Sitenizi Güvende Tutmak İçin 16 WordPress Güvenlik İpucu (2023)

Yayınlanan: 2023-10-27

Sitenizi WordPress'in bilinen yaygın tehlikelerinden koruyacak WordPress güvenlik ipuçlarının tam listesine mi ihtiyacınız var?

Bu yazıda sitenizi güvenlik açıklarından ve saldırılardan korumak için uygulayabileceğiniz bir düzineden fazla temel ve gelişmiş güvenlik ipucu bulacaksınız.

Bu yazıda ele alacağımız WordPress güvenlik ipuçları şunlardır:

  1. Kaliteli bir WordPress sunucusu seçin.
  2. WordPress çekirdeğini, temalarını ve eklentilerini yönetin.
  3. Bir WordPress güvenlik eklentisi yükleyin.
  4. Bir yedekleme eklentisi yükleyin.
  5. Üçüncü taraf temalarını ve eklentilerini dikkatli bir şekilde seçin.
  6. WordPress kullanıcı rolleri ve izinleri hakkında bilgi edinin.
  7. Sitenizin arka uç giriş sayfasına koruma protokolleri uygulayın.
  8. Güvenli kullanıcı adı ve şifreler kullanın.
  9. Siteniz için bir SSL sertifikasını etkinleştirin.
  10. Dosya düzenlemeyi devre dışı bırakın.
  11. PHP yürütmeyi devre dışı bırakın.
  12. WordPress veritabanı önekini değiştirin.
  13. wp-config.php dosyanızı güvenli hale getirin.
  14. WordPress giriş sayfasını yeniden adlandırın.
  15. Dizin taramayı devre dışı bırakın.
  16. Etkin olmayan kullanıcıların oturumunu kapatın.

İki ayrı liste halinde düzenledik: temel güvenlik ipuçları ve gelişmiş güvenlik ipuçları.

Temel güvenlik ipuçlarıyla en baştan başlayalım.

Tüm kullanıcılar için temel WordPress güvenlik ipuçları

1. Kaliteli bir WordPress sunucusu seçin

Her şey burada başlıyor.

Saygın bir üne sahip kaliteli bir WordPress ana bilgisayarı seçmezseniz, WordPress'te ne kadar güvenlik uygularsanız uygulayın siteniz saldırılara karşı savunmasız olacaktır.

Siteniz kodlardan oluşsa da bu kod, bir web sunucusuna yüklenmesi gereken dosyaların içinde bulunur.

En azından hızlı ve güvenli sunuculara sahip olduğu, sunucu teknolojisini güncel tuttuğu ve en son PHP sürümlerine erişim sağladığı bilinen bir sunucu seçin.

Bloglama Sihirbazını barındırmak için Cloudways'i kullanıyoruz. Hızlı ve uygun fiyatlıdır. Ölçeklenebilirliği de önemli bir faktör çünkü çok fazla trafik alıyoruz.

Aşağıdaki güvenlik özelliklerini sunarlar:

  • DDoS korumasını ve web uygulaması güvenlik duvarını (WAF) uygulayan bir Cloudflare Enterprise eklentisi.
  • Sunucu güvenlik duvarları.
  • Giriş güvenliği.
  • Veritabanı güvenliği.
  • Bot koruması.
  • Ücretsiz SSL sertifikaları.
  • Kullanıcı rolü yönetimi.
  • Güvenli işletim sistemi yönetimi.
  • İki faktörlü kimlik doğrulama.

Ancak WordPress güvenliği söz konusu olduğunda, özellikle ileri düzey bir WordPress kullanıcısı değilseniz, yönetilen bir WordPress ana bilgisayarıyla daha iyi durumda olabilirsiniz.

Yönetilen WordPress barındırma

Yönetilen WordPress barındırma, sunucunuzun sizin için bir WordPress sitesini sürdürmenin birçok yönünü yönettiği bir WordPress barındırma biçimidir.

Bu genellikle WordPress güvenliğinin bazı yönlerini içerir.

En çok tavsiye edilen yönetilen WordPress sunucumuz WPX Hosting'in kullanıldığı bir örneği burada bulabilirsiniz. Bu barındırma sağlayıcısı aşağıdaki güvenlik özelliklerini sunar:

  • Kötü amaçlı yazılımların kaldırılması tüm planlara dahildir.
  • Siteniz çevrimdışı duruma gelirse site düzeltmeleri yapılır.
  • DDoS koruması.
  • 28 güne kadar yedekleme için depolama alanıyla otomatik yedeklemeler.
  • 35 uç konuma sahip tescilli CDN.
  • Ücretsiz SSL sertifikaları.
  • Güncellemeleri yayına almadan önce test edebileceğiniz bir hazırlık alanı.
  • İki faktörlü kimlik doğrulama.
  • WPX Barındırma hesabınıza erişimi donanım düzeyinde sınırlamanıza olanak tanıyan gelişmiş hesap güvenliği.
wpx barındırma ana sayfası

2. WordPress çekirdeğini, temalarını ve eklentilerini doğru şekilde yönetin

Söylediğimiz gibi WordPress siteniz dosyalardan ve kodlardan oluşur. Buna WordPress temaları ve WordPress eklentilerinin yanı sıra “WordPress çekirdeği” olarak bilinen WordPress’in kendisi de dahildir.

Kullandığınız bilgisayar ve telefon uygulamaları gibi WordPress dosyaları da yeni özelliklerin ve güvenlik düzeltmelerinin uygulanması için düzenli güncellemeler alır.

wordpress güncellemeleri

Bu nedenle WordPress'in kendisini, temalarınızı ve eklentilerinizi mümkün olduğunca sık güncel tutmanız zorunludur. Bunu yapmamak, sitenizin yıkıcı güvenlik kusurlarına maruz kalmasına neden olabilir.

Sitenizde her zaman en son WordPress sürümünü kullanmaya çalışmalısınız.

Neyse ki, WordPress zaten acil durum güvenlik güncellemelerini otomatik olarak uyguluyor ve siz de otomatik WordPress güncellemelerini genel olarak ayarlayabilirsiniz.

Bununla birlikte, çoğu WordPress güncellemesini bir hazırlama alanı (WPX Hosting'in oluşturmanıza izin verdiği gibi) aracılığıyla manuel olarak yapmak en iyisidir; böylece bu güncellemelerin sitenizde yaptığı değişiklikleri, bunları canlı üretim sürümüne aktarmadan önce kontrollü bir ortamda test edebilirsiniz. senin siten.

Sonuç olarak, sitenizi mümkün olduğunca güvenli tutmak için WordPress güncellemelerini kontrol etmek, test etmek ve sitenize uygulamak için her hafta bir zaman ayırın.

Ayrıca artık kullanmadığınız temaları ve eklentileri de kaldırdığınızdan emin olun.

Temalar ve eklentiler için otomatik güncellemeleri etkinleştirme

WordPress'in içinde bir eklenti olmadan temalar ve eklentiler için otomatik WordPress güncellemelerini etkinleştirebilirsiniz.

Temalar için Görünümler → Temalar'a gidin, bir temaya tıklayın ve Otomatik Güncellemeleri Etkinleştir düğmesine tıklayın.

wordpress otomatik güncellemeleri etkinleştir

Eklentiler için otomatik güncellemelerin etkinleştirilmesi aynı şekilde çalışır.

Eklentiler → Yüklü Eklentiler'e gidin ve otomatik güncellemeleri etkinleştirmek istediğiniz herhangi bir eklenti için Otomatik Güncellemeleri Etkinleştir düğmesini tıklayın.

Tüm eklentilerin otomatik güncellemelerini tek seferde etkinleştirmek için toplu seçeneğini bile kullanabilirsiniz.

wordpress otomatik güncellemeler toplu

3. Özel bir WordPress güvenlik eklentisi yükleyin

WordPress web sitenizi yönetilen bir WordPress ana bilgisayarında barındırmıyorsanız en iyi seçeneğiniz özel bir WordPress güvenlik eklentisi kullanmaktır.

WordPress güvenlik eklentileri MalCare veya Sucuri'yi öneriyoruz.

MalCare, WordPress sitenize aşağıdaki özellikleri uygular:

  • Kötü amaçlı yazılım tarayıcısı.
  • Kötü amaçlı yazılımdan arındırma.
  • WordPress için özel olarak oluşturulmuş güvenlik duvarı.
  • Giriş koruması.
  • Çalışma süresi izleme.
  • Artımlı yedeklemeler ve tek tıklamayla site geri yüklemeleri.
  • Bot koruması.
  • Güvenlik açığı tarayıcısı.
  • Şüpheli davranışları tanımlamanıza olanak tanıyan etkinlik günlüğü.
  • Kötü amaçlı yazılımlar ve güvenlik açıkları hakkında e-posta uyarıları.
kötü bakım istatistikleri

Sucuri de bu özelliklerin çoğunu sunuyor ancak çoğunlukla kötü amaçlı yazılım tarama ve kaldırma özelliklerinin yanı sıra WordPress sitenizi korumak için bir güvenlik duvarı uygulama yeteneğiyle bilinir.

MalCare, Sucuri'den daha uygun fiyatlı ve hatta sınırlı bir ücretsiz plan içeriyor.

4. Bir WordPress geri eklentisi yükleyin

Yedeklemeler, diğer güvenlik hususlarının başarısız olması durumunda web sitenizi korumanın en iyi yollarından birini sağlar.

Siteniz saldırıya uğrarsa veya bozulursa ya da bir güncelleme birkaç şeyi bozarsa, sitenizi normal şekilde çalıştığı bir zamana geri yüklemek için bir yedekleme kullanabilirsiniz.

Barındırıcınız yedekleme sunmuyorsa ve bu özelliği bir güvenlik eklentisinden alamıyorsanız, kesinlikle özel bir yedekleme eklentisi kullanmalısınız.

WP STAGING'i öneriyoruz.

wp evreleme ana sayfası

Adından da anlaşılacağı gibi site hazırlama konusunda uzmanlaşmıştır ancak aynı zamanda yedekleme, taşıma ve klonlama özellikleri de sunar.

Bu eklenti otomatik yedeklemeler sunar ve bunları iş yeri dışında Google Drive veya Amazon S3'te saklamanıza olanak tanır.

Artımlı yedeklemeler ve WP STAGING'in sunduğu özelliklerin çoğunu istiyorsanız BlogVault'u deneyin.

Her iki çözüm de sitenizi bir yedekten geri yüklemenize olanak tanır.

Not: Kaliteli bir WordPress ana bilgisayarı seçmek, üçüncü taraf yedeklemeleri kullanma ihtimalinizin düşük olduğu anlamına gelse de, yine de önlem olarak yukarıdaki çözümlerden birini kullanmanızı öneririz.

5. Üçüncü taraf WordPress temalarına ve eklentilerine karşı dikkatli olun

WordPress sitelerinin saldırıya uğradığını duyduğunuzda bunun nedeni genellikle iki nedenden biridir: WordPress çekirdeğinin güncel olmayan sürümleri ve üçüncü taraf temaları ve eklentileri.

Bu nedenle WordPress güncellemelerinden haberdar olmak çok önemlidir. Öyle olsa bile, dünyadaki tüm güncellemeler sitenizi kötü amaçlı veya kötü kodlanmış, üçüncü taraf bir tema veya eklentiden koruyamaz.

Sitenize bir tema veya eklenti yüklemeye karar vermeden önce araştırmanızı yapın.

Yeni başlayanlar için tema veya eklenti en son ne zaman güncellendi? Bir temanın veya eklentinin bir yıldan fazla bir süredir güncellenmemesi iyi bir işaret değildir.

wordpress eklentisi güncel değil

Bir temanın veya eklentinin incelemelerini ve destek konularını da mutlaka okuyun. Bunlar size temanın veya eklentinin ne kadar iyi desteklendiğine dair daha iyi göstergeler verecektir.

Temayı veya eklentinin adını, özellikle Twitter, Reddit ve Facebook'ta bir sosyal medya aramasında da çalıştırdığınızdan emin olun.

Bu sitelerde WordPress.org'daki tema veya eklentinin resmi sayfasında ele alınmayan şikayetler olabilir.

6. WordPress kullanıcı rollerinin ve izinlerinin farkında olun

WordPress web sitesi sahipleri olarak, WordPress kullanıcı rolleri ile her birinin sağladığı izinler arasındaki farkları bilmek önemlidir.

Her rolün erişebildiği izinlerin kısa bir özetini burada bulabilirsiniz:

  • Yönetici (Yönetici) – WordPress kontrol panelinin tüm alanlarına erişebilir ve web sitesinin herhangi bir bölümünde ve o sitedeki herhangi bir kullanıcıda değişiklik yapabilir.
  • Düzenleyici – WordPress yayınlarına ve sayfalarına erişimi vardır ve bu içeriği kendileri oluşturmamış olsalar bile ekleme, yayınlama, silme ve düzenleme olanağına sahiptir.
  • Yazar – Kendi gönderilerini ekleme, düzenleme ve yayınlama olanağına sahiptir.
  • Katkıda Bulunan – Kendi gönderilerini ekleme ve düzenleme olanağına sahiptir.
  • Abone – Yerel WordPress yorum sistemiyle kullanıcı profilini düzenleyebilir ve yorum bırakabilir.

Dolayısıyla, blogunuz için bir editör kiralarsanız, ona Yönetici rolü yerine Editör rolünü atamalısınız.

Bu şekilde sitenizdeki içeriği yönetebilirler ancak temanızda, eklentilerinizde ve WordPress ayarlarınızda değişiklik yapamazlar.

7. WordPress giriş sayfasını koruyun

WordPress giriş sayfası, WordPress kontrol paneline giriş yapmak için kullandığınız sayfadır.

wordpress giriş sayfası

Genellikle alanadınız.com/wp-login.php adresine giderek erişebilirsiniz.

WordPress giriş sayfasının güvenliğini sağlamak için kullanabileceğimiz birkaç farklı teknik vardır.

Bu bölümde ikisinden bahsedeceğiz ancak bu makalenin ileri düzey bölümünde ek teknikler de var.

Bahseteceğimiz ilk teknik, sitenizin giriş sayfasına basitçe bir CAPTCHA formu eklemektir.

Daha önce bahsettiğimiz MalCare güvenlik eklentisini kullanmaya karar verirseniz, bu işlevselliği web sitenize eklemek için ayrı bir eklentiye ihtiyacınız olmayacak.

Bu eklenti, ziyaretçilerin üç denemeden sonra oturum açamamaları durumunda çözmeleri için otomatik olarak bir CAPTCHA görüntüleyerek oturum açma girişimlerini sınırlamanıza olanak tanır.

MalCare kullanmıyorsanız bunun yerine Gelişmiş Google reCAPTCHA gibi bir eklenti kullanın.

gelişmiş google recaptcha

Giriş formuna, kayıt formuna ve daha fazlasına CAPTCHA formu eklemenizi sağlayan gerçekten basit bir eklentidir.

Bu eklentiyi etkinleştirdiğinizde, sizin ve giriş sayfanıza rastlayan herkesin giriş yapabilmek için CAPTCHA formunu doldurması gerekecektir.

Bunun dışında WordPress giriş sayfasını korumanın bir başka basit yolu da iki faktörlü kimlik doğrulamayı etkinleştirmektir.

Giriş sayfanıza iki faktörlü kimlik doğrulama eklemek için İki Faktörlü Kimlik Doğrulama (UpdraftPlus'ın yapımcılarından) gibi bir eklenti kullanın. Eklenti Google Authenticator ile entegre olur.

8. Güvenli oturum açma kimlik bilgilerini kullanın

CAPTCHA formları ve iki faktörlü kimlik doğrulama teknikleri, saldırganların sitenize girmesini zorlaştırır ancak imkansız değildir.

Güvenli oturum açma kimlik bilgilerinin kullanılması bu nedenle önemlidir. Sitenize ekstra bir güvenlik katmanı ekler.

Yeni başlayanlar için, kullanıcı adınız veya kendi adınız olarak asla “admin” kullanmamalısınız.

Bunun yerine adınızın parçalarını birleştirin. Örneğin, adınız David Smith ise ve 10 Ekim 1980'de doğduysanız, kullanıcı adınız olarak "dasm1080" veya buna benzer bir şey kullanın.

Bu şekilde, bir saldırgan web sitenize girmeye çalışırsa öncelikle kullanıcı adınızı bulması gerekir.

Bu biraz gelişmiş bir ipucu ama aslında WordPress kullanıcı adlarını gizleyebilir ve saldırganların bulmasını zorlaştırabilirsiniz. Bu iyidir çünkü kullanıcı adları bazen bir sayfanın kaynak kodunda bulunabilir.

Ayrıca WordPress'in yazar arşiv sayfaları için oluşturduğu URL'ler genellikle her yazarın kullanıcı adını içerir.

Bununla mücadele etmek için, o yazarın WordPress'teki kullanıcı profiline gidin ve Ad, Soyadı, Takma Ad ve Görünen Ad alanlarını kullanıcının kullanıcı adından başka bir şeyle doldurun.

Bir adım daha ileri gitmek için, gelişmiş ipucunun devreye girdiği yer burasıdır, phpMyAdmin aracılığıyla sitenizin veritabanına erişin ve wp_users tablosunu bulun. Siz veya ana makineniz veritabanınızın önekini değiştirdiyseniz "wp" biti biraz farklı görünebilir, ancak kendisine hala "_users" kısmı eklenmiş olacaktır.

Yapmak istediğiniz, her kullanıcının veritabanı girişini düzenlemek ve “user_nicename” değerini, kullanıcının kullanıcı adından farklı bir değerle değiştirmektir.

Kullanıcının adı gayet iyi olacaktır. Boşlukları "david-smith" gibi kısa çizgilerle doldurduğunuzdan emin olun.

Parolalar için, güvenli bir parola oluşturmak amacıyla bir parola oluşturucu kullanın ve kolay erişim için parolayı bir parola yöneticisinde saklamayı düşünün.

9. Siteniz için SSL kurun

SSL veya Güvenli Yuva Katmanı, verileri iki ağ arasında aktarılırken şifreleyen bir güvenlik protokolüdür.

Bu genellikle ödeme bilgilerini ve hassas müşteri verilerini şifrelemek için kullanılır.

Bir sitenin SSL sertifikasıyla şifrelenip şifrelenmediğini anlamanın iki yolu vardır: adres çubuğunda bir asma kilit bulunması ve sitenin "http" yerine "https" kullanması.

bloglama sihirbazı ssl

SSL hafif bir Google sıralama faktörü olduğundan, hiçbir zaman ödeme kabul etmeyi planlamasalar bile tüm sitelerin SSL kurmaları teşvik edilir.

Neyse ki çoğu sunucu bugünlerde Let's Encrypt aracılığıyla SSL sertifikalarını ücretsiz olarak sunuyor, bu nedenle her şeyi ayarlamak artık her zamankinden daha kolay ve ucuz.

Her ana bilgisayar bunu farklı şekilde ele aldığından, bunun nasıl yapılacağını öğrenmek için ana makinenizin bilgi tabanına bakın.

İleri düzey kullanıcılar için WordPress güvenlik ipuçları

10. Dosya düzenlemeyi devre dışı bırakın

Yöneticiler için WordPress kontrol panelinde veya WordPress yöneticisinde, tema ve eklenti dosyalarını düzenlemenize olanak tanıyan iki dosya düzenleyici bulunur.

Bunları Görünüm → Tema Dosyası Düzenleyicisi ve Eklentiler → Eklenti Dosyası Düzenleyicisi'ne giderek bulabilirsiniz.

wordpress tema dosya düzenleyicisi

Bu dosyalarda değişiklik yapmak sitenizi bozabilir. Daha da kötüsü, eğer bir bilgisayar korsanı yönetici hesaplarınızdan birine erişim elde ederse, sitenize kötü amaçlı kod eklemek için bu düzenleyicileri kullanabilir.

Bu nedenle WordPress web sitesi sahiplerinin dosya düzenlemeyi tamamen devre dışı bırakması önerilir.

Tek yapmanız gereken wp-config.php dosyanıza aşağıdaki kodu eklemek:

 define('DISALLOW_FILE_EDIT', true);

Barındırıcınızın bir dosya yöneticisi yoksa, sitenizin dosyalarına FTP aracılığıyla erişmeniz, wp-config.php dosyanızı indirmeniz, düz metin metin düzenleyicisiyle düzenlemeniz, kaydetmeniz ve ardından aynı yere yeniden yüklemeniz gerekir. WordPress kurulumunuzun dosya sistemindeki konumu.

Orijinalin üzerine yazdığınızdan emin olun.

Ayrıca dosya sisteminizde değişiklik yapmadan önce sitenizi yedeklediğinizden emin olun. Değişiklikleri uygulamadan önce wp-config.php dosyanızın bir kopyasını indirmek de iyi bir fikir olabilir.

11. PHP yürütmeyi devre dışı bırakın

Bilgisayar korsanları genellikle sitenizin dosya sisteminde PHP dosyalarını çalıştırarak arka kapılar oluşturur.

Medya dosyalarınızın depolandığı Uploads klasörünüz gibi, başlangıçta herhangi bir PHP dosyası içermemesi gereken klasörlerde PHP dosya yürütmesini devre dışı bırakarak bu tür saldırıları engelleyebilirsiniz.

PHP içeren klasörlerde PHP yürütmesinin engellenmesi sitenizi gerçekten bozabilir; bu nedenle, güvenli tarafta olmak için genellikle PHP'nin hiçbir zaman bulunmadığı klasörler için PHP yürütmesini devre dışı bırakmanız önerilir.

MalCare güvenlik eklentisini kullanıyorsanız sitenizin FTP kimlik bilgilerini girerek PHP yürütmesini devre dışı bırakabilirsiniz.

Değilse, sitenizin dosya sistemini düzenleyerek bunu manuel olarak yapmanız gerekecektir.

Bilgisayarınızda bir düz metin metin düzenleyicisi açıp aşağıdaki kodu ekleyerek başlayın:

 <Dosyalar *.php>

herkesten inkar et

</Dosyalar>

Daha sonra bu dosyayı kaydedin ve “.htaccess” olarak adlandırın. “.” Noktasını eklediğinizden emin olun. “htaccess”ten önce.

not defteri htaccess

Artık tek yapmanız gereken sitenizin dosya sistemine erişip yeni .htaccess dosyanızı Yüklemeler klasörüne yüklemek ve değişikliklerinizi kaydetmek.

12. WordPress veritabanı önekini değiştirin

Bunu defalarca söyledik ama siteniz dosyalar içinde saklanan kodlardan oluşuyor.

Bahsetmediğimiz şey ise sitenizin aynı zamanda veritabanı tablolarından oluştuğudur. Kod veya dosyalar gibi bu tabloları silmek veya değiştirmek sitenize çok fazla zarar verebilir.

Ne yazık ki, eğer bir bilgisayar korsanı veritabanı önekinizi biliyorsa, bunu sitenize manuel olarak erişmeden saldırmak için kullanabilir.

Tüm WordPress web siteleri varsayılan olarak "wp" önekini kullanacak şekilde tasarlanmıştır; bu nedenle, bilgisayar korsanları bu öneki zaten bildiğinden bunu değiştirmeniz çok önemlidir.

Neyse ki birçok ana bilgisayar, siz onlarla bir site oluşturduğunuzda sitenizin varsayılan önekini otomatik olarak değiştiriyor.

Veritabanı tablolarınızda her alt çizgi değerinden önce "wp" dışında bir şey varsa (örneğin, normal "wp_user" yerine "fx87_user") bunu yapıp yapmadıklarını bileceksiniz.

Sitenizin dosya sistemine erişmeye aşina olduğunuz sürece, bunu yapmak aslında oldukça basittir.

Bu ipucu wp-config.php dosyasını tekrar gerektirir. Daha önce olduğu gibi, değişiklik yapmadan önce sitenizi ve wp-config.php dosyanızın bir kopyasını kaydetmek iyi bir fikirdir.

WordPress veritabanı önekinizi değiştirme adımları şunlardır:

  1. Sitenizin wp-config.php dosyasını indirin.
  2. Dosyayı düz metin metin düzenleyicisinde açın.
  3. “$table_prefix” yazan bir satır bulun. Satırın tamamında “$table_prefix = 'wp_'; yazıyorsa onu değiştirmen gerekiyor.
  4. "Wp" önekini, bir saldırganın tahmin etmesi zor olacak iki ila beş harf ve rakamla değiştirin.
  5. Yeni önekinizde hâlâ tırnak işaretleri ve noktalı virgül bulunduğundan emin olun. Örnek: $table_prefix = “fx87_';
  6. wp-config.php dosyanızı kaydedin ve sitenizin dosya sistemindeki aynı konuma yükleyin.
  7. İstendiğinde orijinal wp-config.php dosyasının üzerine yazın.
wordpress veritabanı öneki

13. wp-config.php dosyanızı taşıyarak güvenliğini sağlayın

Bazı saldırı stratejileri, wp-config.php dosyanıza kod enjekte etmeyi içerir; bu, öncelikle saldırganın onu indirmesini gerektirir.

Wp-config.php dosyanızı taşıyarak bilgisayar korsanlarının bulmasını çok daha zorlaştırabilirsiniz.

WordPress, wp-config.php dosyanızı başka bir şey yapmanıza gerek kalmadan bir dizin yukarı taşımanıza olanak tanır. Sitenize oradan erişmeye devam edebileceksiniz.

Ancak, bir üst dizin yine de ortak bir klasör olabileceğinden, onu biraz daha ileriye taşımak daha iyidir.

Bu ipucunu takip etmek zor değil, ancak sitenizde yaptığı değişiklikler oldukça ileri düzeydedir, özellikle de bir şeyler ters giderse, bu nedenle yalnızca ne yaptığınızı biliyorsanız ilerleyin.

wp-config.php dosyanızı taşıma adımları şunlardır:

  1. wp-config.php dosyanızın bir kopyasını alın ve bilgisayarınızda saklayın.
  2. Sitenizin dosya sistemine erişin ve public_html klasörünüzü içeren klasörü bulun.
  3. Bu dizinde yeni bir klasör oluşturun ve onu, wp-config.php dosyanızı içeren bir klasör olarak tanımlamayan bir şekilde adlandırın. "Bw-assets" gibi bir şey işe yarayacaktır. Not: Bw varlıklarını kendi sitenizde kullanmayın. Daha güvenli olması için kendi bulduğunuz orijinal bir şey kullanın.
  4. Yeni klasörünüzün izin düzeyini 700 olarak ayarlayın.
  5. wp-config.php dosyanızı kopyalayıp yeni oluşturduğunuz klasöre yapıştırın ve onu wp-config.php dosyanız olarak tanımlamayan bir adla yeniden adlandırın. Yine "bw-asset.php" gibi bir şey işe yarayacaktır.
  6. Bu yeni dosyanın izin düzeyini 600 olarak değiştirin.

Orijinal wp-config.php dosyanızı düzenleyin, içindeki kodu silin ve şununla değiştirin:

 <?php

include('/home/usr/bw-assets/bw-asset.php');

?>

Tırnak işaretleri arasındaki dosya yolu, yeni oluşturduğunuz klasör ve dosyayı nasıl adlandırdığınız da dahil olmak üzere, kendi sitenizin mutlak dosya yoluyla eşleşmelidir.

Daha sonra dosyayı kaydedin.

14. WordPress giriş sayfasını yeniden adlandırın

WordPress giriş sayfası varsayılan olarak /wp-login.php adresinde ve benzer URL yollarında bulunur. Dolayısıyla, WordPress sitenize giriş yapmak istiyorsanız, alanadiniz.com/wp-login.php veya alanadiniz.com/wp-admin adresine gitmeniz yeterlidir.

Hackerlar bu duruma oldukça aşinadır. Sitenizin giriş formuna eriştiklerinde, savunmanızı aşmaya çalışmak için kaba kuvvet saldırıları başlatabilirler.

Umarız bu savunmalar, bir güvenlik eklentisi veya CAPTCHA formuyla oturum açma girişimlerini sınırlandırmayı içerir, ancak aynı zamanda oturum açma sayfasını tamamen gizleyebilirsiniz.

Bu özelliği uygulamak için WPS Girişi Gizle gibi bir eklenti kullanın.

Eklenti, Genel WordPress ayarları sayfasına, istediğiniz URL'yi bir metin alanına girerek giriş URL'nizi değiştirmenize olanak tanıyan basit bir ayar ekler.

Bilgisayar korsanlarının kolayca tahmin edememesi için alışılmadık, güvenli bir şey kullanın. Belki "einsteinbananafrisbee" gibi anlamsız görünecek kelimeleri bir arada kullanmayı deneyebilirsiniz.

wps girişi gizle

Bu değişikliği yaptıktan sonra artık wp-login.php veya benzeri URL'lerden giriş sayfanıza erişemeyeceksiniz. Yalnızca alanadınız.com/einsteinbananafrisbee adresini kullanabileceksiniz, bu nedenle bunun hatırlayabileceğiniz bir şey olduğundan emin olun.

15. Dizin taramayı devre dışı bırakın

Dizin tarama, kullanıcının adres çubuğuna bir dizini URL olarak girmesine ve bu dizinin içeriğini görüntülemesine olanak tanıyan bir web tasarımı özelliğidir.

Bilgisayar korsanları bunu, bir siteye kötü niyetli bir şekilde erişmeye gerek kalmadan bir dizini görüntülemenin bir yolu olarak kullanır. Bunu yaptıklarında, yararlanabilecekleri dosyaları ve güvenlik açıklarını potansiyel olarak tespit edebilirler.

Bu sorunla mücadele etmenin en iyi yolu, dizine göz atmayı tamamen devre dışı bırakmaktır.

Sitenizde dizin taramasının etkin olup olmadığını kontrol ederek başlayın. Alan adınız.com/wp-includes adresine giderek bunu anlayabilirsiniz. 403 Yasak hatasıyla karşılaşırsanız, dizin taraması zaten devre dışıdır ve endişelenmenize gerek yoktur.

Ancak bunun yerine bir dosya listesi görürseniz, dizine göz atmayı kendiniz devre dışı bırakmanız gerekir.

Sitenizin dosya sistemine erişip .htaccess dosyanızı bularak başlayın.

Tıpkı wp-config.php dosyanızda yaptığınız gibi, sitenizde değişiklik yapmadan önce sitenizi yedeklemeli ve .htaccess dosyanızın bir kopyasını oluşturmalısınız.

Ardından onu indirin, düz metin metin düzenleyicisinde açın ve sonuna şu kod parçacığını ekleyin:

 Seçenekler Tümü - Dizinler
bloglama sihirbazı taramayı devre dışı bırak

Dosyayı kaydedin ve orijinalin üzerine yazdığınızdan emin olarak WordPress sitenize yeniden yükleyin.

16. Etkin olmayan kullanıcıların oturumunu kapatın

Diğer yöneticiler, editörler ve yazarlar çalışma alanlarının güvenli olduğunu düşünebilir ancak asla çok dikkatli olamazsınız.

Bir yönetici veya editör sitenizde oturum açmışken bilgisayarının başından ayrılırsa, özellikle de halka açıksa ve bilgisayarı çalınırsa, sitenizi farkında olmadan güvenlik açıklarına maruz bırakabilir.

Bununla mücadele etmek için etkin olmayan kullanıcıların oturumlarını kapatmak iyi bir fikirdir. Etkin Olmayan Oturum Kapatma eklentisi işi halletmenin en basit yollarından birini sunar.

Eklenti, belirli bir süre boyunca işlem yapılmamasına bağlı olarak otomatik oturum kapatmaları ayarlamanıza olanak tanır.

wordpress etkin olmayan çıkış ayarları

Kullanıcıların aslında bilgisayarlarının başında olması, ancak web sitesiyle etkileşime girmemesi durumunda uyarı mesajları bile ayarlayabilirsiniz.

Ek bir WordPress site güvenliği katmanı uygulamanıza olanak tanıyan oldukça basit ve anlaşılır bir eklentidir.

Son düşünceler ve siteniz saldırıya uğrarsa ne yapacağınız

Siteniz saldırıya uğrarsa, sitenizle etkileşim kurmaya çalışırken aşağıdaki uyarı işaretlerinden birkaçını görebilirsiniz:

  • Giriş yapılamıyor.
  • Ön uçta yapmadığınız değişiklikler.
  • Web sitenizdeki tüm sayfalar tamamen farklı bir siteye yönlendiriliyor.

Bu, ana makinenizden veya güvenlik eklentinizden almış olabileceğiniz uyarıları kapsamaz.

Sitenizde ne olursa olsun, artık başınızın belada olduğunu biliyorsunuz. Bu durumda ne yapılması gerektiği aşağıda açıklanmıştır.

Yapmanız gereken ilk şey, bir bakım modu eklentisi ile sitenizi bakım moduna geçirmektir.

Çok Yakında ve Bakım Modu eklentisi, bu amaç için harika olan, iyi bilinen bir eklentidir.

Saldırıya uğramış bir site, kullanıcılarınızı da saldırılara karşı savunmasız bırakır; bu nedenle, sitenizin güvenliği ihlal edilmiş durumdayken sitenize dışarıdan erişimi ne kadar hızlı engellerseniz o kadar iyidir.

Siteniz çevrimdışı olduğunda güvenliğini sağlamak için şu adımları izleyin:

  • Sitenizdeki tüm kullanıcıların, özellikle de yönetici hesaplarının şifrelerini değiştirin.
  • Sitenizdeki tüm kullanıcıları görüntüleyin ve tanımadığınız yönetici hesaplarını kaldırın.
  • Üçüncü taraf bir tema veya eklenti için önemli bir güvenlik güncellemesini kaçırmış olmanız durumunda WordPress güncellemelerini yükleyin.
  • Kötü amaçlı yazılımları taramak ve kaldırmak için güvenlik eklentinizi kullanın. WPX Hosting gibi bir ana bilgisayar kullanıyorsanız, kötü amaçlı yazılımları sizin için kaldırırlar. MalCare'i yüklediyseniz eklenti sizin için onu kaldırabilmelidir. Aksi takdirde, Sucuri gibi onu manuel olarak kaldıracak harici bir hizmet kullanmanız gerekebilir.
  • Site haritanızı yeniden oluşturun ve sitenizi Google Search Console aracılığıyla Google'a yeniden gönderin. Bu, site haritası dosyanızın bozulmuş olması durumunda geçerlidir.
  • WordPress çekirdeğinin temiz sürümlerini, sitenizdeki temaları ve eklentileri yeniden yükleyin.
  • Veritabanınızı WP-Optimize gibi bir WordPress eklentisiyle temizleyin.
  • Siteniz stabil hale geldiğinde bakım modunu devre dışı bırakın.
  • Saldırıya neden olabilecek güvenlik açıklarını belirlemek için bir güvenlik denetimi tamamlayın.

Sitenizi bir yedekten geri yüklemek cazip gelse de, kötü amaçlı kodun web sitenizin içinde ne kadar süreyle gizlendiğini bilmiyorsunuz.

Bu nedenle, virüs bulaşmış bir siteyi temizlerken yedeklemelere başvurmamak en iyisidir.

Açıklama: İçeriğimiz okuyucu tarafından desteklenmektedir. Belirli bağlantılara tıklarsanız komisyon alabiliriz. Bu, Bloglama Sihirbazı'nın işletme maliyetlerine katkıda bulunur. Desteğiniz çok takdir edilmektedir.