WordPress Güvenliği: Bir WordPress Web Sitesini Güvenli Kılmak için 14 Pro İpuçları

WordPress internet sitenizin güvenliğini çoğaltmak mı istiyorsunuz?

İşte bu ödüllü WordPress blogunu çalıştırarak öğrendiğim bütün ipuçlarını ve stratejileri paylaşıyorum.

Sadece bilmen için

Son zamanlarda, WordPress bilgisayar korsanları tarafınca büyük oranda hedef alındı. Birçok kullanıcı “WordPress güvenilir midir?” Diye sordu.

ve işte cevabım:

Evet, WordPress güvenlidir.

Bununla birlikte, muhtelif eklentiler, temalar ve bir müddet kullandığımız zaman, en fena emniyet uygulamalarını izleyen ve bundan dolayı WordPress internet sitemizi değişik tür saldırılara ve saldırılara karşı savunmasız kılan ana bilgisayardır.

Gerçek: WordPress, hayattaki internet sitelerinin yaklaşık% 33’üne güç sağlar; bu, ancak en tanınmış CMS platformu olmasını sağlamakla kalmaz, bunun yanı sıra hacklemeye daha eğilimlidir.

Son kullanıcı olarak, WordPress blogunu güvenliğini sağlamak için yapabileceğiniz birkaç şey var.

10 sene boyunca, bugün sizinle paylaştığım bir oldukça numarayı öğrendim, böylelikle WordPress internet sitenizi bilgisayar korsanlarının ellerinde yitirme zorluğuyla yüzleşmek zorunda kalmazsınız.

Neler Okuyacaksınız? →

WordPress güvenilir ise, WordPress güvenliği niçin önemlidir?

Yukarıda belirttiğim gibi, WordPress varsayılan olarak güvenlidir fakat güvenilir olmayan bir sunucuda barındırdığınızda ya da temalar ve eklentiler biçiminde yeni kodlar eklediğinizde, saldırıya uğrama ihtimalini artırıyorsunuz.

WordPress sertleştirme ile ilgili bu yardım sayfası ekler

“ WordPress internet sitesi sahiplerini maksimum etkileyen emniyet açıkları, platformun genişletilebilir bölümlerinden, bilhassa de eklentilerden ve temalardan kaynaklanıyor. Bunlar, siber suçlular tarafınca WordPress sitelerini kırmak ve kötüye kullanmak için sömürülen 1 numaralı tecavüz vektörü.

Bu emniyet açıkları genelde kasıtlı olarak ortaya çıkmaz, büyüme sırasındaki hataların ve gözetimin bir sonucudur. Pek oldukça eklenti ve tema geliştirici emniyet konusu ile alakalı oldukça bilgi sahibi değildir ve bu nedenden dolayı istemeden savunmasız kod yazmaya eğilimlidirler. Güvenlik açıkları keşfedildiğinden, geliştiriciler genelde güncellemeleri yayınlayarak ele alır ”

Bilgisayar korsanları, genellikle bazı spam sitelere geri bağlantı ekleme veya bir WordPress sitesini öteki internet sitelerine tekrar yönlendirme şeklinde şahsi hasılat için bir WordPress sitesini hacklemektedir . Bazen öyle komplike bir halde yapılır ki, saldırıya uğradığınızı ya da internet sitenize kurulu bir arka kapı bulunduğunu bile bilmezsiniz.

Ancak, sahibi zamanla trafiğini kaybetmeye adım atar (SEO cezası) ve aslolan meseleyi ayrım ettiklerinde işler ellerinden çıkar. Olabilecek bir öteki fena şey ise önde gelen bir kara sıralama otoritesi tarafınca kara listeye alınması. Bu, internet sitenizi kara listeden çıkarmak için size vakit ve para kazandıracaktır.

Sucuri emniyet firmasına göre,

2018’de temizledikleri bütün CMS’lerden  WordPress, enfekte olmuş CMS’yi% 90’la almaktadır.

Bu, rastgele bir WordPress sahibi için birtakım ürkütücü sayılardır ve bu nedenden dolayı WordPress güvenliğini çoğaltmak için kılıfınızı döndürmeniz ve en iyi programları izlemeniz sizin için oldukça önemlidir.

WordPress Blogunu Güvende Tutmanın 14 Kanıtı

1. WordPress Yedeklemelerini Yapılandırma

WordPress blogunuzu güvenliğini sağlamak için aşağıda kanıtlanmış bir oldukça ipucu vermiş olmama rağmen, bir şey olursa, hiç bir şey kaybetmeyeceğinizden emin olmanız gerekir.

Uygun bir WordPress yedekleme çözümüne haiz olmamak, yapabileceğiniz en büyük hatadır. Sony ya da Dropbox gibi büyük bir sitenin saldırıya uğraması durumunda, WordPress blogunuzun bir hacker tarafınca kırılması nispeten basit olacaktır.

Bu yüzden ilk şey, blogunuzun günlük bir yedeğini aldığınızdan emin olmaktır.

Hosting şirketiniz tarafınca sunulan yedekleme sistemini kullanabilir ya da VaultPress ya da Updraftplus gibi bir üçüncü taraf yedekleme sistemi kullanabilirsiniz. WordPress yedekleme eklentilerinin WordPress eklenti sayfasından da bulabilirsiniz.

Barındırma şirketiniz yedekleme sağlıyorsa, yedeklemeyi değişik bir sunucuda sakladıklarından emin olun.

2. Güvenilir ve Güvenli Bir Hosting Şirketi Kullanın

WordPress kurulumunuz ancak bir servera kurulmuş bir yazılımdır. Güvenli bir internet sitesinin temeli, internet sitenizin bilgisayar korsanlarına karşı korunmasını elde eden kafi korumaya haiz bir sunucudur.

WordPress Sitenin Güvenliği için ipuçları | WordPress Güvenliği

Güvenli bir WordPress barındırma genelde var:

  • DDOS saldırılarını azaltmak için sunucu düzeyinde emniyet duvarı.
  • Fiziksel emniyet için son olarak donanım ve birinci derslik veri merkezini kullanır
  • İşletim sistemini derli toplu olarak güncelleyin ve son olarak emniyet revizyon eklerini uygulayın
  • Kötü niyetli etkinlik ya da siyaset ihlalleri için izinsiz giriş belirleme sistemleri var

Hangi barındırma şirketinin bilgisayar korsanlarına karşı güvenilir bulunduğunu bilmek zor bulunduğunu ve bu nedenden dolayı güvenilir WordPress barındırma şirketlerinin listesini bu yüzden oluşturdum:

  1. SiteGround: Bazı iyi malum saldırıları önlemek için bot karşıtı AI sistemi kullanan ödüllü bir barındırma.
  2. Bluehost: Mükemmel emniyet sunan en iyi puan alan ana bilgisayarlardan biri.
  3. WPEngine: İş WordPress siteleri için önerilen, yönetilen bir WordPress hosting şirketi. Birden oldukça düzeyde yedekleme ve emniyet sunarlar.
  4. Kinsta hosting: Bu, yoğun trafiği olan WordPress blogları için mükemmeldir.

Mevcut barındırma şirketiniz güvenilir değilse ve güvenlikle alakalı bir yardımcı sağlamazsa, yukarıda listelenen barındırma yerlerinden birine geçmek oldukça büyük bir ayrım yaratacaktır.

3. WordPress’in En Son versiyonunu kullanın.

WordPress yazılımınızı aktüel tutmak, rastgele bir WordPress blog yazarı için asli emniyet ipucudur. Bu katiyen kaçırmak vazgeçtiğiniz bir şey.

WordPress her güncelleme gönderdiğinde, birtakım hataları düzelttikleri, birtakım özellikler eklediği ve en önemlisi birtakım emniyet özellikleri ve düzeltmeleri ekledikleri anlamına gelir.

Mesajı gördüğünüzde: “WordPress xxx kullanılabilir!”

Güncelle onu.

Günümüzde, tek bir tıklamayla meydana getirilen güncellemelerle blogunuzu yükseltmek oldukça kolaydır.

Tema ve eklentilerinizin WordPress’in bu son olarak versiyonuyla ahenkli olmasından emin olun. Bir güncelleme yayınlandıysa ve bir emniyet güncellemesi değilse, öteki kullananların son olarak sürümdeki hataları bildirmeyi bırakmadan ilkin 5-6 gün beklemenizi öneririm.

4. WordPress Eklentilerini Güncelle

Yukarıda belirttiğim gibi, WordPress hataları ve emniyet açıklarını gidermek için bir güncelleme yayınladı ve aynı eklentileri ile de devam ediyor.

Çoğu zaman, emniyet açığı bulunan bir eklenti ya da 3. taraf komut dosyası, WordPress internet sitenizde bir emniyet açığı oluşturabilir.

Geçmişte gördüğümüz bu sorunlardan biri, Timthumb emniyet açığıdır. Bunun sebebi bir komut dosyasıydı ve bu komut dosyasını kullanan bir oldukça eklenti de savunmasız hale geldi. Bu sıfır günlük emniyet açığından kaçınmak zor, fakat eklentilerin, komut dosyalarının ve temaların sayısını sınırlamak WordPress sitesini daha güvenilir hale getirebilir.

Her vakit devamlı yenilenen ve iyi yardımcı olan eklentiler kullanın. Bir süredir güncellenmemiş bir eklenti kullanıyorsanız, buna bir alternatif bulun.

5. En Son PHP versiyonunu kullanın

PHP, WordPress’in bel kemiğidir ve şu anda 7.3, PHP’nin son olarak sürümüdür. Göre resmi PHP istatistik sayfasında , ancak 2 sene süresince PHP rastgele kararlı sürümüne emniyet yardımcı sunuyoruz.

Bu, şayet PHP 7.1’in altında bir şey kullanıyorsanız, emniyet güncellemelerini almayacaksınız demektir.

İşte WordPress.org’dan enteresan bir stat, WordPress internet sitesinin aşağı yukarı %71.8’i eski PHP kullanıyor.

Kullanmakta olduğunuz barındırma ortamına bağlı olarak, PHP sürümünüzü çabucak değiştirebilirsiniz. İlk ilkin bir hazırlama ortamı meydana getirmenizi ve sonrasında son olarak PHP versiyonunu test etmenizi şiddetle öneri ederim. Bu birtakım zamanlar uyumluluğu, eski eklenti ve tema bir soruna yol açabilir gibi sağlamaktır.

WordPress’in PHP versiyonunu denetim panelinden yani CPANEL üstünden denetim edebilir ve PHP sürümünüzü test etmek ve güncellemek için barındırma desteğinizi sorabilirsiniz.

6. Web uygulaması emniyet duvarı (WAF) kullanın

Hosting sunucunuz ve ağ trafiğiniz arasında bir emniyet duvarı vardır. Güvenlik duvarının rolü, WordPress internet sitenizin barındırdığı makineye gelmeden ilkin en yaygın tehdidi filtrelemektir.

WordPress’te kullanabileceğiniz en yaygın üç tür emniyet duvarı çözümü vardır:

  1. Ağ düzeyinde: Bu genelde ağ düzeyinde ya da makine düzeyinde depolanır ve WordPress’i haiz olduğunuz bir veri merkezinde barındırırken çalışır. Bu en pahalı seçenektir ve genelde sunucunun kurulu olduğu fizyolojik alan üstünde denetim sahibi oldukları kurumsal düzeyde bir internet sitesi tarafınca kullanılır.
  2. Ana bilgisayar düzeyinde: Bu, internet uygulaması düzeyinde barındırılmaktadır, bizim durumumuzda WordPress. Bu sonuç olarak öneri edilmez, zira ev sahibiniz trafiği filtrelemek için ağır kaldırma yapmak zorundadır. Bu mutlaka ağ tabanlı bir WAF’den daha iyidir, fakat ihtiyaç duyduğu mahalli sunucu kaynakları en iyi seçenek değildir.
  3. Bulut Tabanlı WAF: Bulut Tabanlı WAF, genelde DNS düzeyinde uygulanır ve WordPress sunucunuzu vurmadan ilkin en yaygın tehdit türlerini filtreler. Bu, uygulanması en basit ve en ekonomik olanıdır. Tek dezavantajı, DNS’yi değiştirmenizi gerektirebilir.

WAF tarafınca belirleme edilen ve korunan birtakım yaygın tehdit türleri şunlardır: Siteler arası komut dosyası çalıştırma (XSS) saldırıları, SQL enjeksiyon saldırıları, celse ele geçirme ve arabellek taşması. Bu OSI modelinde bir protokol seviyesi 7 savunmadır.

WAF’yi uygulamak için kullanabileceğiniz önerilen iki servis vardır:

  • Cloudflare : 20 $ / ay’dan başlar
  • Sucuri : 9,99 Amerika Doları / ay’dan başlar

Bu, WooCommerce ve iş için meydana getirilen öteki WordPress internet siteleri için şiddetle önerilen bir WordPress emniyet özelliğidir.

7. WordPress Sürümünü Gizle

WordPress çekirdek dosyalarınızı güncellemek için bu 2 dakikanız olmadığını varsayalım. Listelenen WP versiyonu bir hacker’ın zorla girebileceği fikrini doğurabilir. WP’nin eski bir versiyonunu kullanıyorsanız ve hepimiz biliyorsa, emniyet bana, mahkum oldunuz.

Bu günlerde bir oldukça tema tasarımcıları sizin için ondan kurtulur, fakat ancak emin olmak için, hands.php dosyasına gidin ve şu satırı ekleyin:

<? php remove_action (‘wp_head’, ‘wp_generator’); ?>

8. Karmaşık bir Giriş Şifresi Kullanın

Bundan bahsetmemeliydim, ama ustaca ve delice karmaşık şifreler kullanan oldukça fazla insan tanıyorum:

  • parola
  • aslıyı seviyorum
  • 123123

Görkemli!

Lütfen parolalarınızı komplike yapın, birkaç hususi karakter ilave edin (% & * #) ve her 5 ya da 6 ayda bir değiştirmeye devam edin.

Login Lockdown isimli bir eklentiyi de öneri ederim. Login LockDown isimli wordpress eklentisi başarısız celse açma girişimlerinin bütün IP’lerini ve vakit damgalarını kaydeder. Belirli bir IP’den muayyen sayıda başarısız denemeden sonra, IP kara listeye alınır. Bu rastgele bir brute-force saldırısını önlemek için oldukça yardımcı olur.

Sonunda, Parola güvenliğinizi daha da geliştirmenize yardımcı olacak Dashlane gibi bir parola yöneticisi kullanmaya da başlamalısınız.

9. WordPress Giriş URL’sini değiştirin:

WordPress giriş URL sayfasını değiştirerek, WordPress güvenliği için birden fazla tecavüz ve bilgisayar korsanlığı girişimini önlüyorsunuz. Özellikle, şayet bir avuç dolusu insana haiz olan bir kişiyseniz ya da ancak WordPress panosuna giriş yapmanız gerekiyorsa, celse açma sayfasını değişiklik yapmak size oldukça yardımcı olacaktır. WordPress admin celse açma URL’sini iyi mi değiştireceğinizle ilgili daha önceki eğitimimde bulan birkaç üstünlük var .

10. Dizine alınmış sayfalar için Google uyarısını ayarla

Bu derhal kullanabileceğiniz daha azca malum püf noktalarından biridir. Google, tesir alanı adınıza yeni bir sayfa dizine eklediğinde size bir uyarı göndermek için Google uyarılarını kullanabilirsiniz. WordPress korsanları, oldukça fazla zaman, arka uçta ya da ön uçta gösterilmeyen yeni sayfalar ve gönderiler ekler, fakat Google’da dizine eklenir.

Böyle bir uyarı ayarladığınızda, bildiriminiz olmadan bir şey olup olmadığını anlarsınız. Ücretsiz olduğu ve kurulumu ancak 2-3 dakika sürdüğü için tamamiyle buna değer.

İşte iyi mi yapabilirsiniz?

  • Başının üzerinde Google uyarıları
  • “Hakkında bir uyarı oluştur” alanına, site ekleyin: interbilgi.com
  • Değişim Ne sıklıkta “olur”, dil “herhangi bir dile” ve ne kadar “tüm sonuçlara”

Şimdi, arama motorunda yeni bir sayfa dizine eklendiğinde anında bildirim alacaksınız.

11. WordPress Klasörleri Dosya İzinlerini Kontrol Edin

CPanel’inizdeki Dosya Yöneticisine gidin  veya FTP yazılımınıza giriş yapın. ve WordPress klasörünüzün dosya özniteliklerini denetim edin.

744 ise iyi (sadece okunur). 777 bulunduğunu bulursanız, derhal hemen saldırıya uğramadığınız için kendinizi oldukça talihli sayın.

Blogcuların bir oldukça hostingi değiştirdiğinde, dosya izinlerinin de iyi mi değiştiğini anlamıyorlar. Hosting’i taşıdıktan sonrasında bütün dosya izinlerini doğruladığınızdan emin olun.

12. Varsayılan Yönetici Kullanıcısını Sil

Bu, güvenilir bir WordPress blogu kurmak isteyen insanoğlu için en mühim ipuçlarından biridir. Varsayılan “admin” kullanıcı adı, kaba qüç (brute force) saldırılarına açıktır, zira bir oldukça insan katiyen değiştirmez.

WordPress’i yüklerken, hususi bir kullanıcı adı kullandığınızdan ve “admin” kullanmadığınızdan emin olun.

“Yönetici” haklarına haiz yeni bir kullanıcı oluşturabilir ve bu yeni yöneticiye bir gönderi yazarsa halka aleni olarak gösterilecek bir takma ad verebilirsiniz. Şimdi, oturumu kapatın ve sonrasında yeni açılan idare edici hesabına geri dönün ve eski “admin” kullanıcısını silin.

Tüm kullanıcı isimlerini ve bağlantıları oluşturduğunuz yeni kullanıcıya attığınızdan emin olun.

13. Eklenti Dizinini Gizle

Eklentiler klasörü / wp-content / plugins / içindeki klasörlerin ve dosyaların listesini göstermemelidir. Bu vaziyet WordPress güvenliği için risktir.

Eklentiler klasörünüzü ziyaret etmeyi denetim edin ( interbilgi.com alan ismini alan adınızla değiştirin ):

  • interbilgi.com/wp-content/plugins/

Bir klasör ve dosya sıralaması görürseniz, bu tarz şeyleri gizlemeniz gerekir.

Bu klasörleri gizlemek için, yeni bir .htaccess dosyası oluşturmanız  ve onu eklentiler dizininize bırakmanız gerekir.

# BEGIN WordPress 
RewriteEngine RewriteBase Üzerinde 

RewriteCond% {REQUEST_FILENAME}! -F 
RewriteCond% {REQUEST_FILENAME}! -D 
RewriteRule. /index.php [L] 
# Dizin listesini engeller 
IndexIgnore * 
# END WordPress

Zaten iyi yazılmışsa. Kök dizininizdeki htaccess dosyası, ayrı bir klasöre ayrı bir .htaccess eklemek rastgele bir zarar vermeyecektir.

14. Veritabanı Hatalarını Kapatın

WordPress güvenliği için bir öteki ipucu veritabanı güvenliği. WordPress’in eski sürümlerinde, MySQL veritabanında yanlışlar olsaydı, hacker’a veritabanınız ile alakalı kıymetli bilgiler veren tarayıcıdaki hatayı gösterirdi.

Bunu önlemek için, WordPress’inizi son olarak sürüme güncellemeniz gerekir, böylece neyin yanlış bulunduğunu göstermek yerine yalnızca “Veritabanı bağlantısı hatası”  gibi genel bir hata mesajı gösterilecektir.

WP panonuza giriş yapın ve WordPress çekirdek dosyalarınızı güncelleyin.

WordPress güvenliği: Senin için

Umarım bu rehber WordPress güvenliğinin önemini anlamanıza yardımcı olmuş ve sertleştirmenize yardımcı olmuştur.

Yine, blogunuzu her vakit sıhhatli bir duruma geri alabilmenizi sağlamak için WordPress blog’unuzu derli toplu aralıklarla kendiliğinden yedeklemeniz zekice bir fikirdir.

WordPress bloglarını güvende tutmak için öteki blogculara öteki hangi emniyet ipuçlarını vermek istediğinizi bizlere bildirin. WordPress güvenliği için püf noktalarını aşağıdaki yorumlarda paylaş!

WordPress Güvenliği: Bir WordPress Web Sitesini Güvenli Kılmak için 14 Pro İpuçları yazımızı paylaşmayı unutma!