WordPress Güvenliği – Her Site Sahibi İçin Temel İpuçları

WordPress web sitelerine her dakika 90.978'den fazla saldırı olduğunu biliyor muydunuz ? Neyse ki, bu sayı kulağa çok büyük gelse de, temel güvenlik kurallarına uyarsanız, olası saldırıların çoğunu önleyebilir ve web sitenizi saldırılara dayanıklı hale getirebilirsiniz.

Ya da en azından içeri girmeyi o kadar zorlaştırın ki, bilgisayar korsanları güvenli olmayan binlerce bilgisayardan birini hedef almayı tercih eder. Bunu yapmak o kadar da zor değil, özellikle de birçok saldırının otomatik güvenlik açığı tarayıcıları potansiyel yollar bulduktan sonra gerçekleştirildiğini düşünüyorsanız. Peki, WordPress site güvenliğinizi nasıl hızlandırırsınız? İşte 6 Temel İpucu.

1. WP Kurulumunuzu, Temalarınızı ve Eklentilerinizi Güncel Tutun

Önemsiz ama sıklıkla görmezden gelinen biri. WordPress.org'a göre , tüm WordPress web sitelerinin 1/3'ü en son sürüme güncellenmedi. Bunun da ötesinde, tüm web sunucularının neredeyse 2/3'ü 7.0'dan eski PHP kullanıyor. Eski WordPress kurulumu ve sunucu çerçeveleri siteniz için büyük bir tehdit oluşturur ve bilgisayar korsanları yamalı olmayan güvenlik açıklarını kullanarak web sitenize erişmeye çalışacakları için başarılı bir ihlal riskini artırır.

Aslında, tüm temalarınızı, eklentilerinizi ve WordPress'i güncel tutarsanız, tüm yasal sitelerin %75'inden daha güvenli olursunuz – tahminlere göre her dört siteden üçünde yama uygulanmamış güvenlik açıkları bulunur. Neyse ki, WP eklentilerinizin, temalarınızın ve WP'nin kendisinin en son sürümlerini almak oldukça basittir - tek ihtiyacınız olan bir düğmenin birkaç tıklamasıdır.

Aynı zamanda, sunucunuzun en son PHP sürümünü çalıştırdığından emin olmak biraz daha fazla zaman alabilir. Bu nedenle, barındırma desteğinize ulaşmak ve onlardan sizi nasıl yükseltebileceğiniz konusunda bir kılavuza yönlendirmelerini istemek veya hatta onlardan sizin için yükseltmelerini istemek en iyisidir.

2. Bir Kötü Amaçlı Yazılım Tarayıcısı ve Güvenlik Duvarı Kurun

Kötü amaçlı yazılımlardan, virüslerden ve kaba kuvvet saldırılarından yalnızca PC'nizin etkilenebileceğini düşünüyorsanız, daha fazla yanılmış olamazsınız. WordPress yalnızca etkilenemez, aynı zamanda en çok etkilenen web sitesi CMS'dir ve bunun popülaritesi ile çok ilgisi vardır.

İyi haber şu ki, WordPress için birçok ücretsiz ve ücretli güvenlik duvarı ve kötü amaçlı yazılım tarayıcısı var. En popüler olanlardan biri , hem kötü amaçlı yazılım taraması hem de güvenlik duvarı sunan ve hem ücretsiz hem de ücretli sürümlerde gelen Wordfence Security'dir .

3. Bir VPS Alın ve Bir Kaleye Dönüştürün

Paylaşılan bir barındırma ile karşılaştırıldığında, bir VPS, yapılandırmasının her yönünü kontrol etmenize olanak tanır. Bu sayede web sitenizi yalnızca hızlandırmakla kalmaz, aynı zamanda barındırma ortamının - sunucunun - uygun şekilde güvence altına alınmasını da sağlayabilirsiniz.

Yönetilmeyen bir VPS'de, işletim sistemini (örneğin, CentOS, Ubuntu'ya kıyasla daha güvenli kabul edilir), güvenlik duvarını ve kötü amaçlı yazılım tarayıcıları gibi yüklediğiniz diğer yazılımları (hem WordPress'e hem de sunucunun kendisi).

Ayrıca, WordPress'inizi kök erişiminizin olduğu bir VPS'ye kurarak, MySQL şifreleri gibi şeyleri değiştirmek veya WordPress klasörlerini yeniden adlandırmak ve olası bir saldırı olasılığını azaltmak için dosyalarını yeniden yapılandırmak kolaydır. Bunların bir kısmı güvenlik eklentileri kullanılarak da yapılabilir.

Doğal olarak, sanal bir özel sunucunun tüm avantajlarından (hız, esneklik ve ölçeklenebilirlik) yararlanmak için, daha fazla kaynağa ihtiyacınız olduğunda yükseltmesi kolay olan farklı fiyatlandırma paketleri sunan bir şirketten sunucu kiralamanız gerekir. Böyle bir teklifin harika bir örneğini burada görebilirsiniz .

4. /wp-admin ve WordPress kurulumunuzu gizleyin

Neden ilk etapta WordPress üzerinde çalıştığınızı tüm dünyaya söylüyorsunuz? Harika bir içerik yönetim sistemi olsa da, onu çalıştırmakla övünmek zorunda değilsiniz. Özellikle potansiyel davetsiz misafirlere değerli bilgiler sağlar. Örneğin, WordPress'i gizlemediğiniz sürece, What WordPress Theme is That? gibi web siteleri. sadece kullandığınız tema hakkında değil, aynı zamanda bazı eklentiler hakkında da bilgi ifşa edin. Bilgisayar korsanına hey demek gibi, içeri şu şekilde girebilirsiniz:

Peki, potansiyel davetsiz misafirlerin meraklı gözlerinden WP site bilgilerinizi nasıl saklarsınız? Neyse ki, herhangi bir teknik beceriye ihtiyacınız yok. Talep olduğunda, bunu yapmak için kullanabileceğiniz WordPress eklentileri vardır – en popüler olanı , giriş sayfanızı gizleyebilen ve WordPress web sitenizle ilgili ayrıntıları görünmez hale getirebilen (maalesef, WP'mi Gizle) . ücretsiz sürüm yok).

Alternatif olarak, size çok fazla gizleme seçeneği sunmayan (oturum açma sayfasını gizlemenize izin vermesine rağmen ) iThemes Security'nin ücretsiz sürümünü edinebilirsiniz, ancak diğer birçok güvenlik avantajıyla birlikte gelir.

5. WP Kullanıcı Adınızı Değiştirin ve Gizli Tutun

Tıpkı gerçek parolanız olarak parola kelimesini kullanmamanız gerektiği gibi , varsayılan WordPress kullanıcı adını yönetici olarak bırakmak korkunç sonuçlar doğurabilir. Sonunda, muhtemelen herhangi bir potansiyel davetsiz misafirin tahmin etmeye çalışacağı ilk şey budur, bu yüzden onu kullanarak, yönetici hesabınızın ayrıntılarını bulmalarını inanılmaz derecede kolaylaştırırsınız.

Nasıl değiştirilir? Bunu yapmanın iki yolu vardır. Bunu sizin için yapabilecek bir eklenti arayabilir veya manuel yoldan gidebilirsiniz. Şahsen ben ikincisini tercih ederim - çünkü bu kadar hızlı ve kolaydır ve bunu herkes yapabilir. Ancak, WordPress size bunu değiştirmek için hazır bir seçenek sunmadığından, küçük bir geçici çözüm kullanmanız gerekir. Öncelikle sitenize giriş yapın ve Kullanıcılar > Yeni Ekle'ye gidin.

Bir kez orada, yeni yönetici hesabınızın kullanıcı adını girin ve kullanıcı rolünü Yönetici olarak ayarladığınızdan emin olun. Bu yapıldıktan sonra, Şifreyi göster'i tıklayın ve varsayılan (güvenli) şifreyi değiştirin veya kopyalayın.

Kullanıcı oluşturulduktan sonra siteden çıkış yapın ve yeni kullanıcıyı kullanarak oturum açın. Kullanıcılar > Tüm Kullanıcılar'a gidin ve eski WordPress yönetici hesabını kaldırın. Ama hepsi bu kadar değil. Gönderilerinizi yayınlamak için bir hesaba ihtiyacınız var, değil mi? Bunları, kalıcı bağlantılar nedeniyle kullanıcı adının tahmin edilmesini kolaylaştıran bir yönetici kullanarak yayınlamak yerine (onlarla oynamadığınız sürece), devam edin ve ayrı bir hesap oluşturun. Bu sefer, rolünü bir yönetici olarak ayarlamak yerine, yönetici yetenekleri olmayan (bir yazar veya editör gibi) bir rol olarak ayarlayın.

İşiniz bittiğinde, devam edin ve mevcut tüm gönderilerin yazarını yeni kullanıcıya ayarlayın (bunu her makalenin altındaki Tüm Gönderiler > Hızlı Düzenleme'de yapabilirsiniz).

6. Mevcut WordPress Kullanıcı Hesaplarını Güvenli Hale Getirin

Sanal asistanlarla mı çalışıyorsunuz veya WordPress web sitenize erişebilen çalışanlarınız mı var? Bu durumda, tüm eklentilere ve verilere erişmelerine izin vermemek en iyisidir. Sonunda, muhtemelen sitenizdeki tüm eklentileri yapılandırabilmeleri gerekmez. Ve güvenilir bir geliştirici olmadıkları sürece kesinlikle tema düzenleyiciye erişimleri olmamalıdır. Erişimleri nasıl kısıtlanır? Yollardan biri, hesaplarını oluşturmak ve rollerini katkıda bulunan, yazar veya editörün varsayılan rollerinden birine ayarlamaktır.

Ancak, varsayılan ayarların onlara sağlamadığı web sitesinin bölümlerine erişmelerine izin verirken bu rollerin kısıtladığından daha fazlasını engellemek isterseniz ne olur? Bu durumda , yeni roller oluşturmanıza ve bunlar tarafından web sitesinin hangi öğelerine erişilebileceğini ayarlamanıza olanak tanıyan User Role Editor gibi ücretsiz bir eklenti kullanabilirsiniz .

7. Denetim Günlüğü Aracılığıyla Etkinliği İzleme

Peki ya kullanıcılarınızın web sitenizdeki savunmasız öğelerin çoğuna erişimini kısıtlayamaz, bir şeyler ters giderse diye en azından kimin neyi değiştirdiğini veya düzenlediğini bilmek isterseniz? Kapsamlı bir denetim günlüğü şeklinde bir genel bakış elde etmek için WP Güvenlik Denetim Günlüğünü yükleyebilirsiniz . Ücretsiz sürümü, çalışanlarınızın ve VA'ların faaliyetlerine uygun bir genel bakış sunmak için fazlasıyla yeterlidir:

8. Google Authenticator'ı Kullanarak Girişi Daha Güvenli Hale Getirin

Kullanıcılardan bahsetmişken, sitenizi daha da güvenli hale getirmek için yapabileceğiniz bir şey daha var. WordPress kimlik bilgilerinizin (veya çalışanlarınızın) çalındığını hayal edin. Bu durumda, çalışanınızın kullanıcı rolüne bağlı olarak, bir davetsiz misafir tüm WP web sitesine erişebilir. Bunun olmasını önlemek için, oturum açarken iki faktörlü bir kimlik doğrulama eklemeyi düşünün. Bunu yapmanın en kolay yolu Google Authenticator eklentisidir . Bu yapıldıktan sonra, birisi kullanıcı adınızı ve şifrenizi alsa bile, Google Authenticator uygulaması tarafından sağlanan kod olmadan oturum açamaz.

Gördüğünüz gibi, WordPress popüler olanlar arasında en savunmasız içerik yönetim sistemi olarak görülse de, en yaygın riskleri en aza indirmek, hatta tamamen ortadan kaldırmak ve web sitenizdeki en çok tehlike altındaki öğeleri güvenceye almak o kadar da zor değil.

Yukarıdaki ipuçlarını takip ederseniz, sitenize başkalarına erişim verirken dikkatli olun ve sitenizin öğelerini, web sitenizi ve onunla birlikte güncel tutun, işletmeniz olası davetsiz misafirlere karşı güvende olacaktır. Ne kadar tasarruf edebileceğinizden bahsetmiyorum bile, yalnızca güvenlik ihlalini önledi.