Düzenli blog okurlarımızdan birisiyseniz, web sitesi güvenliği ve barındırma güvenliğinin en kritik konulardan birisi olduğunu bilirsiniz. Bu durum performans, sanatsal içerik ve diğer işlevlerden çok daha önemlidir. Bir web sitesi oluştururken, onun güvenli olduğundan emin olmalısınız. Ne yazık ki WordPress’in güvenliği için yalnızca güvenli barındırma ve sunucu güvenliği yeterli değildir.
WordPress saldırılara açıktır
Uygulama ne kadar popülerse bilgisayar korsanları tarafından saldırıya uğrama olasılığı da o kadar yüksektir. WordPress şu anda dünyadaki web sitelerinin yarısından fazlasına güç vermektedir. Bunun arkasındaki başarı, basitlik ve geliştirme olasılığının birleşimi ile açıklanmaktadır. İçerisindeki bu açık yapı, web sitelerinin eklentilerle geliştirilmesine izin vermektedir.
Ne yazık ki, WordPress kurulumlarının sayısı bazı yüz kızartıcı sonuçları da beraberinde getirmektedir. Wordfence’e göre 9 Aralık 2021’de WordPress üzerine kurulu 1,5 milyondan fazla web sitesi saldırıya uğramış ve site yönetim panellerine erişimi devralmak için 36 saat boyunca 13 milyondan fazla girişimde bulunulmuştur.
Siber suçlular asla uyumayan ve sürekli olarak web siteleri ve uygulamalardaki zayıflıkları arayarak buradaki değerli bilgileri ele geçirmeye çalışan kimselerdir. Sucuri, WordPress’teki saldırıya uğramış sayfaların %50’den fazlasının, uygulamanın eski bir sürümünü kullandığını öne sürmektedir. Keycdn.com bunu destekleyen şu argümanı öne sürer: “Tehditlerin ve güvenlik açıklarının neredeyse %56’sı güncel olmayan eklentiler veya temalar nedeniyle yaşanır”.
WordPress güvenliğini nasıl sağlayabilirim?
Ancak bir uygulamaya güvenlik yaması uygulamak bile bir güvenlik garantisi sağlamaz. Yönelgelerimizi takip ederek web sitenizin güvenliğiyle kendiniz ilgilenin. Web siteniz hakkında ne kadar çok bilgi edinir ve pratik yaparsanız web sitenizi o kadar güvenli hale getirirsiniz.
Arayabileceğiniz çözümlerden bazıları, veritabanını düzenleyebileceğiniz phpMyAdmin paneli hakkında temel bilgi gerektirir. Tablolarda yanlış işlem, sayfanın veya web sitesinin tamamının kısmen erişilemez olmasına neden olabilir.
Barındırma güvenliğinin bir diğer kritik faktörü, onu güvenli bir sunucuda barındırmaktır. Bunun için iki çözümünüz vardır: VPS barındırma veya güvenli WordPress barındırma. Biz İkincisini tavsiye etmekteyiz çünkü bu barındırma seçeneği WordPress’i saldırılardan korumak için yerleşik güvenlik önlemlerine sahiptir. Şimdi listelere göz atalım.
WordPress’i güncelleyin
Klişe mi geliyor? Öyle olabilir ancak güvenlikte anahtar, WordPress’inizin eskimediğini tekrar tekrar kontrol etmektir. 3.7 sürümünden bu yana, WordPress CMS’yi, temaları ve eklentileri otomatik olarak güncelleyebilmektedir Güncellemeleri ertelemek sizin ve websiteniz için oldukça risklidir.
Veritabanındaki tablolar için varsayılan wp_ önekini değiştirin
MySQL veritabanındaki tabloların ön eki sayesinde uygulama hangi verilerin kendisine ait olduğunu tanıyabilir. Sonuçta, birden fazla uygulama bir veritabanını kullanabilir. WordPress’in zayıf yönlerinden biri, veritabanında varsayılan wp_ ön ekini bırakmasıdır ve bu durum hackerların işlerini kolaylaştırır. Bu nedenle, bu önekini daha az ayırt edici başka bir önekle değiştirin (örneğin, xtmx4_).
Bunu iki şekilde yapabilirsiniz – WordPress’i kurarken ve kurulumdan sonra phpMyAdmin paneli aracılığıyla MySQL veritabanına giriş yaparak. Bu değişiklik sayesinde, WordPress tabanlı bir web sitesi SQL Injection saldırılarına karşı daha az hassas olacaktır.
Tablo öneki adının değiştirilmesi, iki WordPress tablosundaki girişlerin değiştirilmesini gerektirir: xtmx4_options ve xtmx4_usermeta. Bunu iki SQL komutundan biriyle yapabilirsiniz (sizin önerdiğiniz önekleri belirtmeniz gerekir):
- SELECT * FROM `xtmx4_options` WHERE` option_name` LIKE ‘% wp_%’;
- SELECT * FROM `xtmx4_usermeta` WHERE` meta_key` LIKE ‘% wp_%’;
Bu değişiklikten sonra wp-config.php dosyasındaki öneki içeren satırı değiştirmeyi unutmayın.
Giriş ve yönetici kimliğini değiştirin
WordPress tarafından önerilen varsayılan giriş “admin”dir. Bu giriş adının Gösterge Tablosu’nda oturum açmaya çalışan biri tarafından tahmin edilmesi kolaydır. Kurulum sırasında, onu harici bir kullanıcının bakış açısından daha az tahmin edilebilir bir başkasıyla değiştirmeyi unutmayın. Görünen ad WordPress panelinde ayrı ayrı yapılandırıldığından oturum açma bilgilerinin blog makaleleri altında gösterilmeyeceğini unutmayın.
Kurulumdan sonra oturumu phpMyAdmin aracılığıyla (prefixiniz)_users tablosunda değiştirin. Aynı yerde, hesap kimliğini de değiştireceksiniz. Rastgele bir sayı dizisi ile yüksek bir sayı girmek en iyisidir (örn. 333333 yerine 158062 girin).
.htaccess ile WordPress panosuna erişimi kısıtlayın
Giriş sayfasına erişimi kısıtlamak çok mantıklı bir çözümdür. .htaccess dosyasında, seçilen IP adresine izin verilen bağlantıları yapılandırmanız yeterlidir. İçeriğe eklenecek doğru formül aşağıdaki gibidir:
- AuthName “Örnek Erişim Kontrolü”
- AuthType Temel
- sipariş reddetme, izin ver
- hepsini reddet
- IP_adresinden izin ver
“IP_address” yerine panele erişmek istediğiniz adresi girin.
WordPress arka uç giriş adresinizi değiştirin
Kötü amaçlı komut dosyaları öncelikle içerik ve sürümüyle ilgili alt sayfalara, yani “/ wp-admin” sayfalarına saldırır. Bu nedenle, bu adresi daha kolay ve siber suçlular için daha az belirgin olan başka bir adresle değiştirmek oldukça pratik bir çözümdür. WPS Hide Login eklentisini yükleyin ve ihtiyaçlarınıza göre yapılandırın. Yeni panel oturum açma adresi hemen kullanılabilir olacaktır.
WordPress giriş sayfasının “ele geçirilmesine” karşı başka bir koruma türü, barındırmada .htaccess dosyasının kullanılması ve giriş sayfasını görüntülemek için erişim verilerini yapılandırdığınız .htpasswd dosyasına referanstır.
Oturum açma yöntemini e-posta adresiniz olarak değiştirin
Uygulamanın kullanıcıyı nasıl doğruladığını değiştirmek, WordPress kontrol panelinin güvenliğini artırır. Bunu yapmak için WP Email Login eklentisini yükleyin ve oturum açma adını kullanıcıya atanan e-posta adresiyle değiştirin. Değişiklikleri kaydettikten sonra, standart giriş bilgilerini bir dizi rasgele karakterle değiştirin (özellikle “admin” kullandıysanız).
Barındırmada Ekstra Uygulama Korumasını Etkinleştirin (WAF)
Güvenli WordPress Barındırma sizi ek bir güvenlik katmanı olan Web Uygulaması Güvenlik Duvarı ile korur. Başka bir sağlayıcı kullanıyorsanız, ona WAF’ı sorun. MySQL veritabanları ile ilgili güvenlik açıklarının kullanılması veya kötü niyetli başlıkların kullanılması ile yapılan saldırılara karşı sizi korumaktadır.
Eklenti ve tema dosyalarının düzenlenmesini devre dışı bırakın
Temanızı kişiselleştirmeyi ve eklentileri başlatmayı bitirdiniz mi? WordPress kontrol panelinde daha fazla kod düzenlemeyi önleyerek dosyalarınızı güvenceye alın. Bunu yapmak için wp-config.php dosyasına bir satır ekleyin::
- tanımlayın (‘DISALLOW_FILE_EDIT’, true);
Kullanıcı kaydını devre dışı bırakın
WordPress, varsayılan olarak kullanıcıları kaydetmenize izin verir, ancak bu seçeneğe ihtiyaç duymayan bir web sitesi çalıştırıyorsanız (örneğin, yalnızca makaleler içeren), bunu WordPress ayarlarında engellemek daha iyidir. Bu durum potansiyel bir saldırı girişimi için diğer bir penceredir.
İki faktörlü kimlik doğrulamayı etkinleştirin
Oturum açarken sağlanan bu ek güvenlik düzeyi hayat kurtarmaktadır. Panelde çift oturum açmayı yapılandırmak için İki Faktörlü Kimlik Doğrulama eklentisini kullanın. Bir kullanıcı adı ve parola girdikten sonra, akıllı telefonunuza gönderilen benzersiz bir kodu girmeniz gerekir. Bu çözüm, Android ve iOS’ta bulunan Google Authenticator uygulamasının akıllı telefonunuza yüklenmesini gerektirir.
WordPress için güvenlik eklentileri – bunları kullanmanıza neden gerek yok?
Piyasada, yukarıdaki işlevlerden birkaçını içeren ve ayrıca WordPress’i siber ve diğer saldırılara karşı koruyan birkaç ek eklenti bulacaksınız. Böylece zamandan tasarruf sağlarlar (tek yapmanız gereken bunlardan birini kurup birkaç dakika içinde kurmaktır) ve (teoride) güvenlikle ilgili birkaç konuyu hallederler.
Fakat gerçekten emin miyiz? Bunun başka bir eklenti olduğunu unutmayalım. Güvenlik eklentileri bile, potansiyel bir bilgisayar korsanının WordPress panonuza erişmesini kolaylaştıracak güvenlik açıkları içerebilir.
Wordfence, Sucuri veya iThemes Security gibi eklentiler modaya uygun, çeşitli özellikler sunup çekici gibi görünse de WPwhiteSecurity çalışmasının istatistikleri endişe verici. 2019’daki en savunmasız 10 WordPress eklentisi arasında Wordfence yerini dördüncü sırada aldı.
Verilerinizin ek kopyalarını oluşturun
UltaHost sunucularında, yedekleme geceleri döngüsel olarak nokta benzeri bir şekilde gerçekleştirilir. Yedeklemedeki tüm dosyalar ve veritabanları, sunucunun belirli bir saatteki durumunu yansıtır. Her durumda, kullanıcı bu tür verileri son 16 güne ait geri yükleyebilir. Bu piyasadaki en iyi tekliflerden birisi olsa da bizce olmazsa olmazlardan birisidir. UltaHost’un “önce güvenlik” politikası mevcuttur.
Web siteniz dinamikse ve üzerinde çok fazla içerik yayınlıyorsanız (örneğin, bir reklam portalı biçiminde), ek WordPress yedekleme uygulamalarını yüklemeyi deneyebilirsiniz. Bunlardan biri, her 60 dakikada bir yedekleme programlayabileceğiniz Updraft’tır. Yedekleme işlemini trafiğiniz düşükken yapmayı unutmayın çünkü her yedekleme işlemi sunucu için ağır bir yüktür.
Gereksiz eklentiler ve temalardan kurtulun
WordPress, herhangi bir amaç için bir web sitesi oluşturmanıza olanak tanır. Bu yüzden websiteniz üzerinde yeni temalar ve eklentiler denemek istemeniz bizim için büyük bir sürpriz değil. Fakat bunları kullanmayacaksanız daha sonrasında onları çıkarmayı unutmayın. Devre dışı bırakılmış ancak güncelliğini yitirmiş eklentiler bile web sitenize yapılan bir saldırının nedeni olabilir.
Eklentileri yalnızca güvenilir bir kaynaktan indirin. Resmi bir WordPress deposu olması gerekmez çünkü yalnızca yazarın web sitesinden indirebileceğiniz premium eklentiler vardır. Ancak e-posta veya ücretsiz dosya hizmetleri gibi güvenilir olmayan kaynaklardan gelen eklentilerden kaçının. Herhangi bir doğrulamadan geçmedikleri için herhangi bir kontrole tabi tutulmazlar.
Temayı sık sık güncelleyin
WordPress tabanlı bir web sitesinin karşılaşabileceği bir sorunun üçüncü potansiyel kaynağıdır. Tema geliştiricileri, hataları ve yazılım açıklarını düzeltmek için güncellemeleri mümkün olduğunca sık yayınlamalıdır. Bu durum bilgisayar korsanları tarafından istismar edilebileceğinden hafife alınmamalıdır.
Bir SSL sertifikası kullanın
WordPress, tarayıcı aracılığıyla şifrelenmiş HTTPS bağlantısı için tam destek sağlar. 2017 itibariyle, CMS uygulaması sunucunun bu protokolü desteklemesini gerektmektedir ve SEO optimizasyonu nedeniyle SSL sertifikası da önemlidir.
Ayrıca en popüler tarayıcılar (Google Chrome, Mozilla Firefox) SSL sertifikası olmayan web sitelerini “güvenli değil” olarak işaretler. Psikolojik açıdan bu, kullanıcıyı gelecekte siteyi ziyaret etmekten caydırmakla eşdeğerdir.
Uzun parolalar kullanın
The longer and more varied the password is, the better. WordPress automatically offers to save the password in the form of several characters without dictionary phrases. Usually, in this step, we want to propose our password, but in most cases, it will not be strong enough.
Bu makaleyi beğendiyseniz, UltaHost barındırma platformunu da beğeneceksiniz. Destek ekibimizden 7/24 destek alabilirsiniz. Güçlü altyapımız otomatik ölçeklendirme, performans ve güvenliğe odaklanmaktadır. Size farkı gösterelim! Güvenli WordPress Barındırma planlarımıza göz atın.