WordPress sitenize önem veriyorsanız, WordPress güvenlik önlemlerine dikkat etmeniz gerekiyor. Bu yazımda WordPress sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olmak için başlangıç ve orta düzeyli WordPress güvenlik ipuçlarını paylaşacağım.
Bu yazıyı yayınlanma tarihinden yıllar sonra okuyacak olsanız bile güncel bir rehber olduğu konusunda size garanti verebilirim. Gönlünüz rahat olsun.
WordPress güvenliği her web sitesi sahibi için büyük öneme sahip bir konudur. Google, kötü amaçlı yazılımlar için her gün yaklaşık 10.000’den fazla web siteyi ve her hafta phishing-yemleme yapan yaklaşık 50.000 siteyi kara listesine almaktadır. Ne kadar korkutucu rakamlar değil mi?
WordPress Güvenli midir? WordPress Güvenilir mi?
Muhtemelen merak ettiğiniz ilk soru, WordPress güvenli midir? Bu soruya genel olarak evet güvenlidir diyebilirim.
Ancak içerik yönetim sistemlerinin doğası gereği güvenlik açıkları oluşabilir. WordPress’te açık kaynak kodlu içerik yönetim sistemi olduğu için dönem dönem güvenlik açıkları oluşabilmektedir. Hızlıca güvenlik önlemlerini alırsanız ve sitenizi güncellerseniz hacklenmekten kurtulursunuz.
Günümüzde WordPress kullanan Reuters bile hacklendi. Neden hacklendi biliyor musunuz?
Eski ve güvenlik açığı çıkan bir WordPress sürümü kullanıyordu. Kaynak: ZDNET
Tam olarak % 100 güvenlik diye bir şey mümkün değil. Temel hedefimiz kısa ve ortada vadede riski olabildiğince azaltmak olmalıdır.
WordPress Güvenliği Neden Önemlidir?
Saldırıya uğramış bir WordPress sitesi, gelirinize ve itibarınıza ciddi zarar verebilir. Bilgisayar korsanları kullanıcı bilgilerini, şifreleri çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.
WordPress sitenize yeniden erişim sağlamak için bilgisayar korsanlarına para ödemek zorunda kalabilirsiniz.
Her gün 100.000’den fazla web sitesi saldırıya uğruyor. Bu yüzden biraz zaman ayırmanız ve WordPress güvenliğinizi sağlamanız konusunda aşağıdaki tavsiyelerime uymanız gerekiyor.
Bir web sitesi sahibi olarak WordPress güvenliğinizi artırmak için yapabileceğiniz çok şey var. (teknik bilginiz olmasa bile)
1-WordPress’i Güncel Tutun
WordPress güvenliğinizi sağlamlaştırmanın bir diğer önemli yolu da daima güncel tutulmasıdır. WordPress düzenli aralıklarla güncellenen açık kaynaklı bir yazılımdır. WordPress küçük güncelleştirmeleri otomatik olarak yükler. Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekebilir. 4.x ve 5.x sürümleriyle birlikte büyük güncelleştirmeleri bile admin panelinden yapabiliyorsunuz.
WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar düzenli olarak güncellemeleri yayınlayan üçüncü taraf geliştiriciler tarafından da korunmaktadır. WordPress resmi sitesinde eklentileri gönül rahatlığı ile kullanabilirsiniz.
WordPress güncellemeleri, WordPress sitenizin güvenliği ve kararlılığı için çok önemlidir. WordPress sitenizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekiyor. Bu adım çok önemli sakın göz ardı etmeyin. “Sitem bozulacak” veya “X eklenti işe yaramaz” gibi güncellemeleri erteleyici düşünceleri aklınızdan çıkarın.
2-Kullanıcı Adı ve Şifrenizi Zorlu Karakterler Kullanarak Oluşturun:
WordPress güvenliğinizi arttırmanın en iyi yollarından biri; zor kullanıcı adı ve parola oluşturmaktır. Oldukça kolay bir işlem gibi görünüyor değil mi? Maalesef bu kadar kolay güvenlik önlemi alınabilecek olmasına rağmen insanlar hala 123456, qwerty, admin gibi kısa ve kolay tahmin edilebilir şifreler kullanılıyor.
Zor kullanıcı adı ve şifre belirlemek yalnızca WordPress admin paneli için değil aynı zamanda FTP hesapları, veritabanı, WordPress barındırma hesabı ve özel e-posta adresleriniz için de geçerlidir.
Yeni başlayanların çoğu güçlü şifreler kullanmaktan hoşlanmıyor çünkü hatırlaması zor geliyor. Lütfen üşengeç olmayın gerekirse bir kağıda yazın ya da Word belgesine kopyalayın. Kağıt ya da Word belgesinden şifreyi edinerek admin paneline öyle girin.
3-Güvenli WordPress Hosting Kullanın
WordPress barındırma hizmeti WordPress sitenizin güvenliğinde en önemli rol oynar. Barındırma sağlayıcısı, sunucularını ortak tehditlere karşı korumak için ek önlemler almaktadır.
İyi bir hosting şirketi web siteleri ve verileri korumak için arka planda çalışır.
Peki, nasıl çalışır?
- Şüpheli faaliyetler için ağlarını sürekli izler.
- Tüm iyi hosting firmalarının büyük çapta DDOS saldırılarını önleyen araçları vardır.
- Bilgisayar korsanlarının eski bir sürümde bilinen bir güvenlik açığından yararlanmalarını önlemek için sunucu yazılımlarını ve donanımlarını güncel tutarlar.
4-Güncel PHP Sürümünü Kullanın
PHP, WordPress sitenizin bel kemiğidir ve bu nedenle sunucunuzda en son sürümü kullanmak çok önemlidir. PHP’nin her ana sürümü yayınlandıktan sonra iki yıl boyunca güncellenir. Bu süre zarfında hatalar ve güvenlik sorunları giderilir ve düzenli olarak güncellenir. Fakat iki yılın ardından güncelleme gelmez ve güvenlik sorunları giderilmez; doğal olarak saldırıya açık hale gelir.
WordPress kullanıcıların % 77.5’i şu anda desteklenmeyen PHP sürümlerini kullanıyor. Bu korkutucu bir rakam! Kaynak: WordPress Stats
“WordPress PHP Sürümü Yükseltme” yazım sayesinde PHP sürümünüzü nasıl yükselteceğinizi öğrenebilirsiniz.
5-WordPress Sitenizi Yedekleyin
Yedekler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey % 100 güvenli değildir. Devletlerin web siteleri hacklenebiliyorsa, sizinki de gayet hacklenebilir ve verilerinize zarar gelebilir.
Yedekler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.
Kullanabileceğiniz birçok ücretsiz WordPress yedekleme eklentisi vardır. Buraya tıklayarak WordPress yedekleme eklentilerini görebilirsiniz.
Aldığınız yedekleri Google Drive, Amazon, Dropbox gibi özel bulut hizmetlerinde saklamanızı öneririm.
6-WordPress Güvenlik Eklentisi Kurun
Yedeklemelerin ardından yapmamız gereken şey web sitenizde olan her şeyi izleyen bir denetim mekanizması ve izleme sistemi kurmak.
Buna dosya değişikliği izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması vb. dahildir.
Size önerebileceğim beş eklenti var: Sucuri Security, iThemes Security, Wordfence Security, WP fail2ban, SecuPress Free
Kişisel blogumda iThemes Security eklentisini kullanıyorum. iThemes Security özellikleri saymakla bitmez. Size bu eklentiyi özellikle tavsiye ederim. Hani bu yazıya dair hiçbir şey yapmasanız bile iThemes Security eklentisini kurun ve ayarlarını güzelce yapın. O kadar iyi ve önemli bir eklenti!!! Kurulumu ve ayarları hakkında detaylı bilgi için tıklayın.
7-HTTPS Kullanın – SSL Sertifikasını Aktif Edin
WordPress güvenliğinizi arttırmanın yollarından biri, SSL sertifikası yüklemek ve sitenizi HTTPS üzerinden çalıştırmaktır. “Really Simple SSL Eklentisi ve Ücretsiz SSL Sertifikası Aktif Etme”
HTTPS, tarayıcınızın veya web uygulamanızın bir web sitesine güvenli bir şekilde bağlanmasını sağlayan bir mekanizmadır. Bence önemlidir ve atlanmaması gerekiyor. Yine de karar sizin…
8-WordPress Sürümünüzü Gizleyin
WordPress sürümünüzü gizlemek WordPress güvenliği konusunda çok önemlidir. Eski bir WordPress kullandığınızı fark eden hackerlar anında sitenize indexi çakar.
“WordPress Versiyon Numarası Nasıl Gizlenir?” yazımda detaylı bilgiler yer almaktadır.
9-WP-ADMİN Adresini Değiştirin
WordPress sitenizin admin giriş adresi varsayılan olarak siteadı. com /wp-admin şeklindedir. Bununla ilgili sorunlardan biri; dışarıdaki tüm botların, bilgisayar korsanlarının ve komut dosyalarının da bunu bilmesidir. URL adresini değiştirerek kendinizi daha az hedef haline getirebilir ve daha iyi koruyabilirsiniz. Bu tam bir çözüm değil, korunmanıza yardımcı olabilecek küçük bir numaradır.
WPS Hide Login eklentisi işinizi görecektir.
10-Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama
WordPress güvenlik eklentiniz varsa bu eklenti rutin olarak kötü amaçlı yazılımları ve güvenlik ihlallerini kontrol eder.
Ancak web sitesi trafiğinde veya arama sıralamasında ani bir düşüş fark edersiniz, güvenlik taramasını manuel olarak yapmak isteyebilirsiniz.
Bu işlemi başlatmak oldukça basittir; web sitenizin adresini girersiniz, bilinen kötü amaçlı yazılımları ve kötü amaçlı kodları bulmak için çevrimiçi araç web sitenizi tarar. En sonunda bir rapor sunar.
Web sitenizi taramak için Sucuri çevrimiçi aracını kullanabilirsiniz.
Bu çevrimiçi aracın sadece web sitenizi taradığını unutmayın. Kötü amaçlı yazılımları kaldıramaz veya hacklenmiş bir WordPress sitesini temizlemez.
11-Warez WordPress Tema ve Eklenti Kullanmayın
“Bedava peynir sadece fare kapanındadır” sözünü aklınızdan asla çıkarmamalısınız. İnternet üzerinde binlerce nulled eklenti ve tema bulunuyor. Paradan kaçmak için bunları indirip kullanma oldukça tehlikelidir.
İndirdiğiniz warez tema ve eklentilerin içinde zararlı yazılımlar bulunmaktadır. WordPress güvenliğinizi tehlikeye sokmamak için nulled eklenti ve tema KULLANMAYIN!
12-Dosya İzinlerini Kontrol Edin ve Gerekirse Değiştirin
FTP ile sitenizin ana dizinine erişin ve dosya izinlerine bir göz atın. 777 olan izinler varsa kesinlikle değiştirin. 777 olan dosya iznini, 755 veya 750 olarak değiştirebilirsiniz. WordPress .php uzantılı dosyaların izinlerini 640 veya 644 olarak ayarlarken, wp-config.php‘yi 600 olarak ayarlayabilirsiniz.
Umarım başlangıç ve orta düzeyli WordPress güvenlik önlemleri işinize yaramıştır.
en çok dikkat edilmeyen husus bence 11. madde.
mevzuların çoğu da bundan kaynaklanıyor.
Evet haklısınız. 2005-2007 yıllarında warez vBulletin dosyalarıyla forum sitesi kurardım. O kadar emeğin sonunda dosyalara kodlarını yerleştiren bir şekilde sitelerimden fayda sağlardı. Sonunda mutlaka indexi yerdim ya da hacklink yerleştirilirdi.