WordPress Güvenliğini Artırmanın 12 Önemli Yolu

WordPress, dünyanın en popüler web sitesi oluşturucularından biridir. Dünyanın en büyük markalarından ve kuruluşlarından bazıları da dahil olmak üzere milyonlarca insan tarafından kullanılmaktadır.

Bununla birlikte, büyük sorumluluk, WordPress sitenizin mümkün olduğunca güvenli olmasını sağlamayı da içeren büyük bir güçle birlikte gelir. Son yıllarda birkaç yüksek profilli WordPress sitesi saldırıya uğradı, bu nedenle sitenizi korumak için adımlar atmak çok önemlidir.

Sucuri tarafından yapılan bir araştırma, WordPress sitelerinin %43'ünün saldırılara açık olduğunu buldu.

İşte WordPress güvenliğini artırmanın bazı yolları.

WordPress'i Güncel Tutun

WordPress güvenliğini artırmak için yapabileceğiniz en önemli şeylerden biri WordPress sitenizi güncel tutmaktır.

Bu, WordPress'in kendisini ve yüklediğiniz tüm temaları ve eklentileri güncellemek anlamına gelir. WordPress'in yeni sürümleri düzenli olarak yayınlanır ve her yeni sürüm, keşfedilen güvenlik açıkları için güvenlik düzeltmeleri içerir.

WordPress'i güncellemek için Gösterge Tablosu > Güncellemeler sayfasına gidin ve "Şimdi Güncelle" düğmesini tıklayın.

Temalarınızı ve eklentilerinizi güncellemeniz de önemlidir. Çoğu tema ve eklenti geliştiricisi, güvenlik açıklarını düzeltmek için düzenli olarak güncellemeler yayınlar.

Temalarınızı ve eklentilerinizi Kontrol Paneli > Güncellemeler sayfasından güncelleyebilir veya güncellemeler olduğunda size e-posta gönderecek olan WP Updates Notifier eklentisini yükleyebilirsiniz.

WordPress Sürüm Numarasını Gizle

WordPress daha popüler hale geldikçe, bilgisayar korsanları onu giderek daha fazla hedef aldı.

Aradıkları şeylerden biri, her WordPress sitesinin kaynak kodunda görüntülenen WordPress sürüm numarasıdır. Bilgisayar korsanları, hangi WordPress sürümünü çalıştırdığınızı bilerek belirli güvenlik açıklarını hedefleyebilir. Ayrıca, bazı WordPress güvenlik eklentileri yalnızca belirli WordPress sürümleriyle çalışır.

Bu nedenle, WordPress sürüm numaranızı gizlemeniz önemlidir. Çoğu WordPress temasının bunu yapma seçeneği vardır veya WP-Hardening Plugin gibi bir eklenti yükleyebilirsiniz.

Bu kodu function.php dosyanıza yapıştırarak manuel olarak da gizleyebilirsiniz:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Güçlü Bir Parola Kullanın

WordPress güvenliğini artırmanın bir diğer önemli yolu da güçlü bir parola kullanmaktır.

Güçlü bir parola en az sekiz karakter uzunluğunda olmalı ve büyük ve küçük harfler, sayılar ve simgelerden oluşan bir karışım içermelidir. Ziyaret ettiğiniz her web sitesi için farklı bir şifre kullanmak da önemlidir. Bu şekilde, bir site saldırıya uğradığında diğer hesaplarınız güvende olacaktır. Güçlü parolalar oluşturmanıza ve hatırlamanıza yardımcı olması için LastPass veya KeePass gibi bir parola yöneticisi kullanabilirsiniz.

Imperva tarafından yapılan bir araştırma çalışması, güçlü bir parola kullanmanın, yaygın bir WordPress hack'i olan kaba kuvvet saldırılarını önlemenin en etkili yolu olduğunu buldu.

Son derece güçlü bir şifre oluşturmak için bir şifre üreticisi web sitesi kullanın. İşte en iyi şifre üreticilerinden bazıları:

• Son Geçiş
• Norton
• 1Şifre

İki Faktörlü Kimlik Doğrulamayı Kullan

İki faktörlü kimlik doğrulama (iki adımlı doğrulama olarak da bilinir), WordPress sitenizin korunmasına yardımcı olabilecek ek bir güvenlik katmanıdır.

İki faktörlü kimlik doğrulama ile, genellikle akıllı telefonunuzdaki bir uygulama tarafından oluşturulan parolanızı ve ikinci bir kodu girmeniz gerekir. Bu şekilde, birisi şifrenizi tahmin etmeyi başarsa bile, akıllı telefonunuz da olmadığı sürece giriş yapamazlar.

WordPress varsayılan olarak iki faktörlü kimlik doğrulama içermez, ancak Google Authenticator veya Duo Security gibi bir eklenti yükleyebilirsiniz.

Yine de, akıllı telefonunuzu kaybederseniz iki faktörlü kimlik doğrulamanın çalışmayacağını unutmayın; bu nedenle, alternatif bir e-posta adresi veya telefon numarası gibi bir yedekleme yönteminizin olması önemlidir.

Giriş Denemelerini Sınırla

WordPress güvenliğini artırmanın bir başka yolu da oturum açma girişimlerini sınırlamaktır.

WordPress varsayılan olarak sınırsız sayıda oturum açma denemesine izin verir ve bu da bilgisayar korsanlarına parolanızı tahmin etmeleri için bolca fırsat verir. Giriş denemelerini sınırlayarak kaba kuvvet saldırılarını önlemeye yardımcı olabilirsiniz. Giriş Denemelerini Sınırla ve Giriş Kilitleme gibi bazı eklentiler bunu yapmanıza izin verir.

Wordfence tarafından yapılan araştırma, giriş denemelerini sınırlamanın kaba kuvvet saldırılarının %99,99'unu engelleyebileceğini gösteriyor.

Ayrıca, şifrenizi unutursanız, kendiniz gibi meşru kullanıcıları kilitlemeyen bir eklenti seçin.

SSL kullan

SSL (Güvenli Yuva Katmanı), bir web sitesi ile kullanıcının web tarayıcısı arasında iletilen verileri şifreleyen bir protokoldür. Bu, birisi verileri engellemeye çalışırsa, okuyamayacakları anlamına gelir. Geçmişte, e-Ticaret web siteleri kredi kartı bilgilerini korumak için öncelikle SSL kullanıyordu.

Ancak günümüzde giderek daha fazla WordPress sitesi, oturum açma kimlik bilgileri ve iletişim formu gönderimleri gibi hassas verileri korumak için SSL kullanıyor. WordPress sitenize birkaç farklı şekilde SSL ekleyebilirsiniz. Örneğin, bazı web barındırma şirketleri ücretsiz SSL sertifikaları sunar veya Symantec veya Comodo gibi bir şirketten sertifika satın alabilirsiniz. Bir SSL sertifikanız olduğunda, WordPress SSL eklentisini yüklemeniz ve etkinleştirmeniz gerekir.

Eklenti Dizininize Erişimi Kısıtlayın

WordPress eklenti dizini, sitenize yüklediğiniz tüm eklentileri içeren sunucunuzdaki bir klasördür.

Varsayılan olarak, herkes bu klasöre erişebilir ve hangi eklentileri kullandıklarını görebilir. Ve bir bilgisayar korsanı hangi eklentileri kullandığınızı biliyorsa, bu eklentilerdeki tüm güvenlik açıklarını hedefleyebilir. Bu nedenle, eklentinizin dizinine erişimi kısıtlamak çok önemlidir. Bunu, .htaccess dosyanıza basit bir kod satırı ekleyerek yapabilirsiniz.

Sunucunuzdaki dosyaları düzenleme konusunda rahat değilseniz, kodu sizin için ekleyecek olan iThemes Security gibi bir eklenti yükleyebilirsiniz. .htaccess dosyanızı düzenlerseniz, herhangi bir değişiklik yapmadan önce bir yedek oluşturduğunuzdan emin olun.

Yönetici Kullanıcı Adını Değiştirin

WordPress'i kurduğunuzda, varsayılan yönetici kullanıcı adı "admin"dir. Bu çok güvenli değil çünkü bilgisayar korsanlarının tahmin etmesi kolay.

Bu nedenle, WordPress'i kurduktan sonra yapmanız gereken ilk şeylerden biri yönetici kullanıcı adını değiştirmektir. Yönetici ayrıcalıklarına sahip yeni bir kullanıcı oluşturabilir ve ardından eski "yönetici" kullanıcıyı silebilirsiniz. Veya varsayılan yönetici kullanıcı adı da dahil olmak üzere herhangi bir güvenli olmayan ayar için sitenizi tarayacak WP Security Scan gibi bir eklenti yükleyebilirsiniz.

Yönetici kullanıcı adını değiştirdikten sonra, WordPress hesabınızdan çıkış yapın ve yeni kullanıcı adıyla tekrar giriş yapın. Birçok kişi bunu yapmayı unutur ve neden WordPress sitelerine erişemediklerini merak eder.

Giriş Ekranınızda CAPTCHA veya reCAPTCHA kullanın

CAPTCHA (Computers and Humans Apart'ı anlatmak için Tamamen Otomatik Halka Açık Turing testi), yalnızca insanların bir web sitesine erişebildiğinden veya belirli eylemleri gerçekleştirebildiğinden emin olmak için kullanılan bir sorgulama-yanıt testidir. reCAPTCHA, Google'ın sahip olduğu bir CAPTCHA sürümüdür. Geleneksel CAPTCHA'dan daha güvenlidir çünkü otomatikleştirilmiş yazılımın web sitenizde kötüye kullanım amaçlı faaliyetlerde bulunmasını önlemek için gelişmiş risk analizi teknikleri kullanır. WordPress giriş ekranınıza CAPTCHA veya reCAPTCHA eklemek için WP-reCAPTCHA gibi bir eklenti yükleyebilirsiniz.

Eklenti yüklenip etkinleştirildikten sonra, reCAPTCHA ile ücretsiz bir hesap açmanız gerekir. Ardından, eklenti ayarlarına girmeniz gereken bir Site Anahtarı ve Gizli Anahtar verilecektir.

Boşta Kalmış Kullanıcıların Oturumunu Otomatik Olarak Kapat

WordPress sitenizde oturum açtığınızda, tarayıcı penceresini kapatsanız veya bilgisayarınızdan uzaklaşsanız bile oturumunuz süresiz olarak açık kalabilirsiniz. Bu çok güvenli değil çünkü bilgisayarınıza erişimi olan herkes WordPress sitenize de erişebilir.

Bu sorunu çözmek için Idle User Logout gibi bir eklenti yükleyebilirsiniz. Bu eklenti, belirli bir süre boyunca etkin olmayan kullanıcıların oturumunu otomatik olarak kapatacaktır.

Örneğin, 15 dakikadır aktif olmayan kullanıcıların oturumunu kapatacak şekilde ayarlayabilirsiniz. Bu şekilde, birisi bilgisayarınıza erişebilse bile, WordPress sitenizde oturum açamaz. Paylaşılan bir bilgisayarınız varsa veya genel Wi-Fi kullanıyorsanız bir eklenti gereklidir.

Sunucunuza Bağlanmak için SFTP Kullanın

WordPress sitenize bağlandığınızda, sunucunuza bağlanıyorsunuz.

Varsayılan olarak, çoğu kişi sunucularına FTP (Dosya Aktarım Protokolü) kullanarak bağlanır. Ancak FTP, verilerinizi şifrelemediği için güvenli olmayan bir protokoldür. Bu, bağlantıyı izleyen herkesin kullanıcı adınızı ve şifrenizi görebileceği anlamına gelir.

Bu nedenle, SFTP (Güvenli Dosya Aktarım Protokolü) kullanmak çok önemlidir. SFTP, verilerinizi şifreleyen güvenli bir protokoldür, bu nedenle birinin bağlantınızı ele geçirmesi ve kimlik bilgilerinizi çalması çok daha zordur. SFTP'yi kullanmak için bir SSH anahtar çifti oluşturmanız ve ortak anahtarı sunucunuza eklemeniz gerekir. Çoğu barındırma sağlayıcısının bunun nasıl yapılacağına ilişkin talimatları vardır.

Kötü Amaçlı Yazılım İzleme

Kötü amaçlı yazılım, WordPress sitenize bulaşabilecek ve birçok soruna neden olabilecek kötü amaçlı yazılımdır.

Örneğin, kötü amaçlı yazılım, ziyaretçilerinizi başka web sitelerine yönlendirebilir veya izniniz olmadan sitenizde reklam gösterebilir. Kötü amaçlı yazılım, parolalar ve kredi kartı numaraları gibi hassas bilgileri de çalabilir. Bu nedenle, WordPress sitenizi kötü amaçlı yazılımlara karşı düzenli olarak taramanız ve bulduklarınızı kaldırmanız önemlidir. Bunu yapmanın birkaç farklı yolu vardır. Örneğin, sitenizi kötü amaçlı yazılımlara karşı tarayacak ve bulduklarını otomatik olarak kaldıracak Wordfence Security gibi bir eklenti kullanabilirsiniz.

Alternatif olarak, sitenizi tarayacak ve ardından bulduğu kötü amaçlı yazılımları size bildirecek Sucuri SiteCheck gibi bir hizmet kullanabilirsiniz.

Çözüm

Bunlar, WordPress güvenliğini artırmanın birçok yolundan sadece birkaçı. Bu önlemleri alarak WordPress sitenizi bilgisayar korsanlarından ve diğer kötü niyetli kullanıcılardan korumaya yardımcı olabilirsiniz. Bu ipuçlarının birçoğunun uygulanması kolaydır, bu nedenle harekete geçmemek için hiçbir mazeret yoktur. Unutmayın, WordPress siteniz yalnızca sizin yaptığınız kadar güvenlidir. Bu yüzden lütfen güvenlik hakkında düşünmeye başlamak için çok geç olana kadar beklemeyin. Şimdi harekete geçin ve WordPress sitenizi güvende tutmaya yardımcı olun.