WordPress Sitenizi 2021'de Hackerlardan Koruyun

Her gün 100.000'den fazla web sitesi bilgisayar korsanları tarafından hedefleniyor! Bu nedenle, WordPress sitenizi güvende tutmak çok önemlidir. Web siteniz herhangi bir zamanda bu web sitelerinden biri olabilir. WordPress oldukça güvenlidir. Ancak, birçok WordPress sitesi bilgisayar korsanlığının kurbanıdır. Bu, WordPress'in kendisiyle daha az ve bir web yöneticisi olarak sitenize nasıl baktığınız ve güvenliğinizi nasıl kurduğunuzla daha çok ilgilidir.

Sitenizi başlattığınızda güvenli olduğundan emin olsanız bile, güvenlik bakımına ayak uydurmak sitenizin her zaman uygun şekilde korunmasını sağlayacaktır.

Başlamadan önce, WordPress sitelerinin sahip olduğu bazı yaygın güvenlik sorunları hakkında bilgi sahibi olmak iyi bir fikirdir :

• Kaba Kuvvet Saldırıları – Kaba Kuvvet Saldırıları, güçlü bir parolaya sahip olmanın önemli olmasının nedenidir. Saldırgan, WordPress sitenize erişmek için doğru giriş kombinasyonunu elde edene kadar giriş bilgilerini tekrar tekrar girer.
• Kötü Amaçlı Yazılım - Kötü amaçlı yazılımın kısaltması olan kötü amaçlı yazılım, işletme sahibine ve müşterilerine veya bağlantılarına ait hassas verileri toplamak için bir web sitesine yetkisiz erişim sağlamak için kullanılan koddur.
• Dosya Ekleme İstismarları – Dosya İçerme İstismarları, uzak dosyaları yüklemek için güvenli olmayan kod kullanıldığında meydana gelir ve bu da bilgisayar korsanlarının web sitenize erişmesine izin verir. Bu aynı zamanda, esasen WordPress kurulumunuzun omurgası olan wp-config.php dosyanıza erişim sağlayacaktır. Bu dosyanın güvenliği ihlal edilirse, bilgisayar korsanları veritabanı oturum açma bilgilerine ve şifreleme güvenliğine erişebilir.
• SQL Enjeksiyonları – SQL enjeksiyonları, WordPress veritabanınıza yapılan bir saldırıdır, bu sayede saldırgan veritabanınıza ve dolayısıyla verilerinize erişim kazanır. Bu olduğunda, saldırgan kötü niyetli bağlantılar ve spam içerebilecek verileri ekleyebilir ve değiştirebilir.
• Siteler Arası Komut Dosyası Çalıştırma – Siteler Arası Komut Dosyası Çalıştırma, eklentilerle ilgili en yaygın sorundur ve bir saldırganın, güvenli olmayan javascript komut dosyaları içeren web sayfalarını bilmeden yüklemesini sağlamak için bir yol bulan bir saldırgan tarafından çalışır.

Güvenliğiniz Tehdit Edildiğinde Ne Olur?

Bilgisayar korsanları, verilerinizi ve müşterilerinize ait tüm verileri çalabilir ve bu verileri açıkta bırakabilir. Sitenizden ziyaretçilerinize kötü amaçlı yazılımlar yayılabilir ve bu da SEO sıralamanıza ve marka itibarınıza zarar verebilir. Ve son olarak, sitenizin tamamı silinebilir, bu da yedeklenmezse size ciddi sorunlara neden olabilir.

Şimdi asıl soru şu, sitenizi bilgisayar korsanlarından nasıl koruyabilirsiniz? WordPress siteleri için web sitenizi daha güvenli hale getirmenin birkaç yolu vardır. Bu kılavuzda, daha derinlemesine WordPress güvenlik özelliklerine kadar yapabileceğiniz bazı temel güvenlik değişikliklerini göstereceğim. Hadi dalalım.

Temel Güvenlik Ayarları Nelerdir?

Çoğu sitenin kapsadığı temel bilgiler bile yoktur ve bu oldukça özensiz bir koruma sağlar. Burada WordPress güvenliğinizi sıkılaştırmak için yapabileceğiniz temel şeyleri ele alacağız.

1. Güçlü Kimlik Bilgileri

Aptalca gelebilir, ancak güçlü bir parolanız olduğundan emin olmak ilk savunma hattınızdır. Bugün insanlar hala çok az koruma sağlayan Password123 gibi şifreler kullanıyor. Kullanıcı adınızı veya hatta e-posta adresinizi şifreniz olarak kullanmak cazip gelebilir, ancak yapmayın!

Güçlü bir parola, kullanıcı adınızdan ve/veya e-postanızdan farklı olacaktır ve büyük harflerin yanı sıra küçük harfler, sayılar ve özel karakterler (örn. !,*,%) içerir.

Benzer şekilde, birçok kişinin kullanıcı adı olarak admin kullandığını öğrenmek sizi şaşırtabilir. Eğer öyleysen, değiştirmenin zamanı geldi.

2. Güvenli bir bağlantı kullanan güvenli barındırma

Web sunucuları, web sitenizin güvenliğinden en az sizin kadar sorumludur. Günümüzde barındırma, bulut barındırma veya paylaşılan barındırma yoluyla sağlanmaktadır (en ucuz WordPress barındırma seçeneklerini kontrol edin). Bulut barındırma, birden çok sunucuda birden çok web sitesini barındırırken, paylaşılan barındırma, bir sunucu üzerinde birden çok web sitesini barındırır.

Bulut barındırma, birden çok sitede sınırlı kaynakların paylaşılmasını gerektirmediğinden, daha yüksek düzeyde güvenilirlik ve güvenlik için değerlidir. Paylaşılan barındırmanın başlamasıyla ilgili sorun budur ve ana bilgisayarlar sunucunun kaldırabileceğinden daha fazla web sitesi yığdığında, bu, siteleri savunmasız bırakır.

Bu, paylaşılan barındırmanın kötü olduğu anlamına gelmez. Sorumlu ana bilgisayarlar her zaman güvenli bir bağlantı kullanır ve bir sunucuya asla kaldırabileceğinden fazlasını vermez. Şimdi sunucunuzu kontrol etmek ve geçiş yapmanız gerekip gerekmediğini öğrenmek için iyi bir zaman olabilir.

3. İki Faktörlü Kimlik Doğrulama

Basit bir güvenlik düzeltmesi, kontrol panelinize giriş yaptığınızda iki faktörlü kimlik doğrulamayı etkinleştirmektir. Bu, web sitenize ekstra bir güvenlik katmanı ekleyecektir ve ayarlarınızda etkinleştirilmesi çok kolaydır.

Kimlik doğrulama genellikle SMS veya e-posta yoluyla bir koddur. Bazıları, oturum açmak için fazladan bir adım atmayı can sıkıcı buluyor, ancak ekstra koruma için buna değer.

3. SSL Sertifikaları

Sitenizin bir SSL sertifikası olup olmadığından emin değil misiniz? SSL'si olan bir site, web adresinin başında https:/ yer alır ve genellikle tarayıcınız sitenin güvensiz olduğunu söyler. SSL sertifikaları, web ziyaretçilerinin sitenizin güvenli olduğunu bilmelerini sağlar, böylece sitenizi kullanırken verileri korunur.

Barındırma sağlayıcılarının çoğu artık abonelik maliyetlerine SSL sertifikaları dahil ediyor, ancak yoksa, bir tane için ana makineniz aracılığıyla ödeme yapabilirsiniz veya ücretsiz Let's Encrypt sertifikasını kullanabilirsiniz (WordPress sitesine manuel olarak nasıl ücretsiz SSL ekleyeceğinizi görün).

Bir web sitesi sahibi olarak, web siteniz için bir SSL sertifikası seçerken farklı SSL türlerini kontrol etmelisiniz. Örneğin, bir e-ticaret web sitesinin birden fazla alt alanı varsa, o zaman joker SSL sertifikası almayı düşünmelisiniz.

AlphaSSL, Comodo, GlobalSign, DigiCert gibi sitede güven oluşturmanıza yardımcı olabilecek birçok tanınmış sertifika markası mevcuttur. Tüm tanınmış markalar kimliği doğrulanmış SSL sertifikaları sunduğundan herhangi birini seçebilirsiniz.

4. Sitenizi Yedekleyin

Site güvenliğiniz ne kadar güçlü olursa olsun asla %100 kurşun geçirmez olmayacaktır. Bu nedenle sitenizi yedeklemek (karşılaştırılan WordPress yedekleme eklentilerine bakın) web sitesi güvenliğinde mutlak zorunluluklardan biridir. Kaçınılmaz bir durum ortaya çıkarsa, web sitenizi sıfırdan başlatmak zorunda kalmayacağınızdan emin olabilirsiniz.

Duplicator (Duplikatör kullanarak WordPress sitesinin nasıl taşınacağını görün), BackupBuddy (BackupBuddy incelemesini kontrol edin), WPvivid (WPvivid incelemesine bakın), 10Web backup (10Web incelemesini kontrol edin), vb. gibi bir yedekleme eklentisi kullanabilirsiniz.

Verilerinizi yedeklemenin başka bir yolu, aynı verileri kullandığınız tüm uygulamaları veya yazılımları senkronize etmektir. Örneğin, Mailchimp ve Office 365'i senkronize ederek kişilerinizi yedekleyebilirsiniz; bu, kişi verilerini güvende ve güvende tutmanıza olanak tanır.

5. Eklentiler ve Temalar

WordPress siteleri, temalar ve ayrıca güncelleme gerektiren birçok eklenti üzerinde çalışır. Bu güncellemeler, sitenizin sorunsuz çalışmasını sağlamak ve aynı zamanda yazılımlarındaki hataları veya sorunları gidermek için zorunludur. Pek çok işletmenin eski yazılım sürümlerinde çalışan web siteleri var ve bunu bilmiyorlar bile.

Başka bir sorun, boş temalar ve eklentiler kullanmaktır, bunlar değiştirilmiş kod içerir ve güvenilir değildir. Boş eklentileri kullanmak sitenizi riske atabilir.

6. PHP Sürümünüzü Güncelleyin

PHP'nin çok eski bir sürümünü çalıştıran herhangi bir site, güvenlik risklerine maruz kalır. Güncel olmayan bir PHP, WordPress sitenizi savunmasız bırakabilir. Sizinkinin en son PHP sürümünde çalışıp çalışmadığını kontrol etmek iyi bir fikirdir. Sürümünüzü sitenizdeki başlık isteğini kontrol ederek, çeşitli bir eklenti kullanarak veya hostinginiz kullanıyorsa cPanel'iniz üzerinden bulabilirsiniz.

7. Yönetici alanınızı sıkılaştırma

WordPress yönetici alanı, esasen kullanıcıya sitenizdeki belirli görevlere erişme ve bunları gerçekleştirme yeteneği verir ve genellikle korumasız kalır. Bu nedenle, bir WordPress sitesinin en sık hedeflenen alanıdır.

Yönetici dizininize ekstra kimlik doğrulama önlemleri ekleyerek bu konudaki güvenliği artırabilirsiniz. Başka bir güvenlik katmanı eklemek ve bilgisayar korsanlarını caydırmak için iki faktörlü kimlik doğrulama ekleyebilir ve oturum açma girişimlerine bir sınır koyabilirsiniz.

Bir adım daha ileri gidebilir ve WordPress giriş URL'sini değiştirebilirsiniz. WordPress sitelerinin varsayılan URL'si domain.com/wp-admin veya /login.php'dir, bu da bilgisayar korsanlarının yönetici girişinize kaba kuvvet saldırıları gerçekleştirmesini kolaylaştırır.

Çok büyük bir güvenlik düzeltmesi olmasa da, URL'yi değiştirmek saldırganların siteye erişmesini zorlaştırıyor. Giriş URL'nizi iThemes Security (iThemes Security ile WordFence karşılaştırmasına bakın), Hide My WP (Swift Performance ve Hide My WP karşılaştırmasını kontrol edin) vb. gibi bir eklenti kullanarak değiştirebilirsiniz.

Daha Güçlü Güvenlik Nasıl Uygulanır?

WordPress sitesi için daha yüksek düzeyde güvenlik için bazı öneriler.

1. Bir WordPress Güvenlik Eklentisi Kurun

Güvenliği omuzlarınızdan kaldırmanıza yardımcı olmak için kurabileceğiniz şık bir eklenti olup olmadığını merak ediyor olabilirsiniz ve iyi haber şu ki, çok fazla var. Bu eklentileri kullanmanın yararı, çeşitli özelliklerinin yanı sıra, bir bilgisayar korsanlığı girişimini gösterebilecek herhangi bir değiştirilmiş dosya için WordPress kurulumunuzu tarama seçeneğidir. Bu eklentiler ayrıca şunları içerir:

• Site ziyaretçileri hakkında WHOIS bilgileri
• İki Faktörlü Kimlik Doğrulama
• reCAPTCHA'lar
• Kötü Amaçlı Yazılım Taraması
• Parola süresinin dolması - belirli bir süre sonra parolanızı sıfırlamaya zorlama.
• WordPress Güvenlik Güvenlik Duvarları

Tüm güvenlik sorunlarınızı çözemese de, bir eklenti başka bir savunma katmanı eklemeye ve bilgisayar korsanlığı girişimlerini önlemeye yardımcı olabilir. Şu eklentileri göz önünde bulundurmanızı öneririm: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (MalCare incelemesine bakın), vb.

2. WordPress Sürümünüzü Gizleyin

Siz ve web sitenizin yapılandırması hakkında ne kadar az bilgi varsa, bilgisayar korsanlarının sizi hedeflemesi o kadar zor olur. Site sürümünüzü gizlemek, bilgisayar korsanlarının sitenizi daha eski bir sürümde çalışıyor olarak tanımlamasını engeller.

Daha basit bir çözüm, web sitenizin her zaman güncel olmasını sağlamaktır ancak önlem almak istiyorsanız, temanızın function.php dosyasına kod ekleyerek WordPress sürümünüzü gizleyebilirsiniz.

3. Dosya İzinleri

Dosya izinleri, web sunucunuz tarafından sitenizdeki dosyalara erişimi kontrol etmek için kullanılan bir dizi kuraldır. Yanlış izinlere sahip olmak sitenizin çalışmasını durdurabilir, ancak bilgisayar korsanlarının bu dosyalara erişmesine ve bunları yeniden yazmasına ve değiştirmesine de izin verebilir.

Dosya izinleri için önerilen değerler aşağıdaki gibidir: Tüm dosyalar 644 ve tüm dizinler 755 veya 750 olarak ayarlanmalıdır. Dizinler asla 777 olarak ayarlanmamalıdır.

4. Veritabanı Güvenliği

Veritabanınız, web sitenizin adı ne olursa olsun adlandırılacaktır. Yani siteniz richie rich olarak adlandırılıyorsa veritabanınız wp_richierich olarak adlandırılacaktır. Bunu alakasız bir şeyle değiştirmek, bilgisayar korsanlarının veritabanı adınızı tahmin etmesini engeller.

Güvenliği artırmanın başka bir yolu da varsayılan WordPress tablo önekini değiştirmektir. Varsayılan olarak, WordPress, veritabanınızı oluşturmak için kullandığı önek olarak wp_'yi kullandı. Yükleme sırasında bu ön eki değiştirebilirsiniz ve bilgisayar korsanlarının veritabanı adlarınızı tahmin etmesini zorlaştırmak için bunu yapmanız önerilir.

5. DDoS Önleme

DDoS, web sitenize zarar vermeyen ancak sitenizi saatlerce hatta günlerce çökerten bir tür hizmet reddi saldırısıdır. Bu, web sitenize herhangi bir zarar vermese de, web sitenizin her zaman tam olarak çalışır durumda olduğuna güvenirseniz işinize zarar verebilir. Securi veya Cloudflare gibi üçüncü taraf güvenlik kullanarak bir DDoS saldırısını önleyebilirsiniz.

6. wp-config.php dosyanızı koruyun

Daha önce de belirttiğim gibi wp-config.php dosyası WordPress kurulumunuzdaki en önemli dosyadır. Güvenliği ihlal edilirse, bilgisayar korsanı, web sitenize tam erişim sağlayacak olan veritabanı oturum açma bilgilerinizi alabilir.

Bu kulağa korkutucu gelebilir ama endişelenmeyin, dosya izinlerini değiştirerek wp-config.php dosyanızın güvenliğini artırabilirsiniz. Kök dizindeki dosyalar genellikle 644'e ayarlanır ve bu, sahibinin dosyaları okumasına ve yazmasına izin verir ve grup sahibindeki kullanıcılar ve diğer herkes tarafından okunabilir.

Diğer kullanımlara erişimi reddetmek istiyorsanız, dosyalar 440 veya 400 olarak ayarlanmalıdır. Bazı barındırma platformlarının farklı izinlere sahip olacağını akılda tutmakta fayda var. Bunun nedeni, kullanıcının dosyaları yazma iznine sahip olmamasıdır. Bu durumda, izinlerin ne olduğundan emin olmak için barındırma sağlayıcınızla iletişim kurmanız iyi bir fikirdir.

WordPress Sitenizi Güvende Tutma

WordPress sitelerinin saldırıya uğramasının birçok nedeni vardır. Saldırıya uğramış bir WordPress sitesini temizlemek imkansız değildir, ancak önleyici tedbirler alarak sitenizi temizleme veya en kötü senaryoda tamamen yeni bir site oluşturma konusunda endişelenmenize gerek kalmaması için saldırıya uğramış bir siteye sahip olma şansınızı azaltabilirsiniz. İnternet sitesi.