• Anasayfa
  • Nesne
  • Tema
  • WordPress Güvenlik Kılavuzu: WordPress 2022'yi Güvenli Hale Getirme

WordPress Güvenlik Kılavuzu: WordPress 2022'yi Güvenli Hale Getirme

Yayınlanan: 2022-02-17

Bunu hayal et:

Tamamen parlak gözlü, gür kuyruklu ve en son blog yayınınızı yüklemeye hazır WordPress sitenizi açıyorsunuz… yalnızca insanları yarım yamalak web sitelerinden ilaç hapları almaya yönlendiren bir grup tuhaf içerikle karşılaşıyorsunuz.

Çoğu web yöneticisinin en kötü kabusu, ancak doğru güvenlik en iyi uygulamalarını yerleştirmezseniz WordPress sitenizin başına gelebilecek bir şey.

Sizi korkutmaya çalışmıyoruz – WordPress güvenlidir . Özel bir güvenlik ekibine ve bu şekilde kalmasına yardımcı olmak için bilgili katkıda bulunanlar ve geliştiricilerden oluşan bir orduya sahiptir.

Ancak WordPress güvenlik en iyi uygulamalarını izleyerek bu güvenli temeli oluşturmuyorsanız, kötü niyetli aktörlerin dişlerini web sitenize sokmaları için kapıyı açmış olabilirsiniz.

Bu yazıda, bu kabus senaryosunun gerçeğe dönüşmesini durdurabilmeniz için bu en iyi uygulamaların neler olduğunu öğrenmenize yardımcı olmak için buradayız.

Bu amaçla, aşağıdaki bölümleri ele alacağız:

  • WordPress güvenli mi?
  • Güvenliğinizi düzene sokmak için neden beklememelisiniz?
  • Şu anda güvenlik hakkında yapabileceğiniz 21 şey
  • Güvenlik ihlali riskleri
  • Sitenizin saldırıya uğradığını nasıl anlarsınız
  • Üç birinci sınıf WordPress güvenlik eklentisi
  • Uygulanması gereken en önemli üç güvenlik taktiği
  • WordPress güvenlik ihlallerini izleme ve düzeltme

Bu gönderideki en iyi uygulamalar üzerinde çalışmanız birkaç saatinizi alabilecek olsa da, bu küçük yatırım şimdi gelecekte güvenli, kurşun geçirmez bir WordPress sitesi şeklinde temettü ödeyecek.

WordPress Güvenli mi?

WordPress, internetteki tüm web sitelerinin %43'ünden fazlasına güç sağlar, bu da kötü niyetli aktörler için cazip bir hedef olduğu anlamına gelir.

WordPress'in bu kadar popüler olması, çok farklı bilgi seviyelerine sahip insanlar da dahil olmak üzere çok çeşitli insanlar tarafından kullanıldığı anlamına gelir. Deneyimli bir geliştirici ile ilk blogunu yeni başlatan birini ve aradaki herkesi düşünün.

Burada bir iyi bir de kötü haber var…

İyi haberler:

WordPress güvenlidir . Bu yüzden pek çok sıradan insan ve ABD Beyaz Saray ve Facebook gibi büyük kuruluşlar tarafından kullanılıyor.

WordPress, güvenliğe değer veren büyük markalar tarafından kullanılıyor

Facebook ve Beyaz Saray, web sitelerine güvensiz bir platforma güvenmezdi. Ayrıca, internetteki web sitelerinin %43'ü güvenli olmasaydı WordPress üzerinde çalışmazdı.

Kötü haber :

Birçok WordPress sitesi saldırıya uğrar . Sucuri'nin saldırıya uğramış web sitesi raporlarında, WordPress rutin olarak en çok saldırıya uğrayan platformdur ( unutmayın – çok popülerdir ).

Peki – WordPress nasıl güvenli olabilir ve siteler nasıl hacklenebilir? Bunlar birbirini dışlayan şeyler değil mi?

Cevap tamamen insanların WordPress'i nasıl kullandığında.

Bu gönderide ele alacağımız gibi en iyi güvenlik uygulamalarını takip etme konusunda proaktif iseniz, WordPress sitenizi güvende tutabilir ve sorunlardan kaçınabilirsiniz.

WordPress, 50+ üyeli resmi bir güvenlik ekibi ve güvenli uzantılar oluşturan ve olası sorunları işaretleyen bir dizi deneyimli geliştirici dahil olmak üzere büyük bir güvenlik aygıtına sahiptir.

Bu insanlar WordPress'i güvenli hale getirmek için harika bir iş çıkarıyorlar - ancak bu şekilde kalmasını istiyorsanız yine de üzerinize düşeni yapmanız gerekiyor.

Bu WordPress katkıda bulunanların sıkı çalışmasına dayanmazsanız ve en iyi uygulamaları takip etmezseniz, zayıf bir parola kullanmak, savunmasız bir eklenti yüklemek veya başka bir şey olsun, WordPress yazılımında boşluklar açan hatalar yapabilirsiniz.

WordPress Güvenliği Konusunda Ciddileşmeyi Neden Beklememelisiniz?

WordPress güvenliği, önemli bir şey değilmiş gibi hissettiren şeylerden biridir… ta ki gerçekten önemli bir şey olana kadar.

Pazarlama ve sitenizi büyütme konusunda önünüzde pek çok şey var, bu nedenle güvenliği arka plana atmak kolaydır, çünkü güvenlik iyileştirmeleri yapmayı trafik veya gelir gibi büyüme ölçütlerine bağlamak zordur.

Burada biraz açık sözlü davranıyoruz, ancak bu düşünce tarzı inanılmaz derecede dar görüşlü. Aşağıdaki WordPress güvenlik kontrol listesini uygulamak biraz zaman alır ve potansiyel olarak biraz para gerektirir, ancak bu maliyetler, sitenizin ihlali durumunda "ödeyeceğiniz" ile karşılaştırıldığında sönük kalır.

Tek bir güvenlik ihlali, kaybedilen zaman, gelir, SEO trafiği ve ziyaretçilerinize olan güven açısından size kolayca "maliyete" neden olur.

Temel olarak, sitenizin güvenliğiyle kumar oynamak istemezsiniz. Kendinizi daha sonra büyük bir maliyetten korumak için şimdi zaman ayırın.

WordPress Güvenliği Hakkında Şu Anda Yapabileceğiniz 20 Şey

Buraya kadar teoriden bahsettik. Şimdi, sitenizi bugün korumak için uygulayabileceğiniz bir WordPress güvenlik kontrol listesiyle başlayarak, sitenizi kilitlemek için eyleme geçirilebilir bazı taktiklere dönmeye başlayalım.

1. Temel WordPress Güvenlik Temalarını Anlayın

Sitenizdeki herhangi bir şeyi değiştirmeden önce, WordPress güvenliğinin temel temalarını anlamak isteyeceksiniz:

  • Erişimi sınırlayın - sitenize erişimi hem amaçlanan yöntemlerle (kullanıcı hesapları) hem de istenmeyen yöntemlerle (güvenlik açıkları) sınırlayın.
  • Sorunları içerir - kötü niyetli bir aktör erişim elde ederse, yapabilecekleri zararı sınırlamak istersiniz.
  • Yalnızca güvenilir üçüncü tarafları kullanın – WordPress çekirdeği güvenliyken sitenize eklediğiniz her uzantı potansiyel bir güvenlik açığıdır.

2. WordPress Güncellemelerini Derhal Uygulayın

Sitenizi ortaya çıkan güvenlik açıklarından korumak için WordPress temel güncellemelerini, eklenti güncellemelerini ve tema güncellemelerini derhal uygulamak çok önemlidir. Bu, özellikle hemen uygulamanız gereken güvenlik güncellemeleri için geçerlidir*.

*Güvenlik güncellemelerinin sürüm numarasında iki nokta vardır – örn. 5.9.1. Yalnızca tek bir noktaya sahip olan ana özellik güncellemelerini uygulamak için bekleyebilirsiniz – örneğin 5.9.

3. Her Şey İçin Güçlü Parolalar Kullanın

WordPress Yönetici hesabınız, barındırma hesabınız ve diğer araçlar (ör. SFTP kimlik bilgileri) için güçlü, benzersiz parolalar kullanmak, kaba kuvvet saldırılarını ve diğer oturum açma tabanlı saldırı türlerini önlemede uzun bir yol kat edebilir.

Parolaları güvenli bir şekilde saklamak için Bitwarden veya LastPass gibi bir parola yöneticisi kullanabilirsiniz. Bu parola yöneticileri, benzersiz parolalar oluşturmanıza da yardımcı olabilir.

4. Güvenilir Eklentileri Kullanın

Yeni WordPress sürümlerini ve yeni keşfedilen güvenlik açıklarını hesaba katmak için yalnızca eklentiyi etkin bir şekilde sürdüren güvenilir geliştiricilerin eklentilerini yükleyin.

5. Bilgisayarınızı Güvende Tutun

WordPress sitenize erişmek için kullandığınız bilgisayarın temiz olduğundan emin olun. Kaliteli bir anti-virüs yazılımı kullanın ve düzenli olarak kötü amaçlı yazılım taramaları yapın.

6. Giriş Sayfanızı Kilitleyin

Güçlü şifreler kullanmanın yanı sıra, giriş denemelerini sınırlama ve iki faktörlü kimlik doğrulama gibi taktikler kullanarak giriş sayfanızı koruyabilirsiniz. Bunu, Limit Login Attempts Reloaded ve Two Factor Authentication gibi özelliklere özel ücretsiz eklentilerle gerçekleştirebilirsiniz. Veya bu gönderide daha sonra tartışacağımız geniş WordPress güvenlik eklentilerinden bazılarını kullanabilirsiniz.

WordPress giriş URL'sini de değiştirebilirsiniz. Bu, yukarıdaki ipuçlarını uygularsanız fazladan oturum açma güvenliği sağlamasa da, bot trafiğini azaltabilir.

7. Düzenli Yedeklemeler Alın

Düzenli yedeklemeler almak ve bunları uzun bir yerde saklamak, WordPress güvenliğinin büyük bir unsurudur. Yakın zamanda bir yedeğiniz varsa, en kötü durumdaki bir güvenlik ihlali, sitenizin verileri söz konusu olduğunda bir felaket yerine bir rahatsızlıktır.

Çoğu yönetilen WordPress ana bilgisayarı, günümüzde otomatik site dışı yedeklemeler sunar. Değilse, UpdraftPlus gibi bir eklenti kullanabilirsiniz.

8. Güvenli Barındırma Kullanın

Güvenlik duvarları ve kötü amaçlı yazılım taramaları gibi sağlam güvenlik protokolleri uygulayan yüksek kaliteli bir WordPress ana bilgisayarı kullanın. Yalnızca sunucunuza güvenmemeniz gerekirken, kaliteli bir WordPress barındırıcısı, WordPress sitenizi güvence altına almak için uzun bir yol kat edebilir.

9. Bir SSL Sertifikası Kurun ve HTTPS Kullanın

Bir SSL sertifikası yüklediğinizden ve sitenizi tüm trafiği güvenli HTTPS sürümüne zorlayacak şekilde ayarladığınızdan emin olun. Bu, bir ziyaretçinin web tarayıcısı ile sitenizin sunucusu arasında geçen tüm verilerin şifrelenmesini sağlar.

SSL sertifikasının nasıl yükleneceğini öğrenmek için sunucunuzun destek ekibine veya belgelerine danışabilirsiniz ve Really Simple SSL gibi eklentiler sitenizde HTTPS trafiğini zorlamanıza yardımcı olabilir.

10. SFTP Kullanın ve Parolaları Saklamayın

Sitenizin sunucusuna bağlandığınızda (şifrelenmemiş olan) düz FTP yerine SFTP kullandığınızdan emin olun. Ayrıca, şifreli ve parola korumalı olmadıkça SFTP parolalarınızı FTP istemcinizde saklamaktan kaçının.

11. XML-RPC'yi devre dışı bırakın

XML-RPC, iPhone uygulaması gibi bazı uygulamaların WordPress sitenize bağlanmasına yardımcı olur. Çoğu kişi bağlanmak için bu uygulamaları asla kullanmaz; bu, XML-RPC'nin kaba kuvvet veya DDoS saldırıları için yalnızca gereksiz bir güvenlik açığı vektörü olduğu anlamına gelir.

Bu nedenle çoğu kişi, XML-RPC'yi Devre Dışı Bırak gibi bir eklenti veya daha sonra tartışacağımız genel güvenlik eklentilerinden biri ile gerçekleştirebileceğiniz XML-RPC'yi devre dışı bırakır.

12. Dosya Düzenlemeyi Devre Dışı Bırak

Varsayılan olarak, WordPress, Yönetici kullanıcılarının tema ve eklenti dosyalarını WordPress panosundan doğrudan düzenlemesine izin verir; bu, kötü niyetli bir aktörün panonuza erişmesi durumunda büyük bir güvenlik açığıdır.

wp-config.php dosyanıza bir satır ekleyerek devre dışı bırakabilirsiniz.

13. Güvenlik Sorunlarını İzleyin

Düzenli güvenlik izleme politikaları uygulamak, sorunları daha büyük sorunlara dönüşmeden yakalamanıza yardımcı olabilir. Bu gönderide daha sonra uygun izleme uygulamaları hakkında konuşacağız.

14. Güvenli Anahtar WordPress Dosyaları ve Klasörleri

Bazı WordPress dosya ve klasörleri özellikle savunmasızdır, bu nedenle wp-config.php dosyasının ve wp-admin ve wp-includes klasörlerinin güvenliğini sağlamaya özellikle dikkat etmek isteyeceksiniz.

15. Uygun Dosya İzinlerini Uygulayın

Dosya izinleri, kullanıcıların ve programların barındırma sunucunuzdaki dosya ve klasörlere erişimini kontrol eder. Yanlış yapılandırılmışlarsa, kötü niyetli kişilerin wp-config.php dosyanız veya .htaccess dosyanız gibi önemli dosyalara erişmesine izin verebilirler.

WordPress için uygun izinleri öğrenmek için bu WordPress.org sayfasını okuyabilirsiniz.

16. Etkinlik Günlüğünü Düşünün

Etkinlik günlüğü, sitenizde neler olup bittiğini takip etmenizi sağlar ve bu da şüpheli davranışları önemli bir sorun haline gelmeden yakalamanıza yardımcı olabilir.

Etkinlik günlüğünü ayarlamak için WP Etkinlik Günlüğü gibi özel bir eklenti kullanabilirsiniz. Veya bazı çok amaçlı WordPress güvenlik eklentileri, günlük kaydı işlevselliğini de içerir.

17. En Son Güvenlik Başlıklarını Ekleyin

HTTP güvenlik başlıkları, web tarayıcılarının sitenizin içeriğiyle nasıl etkileşime girdiğini kontrol ederek sitenizin güvenliğini sağlamaya yardımcı olabilir. Bunları genellikle sunucu düzeyinde yapılandırırsınız – KeyCDN'nin en önemli güvenlik başlıklarını açıklayan harika bir gönderisi vardır.

18. Veritabanınızın Güvenliğini Sağlayın

Benzersiz bir veritabanı tablosu öneki ve benzersiz bir veritabanı adı kullanmak, kötü niyetli kişilerin veritabanınıza kötü amaçlı içerik eklemesini biraz zorlaştırabilir, ancak bazı uzmanlar bunun yararlılığını tartışıyor. Bu değişikliğin uygulanmasının kolay olduğu göz önüne alındığında, küçük bir miktar “belirsizlikten kaynaklanan güvenlik” olsa bile buna değer.

19. Bağlantıyı Devre Dışı Bırak

Başka sitelerin resimlerinize hotlink yapması doğrudan bir güvenlik riski oluşturmayabilir, ancak bu, boşa harcanan kaynaklar açısından sunucunuz üzerinde olumsuz bir etkiye sahip olabilir, bu nedenle hotlinking'i devre dışı bırakmak iyi bir güvenlik uygulamasıdır.

20. DDoS Korumasını Önceden Ayarlayın

Dağıtılmış hizmet reddi saldırılarıyla başa çıkmak için bir planınız olsun. Barındırıcınıza hangi korumalara sahip olduklarını sorabilir veya sitenizi Cloudflare'a ekleyerek, gerekirse Cloudflare'nin “Saldırı Altındayım” modunu hızlı bir şekilde etkinleştirebilirsiniz.

Bir Site İhlal Edildiğinde Riskler Nelerdir?

Siteniz ihlal edilirse üç ana risk türü vardır…

Web Ziyaretçilerinize Yönelik Riskler

Ziyaretçileriniz hakkında veri depolarsanız, kötü niyetli kişiler tüm bu bilgilere erişebilir ve bu da depoladığınız verilere bağlı olarak kimlik hırsızlığı veya finansal hırsızlıkla ilgili sorunlara neden olabilir.

Kötü niyetli aktörler, kullanıcıları kötü niyetli dosyalar indirmeleri ve bilgisayarlarına bulaşmaları için kandırmaya da çalışabilir.

Site Sahiplerine Yönelik Riskler

Bir güvenlik ihlali, veri kaybı, zaman kaybı ve sitenin kullanılamaması şeklinde doğrudan sorunlara neden olabilir. Düzenli yedeklemeler yapmazsanız ( ki bu kılavuzu okuduktan sonra umarım böyle olmaz ), sitenizin tamamını kaybedebilir ve sıfırdan yeniden oluşturmanız gerekebilir.

Bir ihlal, ziyaretçilerinize olan güvenin kaybolması veya genel itibar kaybı gibi daha az somut sorunlara da neden olabilir.

Diğer Sitelere Yönelik Risk

Paylaşılan barındırma kullanıyorsanız ve/veya diğer sitelerinizden bazılarını aynı barındırma hesabında barındırıyorsanız, siteler birbirinden sıkı bir şekilde izole edilmemişse, ihlal edilen bir site hızla diğer sitelere yayılabilir. Bu şekilde, bir sitenin virüslü olması, bu siteler aksi takdirde güvenli olsa bile, diğer siteleri ortadan kaldırmak için bir domino taşı gibi davranabilir.

WordPress Sitenizin Saldırıya Uğradığını Nasıl Anlarsınız?

Sitenizin saldırıya uğradığını öğrenmenin iki yolu vardır:

  • Reaktif işaretler – bir sorunu keşfedersiniz çünkü sorunu sitenizde görürsünüz.
  • Proaktif işaretler – güvenlik izleme protokolleriniz, sorun sitenizde ortaya çıkmadan önce sizi uyarır.

İdeal olarak, sorunları bir sorun haline gelmesini beklemek yerine proaktif olarak düzeltmenize izin veren araçları kullanmak istersiniz. Bu şekilde sitenize vereceğiniz zararı en aza indirebilirsiniz.

Hacking'in Reaktif İşaretleri

  • Tarayıcı uyarısı – virüslü bir sayfayı ziyaret ederseniz çoğu tarayıcı bir uyarı görüntüler. Kendi sitenizi ziyaret ettiğinizde bu olursa, bir sorununuz olduğunu bilirsiniz.
  • Arama motoru uyarısı – Google, virüslü bir siteye yönlendiren bir bağlantıya tıklarsa ziyaretçileri de uyaracaktır. "Bu site saldırıya uğramış olabilir" gibi bir şey söylüyor.
  • Web yöneticisi hizmetleri – Google Arama Konsolu kullanıyorsanız, Güvenlik ve Manuel İşlemler → Güvenlik sorunları bölümüne giderseniz Google sizi güvenlik sorunları konusunda uyaracaktır.
  • Web ziyaretçileri – web ziyaretçileri kötü niyetli içerikle karşılaşırsa, bunu size doğrudan söyleyebilirler.
Bir siteye kötü amaçlı yazılım bulaştığında Google Chrome bir uyarı görüntüler

Hacking'in Proaktif İşaretleri

  • Kötü amaçlı yazılım tarayıcı - kötü amaçlı yazılım tarayıcısı, sitenizin ön ucunu etkilemeye başlamamış olsa bile sunucunuzdaki kötü amaçlı kodu algılayabilir.
  • Dosya bütünlüğü kontrolleri – çekirdek WordPress dosyaları resmi sürümlerle eşleşmiyorsa, bu sitenizde bir şeylerin yanlış olabileceğinin bir işaretidir. Çoğu güvenlik eklentisi, bir çekirdek dosya değiştirildiğinde sizi otomatik olarak uyarır.
  • Trafik monitörleri – WordPress sitenizin trafiğini izlemek, düzensizlikleri meydana geldiği anda tespit etmenize yardımcı olacaktır.
Wordfence eklentisi, WordPress güvenlik taramaları sunar

En İyi Üç WordPress Güvenlik Eklentisi ve Aracı

WordPress güvenliği söz konusu olduğunda biraz daha fazla iç rahatlığı istiyorsanız, özel bir WordPress güvenlik eklentisi veya hizmeti kullanmayı düşünebilirsiniz.

Bu araçlar, uyanık olma ihtiyacını tamamen ortadan kaldırmasa da, sizin için en iyi WordPress güvenlik uygulamalarını halledebilirler.

İşte en iyilerinden üçü:

1. Kelime çiti

Wordfence, en iyi WordPress güvenlik eklentilerinden biridir

Wordfence, WordPress.org'daki en popüler WordPress güvenlik eklentisidir. Sitenizin güvenliğinin tüm alanlarını koruyabilen ve izleyebilen kapsamlı bir özellik setine sahiptir:

  • Tehditleri sitenize zarar vermeden önce proaktif olarak engellemek için web uygulaması güvenlik duvarı (WAF) . Ortaya çıkan tehditleri engellemek için sürekli güncellenen bir dizi tanım içerir.
  • Enfeksiyonları veya güvenlik açıklarını tespit etmek için kötü amaçlı yazılım ve güvenlik taraması .
  • Oturum açma denemelerini sınırlama, iki faktörlü kimlik doğrulama, sızdırılmış parola koruması, XML-RPC devre dışı bırakma/sertleştirme ve daha fazlasını içeren oturum açma güvenlik özellikleri .
  • Kötü niyetli aktörleri tespit etmek için gerçek zamanlı günlük kaydı .
  • Sitenizdeki olası sorunlar konusunda sizi anında uyaran bildirimler .
  • Dosya değişikliği tespiti de dahil olmak üzere diğer birçok küçük sertleştirme taktiği .
  • Birden çok sitenin güvenliğini tek bir noktadan yönetmenize olanak tanıyan merkezi güvenlik panosu .

WordPress.org'da ücretsiz bir sürüm var ve Wordfence Premium 99 dolardan başlıyor.

2. Sucuri

Sucuri bir eklenti ve güvenlik duvarıdır

Sucuri iki şeydir:

  1. Temel güvenlik güçlendirme uygulamalarını uygulayan WordPress.org'da ücretsiz bir eklenti.
  2. Sunucunuzun önünde oturan ve sitenize ulaşmadan önce kötü amaçlı trafiği engelleyen ücretli bir güvenlik duvarı hizmeti.

En iyi koruma için her iki aracı da kullanmak isteyeceksiniz.

Ücretsiz Sucuri eklentisi, aşağıdaki güvenlik güçlendirme özelliklerini uygular:

  • Dosya bütünlüğü izleme
  • Denetim günlükleri
  • Otomatik kara liste izleme
  • Dosya düzenlemeyi devre dışı bırakma ve belirli PHP dosyalarını engelleme gibi temel sağlamlaştırma seçenekleri
  • Kaba kuvvet saldırılarını algılamak için başarısız oturum açma izleme
  • E-posta yoluyla otomatik güvenlik uyarıları

Güvenlik duvarı hizmetini kullanmak için etki alanınızın ad sunucularını Sucuri olarak değiştireceksiniz ve Sucuri'nin güvenlik duvarı sitenizi ağ düzeyinde koruyacak.

Sucuri eklentisi ücretsizdir ancak güvenlik duvarı aylık 10 dolardan başlar. Ayrıca, kötü amaçlı yazılım temizleme ve kaldırmayı içeren eksiksiz bir web sitesi güvenlik planı için ödeme yapabilirsiniz. Bu planlar yılda 200 dolardan başlıyor.

3. iThemes Güvenliği

WordPress için iThemes Güvenlik Pro

iThemes Security, sitenizi sağlamlaştırmanıza ve güvenlik sorunları için izlemenize yardımcı olabilecek başka bir popüler araçtır.

Şu konularda yardımcı olabilir:

  • Site tarayıcı , sitenizdeki bilinen güvenlik açıklarını otomatik olarak algılar.
  • İki faktörlü kimlik doğrulama, oturum açma girişimlerini sınırlama, güvenilir cihazlar, güçlü parola gereksinimleri ve daha fazlasını içeren oturum açma koruması .
  • Güvenlik olayı günlüğü ve kullanıcı etkinliği günlüğü dahil güvenlik günlükleri .
  • Çekirdek dosyaların değiştirilip değiştirilmediğini görmek için dosya değişikliği algılama .
  • Potansiyel güvenlik sorunları konusunda sizi anında uyarmak için e-posta bildirimleri .
  • XML-RPC'yi devre dışı bırakma, dosya düzenlemeyi devre dışı bırakma, dosya izinleri kontrolü ve daha fazlasını içeren genel WordPress güçlendirme .

iThemes Security'nin sunmadığı bir özellik bir güvenlik duvarıdır - geliştiriciler, bir güvenlik duvarı istiyorsanız, bunu Sucuri'nin güvenlik duvarı hizmetiyle eşleştirmenizi önerir.

WordPress.org'da iThemes Security'nin sınırlı bir ücretsiz sürümü olsa da, en iyi koruma için iThemes Security Pro'yu isteyeceksiniz. 80 dolardan başlıyor.

En Büyük WordPress Güvenlik Yatırım Getirisi için Bu Üç Şeye Odaklanın

Hayattaki pek çok şey gibi, WordPress güvenliği de 80/20 Pareto ilkesini takip eder. Yani, birkaç temel WordPress güvenlik taktiğine odaklanmak, güvenli bir siteye sahip olmanın çoğunu size sağlayacaktır.

Bu nedenle, yukarıda paylaştığımız WordPress güvenlik kontrol listesini izlemenin kesinlikle önemli olduğunu düşünsek de, yalnızca üç alana odaklanmak sizi WordPress güvenliğiyle ilgili çoğu sorundan koruyacaktır.

Onları geçelim…

1. Eklentiler

WordPress çekirdek yazılımı güvenli olsa da ( güncel tuttuğunuz sürece ), eklentiler çekirdek ekibin kontrol edemediği değişkenler sunar ve bu da onları kötü niyetli aktörler için en büyük saldırı vektörlerinden biri yapar.

Ancak, eklentiler aynı zamanda WordPress'in önemli bir parçasıdır, bu nedenle bunları kullanmamak gerçekçi bir seçenek değildir.

Risklerinizi büyük ölçüde en aza indirirken eklentilerden yararlanmaya devam etmenin üç yolu:

  • Terk edilmiş eklentilerden kaçının – bir eklenti artık korunmuyorsa, bu, yeni keşfedilen sorunları düzeltecek ve onu WordPress'in daha yeni sürümleriyle uyumlu tutacak kimse olmadığı anlamına gelir.
  • Yalnızca saygın geliştiricilerden satın alın – en iyi WordPress güvenlik uygulamalarını takip eden ve ortaya çıkan tehditlerden haberdar olan HeroThemes gibi güvenilir geliştiricileri kullanın.
  • Düzenli olarak güncelleyin - en iyi geliştiricilerin en iyi eklentileri bile bazen yeni keşfedilen güvenlik açıklarına sahip olabilir. Kaliteli geliştiriciler, siz hemen güncellediğiniz sürece, bu güvenlik açıklarını sorun haline gelmeden önce düzeltir.

2. Kaba Kuvvet Saldırıları

Kaba kuvvet saldırıları, giriş sayfası aracılığıyla sitenize girmeye dayanan yaygın bir saldırı vektörüdür. Sitenizin geri kalanının ne kadar güvenli olduğu önemli değil - kötü niyetli bir oyuncu kullanıcı adınızı ve şifrenizi tahmin edebiliyorsa, ön kapının anahtarlarına sahiptir.

Kendinizi nasıl koruyacağınız aşağıda açıklanmıştır:

  • Güçlü, benzersiz parolalar kullanın – tüm hesaplarınız için güçlü bir parola seçin ve aynı parolayı birden çok yerde yeniden kullanmayın.
  • Oturum açma girişimlerini sınırlayın - başarısız oturum açma girişimlerini sınırlayarak ve/veya bir CAPTCHA ekleyerek insanların oturum açma sayfanızı kaba kuvvetle zorlamasını engelleyin.
  • İki faktörlü kimlik doğrulamayı düşünün – daha da fazla güvenlik için SMS veya ideal olarak bir akıllı telefon uygulaması veya donanım anahtarı aracılığıyla iki faktörlü kimlik doğrulamayı kullanmayı düşünebilirsiniz.
  • Benzersiz kullanıcı adı – kullanıcı adınız olarak “admin” kullanmayın ve kullanıcı adınızı tahmin etmeyi zorlaştırmaya çalışın.
WordPress'te giriş denemelerini sınırlamaya bir örnek

3. Barındırma Hesabı

WordPress siteniz mükemmel bir şekilde kilitlenebilir; ancak kötü niyetli bir oyuncu barındırma hesabınıza erişirse, sitenize hemen hemen her istediğini yapabilirler.

Bunu durdurmak için barındırma hesabınızı ve sunucunuzu da kilitlemeniz önemlidir:

  • Güçlü parolalar kullanın – WordPress hesabınızda olduğu gibi, barındırma ve SFTP hesaplarınız için güçlü, benzersiz parolalar kullanın.
  • İki faktörlü kimlik doğrulamayı etkinleştirin - çoğu barındırma sağlayıcısı iki faktörlü kimlik doğrulamayı destekler - bundan yararlanın.
  • SFTP kullanın – şifrelenmemiş FTP yerine her zaman SFTP üzerinden bağlanın.
  • SFTP parolalarını saklamayın – şifrelenmemiş SFTP parolalarını FTP istemcinizde saklamayın.

WordPress Güvenlik İhlallerini İzleme, Tanımlama ve Düzeltme

Yukarıdaki tüm WordPress güvenlik taktiklerini uygularsanız, umarım asla bir güvenlik ihlaliyle uğraşmak zorunda kalmazsınız.

Bununla birlikte, bir şeyin çatlaklardan kayması her zaman mümkündür , bu nedenle güvenlik sorunlarını tespit etmek ve düzeltmek için bir planınızın olması önemlidir.

Güvenlik Açıklarını İzleme

  • Sitenizi tarayın – kara liste sorunlarını yakalamak ve sunucunuzu bir güvenlik eklentisi ile taramak için Sucuri SiteCheck gibi araçları kullanın.
  • Google Arama Konsolu – güvenlik sorunları bölümündeki uyarılara dikkat edin.
  • Aramada Google site komutunu kullanın – Google'ın kötü amaçlı görünen içeriği dizine eklemiş olup olmadığını görmek için site:siteniz.com'u arayın. Bu, sizin oluşturmadığınız içerik veya tuhaf başlıklar/meta açıklamalar içeren içerik olabilir.
  • Etkinlik günlüğü – şüpheli etkinlikleri yakalamak için sitenizin etkinlik günlüğüne göz atın.
  • Analizleri kontrol edin – trafik analizlerinizde açıklanamayan düşüşler veya zirveler arayın.
  • .htaccess dosyası – .htaccess dosyanızdaki değişikliklere dikkat edin, çünkü burası birçok aktörün kötü niyetli yönlendirmeler yapacağı veya SEO spam'lerini insan ziyaretçilerden gizlemek için kullanıcı aracısı kuralları oluşturacağı yerdir.
Sucuri SiteCheck'teki kara liste denetimine bir örnek

Sorunları Tanımlayın

İzleme çabalarınız bir şeylerin ters gittiğini tespit ettiğinde, sitenizdeki belirli sorunu belirlemenin zamanı geldi, böylece onu düzeltebilir ve sitenizi çalışır duruma getirebilirsiniz. Bunu yapmak için sitenizi taramak ve kötü amaçlı dosyaları ve arka kapıları belirlemek için bir güvenlik eklentisi kullanabilirsiniz.

Sitenizi Düzeltme

Belirli bir sorunu belirledikten sonra, sitenizi düzeltmenin zamanı geldi.

Enfeksiyonun ciddiyetine ve bilgi seviyenize bağlı olarak burada izleyebileceğiniz birkaç farklı yol vardır:

  • Bir güvenlik eklentisi kullanın – birçok güvenlik eklentisi, dosyayı temizleyerek veya sitenizi temiz bir sürüme geri alarak tek tıklamayla düzeltmeler sunar.
  • Bir uzman kiralayın – bunaldığınızı hissederseniz, Sucuri'nin Web Sitesi Güvenliği veya Wordfence Site Temizleme Hizmetleri gibi bir uzman hizmeti için ödeme yapabilirsiniz.
  • Manuel temizleme gerçekleştirin – teknik bilgiye sahipseniz sitenizi manuel olarak temizleyebilirsiniz – MalCare'de manuel temizliğin nasıl yapılacağına dair ayrıntılı bir kılavuz bulunur.

Siteniz Google tarafından kara listeye alınmışsa, sitenizi temizledikten sonra da inceleme talebinde bulunmak isteyeceksiniz. Bunu Google Search Console'daki Güvenlik Sorunları bölümünden yapabilirsiniz.

WordPress Sitenizi Güvende Tutun

WordPress güvenlidir , ancak insanların WordPress'i kullanma biçimleri her zaman güvenli değildir.

WordPress güvenliği için proaktif bir plan oluşturmak için biraz zaman ayırmak, güvenli bir site şeklinde temettü ödeyecek ve gelecekte bir ihlalle uğraşma gereğini ortadan kaldıracaktır.

Bu gönderideki ipuçlarını uygulayabilir ve Wordfence'in kontrol listesi gibi bir WordPress güvenlik kontrol listesini takip edebilirsiniz. Bir yardım eli istiyorsanız, bir geliştiriciden yardım alabilir veya bir WordPress bakım hizmeti kiralayabilirsiniz.

WordPress güvenliği de yalnız olduğunuz bir şey değildir. Sitenizde, daha güvenli siteler oluşturmanıza yardımcı olan tüm WordPress topluluğuna sahipsiniz.

Burada HeroThemes'te, WordPress sitenizi güvende tutarken genişletmenize izin veren güvenli, güvenilir eklentiler ve temalar oluşturmaya odaklanıyoruz. Aynı şeyi yapan başka geliştiriciler de var.

Bunun gibi uzantılara bağlı kalırsanız ve diğer en iyi güvenlik uygulamalarını takip ederseniz, güvenli bir WordPress sitesinin avantajlarından yararlanabilirsiniz.