WordPress Sitenizi Korumak için Başlangıç ​​Kılavuzu

WordPress en popüler içerik yönetim sistemlerinden biridir.

Aslında, bu yayıncılık platformu şu anda ilk 10 milyon sitenin %27,5'inden fazlası tarafından kullanılıyor. Joomla ve Drupal gibi diğer platformlar, karşılaştırıldığında çok sönük kalıyor. WordPress'i bu kadar yaygın olarak destekleyen şey, kısa sürede tamamen işlevsel bir site oluşturmayı mümkün kılan kullanım kolaylığıdır.

Ancak WordPress'in bu kadar yaygın olması, onu bilgisayar korsanları için de bir hedef haline getiriyor.

Herhangi bir güvenlik açığı, sitenizi kötü niyetli saldırılara açık hale getirebilir ve hatta bu süreçte kullanıcı verilerini tehlikeye atabilir. Bu tür bir saldırı, herhangi bir işletme için kesinlikle yıkıcı olabilir.

Güvenliği ihlal edilmiş bir site, yalnızca ziyaretçilerinize olan güveni azaltmakla kalmaz, aynı zamanda sayfalarınızın Google'da kara listeye alınmasına da neden olabilir. Aslında, Google'ın daha güvenli bir web için halihazırda attığı adımlardan biri, potansiyel olarak güvenli olmayan veya aldatıcı bir siteyi (örneğin, kimlik avı veya kötü amaçlı yazılım) ziyaret etmeye çalışan Chrome kullanıcıları için bir uyarı görüntülüyor.

Sitenizi ziyaret eden herkes (saldırıya uğramışsa) aşağıdakilerle karşılaşabilir:

Web sitesi güvenliğinin önemi yeterince vurgulanamaz.

Satışları tamamen durdurmak ve sitenizi potansiyel olarak Google'da kara listeye almak için tek yapmanız gereken tek bir saldırıdır. Sitenizin kaldırılması kesinlikle mümkündür, ancak soruna bağlı olarak çözülmesi birkaç gün hatta haftalar sürebilen manuel bir inceleme talep etmeniz gerekecektir. O zaman çok daha iyi bir çözüm, sitenizi korumak için adımlar atmaktır.

Burada, WordPress sitenizi nasıl koruyabileceğinizi ve güvende tutabileceğinizi derinlemesine inceliyoruz.

WordPress'i Güncel Tutun

WordPress için güncellemeler kritik öneme sahiptir.

11.000'den fazla virüslü sitenin değerlendirilmesi, %75'inin WordPress'te olduğunu buldu. Daha da şaşırtıcı olanı, bu web sitelerinin %50'sinden fazlasının güncelliğini yitirmiş olmasıdır. En son sürüme güncelleme, yalnızca daha yeni özelliklere erişmenizi sağlamakla kalmaz, aynı zamanda saldırganların yararlanabileceği bilinen güvenlik kusurlarını da yamalar.

Aslında, bu güvenlik açıkları, yeni güncellemeler kullanıma sunulduğunda bilinir. İşte WordPress'in güncellenmiş bir sürümü için bir güvenlik günlüğü örneği:

Bu bilgiler, yeni güncellemeler yayınlandıkça herkese açıktır. Ancak hemen güncelleme yapmazsanız sitenizi saldırılara açık bırakırsınız. Sitenizi yeni keşfedilen güvenlik açıklarına karşı güvende tutmak için her zaman en son sürüme güncelleyin. Mevcut güncellemeler varsa, kontrol panelinizin üst kısmında bir bildirim göreceksiniz:

WordPress'in daha yeni sürümleri, bir düğmeye tıklayarak kolayca güncelleme yapmanızı sağlar. Güncelleme tamamlanana kadar sitenizin kısa bir süre bakım moduna alınacağını unutmayın. Güncelleme sadece birkaç dakika sürer, ancak bittiğinde başka bir şey yapmanıza gerek kalmaz.

Sitenizi her seferinde manuel olarak güncellemek istemiyor musunuz?

Bildirimler oldukça can sıkıcı olabilir. Ancak WordPress'inizi güncellemek, sitenizi güvende tutmanın en kolay yollarından biridir. Sitenizin en son sürüme sahip olup olmadığı konusunda endişelenmek istemiyorsanız, birkaç basit ayar ile otomatik güncellemeleri yapılandırabilirsiniz.

wp-config.php dosyasını açın ve ona aşağıdaki satırı ekleyin:

[kod]
define('WP_AUTO_UPDATE_CORE', true);
[/kod]

Aynı dosyaya aşağıdaki satırı ekleyerek otomatik eklenti güncellemelerini de etkinleştirebilirsiniz:

[kod]
add_filter('auto_update_plugin', '__return_true');
[/kod]

Ve temalar için güncellemeleri etkinleştirmek için bu satırı ekleyin:

[kod]
add_filter('auto_update_theme', '__return_true');
[/kod]

Bu satırları eklemek, sitenizin başka bir işlem gerektirmeden güncel kalmasını sağlayacaktır. Güncellemeler veya bildirimlerle ilgilenmeyen biriyseniz, sitenizin her zaman güncel olmasını sağlamak için kesinlikle otomatik güncellemeleri yapılandırmak isteyeceksiniz.

Yönetici Alanını Koruyun

Bir şey ne kadar güvenli olursa olsun, doğru araçlara sahipse veya sahipler ihmalkarsa herkes kolayca erişebilir. WordPress ile yönetici alanı, bilgisayar korsanları için birincil hedeftir.

Bu sayfayı güvende tutmak için şu adımları izleyin:

Güçlü Bir Parola Kullanın

Zayıf bir parola kullanırsanız (ör. "12345", "parola" vb.), saldırganlar otomatik komut dosyaları kullanarak kaba kuvvet uygulayabileceğinden sitenizi daha büyük bir riske sokarsınız. Bu, sonunda biri çalışana kadar parolayı tekrar tekrar denemek anlamına gelir. . Ancak sayıların ve simgelerin birleşiminden oluşan güçlü bir parola kullanmak, en karmaşık programların bile kırılmasını neredeyse imkansız hale getirir.

WordPress siteniz için güçlü ve güvenli bir parola oluşturmak için Strong Password Generator gibi bir araç kullanın:

Böyle bir parolayı kaba bir şekilde zorlamak, bir bilgisayar programının kırılması yıllar hatta on yıllar alacaktır. Dezavantajı ise güçlü bir parolayı hatırlamanın zor olmasıdır. Ancak, saldırganların sitenize erişmesini engellemek anlamına geliyorsa, ödün vermeye kesinlikle değer. Neyse ki, parolanızı saklamak için kullanabileceğiniz çok sayıda parola yöneticisi var.

Kullanıcı Adınızı Değiştirin

WordPress'i ilk kurduğunuzda, bir kullanıcı adı girmeniz istenecektir.

Saldırganlar, hem kullanıcı adınız hem de şifreniz olmadan kontrol panelinize erişemez. Daha benzersiz bir kullanıcı adı kullanarak kaba kuvvet girişimlerini kolayca engelleyebilirsiniz. Bu yüzden bir kullanıcı adı seçerken “admin” kullanmayın.

Giriş Denemelerini Sınırla

Daha önce de belirtildiği gibi, saldırganlar kaba kuvvet kullanarak sitenize girmek için programları kullanabilir. Ancak, belirli bir IP adresinden giriş denemelerini sınırlamanıza izin veren Login LockDown gibi eklentiler mevcuttur. Birkaç denemeden fazlası başarısız olursa, o kullanıcı kilitlenir.

Giriş Sayfanızı Yeniden Adlandırın

Son olarak, yönetici alanını korumanın başka bir yolu da oturum açma sayfasını tamamen taşımaktır. Kontrol paneline genellikle www.yoursite.com/wp-admin adresinden erişilir. Ancak göze batan bir sorun, bilgisayar korsanlarının bir WordPress sitesine basitçe “ /wp-admin ” eklemenin onlara yönetici sayfasına erişim sağlayacağını bilmeleridir.

Protect WP-Admin, web yöneticilerinin yönetici paneli URL'sini özelleştirmesine izin vererek bu sorunu çözer:

Bu adımları izleyerek yönetici alanını korumak, sitenize yönelik otomatik saldırıları büyük ölçüde azaltabilir ve engelleyebilir.

İki faktörlü kimlik doğrulamayı etkinleştir

İki faktörlü kimlik doğrulama, saldırganların hesabınıza erişmesini daha da zorlaştırarak ek bir güvenlik katmanı ekler. Oturum açmak için yalnızca bir kullanıcı adı ve parola değil, aynı zamanda tipik olarak bir mobil cihaza SMS yoluyla gönderilen ek bir yetkilendirme kodu gerekir.

Bir saldırgan kullanıcı adınızı ve şifrenizi bir şekilde tahmin etse bile, yetkilendirme kodu olmadan hesabınıza giriş yapamaz. Sitenizde iki faktörlü kimlik doğrulamayı kolayca kurmak için Google Authenticator eklentisini indirin ve yükleyin:

Eklenti, doğrulama için Google Authenticator Uygulamasını kullanabilmenin yanı sıra, e-posta ve telefon görüşmesi doğrulaması gibi iki faktörlü kimlik doğrulama için ek seçenekler de sunar. Sitenizde birden fazla kullanıcı varsa, iki faktörlü kimlik doğrulama da kullanılabilir.

Önemli Dosyalara Erişimi Sınırlamak için .htaccess Kullanın

.htaccess dosyasıyla WordPress sitenizin güvenliğini daha da sağlamlaştırabilirsiniz. Bu dosya çoğunlukla WordPress'te URL'lerin daha kullanıcı ve arama motoru dostu olması için yeniden yazılması gibi web sitesi optimizasyonu için kullanılır. Ancak sitenizin güvenliğini artırmak için de kullanılabilir.

.htaccess dosyası genellikle kök klasörde bulunur ve bir FTP istemcisi veya cPanel aracılığıyla erişilebilir. Ayrıca, panodan doğrudan erişime izin veren Yoast tarafından SEO dahil olmak üzere çeşitli eklentiler mevcuttur.

.htaccess dosyasını kullanarak sitenizi korumanın birkaç yolu:

wp-config.php'yi gizle

wp-config.php dosyası her kurulumda standarttır ancak güvenlik anahtarları ve sitenize veritabanı bağlantı detayları gibi hassas bilgileri de içerir. Bunlar kesinlikle yanlış ellere geçmesini istemeyeceğiniz detaylar. O zaman en iyi çözüm, bu dosyayı tamamen gizlemek ve erişilemez hale getirmektir.

.htaccess dosyasına aşağıdaki kodu ekleyerek wp-config.php dosyasını gizleyin:

[kod]
<files wp-config.php>
izin ver, reddet
herkesten inkar
</files>
[/kod]

Dizine göz atmayı engelle

WordPress'in dosya yapısını uygulama şekli nedeniyle, ziyaretçilerin sitenizin klasörlerine ve dosyalarına yalnızca siteniz.com/wp-content/uploads adresine giderek erişmeleri tamamen mümkündür. Bu nedenle, saldırganlar bu bilgileri kötü amaçlar için kullanabileceğinden, dizin taramasını önlemek isteyeceksiniz.

.htaccess dosyanıza aşağıdaki satırı ekleyin:

[kod]
Seçenekler Tümü - Dizinler
[/kod]

Bilgisayar korsanları bir siteye bulaşmak üzere kötü amaçlı kod enjekte etmek için bu dosyaları kullanabileceğinden, PHP dosyalarının korunması inanılmaz derecede önemlidir. Eklentinize ve temanızın PHP dosyalarına erişimi engellemek için .htaccess dosyanıza aşağıdaki kodu ekleyin:

[kod]
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
[/kod]

Bu değişiklikleri .htaccess dosyanıza eklemeniz bile WordPress sitenizin güvenliğini artıracak ve saldırganların sitenize erişmesini daha da zorlaştıracaktır. Ne olursa olsun, sürekli olarak yeni güvenlik açıkları keşfedilip istismar edildiğinden, tamamen güvenli bir site diye bir şey yoktur.

Bu nedenle, işlerin daha da kötüye gitmesi durumunda bir yedekleme planınız olması gerekir.

Sitenizi Düzenli Olarak Yedekleyin Düzenli Yedeklemeler Yapın

Ne kadar güvenlik önlemi alırsanız alın, siteniz hala savunmasız olabilir.

WordPress on yılı aşkın bir süredir piyasada olmasına rağmen, geliştirme ekibi sürekli olarak güvenlik sorunlarını tespit ediyor ve düzeltiyor. Yüklediğiniz herhangi bir yeni tema veya eklentinin henüz düzeltilmemiş açıklardan yararlanabileceğinden bahsetmiyorum bile.

Bu nedenle sitenizi düzenli olarak yedeklemek iyi bir fikirdir. Bu şekilde sitenizi hızlı bir şekilde geri yükleyebilir ve siteniz bir saldırıdan alınırsa kayıpları en aza indirebilirsiniz.

Sitenizin düzenli bir programa göre yedeklendiğinden ve ayrıca buluta kaydedildiğinden emin olmak isteyeceksiniz. Bilgisayarınızın güvenliği ihlal edilmişse, bu yedeklemeye erişebilir ve başka bir cihazdan geri yükleyebilirsiniz. BackupBuddy gibi otomatik bir çözüm kullanmanızı öneririz.

Çoğu yedekleme çözümü, ücretli bir abonelik gerektirir. Ancak işiniz için web sitenize güveniyorsanız, yalnızca gönül rahatlığı için ödeme yapmaya değer. Sitenizin bir saldırı nedeniyle kapanması durumunda hosting sağlayıcınız ile çalışabilir ve sitenizi yedek alarak kolayca eski bir sürüme döndürebilirsiniz.

Çözüm

WordPress nispeten güvenli olsa da, temalar, eklentiler ve özel kod eklemek, bilgisayar korsanlarının yararlanabileceği (ve yapabileceği) bir güvenlik açığı olasılığını artırır. Şu anda belirli güvenlik önlemleri almazsanız, siteniz potansiyel bir hedef olabilir.

Hiçbir sistemin tamamen güvenli olmadığını unutmamak önemlidir. Ancak, kötü niyetli bir saldırıdan etkilenme olasılığını büyük ölçüde azaltacak, alabileceğiniz önlemler vardır.

WordPress sitenizin güvenliğini güçlendirmek için burada belirtilen adımları izleyin.