WordPress Güvenlik Önlemleri – 10 Öneri!

Wordpress Güvenlik Önlemleri

Wordpress Güvenlik Önlemleri

WordPress Güvenlik Önlemleri ile web siteniz için güvenliği kolayca sağlayabilirsiniz. İşte 10 öneri.

Web siteniz saldırıya uğrarsa, harcadığınız zaman ve parayı kaybedebilirsiniz. Üstelik Google dizinlerinden kaldırma gibi pek çok risk de bulunmakta. Her hafta 30 binden fazla site, saldırıya uğradığı için kara listeye alınıyor. Bu nedenle WordPress Güvenlik Önlemleri mutlaka önemsenmeli. Bu yazımda, WordPress web sitenizi bilgisayar korsanlarından korumanın kolay yollarını paylaşacağım.

WordPress Siteleri Neden Hackleniyor?

WordPress’in kendisi çok güvenli bir platformdur. Geliştiricilerinden düzenli olarak güvenlik güncellemeleri alır. Bir WordPress sitesi saldırıya uğradığında bu çoğu zaman, kullanıcının hatasıdır. WordPress’in arkasındaki güvenlik ekibi, güvenlik sorunlarını tespit edildiği anda giderir. WordPress’in eski sürümünü kullanmak, saldırı almanıza neden olabilir. WordPress’i güncel tutmazsanız bu yönden avantaj sağlar. Temalar ve eklentiler de korsanlara karşı sizi savunmasız bırakabilir. WordPress Güvenlik Önlemleri ile tüm bunları engelleyebilirsiniz.

WordPress Güvenlik Önlemleri 2020 Neler?

WordPress’i Her Zaman Güncel Tutun

WordPress’i güncel tutmazsanız, diğer ipuçlarının hiçbiri önemli olmayacaktır. WordPress ekibi yeni bir güncelleme yayınlandığında siteyi güncellemeniz gerekir.

WordPress’te otomatik güncelleme imkanı olsa da bunu yapmanızı önermiyorum. Çünkü bunu yapmak çoğu zaman tema ve eklentilerin düzgün çalışmamasına neden olabilir. Bir eklenti veya tema WordPress’in en son sürümünü desteklemiyorsa, sitenizi en son sürüme güncellemek sitenizi bozacaktır. Bu nedenle tema ve eklentilerdeki güncellemeleri de kontrol ederek sitenizi kapsamlı bir bakıma almanız daha uygun olacaktır.

WordPress Sitenizi Düzenli Olarak Yedekleyin

Siteniz saldırıya uğradığında, web sitenizi oluşturmak için harcadığınız sayısız çalışma saatini kaybedeceksiniz. Yedek almak saldırı sonrasında sitenizi yeniden kurmanızı sağlar. (Hiçbir şey olmamış gibi!)

Hosting şirketiniz yedek alabilir. Fakat kesinlikle buna güvenmeyin. Siteyi yedeklemenin en iyi yolu, manuel olarak yedek almaktır. Eğer işleri kolaylaştırmak istiyorsanız eklenti kullanabilirsiniz. WordPress Ücretsiz Olarak Nasıl Yedeklenir adlı yazımda yedeklemeye detaylı bir şekilde değinmiştim.

WordPress Otomatik Nasıl Yedeklenir?

(Ücretsiz!)

Admin Kullanıcı Adını Kullanmayın!

WordPress ile yeni çalışanların yaptığı ilk hatalardan birisi. Ama unutmayın. Varsayılan WordPress kullanıcı adını bilen tek kişi siz değilsiniz. Hackerlar da biliyor. Varsayılan kullanıcı adında sadece şifre bilinmelidir. Korsanların yapması gereken tek şey şifre kombinasyonlarını denemek olacaktır. Admin adını kullanmak yerine, tahmin edilmesi zor olan kullanıcı adını kullanın. Kullanıcı adınıza numara eklemeyi deneyin.

Wp-admin Yolunu Değiştirin!

Varsayılan olarak admin alanına giriş wp-admin üzerinden yapılır. Site adresinizin sonuna /wp-admin ekleyen herkes bu alana ulaşabilir. Wp-Admin girişinizi değiştirerek güvenliğinizi arttırabilirsiniz. Korsanlar, böylece panele erişim sağlayamaz.

Protect Your Admin eklentisi ile bu işlemleri kolayca yapabilirsiniz.

URL’yi yeniden adlandırmak için, ücretsiz Protect Your Admin eklentisini kullanabilirsiniz. Eklentiyle URL’yi kişiselleştirme yapılabilir. Wp-admin’i kendi özel dizininizle değiştirebilirsiniz. Eklenti, wp-login.php dosyasının da değiştirilmesini sağlar.

Wp-Admin Sayfasına Şifreli Koruma

Wp-admin dizini, WordPress web sitenizin en önemli dosyalarını içerir. Kontrol paneline erişenler istediği her şeyi yapabilir. Apache’nin (sunucunuz) dahili dizin şifre korumasını kullanabilirsiniz. Böylece ek bir güvenlik katmanı etkin olacaktır. Bunun için, ücretsiz AskApache Password Protect eklentisini kullanabilirsiniz. Eklenti yönetici dizinini şifreyle koruyacak bir .htpasswd dosyası oluşturacaktır. Giriş yapmak için ek bir kullanıcı adı ve şifre girmeniz gerekir.

AskApache Password Protect eklentisiyle ekstra güvenlik

WordPress Veritabanında Özel Prefix Yapısı Kullanın

WordPress veritabanındaki her tablo, bir önek (Prefix) yapısını izler. Veritabanınızdaki verileri değiştirmek için, öneklerin bilinmesi gerekir. Varsayılan önek kullanıyorsanız, bu öneki tahmin etmek kolay olacaktır. (Hem harf hem de sayı içerenç) Benzersiz bir varsayılan tablo öneki kullanarak saldırıları önleyebilirsiniz.

WP-DgerBMana

Önekleri değiştirmek için WP DB Manager adlı eklentiyi kullanabilirsiniz. Tamamen ücretsiz ve kullanımı çok kolay.

Admin Panelinden Dosya Düzenlemeyi İptal Edin

WordPress tarafından sunulan dosya düzenleme özelliği, temanızı ve eklenti dosyalarınızı doğrudan panodan düzenlemenizi sağlar. Bu işlevsellik zaman zaman yararlı olsa da, bir hacker WordPress panonuza erişirse çok tehlikeli olabilir.

Bir bilgisayar korsanı, bu özelliği tema ve eklentilerze kötü kod eklemek için kullanabilir. WordPress’te Dosya Düzenlemeyi Devre Dışı Bırakmak, yalnızca WordPress dosyalarınızı FTP yoluyla düzenlemenizi sağlayacak bir önlemdir. Bu, sitenize ek bir güvenlik katmanı ekleyecektir. Koruma için sitenizin wp-config.php dosyasının aşağıdaki kodu eklemelisiniz.

define('DISALLOW_FILE_EDIT', true);

Saldırılara Karşı Girişe Limit Koyun

Eğer bilgisayar korsanı kullanıcı adınızı ve şifrenizi bilmeyecektir. Korsanlar giriş için ikisini de tahmin etmeye çalışır. Bunları manuel olarak tahmin etmek imkansız olsa da bir şifre deneme aracı kullanıldığında çok daha kolaydır. Bu araçlar, gerçekte çalışanı bulana kadar her saniye yüzlerce rasgele kullanıcı adı ve şifre kombinasyonunu dener. Varsayılan olarak, WordPress sınırsız oturum açma denemelerine izin verir. Bu izin ise siteyi savunmasız kılar. Bu zorlu oturum açma girişimlerini engelleyerek WordPress sitenizi saldırıya karşı koruyabilirsiniz.

Giriş için engel koymak istediğinizde ücretsiz Login Lockdown eklentisini deneyebilirsiniz. Eklenti, belirli bir limit sonrasında girişleri engellemye başlayacaktır.

Karışık, Uzun Şifreler Kullanın!

Karmaşık bir parola kullanmak her zaman için önemli. Zayıf şifreler, hesapların (WordPress, Facebook veya Twitter) saldırıya uğramasının en önemli nedenlerinden biridir. Zayıf şifreleri tahmin etmek kolaydır. Kendiniz iyi bir şifre bulamıyorsanız, ücretsiz şifre üreticisi araçlarını kullanabilirsiniz. Ben bu konuda Chrome ile uyumlu bir eklentiyi kullanıyorum. İçerisinde şifre üreticisi aracı da var. (Lastpass)

Wp-Config.php Dosyanızı Gizleyin!

Wp-config, WordPress sitenizin en önemli dosyalarından biridir. Veritabanı adı, veritabanı kullanıcı adı ve şifre gibi önemli bilgiler içerir. Bilgisayar korsanları web sitenize istedikleri her şeyi yapmak için bu dosyayı kullanabilir. İçeriği değiştirebilir veya web sitenizdeki her şeyi silebilir.

WordPress sitenizin saldırıya uğramaması için, wp-config dosyanızı güvenli hale getirmenin en iyi ve en kolay yolu, onu genel dizinin dışına taşımaktır. Web sitenizin genel dizini, kullanıcılar tarafından erişilebilen tüm dosyaları içerir. Bu dosyalar giriş sayfanızı, yayınlarınızı, sayfalarınızı ve resimlerinizi içerir. Ancak bunlarla da sınırlı değildir. Çoğu durumda, web sitenizi içeren genel dizine “public_html” adı verilir. Bu klasör, tüm dosyalar ve klasörler vardır. wp-config dosyasını genel dizinin üzerindeki bir klasöre taşıdığınızda, bir hacker’ın dosyaya erişmesi neredeyse imkansız hale gelir.

İki Adımlı Doğrulamayı Kullanın

Muhtemelen iki faktörlü kimlik doğrulamasınını biliyorsunuz. Kullanıcı adınızı ve şifrenizi girdikten sonra rastgele oluşturulmuş bir kod telefonunuza gönderilir. Yalnızca bu kodu girdikten sonra giriş yapabilirsiniz. Sadece bir kullanıcı adı ve şifre girmek yerine, oluşturulmuş bir kod veya rastgele oluşturulmuş bir barkodu taramanız gerekebilir. (Hangi uygulamayı kullandığınıza bağlı olarak). Korsanların kullanıcı adı ve şifre tahmin etmesi mümkündür. Ancak rastgele oluşturulmuş bir dinamik kodu tahmin etmesi neredeyse imkansız.

Google Authenticator (Resmi Google eklentisi değildir!)

Google sistemini kullanarak geliştirilmiş Google Authenticator eklentisini kullanarak iki adımlı doğrulamayı kullanmaya başlayabilirsiniz.

PHP Hata Rapor Sistemini Kapatın

PHP hata Raporlama işlevselliği, geliştiriciler için yararlı olacaktır. Bu sayede uygulamalarındaki hataları kolayca tespit edebilirler. Ancak sorunu hata hakkında çok fazla detay vermesidir. Bu bilgi, korsanlar için faydalı olabilir. Korsanlar bilgileri, sunucularınıza erişmek için kullanabilir. En kolay ve hızlı yol, web sitenizin kök dizininde php.ini dosyası oluşturmaktır. Dosya içerisinde eklemeniz gereken kod ise şöyledir;

error_reporting = off

Girişte E-Mail Hesabı Kullanın!

WordPress girişte e-posta adresi ve kullanıcı adını destekler. Kullanıcı adları, e-posta adreslerinden daha kolay tahmin edilir. Bir e-posta, daha fazla karaktere sahiptir. Tahmin edilmesi daha zordur. Bu değişim için WP Email Login eklentisini kullanabilirsiniz. Eklentiyle tüm kullanıcılar e-postayla giriş yapmak durumundadır.

WordPress Versiyonunu Gizleme

WordPress’in eski bir sürümünü kullanmanız risktir! Korsanlar sürümü bilirse, sürümdeki açıklara yönelir. Sitenizi güncel tutmanın yanı sıra sürümü gizlemeniz önerilir. Sürümü gizlemek için aşağıdaki kodu functions.php dosyanıza ekleyebilirsiniz.

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) {
    global $wp_version;
    parse_str(parse_url($src, PHP_URL_QUERY), $query);
    if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
         $src = remove_query_arg('ver', $src);
    }
    return $src;
}
add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );
/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() {
return '';
}
add_filter('the_generator', 'wpmudev_remove_version');

WordPress Güvenlik Önlemleri Özetle

Paylaştığımız ipuçların uygulanması kolaydır. Çoğunun uygulanması birkaç dakikadan fazla sürmez. Sitenizin saldırıya uğramaması için etkili yöntemlerdir. Fakat bilgisayar ve mobil cihazlardaki güvenliği unutmamalısınız.

WordPress Güvenlik Önlemleri 2019 ya da 2020 yılı gibi bir sınırlamaya sahip değildir. WordPress’te köklü değişiklik yapılmazsa WordPress Güvenlik Önlemleri sizi koruyacaktır.

WordPress Güvenlik Önlemleri rehberin ardından WordPress Site Hızlandırma rehberine de göz atın. Güvenlik sonrasında hızınızı da arttırarak sitenizi yükseltebilirsiniz.

WordPress Site Hızlandırma Rehberi

Tüm yöntemler!