WordPress Güvenliği: Bu Adımlarla Sitenizin Güvenliğini Artırın

Yayınlanan: 2018-05-23

Web'de, en fazla sayıda web sitesi WordPress platformunda çalışıyor. Bu, WordPress'in web üzerinde hüküm sürdüğü anlamına gelir. Web'deki kötü niyetli öğelerin dikkatini çeker. Bu nedenle Google, her yıl yaklaşık 20 bin web sitesini kötü amaçlı yazılımlar ve 50 bin web sitesini kimlik avı için yasaklıyor.

Böyle kasvetli bir senaryoda, web sitesi güvenliği hayati hale gelir. Kaydedilen saldırı olayları, WordPress koduyla çalışan daha fazla sayıda web sitesi nedeniyle WordPress platformunda en yüksektir. Bu nedenle, bugün WordPress web sitenizin güvenliğini sağlamanıza yardımcı olacak birkaç uygulanabilir adımı vurgulamak istiyorum.

WordPress Web Sitenizin Kullanıcılarının Girişini Sağlama

Gerçek hayatta, ev, ofis veya fabrika gibi bir binayı güvence altına almak istediğimizde, önce yaramaz veya kötü niyetli unsurların giriş yapmaya çalışabileceği erişim noktalarına bakarız. WordPress web sitenizin güvenliğini sağlamak için aynı stratejinin uygulanması gerekir.

Şimdi bilgisayar korsanları veya kötü niyetli kullanıcıların arka ucunuza veya kaynak kodunuza erişebilecekleri olası giriş noktalarını değerlendirelim. Varsayılan olarak, WordPress arka uç erişim URL'si şu şekilde biter:

/wp-login.php veya /wp-admin/

Bu nedenle, istenmeyen kullanıcıların WordPress arka uç sayfanıza girişini engellemek için uygun adımları atmanız gerekir.

Giriş URL'sini Değiştir

Bir WordPress geliştiricisiyseniz, sitenin arka ucunun varsayılan URL'sini nasıl değiştireceğinizi zaten biliyorsunuzdur, ancak ileri düzey kullanıcılar veya DIY tipi kullanıcılar için gelişmiş bir güvenlik eklentisi veya uzantısı bunu yapmanızı sağlayabilir. Böylece değiştirebilirsiniz

  • /wp-login.php'den /Alan-Adınız-login.php'ye
  • /wp-admin/veya /Alan-Adınız-admin/
  • /wp-login.php?action=register veya /Alan-Adınız-kaydı

Bu nedenle, bu tür özelleştirilmiş URL, kaba kuvvet saldırılarından büyük ölçüde korunmanıza yardımcı olabilir.

Kullanıcı adını değiştir

Varsayılan olarak, WordPress geliştiricilerinin çoğu 'Admin/admin' anahtar kelimesini kullanıcı adı olarak ayarlar. Bilgisayar korsanlarının ve istenmeyen kullanıcıların WordPress sitenizin arka ucuna erişmesini kolaylaştırır ve yalnızca parolayı tahmin etmek için Tahmin Çalışması Veritabanını (GWDb) kullanmaları gerekir.

Varsayılan kullanıcı adınızı e-posta adresiniz gibi öngörülemeyen bir adla değiştirirseniz, saldırganların ve yazılımlarının tehdidini azaltabilirsiniz.

Şifre değiştir

There are many ways to protect the password.

Tıpkı kullanıcı adı gibi şifre de her zaman tehdit altındadır. Parola tahmin etme etkinliklerini korumanın birçok yolu vardır. Örneğin, küçük harf, büyük harf, sayı ve simgelerden oluşan oldukça karmaşık bir parola kullanmak.

Bununla birlikte, iki faktörlü kimlik doğrulamanın son trendleri, her düzeydeki kullanıcı için arka ucunuza erişimi güvence altına almanın mükemmel ve sağlam bir yoludur. Cep telefonları/akıllı telefonlar, 2FA sisteminin kimliğini doğrulamak için OTP'ye (Tek Kullanımlık Şifre) erişmek için kullanışlı cihazlardır.

Kilitleme ve Yasaklama Kurulumu

Kaba kuvvet girişimlerini önlemek ve bu IP adreslerinin kilitlenmesini veya yasaklanmasını uygulamak için, tekrarlanan oturum açma veya kayıt girişimlerini tanımak için birçok eklenti ve yazılım mevcuttur. Eklentiler, bir dizi başarısız deneme belirlemenize ve web sitenizin arka ucunu yetkisiz erişimden korumak için başka özellikler sağlamanıza izin verir.

WordPress Web Sitenizin Yönetici Kontrol Panelinin Güvenliğini Sağlama

For WordPress backend users, the dashboard is the most engaging and highly used part of the backend.

WordPress arka uç kullanıcıları için gösterge panosu, arka ucun en ilgi çekici ve en çok kullanılan kısmıdır. Varsayılan kullanımdan özelleştirmeye kadar tüm web sitesini yönetmek için tüm araçları ve seçenekleri sağlar. Biri gösterge panosunu başarılı bir şekilde hacklerse, bilgisayar korsanları için en büyük zafer ve web sitesi sahipleri için en büyük zararı kanıtlayacaktır.

Bu nedenle WordPress admin dashboard için özel önlemler almalıyız. Aşağıdakiler, bundan sonra dikkate alabileceğimiz olası önlemlerdir.

'wp-admin' Dizinine Dikkat Edin

Her şey, kaynaklar ve dosyalar dahil tüm web sitelerini yönetmenize izin veren bir wp-admin dizinine yerleştirilmiştir. Bu nedenle, dizine yetkisiz erişimi önlemek, en kötüleri önceden ortadan kaldırmak anlamına gelir.

Dizin parolasını korumalı hale getirmek için WordPress topluluğu tarafından geliştirilen bazı eklentiler vardır. Bu nedenle, WordPress admin kullanıcıları, kontrol paneline erişmek için iki farklı şifre kullanmak zorundadır. Biri giriş sayfası, diğeri gösterge panosu için. Bu tür eklentiler otomatik olarak [.htpasswd] dosyası oluşturur, ardından parolayı şifreler ve dosya izinlerini yapılandırır.

Yeterince Özenle Yönetici Kullanıcıları Ekleyin

Arka ucun tüm ayrıcalıklarına sahip olan süper yöneticinin yanı sıra, diğer kullanıcılar da arka uç özelliklerine ve işlevlerine farklı düzeylerde erişim ile arka uca erişebilir. Arka uca rol tabanlı erişim mümkündür ve onlara en güvenli olduğunu düşündüğünüz parolaların yanı sıra farklı kullanıcı adları da verebilirsiniz.

Yönetici Dizinindeki Önemli Dosyaları İzleyin

Tüm yönetici kullanıcılarının güvenlik tehditleri algılandığında gerçek zamanlı önlem alması için şüpheli etkinlikleri izlemek için bazı eklentileri kullanabilirsiniz.

Verileri Şifrele

Security Socket Certificate (SSL)

Depolanan ve değiş tokuş edilen verilerinizi korumak için en son şifreleme teknolojisini kullanan Güvenlik Yuvası Sertifikası (SSL) uyguladıysanız, arada yanlış bir şey olmasını engelleyebilir ve web sitesinin yanı sıra tüm WP yönetici alanlarını güvence altına alabilirsiniz.

WordPress Sitenizin Veritabanının Güvenliğini Sağlama

WordPress platformu, veritabanına büyük ölçüde güvenir, çünkü tüm web sitesi varlıkları, metinler, resimler, düzen kodu, multimedya içeriği gibi SQL veritabanlarında çoğunlukla tablo biçimindeki veritabanlarında depolanır ve bir WordPress sitesindeki herhangi bir şeyin veritabanında bir yeri vardır.

Veritabanlarını SQL Injections ve diğer siber saldırılardan korumak için aşağıdaki önlemlerle veri tabanınızı koruyabilirsiniz.

Veritabanı için Parola Belirle

Veritabanınız için güçlü bir şifre belirleyebilir ve veritabanına erişimi süper yönetici rolüne kadar kısıtlayabilirsiniz, böylece veritabanında değişiklik veya hata olasılıkları en aza indirilebilir.

WP Önekini Değiştir

Bir WordPress web sitesi kuracaksanız, bir veritabanı tablosu ayarıyla karşılaşabilirsiniz ve bu WP tablo önekidir. Varsayılan olarak wp-'dir ve veritabanı saldırıları gibi SQL Enjeksiyonlarını önlemek için değiştirmeniz gerekir. Özelleştirilmiş bir önek gibi wp-'den Your-Domain-Name'e değiştirebilirsiniz.

Veritabanının Düzenli Yedeklemesini Alın

Web sitesinin tamamının düzenli yedeğine sahip olabilirsiniz veya olmayabilir, ancak veritabanı yedeklemesini ayarlamak sizi bilinen ve bilinmeyen çeşitli nedenlerle meydana gelen veri kayıplarından kurtarabilir. Bugün , farklı sıklıkta veritabanı yedeği almak için özel ayrıcalıklara sahip yedekleme eklentilerimiz var.

WordPress Sitenizin Barındırılmasını Sağlama

Arama motorları, sıralama gereksinimlerini karşılamak için ideal bir SEO dostu barındırma gerektirdiğinden, bugün bir web sitesine ev sahipliği yapmak başarısı için kritik öneme sahiptir. Benzer şekilde, arka uç kullanıcıları ve ön uç kullanıcıları da dahil olmak üzere web sitesi kullanıcıları, performans optimizasyonu , dönüşüm optimizasyonu ve kullanıcı deneyimleri, büyük ölçüde barındırma ortamına ve bir bütün olarak barındırma kalitesine bağlıdır.

Bugün, paylaşılan barındırma, VPS barındırma, özel barındırma ve en önemlisi farklı ölçek ve büyüklükteki web siteleri için Kinsta gibi bulut tabanlı barındırma hizmetleri gibi varsayılan WordPress topluluk barındırma hizmetleri dışında birkaç barındırma seçeneğimiz var.

Güvenli wp-config.php Dosyası

Secure wp-config.php File.

WordPress wp-config.php dosya erişimi, tüm WordPress kurulumunuzla ilgili oldukça kritik bilgiler içerdiğinden, bilgisayar korsanlarının kötü niyetlerini kolayca gerçekleştirmeleri için kritik bir başarıdır.

En iyi yol, dosyayı kök dizinden daha yüksek bir düzeye taşımaktır. Bunu kolayca yapabilirsiniz çünkü WordPress, WordPress'in kök dizininin dışında olsa bile görebilir. Böylece server daha üst seviyede kolayca bulabilir.

Yasaklama Dosyası Düzenleme

Bir barındırma sunucusunda, web sitesi kaynağınız, sitenizi sorunsuz bir şekilde çalıştırmak için kritik bilgilere ve izinlere sahip birkaç dosyaya sahiptir. Bilgisayar korsanları veya kötü niyetli unsurlar sunucuyu kırar ve bu dosyalara erişirse, farklı yoğunluklarda zarar verebilirler.

Süper yönetici dışında hiç kimsenin dosya düzenlemesine izin vermezseniz, bu kayıplardan kolayca tasarruf edebilirsiniz. Bunu, wp-config dosyasının sonuna bir kod satırı ekleyerek yapabilirsiniz.

Dizin İzinlerini Ayarlarken Dikkatli Olun

Barındırma sunucunuzdaki dizinler, alt dizinler ve dosyalar, önemli WordPress güvenlik unsurlarıdır. Web sitenizin bu bileşenleri için izinleri yanlış ayarlarsanız. Sunucu bir şekilde tehlikeye girdiğinde saldırı şansınızı artırabilirsiniz.

Bu nedenle, dizinler/alt dizinler için 755, dosyalar için 644 izin ayarlamalısınız. Hosting/c-Panel'de bulunan Dosya Yöneticisi araçlarını kullanarak izinleri kolayca ayarlayabilir veya değiştirebilirsiniz. Dosya izinleri hakkında daha fazla bilgi için – Dosya İzinlerini Anlama ve Sitenizi Güvenli Hale Getirmek İçin Bunları Kullanma .

Doğru Sunucu Bağlantısı

Geleneksel olarak, sunucu bağlantısı için FTP protokolünü kullanırız. Ancak SFTP veya SSH, günümüzde sunucu bağlantısı kurmanın daha güvenli ve güvenilir yoludur.

WordPress Sitenizin Temalarının ve Eklentilerinin Güvenliğini Sağlama

WordPress Security - Securing Themes of Your WordPress Site.

WordPress temalarının ve eklentilerinin çoğu üçüncü taraf geliştiriciler tarafından geliştirilmiştir. Bunlar güvenlik açısından tamamen güvenilir değildir. Bu nedenle, bunları güvenli hale getirmek için bazı önlemler almalısınız. Örneğin:

Düzenli Güncellemeler Alın

Tıpkı WordPress web siteniz gibi, eklenti ve tema geliştiricileri/şirketleri de WordPress sürümlerine ayak uydurmak ve kullanıcıların geri bildirimleriyle bildikleri hataları ve sorunları gidermek için güncellemeler yayınlar. Bu nedenle, uygun bir eklenti kullanarak güncellemelerini kontrol panelinden düzenli olarak yüklemeye çalışın.

WordPress Sürüm Bilgilerini Gizle

Saldırganlar için, sayı gibi WordPress sürüm bilgilerinizi bilmek size özel bir saldırı geliştirmeye yardımcı olabilir ve sürüm bilgileri WordPress kaynağında kolayca bulunabilir. Bu sürüm bilgilerini Kendin Yap veya özel WordPress geliştiricinizin yardımıyla kaldırabilirseniz, saldırganların hayatını biraz zorlaştırabilirsiniz.

Çözüm

Yukarıdaki yazıyı, yeni başlayanlar ve orta seviye WordPress geliştiricilerinin yanı sıra özel WordPress eklenti geliştiricisini göz önünde bulundurarak yazdım. Bu nedenle, WordPress sitenizin güvenliğini sağlamak için açıklanan ipuçlarının uygulanması, uygun ve en yeni WordPress güvenlik eklentilerinden yardım almadan zor olacaktır. Sitenize yüklemek ve her zamankinden daha güvenli hale getirmek için aşağıdaki eklentileri öneririm:

  • Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı
  • Brute Force Giriş Koruması
  • kurşun geçirmez Güvenlik
  • Google Kimlik Doğrulayıcı
  • iThemes Security, eski adıyla Better WP Security
  • Sucuri Güvenlik WordPress eklentisi
  • KelimeÇit
  • WP Antivirüs Site Koruması

Hala kafa karışıklığı yaşıyorsanız ve uzman ellerden yardım almak istiyorsanız. Algı Sistemi, WordPress geliştirme hizmetlerinin yanı sıra, muhtaç müşterilerin sitelerini tamamen güvenli ve güvenli hale getirmelerine yardımcı olmak için WordPress geliştiricisi kiralamak için olanaklar sağlar.