hızla geri yüklemek için bir planınızın olması önemlidir.

Sitenizi güvenlik açıkları için taramanıza, eylemleri izlemenize ve bir şeyler yolunda gitmediğinde sizi uyarmanıza olanak tanıyan sağlam bir güvenlik eklentisine yatırım yapmak, sitenizi sağlamlaştırmaya ve tehditlere karşı iyi korunmasına yardımcı olur.