WordPress Sitenizi Hackerlardan Nasıl Korursunuz?

Yayınlanan: 2021-12-30

WordPress sitemi bilgisayar korsanlarından nasıl korurum? Bu soruyu kendinize çok sık soruyorsanız, yalnız değilsiniz. WordPress platformunun popülaritesi sayesinde, WordPress web siteleri her zaman daha yüksek saldırı ve hack riski altındadır. Neyse ki, WordPress sitelerini bilgisayar korsanlarından korumanın denenmiş ve güvenilir yolları var. Ve hayır, bunları sitenize uygulamak için bir WordPress uzmanı olmanıza gerek yok.

Bu yazıda, WordPress sitenizi bilgisayar korsanlarına karşı korumak için atabileceğiniz 14 adımı sizinle paylaşıyoruz. Başlayalım.

Bir WordPress Sitesini Hackerlardan Nasıl Korursunuz?

Web sitenizin boyutu veya etki alanı ne olursa olsun, hiçbir web sitesi, her zaman kötü niyetli ağlarını İnternet'te daha geniş bir alana yaymanın yollarını arayan bilgisayar korsanlarından güvenli değildir. İster WordPress sitenizi 'taramak' ve herhangi bir güvenlik açığını tespit etmek için otomatik komut dosyaları dağıtıyor, isterse WordPress hesabınıza erişim sağlamak için kullanıyor olsun, web sitenizin hiçbir bölümü bilgisayar korsanlarından güvenli değildir.

Bilgisayar korsanlarından WordPress koruması, esasen web sitenizin her bir bölümünü kötü amaçlı yazılımlardan, kaba kuvvet saldırılarından ve diğer tehditlerden korumak anlamına gelir. Paylaşmak üzere olduğumuz 14 güvenlik önlemi, tam da bunu yapabilmeniz için güçlü bir temel sunar:

1. Güvenli Bir Web Sunucusu Kullanın

Güvenli bir barındırma sunucusu ve ortamı, WordPress sitenizi korumak için kritik bir unsurdur. Barındırma şirketinizin, düzenli yedeklemeler, güvenlik duvarı koruması ve kötü amaçlı yazılım taraması gibi hizmetler aracılığıyla barındırılan sitelerini saldırılardan korumaya öncelik verdiğinden emin olun.

Şu anda paylaşılan bir ana bilgisayarda barındırılıyorsanız, daha güçlü bir güvenli ortam güvencesi sağlayan bir bulut ana bilgisayarına veya yönetilen ana bilgisayara geçiş yapmayı düşünün.

2. Güçlü Parolalar Kullanın

Güçlü parolalar, muhtemelen WordPress'i bilgisayar korsanlarından korumanın ve kaba kuvvet saldırılarını durdurmanın en kolay önlemidir. “123456” veya “şifre” gibi tahmin edilmesi kolay şifreler kullanmaktan kesinlikle kaçının. Bunun yerine, her parolanın en az 10-12 karakter uzunluğunda olduğundan ve bir alfabe, sayı ve özel karakter karışımı içerdiğinden emin olun.

Güçlü parola kullanın

Çok sayıda kullanıcınız varsa, her kullanıcı için otomatik olarak daha güçlü parolalar oluşturmak ve saklamak için 1Password veya LastPass gibi parola yönetim araçlarını kullanabilirsiniz.

3. İki Faktörlü Kimlik Doğrulamayı Etkinleştirin (2FA)

Güçlü oturum açma kimlik bilgileri, kaba kuvvet saldırılarını durdurmak için her zaman etkili olsa da, İki faktörlü kimlik doğrulama (veya 2FA) kullanılarak ekstra bir oturum açma sayfası koruması katmanı mevcuttur. Bu önlem, 'kötü niyetli' kullanıcılar doğru oturum açma bilgilerini tahmin edebilseler bile, yalnızca 'gerçek' kullanıcının cihazına gönderilen doğru doğrulama kodunu girmeleri gerekmesini sağlar.

İki faktörlü kimlik doğrulama

2FA'yı uygulamak için tek yapmanız gereken, Google Authenticator gibi bir 2FA eklentisini kurmak ve etkinleştirmektir.

4. Giriş Denemelerini Sınırlayın

Hesap girişi elde etmede başarılı olmak için, kaba kuvvet saldırıları, doğru kullanıcı kimlik bilgilerini tahmin etmeye yönelik tekrarlanan girişimlerde bulunur. Varsayılan olarak, WordPress siteleri sınırsız sayıda giriş denemesine izin verir. Ancak bu, oturum açma denemelerinin sayısını 3 veya 4 ile sınırlamanızı engellememelidir.

Giriş denemelerini sınırla

Tek ihtiyacınız olan, birden çok başarısız oturum açma girişiminden sonra CAPTCHA ekranını görüntüleyen CAPTCHA aracını yüklemektir. Bu araç aynı zamanda bir "insan" kullanıcının mı yoksa bir "bot"un oturum açma hesabına mı erişmeye çalıştığını belirlemede etkilidir.

5. Varsayılan Kullanıcı Adınızı “admin ” olarak değiştirin

Kolay kullanım için, WordPress her yeni WordPress hesabı için başlangıçta bir varsayılan yönetici atar. Bu yönetici, WordPress web sitenizi kurmak ve ek kullanıcılar oluşturmak için başlangıç ​​aşamasında kullanışlıdır. Ancak, "admin" kullanıcı adının kullanılması güvenlik sorunlarının payına sahiptir.

Kaba kuvvet saldırılarını zorlaştırmak için bu kullanıcı adını tahmin edilmesi zor olan daha benzersiz bir kullanıcı adıyla değiştirin. En iyi yol, yeni bir yönetici (daha güçlü bir kullanıcı adıyla) oluşturmak ve ardından varsayılan "yönetici" kullanıcıyı kaldırmaktır.

6. Çekirdeğinizi, Eklentilerinizi, Temalarınızı Güncel Tutun

WordPress güvenlik açıklarının çoğu, eski bir Core WordPress sürümünün veya yüklü eklentilerin ve temaların bir sonucudur. Bilgisayar korsanları, sürekli olarak kendi avantajlarından yararlanabilecekleri eski yazılım sürümlerini ararlar. Bilgisayar korsanlarına karşı en iyi koruma, WordPress sitenizi en son sürüme güncel tutmaktır.

WordPress barındırma hesabından düzenli güncellemeler uygulayabilir veya otomatik güncellemeleri etkinleştirebilirsiniz. Sitenizi güncel tutmanın ek bir faydası daha vardır. Çoğu WordPress teması ve eklenti güncellemesi, WordPress web sitenizi daha hızlı ve sorunsuz hale getirebilecek hız ve performans geliştirmeleri içerir.

7. Web Sitenizi Düzenli Olarak Yedekleyin

Kesinlikle WordPress'i bilgisayar korsanlığından koruyabilecek bir güvenlik önlemi olmasa da, sağlam bir yedekleme ve geri yükleme stratejisi, kesinti süresini ve gelir kaybını en aza indirmenize olanak tanır. Bir e-ticaret sitesi işletiyorsanız, bir yedekleme, kesinti veya müşteri kayıtlarının veya işlemlerinin kaybolması riskiyle karşılaşmamanızı sağlar.

Temel web sitesi dosyalarınızın ve veritabanınızın web sitesi yedeklemelerini manuel olarak alabilmenize rağmen, BlogVault veya BackupBuddy gibi bir WordPress yedekleme eklentisi kullanmak, tüm yedekleme sürecini otomatikleştirip planladıkları için size zaman kazandırabilir. Eğer sen

8. Bir SSL Sertifikası Ekleyin

Sitenize bir SSL sertifikası eklediğinizde, esasen web sitenizi daha az tercih edilen HTTP protokolünden Güvenli HTTP (veya HTTPS) protokolüne geçirirsiniz. HTTPS, web siteniz ve kullanıcınız arasında iletilen tüm verileri, onların ve sizin güvenliğiniz için şifreler.

HTTPS ve SSL

HTTPS'ye nasıl geçebilirsin? Web barındırma şirketinizden veya Let's Encrypt gibi bir SSL eklentisi kullanarak alabileceğiniz bir SSL sertifikası ekleyin.

9. Dosya Düzenlemeyi Devre Dışı Bırak

WordPress dosya düzenleyicisi ile bilgisayar korsanları web sitesi kontrolünü ele geçirebilir ve sitede 'zararlı' PHP kodunu çalıştırabilir. Bir yönetici hesabının güvenliği ihlal edildiğinde bu bir güvenlik tehdidi olabilir. En iyi çözüm, WordPress sisteminizin wp-config.php dosyasına aşağıdaki kodu ekleyerek dosya düzenlemeyi devre dışı bırakmaktır:

 define( 'DISALLOW_FILE_EDIT', true );

10. Site Erişimini ve Kullanıcı Rollerini Kısıtlayın

Tüm kullanıcılar için sınırsız web sitesi erişimi, özellikle yönetici panosu için büyük bir WordPress riski olabilir. İşin iyi yanı, artık kullanıcı rollerine göre seçilen web sayfalarına erişimi kısıtlayabilmenizdir. Bunu yapmak için “Restrict Content Pro” eklentisini kurmanız ve sınırlı kullanıcı erişimi istediğiniz sayfaları yapılandırmanız gerekir.

11. Dizin Taramayı Devre Dışı Bırakın

Bilgisayar korsanları, güvenlik açıklarına sahip olabilecek dosyaları bulmak için WordPress dizin tarama özelliğini kullanır. Ek olarak, bu özellik WordPress dosyalarınızı kopyalamak veya klasör yapısı hakkında daha fazla bilgi edinmek için kullanılabilir. En iyi çözüm, bilgisayar korsanları tarafından kötüye kullanılmaması için dizin taramasını devre dışı bırakmaktır. Bu, kurulum klasörünüzdeki .htaccess dosyanızın sonuna aşağıdaki kod satırını ekleyerek yapılabilir:

Seçenekler -İndeksler

12. PHP Yürütmeyi Devre Dışı Bırakın.

Bilgisayar korsanları, kötü amaçlı yazılım kodu ekleyebilir ve bunları PHP dosyalarını kullanarak çalıştırabilir. PHP dosyalarının yürütülmesini devre dışı bırakarak WordPress site güvenliğinizi artırabilirsiniz. PHP yürütmesini devre dışı bırakmak için WordPress kurulumunuzun “uploads” klasöründeki .htaccess dosyasını açın ve aşağıdaki kodu ekleyin:

 <Files *.php> deny from all </Files>

13. Bir WordPress Güvenlik Eklentisi Kullanın

Şimdiye kadar özetlenen adımlar sizi bilinen tehditlerden koruma konusunda harika bir iş çıkarsa da, bilgisayar korsanlarına ve onların yenilikçi yöntemlerine ayak uydurmak zor olabilir. Web sitenizi henüz bilinmeyen veya nadir saldırılardan ve hatta birden çok kötü amaçlı yazılım türünden korumanın en etkili yollarından biri, güvenlik için özel bir WordPress eklentisine yatırım yapmaktır.

MalCare ve Wordfence gibi WordPress güvenlik eklentileri, daha az bilinen kötü amaçlı yazılımları bile algılayabilir ve tüm kötü amaçlı yazılım tarama sürecini planlayabilir ve otomatikleştirebilirsiniz. MalCare'in tek tıklamayla kötü amaçlı yazılım temizleme işlemi bile vardır, böylece sitenizi temizlemek için harici teknik desteğe güvenmek zorunda kalmazsınız.

kötü bakım

14. Bir WordPress Güvenlik Duvarını Etkinleştirin

Bir WordPress sitesini bilgisayar korsanlarından korumanın başka bir basit yolu varsa, sitenize erişmelerini zorlaştırmaktır. Güvenlik duvarları, bilgisayar korsanları tarafından yapılan 'şüpheli' IP isteklerine karşı son savunma hattı görevi görür. İnsanların evinize veya ofisinize girmesine izin veren veya engelleyen bir güvenlik görevlisi gibi davranır.

ateş kuyusu

Güvenlik duvarları hem 'iyi' hem de 'kötü' IP adreslerini takip eder ve onlardan yapılan isteklere otomatik olarak izin verir veya bunları engeller.

MalCare ve Sucuri gibi çoğu güvenlik eklentisi, tüm kötü niyetli trafiği engellemek için yerleşik bir güvenlik duvarına sahiptir.

WordPress Sitenizi Hackerlardan Neden Korumalısınız?

Bir WordPress sitesini bilgisayar korsanlarından nasıl koruyacağınızı bilmek artık daha sonra erteleyebileceğiniz bir şey değil. Basitçe bir hack, web varlığınızdan veya SEO sıralamanızdan daha fazlasını etkilediği için. Başarılı bir kötü amaçlı yazılım veya kaba kuvvet saldırısı, birkaç saatliğine bile olsa gelirlerinize ciddi şekilde zarar verebilir ve marka otoritenizi baltalayabilir.

Saldırının türüne bağlı olarak, bir WordPress saldırısı aşağıdakilerin bazılarına veya tümüne neden olabilir:

  • Zararlı "pop-up" reklamlarla web sitenizin ana sayfasını tamamen tahrif edin
  • Web sitenizin spam içerikli anahtar kelimeler için sıralanmasını sağlayabilecek SEO çabanızın kötüye kullanılması
  • Ziyaretçiler, sahte ürünler veya yasaklanmış farmasötik ürünler satan diğer istenmeyen web sitelerine yönlendiriliyor
  • Gerçek bir iş e-posta adresi kullanılarak müşterilerinize gönderilen spam veya "kimlik avı" e-postaları
  • Değerli müşteri kayıtlarının, finansal işlem detaylarının ve diğer hassas verilerin kaybıyla sonuçlanan veri ihlalleri

Bir WordPress sitesini kötü amaçlı yazılımlardan ve bilgisayar korsanlarından tam olarak nasıl koruyacağınızı bilmeniz için bu makalenin ipuçları ve stratejiler konusunda size yardımcı olacağını umuyoruz.

Tartıştığımız 14 güvenlik önlemi hakkında ne düşünüyorsunuz? Bu listeye ekleyeceğiniz var mı? Yorumlarda bize bildirin.

Saasland