Bir Web Sitesini Güvenli Hale Getirmenin 19 Yolu (7 Önemlidir!)

WordPress güvenliği konusunda endişeli misiniz?

Olmalısın! Ancak çok fazla endişelenmeyin – sitenize bazı WordPress web sitesi güvenliği en iyi uygulamalarını uygularsanız, sitenizin sorun yaşamadığından emin olabilirsiniz.

WordPress güvenlidir . Ancak kullanıcıların gerçekleştirdiği eylemler (ve kullanıcıların yüklediği eklentiler) her türlü WordPress güvenlik açığını ortaya çıkarabilir.

Bu hataları yapmaktan kaçınmak için yapmanız gereken tek şey bu yazıdaki ipuçlarını takip etmektir.

Bu gönderiyi mümkün olduğunca uygulanabilir kılmak için WordPress güvenlik ipuçlarımızı iki kategoriye ayıracağız:

TAKİP EDİLMESİ GEREKEN Yedi WordPress Güvenliği En İyi Uygulaması

Bu gönderiden başka bir şey almazsanız, sitenizde en azından bu yedi WordPress güvenlik en iyi uygulamasını uygulamanızı öneririm.

Bu yedi şeyi yapmıyorsanız, sitenizi büyük güvenlik açıklarına açıyorsunuz demektir.

1. Çekirdek ve Eklenti Güncellemelerini En Kısa Sürede Uygulayın

WordPress'i güvende tutmak için yapabileceğiniz en iyi şeylerden biri, güncellemeleri her zaman WordPress çekirdeğine, eklentilere ve temalara derhal uygulamaktır.

Bir yazılım parçası ne kadar harika olursa olsun, yeni güvenlik açıklarının keşfedilmesi doğaldır. Ancak, kaliteli bir geliştirme ekibiyle, bu güvenlik açıkları kötü niyetli kişiler tarafından istismar edilmeden önce düzeltilecektir… güncellemeleri hemen uyguladığınız sürece!

İnsanlar sitelerini güncellemiş olsaydı , en son yaygın WordPress istismarlarının birçoğu önlenebilirdi.

Yeni güncellemelerden haberdar olmak için WP yöneticinizdeki Gösterge Tablosu → Güncellemeler alanına dikkat edin.

Uyumluluk sorunları hakkında endişeleriniz varsa, canlı sitenize uygulamadan önce güncellemeleri hazırlama sitesinde test edebilirsiniz. Ayrıca güncellemeleri uygulamadan önce yedek almak isteyeceksiniz – daha sonra bunun hakkında daha fazla bilgi edineceksiniz.

Not – Bu kuralın tek istisnası, yalnızca yeni özellikler eklemeye odaklanan ve herhangi bir güvenlik düzeltmesi içermeyen büyük güncellemelerdir. Bu büyük güncellemeleri uygulamak için güvenle birkaç hafta bekleyebilirsiniz.

• Ana sürüm (özellikler) – 5.0, 5.1, 6.0, vb. – bu güncellemeleri uygulamak için bekleyebilirsiniz.
• Küçük sürüm (güvenlik/hata düzeltmeleri ) – 5.0.1, 5.1.2, 6.0.4, vb. – DAİMA bunları en kısa sürede uygulamanız gerekir.

2. Yalnızca Saygın Geliştiricilerin Eklentilerini ve Temalarını Kullanın (ve Sıfırlanmış Eklentiler Yok)

Temel WordPress yazılımı güvenli olsa da, her bir eklenti ve tema ( çoğunlukla eklentiler ) için aynı şey söylenemez.

Eklentiler, yeni kod ekleyerek ve sitenizin işlevselliğini değiştirerek her türlü güvenlik açığını ortaya çıkarabilir.

Aynı zamanda, eklentiler her WordPress sitesinin ayrılmaz bir parçası olduğu için eklenti kullanmamak gerçekten bir seçenek değildir .

Sonuç olarak, yalnızca iyi kod kalitesi ve hızlı bakım geçmişine sahip saygın geliştiricilerin eklentilerini ve temalarını kullanmaya odaklanmak önemlidir.

Yani sitenize hangi eklentileri yüklediğinize dikkat edin .

Yalnızca yüksek kaliteli eklentileri ve temaları kullanmanıza yardımcı olacak bazı ipuçları:

• Yorumları okuyun . Kötü incelemeler kötü kod kalitesini gösterebilir.
• Etkin yükleme sayısını kontrol edin . Bu zor bir kural olmasa da, popüler eklentilerin genellikle dikkat çekmesi daha olasıdır.
• Son güncellemeleri kontrol edin . Aktif bir geliştiriciye sahip olmak, yeni keşfedilen güvenlik açıklarını yamalamak için önemlidir.
• Gereksiz eklentiler kurmayın . Yüklediğiniz her eklenti potansiyel bir saldırı vektörü olduğundan, yalnızca siteniz için önemli olan eklentileri yüklemelisiniz.

Ayrıca WordPress eklentilerini seçme konusunda eksiksiz bir kılavuzumuz var.

Son olarak, eklentiye hangi kodun eklendiğini bilmediğiniz için boş eklentilerden de kaçınmak isteyeceksiniz.

3. Güvenli WordPress Barındırma Kullanın

Kaliteli bir WordPress barındırma sağlayıcısı seçmek, sitenizin güvenliğini sağlamak için uzun bir yol kat edebilir.

Öncelikle, kaliteli bir WordPress barındırma sağlayıcısı, ortamınızın uygun dosya izinleri ve güvenli bir wp-config.php dosyası gibi WordPress güvenliği için optimize edilmesini sağlayacaktır.

Birçok WordPress ana bilgisayarı, yerleşik güvenlik duvarları veya kötü amaçlı yazılım taraması gibi daha proaktif korumalar da oluşturacaktır.

Hatta bazı yönetilen WordPress sunucuları, sitenize bir şey olursa sitenizi ücretsiz olarak temizler.

Temel olarak, kaliteli bir ana bilgisayarla (özellikle yönetilen bir WordPress ana bilgisayarı), sitenizi büyütmeye odaklanabilmeniz için bu en iyi uygulamaların çoğuyla ilgilenirler.

Bazı kalite seçeneklerini bulmak için, en iyi yönetilen WordPress barındırma ve genel olarak en iyi WordPress barındırma ile yayınlarımıza göz atın.

Ödeyebileceğinizden, Volan (WPKube için kullandığımız şey - Volan incelememiz) veya Kinsta (Kinsta incelememiz) gibi seçenekleri göz önünde bulundurun.

4. Giriş Sayfanızı ve Hesap Erişiminizi Kilitleyin

Kötü niyetli bir aktör meşru WordPress kullanıcı hesaplarınızdan birine ( özellikle bir yönetici hesabı ) erişim sağlayabiliyorsa, dünyadaki tüm WordPress güvenlik ipuçları size yardımcı olamaz.

Bunu gerçek dünyada bir düşünün – dünyadaki mutlak en iyi ev güvenlik sistemine sahip olabilirsiniz, ancak bir hırsızın ev anahtarınız ve güvenlik kodunuz varsa bu hiçbir şey yapmayacaktır.

Bu, WordPress sitenizin giriş sürecini ve kullanıcı hesaplarını korumanın yollarını bulmanızın önemli olduğu anlamına gelir.

Başlamak için güçlü hesap kimlik bilgilerini kullanmak isteyeceksiniz:

• Kullanıcı adı – kullanıcı adı olarak asla “admin” kullanmayın. Bunun yerine, başka hiçbir yerde kullanmadığınız benzersiz bir kullanıcı adı seçin.
• Parola – güçlü, benzersiz bir parola kullanın. En iyi sonuçları elde etmek için, her site için benzersiz parolalar oluşturmak üzere LastPass veya Bitwarden gibi bir parola yöneticisi kullanın.

Bunun ötesinde, WordPress giriş sayfasını korumak için taktikleri de kullanabilirsiniz:

• Giriş URL'sini değiştirin - bu aynı zamanda birçok bot trafiğini de azaltır. Nasıl? Ücretsiz WPS Girişi Gizle eklentisini kullanın.
• Oturum açma denemelerini sınırlayın - çok fazla hatalı oturum açma girişiminde bulunursa bir IP adresini geçici olarak engelleyin (tıpkı bankaların yaptığı gibi). Nasıl? Ücretsiz Limit Giriş Denemeleri Reloaded eklentisini kullanın.
• İki faktörlü kimlik doğrulama (2FA) gerektir - kişilerin kimlik bilgilerine ek olarak bir kimlik doğrulama uygulamasından, SMS'den veya e-postadan bir kod girmesini sağlayın. Nasıl? WP 2FA veya Two-Factor gibi ücretsiz eklentiler kullanın.

Tüm siteler, oturum açma URL'sini değiştirmeli ve oturum açma girişimlerini sınırlandırmalıdır, ancak WordPress iki faktörlü kimlik doğrulamanın kullanılması gerçekten yalnızca kritik öneme sahip siteler için gereklidir.

5. Bir SSL Sertifikası Kurun ve HTTPS Kullanın

SSL sertifikası, sitenizde HTTP yerine HTTPS kullanmanıza olanak tanır.

HTTPS ile tarayıcınız ve sunucunuz arasında geçen tüm veriler şifrelenir. Genel olarak gizlilik için iyi olmanın ötesinde, bu, kullanıcı adınız ve şifreniz gibi önemli verileri korumak için gereklidir.

HTTPS olmadan, internet ağınızdaki kötü niyetli bir aktör, tarayıcınız ve siteniz arasında geçen tüm verileri görebilir. Örneğin, yerel kafenizde HTTP kullanarak sitenize giriş yaparsanız, o ağdaki biri kullanıcı adınızı ve şifrenizi düz metin olarak görebilir.

HTTPS kullandığınızda, kullanıcı adınız ve şifreniz (diğer tüm verilerle birlikte) güvenli bir şekilde şifrelenir; bu, kötü niyetli kişilerin yalnızca bir grup rastgele karakter görebileceği anlamına gelir.

Günümüzde, çoğu kaliteli WordPress barındırma sağlayıcısı ücretsiz SSL sertifikaları sunmaktadır.

Barındırma kontrol paneliniz aracılığıyla bir SSL sertifikası yükledikten sonra sitenizi HTTPS kullanacak şekilde yapılandırabilirsiniz. Sitenizi HTTPS'ye taşımak için yardıma ihtiyacınız varsa, ücretsiz Really Simple SSL eklentisi tek tıklamayla kurulum sunar.

Daha fazla ayrıntı için WordPress HTTPS kılavuzumuzu takip edin.

6. Desteklenen PHP Sürümlerini Kullanın

WordPress, PHP programlama dilinde yazılmıştır. Ancak, barındırma hesabınızda kullanabileceğiniz farklı PHP sürümleri vardır.

PHP'nin eski sürümleri artık bakım almıyor, bu da yama uygulanmamış güvenlik sorunlarına sahip olabilecekleri anlamına geliyor.

2022 itibariyle, güvenlik güncellemelerini alan en eski PHP sürümü PHP 7.4'tür. Ancak, 2023'ten itibaren en azından PHP 8.0'ı kullanmak isteyeceksiniz.

Mevcut PHP sürüm desteğini bu sayfadan kontrol edebilirsiniz.

Ek bir avantaj olarak, PHP'nin daha yeni sürümleri de büyük performans iyileştirmeleri sunar, bu da sitenizin daha güvenli olmasının yanı sıra daha hızlı yükleneceği anlamına gelir.

PHP'yi nasıl güncelleyeceğinizden emin değilseniz, sunucunuzun desteğine başvurabilirsiniz. Ayrıca popüler WordPress ana bilgisayarlarında PHP'nin nasıl güncelleneceğine dair bir kılavuzumuz var.

7. Sitenizi Düzenli Olarak Yedekleyin

Sitenizi yedeklemeniz sitenizde güvenlik sorunları yaşanmasını engellemez . Ancak güvenlik sorunlarının daha büyük sorunlara dönüşmesini önleyecektir.

Yedek olmadan , sitenizdeki herhangi bir güvenlik olayı kesinlikle yıkıcı olabilir. Veri kaybedebilir, çok fazla kesinti yaşayabilirsiniz vb.

Yine de yeni bir yedeklemeyle, bir güvenlik olayının en kötü durumu, genellikle sitenizin temiz yedeğini geri yüklemeniz gerektiğidir. Hala sinir bozucu - ama çok daha az felaket.

Ana makineniz zaten güvenli otomatik yedeklemeler sunmuyorsa, Jetpack Backup veya BlogVault gibi ücretli araçlar, güvenli, site dışı yedeklemeleri etkinleştirmenin en basit yolunu sunar.

Bir araç için ödeme yapacak bütçeniz yoksa, UpdraftPlus da harika bir ücretsiz seçenektir - sadece onu Google Drive veya Amazon S3 gibi bir site dışı depolama sağlayıcısına bağladığınızdan emin olun.

İşte en iyi WordPress yedekleme eklentileri hakkındaki tam yazımız.

On İki Ek WordPress Güvenlik Sağlamlaştırma İpuçları

Yukarıdaki, takip edilmesi gereken WordPress web sitesi güvenliği en iyi uygulamalarını sadakatle uygularsanız, sitenizdeki sorunların %99'unu önlemiş olursunuz.

Bununla birlikte, işleri daha da güçlendirmek istiyorsanız, sitenizi daha fazla korumak için uygulayabileceğiniz bazı ek sertleştirme ipuçları vardır.

8. Bir Güvenlik Duvarı Kurun

Güvenlik duvarı, sitenizi veya sunucunuzu etkilemeden önce kötü amaçlı trafiği veya eylemleri engelleyerek sitenizi tehditlere karşı proaktif olarak koruyabilir.

Birçok ana bilgisayar zaten kendi güvenlik duvarlarını uygular, bu nedenle kaliteli WordPress barındırma kullanıyorsanız siteler için bu bir zorunluluk olmayabilir ( yukarıya bakın ).

Barındırıcınız yoksa (veya daha fazla koruma istiyorsanız), Wordfence gibi bir eklentiyle uygulama düzeyinde veya Cloudflare veya Sucuri gibi bir hizmetle DNS düzeyinde bir güvenlik duvarı ekleyebilirsiniz.

9. Bir WordPress Güvenlik Eklentisi Kullanın

Özel bir güvenlik eklentisi olmadan güvenli WordPress siteleri oluşturabilirsiniz, bu nedenle güvenli bir site oluşturmak için kesinlikle bir güvenlik eklentisi gerekli değildir.

Bununla birlikte, bir güvenlik eklentisi birkaç nedenden dolayı hala kullanışlı olabilir:

1. Güvenlik eklentileri, ortaya çıkan tehditlere karşı koruma sağlamak için gerçek zamanlı güvenlik duvarları sunabilir.
2. Kaliteli bir güvenlik eklentisi, bu listede sizin için işleri basitleştirebilecek ve size zaman kazandırabilecek diğer pek çok sertleştirme ipucunu uygulamayı kolaylaştıracaktır.

Şüphe duyduğunuzda, Wordfence eklentisi başlamak için harika bir seçenektir. En iyi WordPress güvenlik eklentileri koleksiyonumuzda daha fazla seçenek bulabilirsiniz.

10. WordPress Sürümünü Gizle

WordPress sürüm numarasının gizlenmesi, kötü niyetli kişilerin sitenizin sürüm numarasını algılamasını biraz daha zorlaştırarak ihmal edilebilir miktarda “belirsizliğe bağlı güvenlik” sağlar.

Gizlemek için aşağıdaki kodu alt temanızın function.php dosyasına veya Code Snippets gibi bir eklentiye ekleyebilirsiniz.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Daha ileri gitmek istiyorsanız, sitenizin WordPress kullandığını nasıl gizleyeceğiniz konusunda bir kılavuzumuz var.

11. Dosya İzinlerini Kontrol Edin

Kaliteli bir ana bilgisayar kullanıyorsanız, sitenizin dosya izinleri zaten doğru olmalıdır. Ancak, doğru dosya izinlerine sahip olmak önemli olduğundan iki kez kontrol etmeye değer olabilir.

Daha fazla bilgi edinmek için WordPress dosya izinleriyle ilgili tam kılavuzumuza göz atın.

12. FTP için Yalnızca Güvenli Bağlantılar Kullanın

FTP veya diğer teknolojiler aracılığıyla sitenize her bağlandığınızda, SFTP gibi güvenli protokoller kullandığınızdan emin olun.

HTTPS, tarayıcınız ve web siteniz arasında hareket eden verileri koruduğu gibi, SFTP de FTP istemciniz ve sunucunuz arasındaki bağlantıyı korur.

Ayrıca, bu parolalar güvenli bir şekilde şifrelenmedikçe FTP parolalarınızı FTP istemcinizde saklamaktan da kaçınmalısınız.

13. Etkinlik Günlüğünü Ayarlayın

Etkinlik günlüğü, kullanıcıların gösterge tablonuzda ne yaptığını izlemenize olanak tanır ve bu, şüpheli etkinlikleri yakalamanıza yardımcı olabilir (özellikle diğer kullanıcılara gösterge panosu erişimi verirseniz).

Bunu ayarlamak için WP Activity Log gibi bir eklenti kullanabilirsiniz. Size biraz para kazandıracak özel bir WP Etkinlik Günlüğü kuponunun yanı sıra etkinlik günlüğünün nasıl kurulacağına dair bir eğitimimiz var.

14. Düzenli Kötü Amaçlı Yazılım/Güvenlik Taramaları Çalıştırın

Yukarıdaki en iyi uygulamaları uyguladıysanız sitenizde herhangi bir sorun olmamasına rağmen, sitenizde düzenli aralıklarla kötü amaçlı yazılım/güvenlik taramaları çalıştırmak yine de iyi bir uygulamadır.

Sitenizin ön yüzündeki sorunları kontrol etmek için ücretsiz Sucuri SiteCheck aracını kullanabilirsiniz.

Sunucunuzun dosyalarının tam taramasını çalıştırmak için MalCare veya Wordfence gibi araçları düşünebilirsiniz.

WordPress sunucunuz kendi günlük kötü amaçlı yazılım taramalarını da çalıştırabilir ve bu da bu araçları gereksiz hale getirebilir.

15. XML-RPC'yi devre dışı bırakın

XML-RPC, masaüstü WordPress uygulaması gibi harici araçların WordPress sitenize bağlanmasına yardımcı olur.

Ancak, bu araçları kullanmıyorsanız, sitenize gereksiz bir saldırı vektörü ekler. Tamamen devre dışı bırakmak için ücretsiz Disable XML-RPC eklentisini kullanabilirsiniz.

16. Hotlink'i Engelle

Hotlinking, birinin sunucunuzdan kendi sitesine (örneğin bir resim) içerik gömmesidir. Sunucunuzun kaynaklarını izniniz olmadan tüketerek sitenizin güvenliğini etkileyebilir.

Hotlinking'i engellemek için sitenizin .htaccess dosyasına bazı kodlar ekleyebilirsiniz.

Hotlinking'i engellemek için gereken .htaccess kodunu oluşturmak için bu ücretsiz aracı kullanabilirsiniz. Diğerlerini engellerken, belirli bağlantı sağlayıcıları (Google Görsel Arama gibi) güvenli bir şekilde listelemenize izin verir.

17. WordPress Veritabanı Önekini Değiştirin

WordPress veritabanı önekini değiştirmek, bazı uzmanlar (Wordfence dahil) güvenlik faydalarının oldukça önemsiz olduğunu söylese de, az miktarda “belirsizliğe göre güvenlik” ekler.

Mevcut bir WordPress siteniz varsa, sitenizi bozmanın riskleri olası güvenlik avantajlarından daha ağır bastığı için bunu yapmanızı önermiyorum.

Ancak, yeni bir WordPress sitesi kuruyorsanız, çok büyük bir etkisi olmasa bile özel bir veritabanı öneki kullanabilirsiniz.

18. wp-content/uploads Klasöründe PHP Dosya Yürütmesini Devre Dışı Bırakın

wp-content/uploads klasörünüzde PHP dosya yürütmesini devre dışı bırakarak bazı son durum saldırılarını engelleyebilirsiniz.

İşte nasıl:

1. Yeni bir .htaccess dosyası oluşturmak için Not Defteri'ni kullanın.
2. Aşağıdaki kod parçasını ekleyin.
3. Bu dosyayı wp-content/uploads klasörüne yükleyin.

 <Files *.php> deny from all </Files>

19. Pano İçi Kod Düzenlemeyi Devre Dışı Bırakın

Varsayılan olarak, WordPress, WordPress panosundan tema ve eklenti dosyalarını düzenlemenize izin verir; bu, bir saldırganın bir Yönetici hesabına erişmesi durumunda kötü amaçlı kod eklemesine izin verir.

Bunu önlemek için, wp-config.php dosyanıza bu parçacığı ekleyerek dosya düzenlemeyi devre dışı bırakabilirsiniz:

define( 'DISALLOW_FILE_EDIT', true );

WordPress Web Sitesi Güvenliği SSS'leri

İşleri bitirmek için, WordPress güvenliği ile ilgili birkaç yaygın soruyu burada bulabilirsiniz.

WordPress'in güvenlik sorunları var mı?

WordPress'in kendisinde güvenlik sorunları yoktur, ancak sitenize eklenti yüklemek, özellikle kötü kodlanmış ve/veya bakımı yapılmış eklentiler söz konusu olduğunda güvenlik açıklarına neden olabilir.

WordPress kolayca saldırıya uğrar mı?

WordPress sitelerinin büyük çoğunluğu, yazılımın kendisi nedeniyle değil, kullanıcı hatası nedeniyle saldırıya uğrar. Bazı temel güvenlik en iyi uygulamalarını takip etmek, sitenizi hacklemeyi çok zorlaştıracaktır.

WordPress'i güvenli hale getirebilir misiniz?

Evet kesinlikle. En iyi uygulamaları takip ettiğiniz sürece WordPress çok güvenli olabilir. Pek çok büyük markanın WordPress'e güvenmesinin bir nedeni var.

Bir WordPress güvenlik eklentisine mi ihtiyacınız var?

Kapsamlı bir güvenlik eklentisi olmadan güvenli bir WordPress sitesi oluşturabilirsiniz. Ancak bu eklentiler, güvenlik güçlendirme en iyi uygulamalarını uygulama sürecini basitleştirebilir ve güvenlik duvarları ve güvenlik taraması gibi faydalı özelliklere erişmenizi sağlayabilir.

Bu WordPress Güvenliği En İyi Uygulamalarını Bugün Uygulayın

Bu gönderiden başka bir şey almazsanız, yukarıdan takip edilmesi gereken en az yedi WordPress güvenlik ipucunu uyguladığınızı umuyorum.

Yalnızca bu yedi şeyi yaparsanız, sitenizdeki güvenlik sorunlarının %99,9'unu önleyeceğinizden emin olabilirsiniz.

Daha da iyi koruma istiyorsanız, devam edebilir ve bu listedeki 19 ipucunun hepsini uygulayabilirsiniz.

WordPress güvenliği hakkında hala sorularınız mı var? Yorumlarda bize bildirin!