1. Ana Sayfa
  2. Web Güvenlik
  3. WordPress Güvenlik Önlemleri – WordPress Sitenizi Korumanın Yolları
Trendlerdeki Yazı

WordPress Güvenlik Önlemleri – WordPress Sitenizi Korumanın Yolları

WordPress güvenlik önlemleri hakkında ne kadar bilgiliyiz. WordPress sitemizin saldırıya uğramaması için neler yapabiliriz biliyormuyuz.

WordPress Güvenlik Önlemleri – WordPress Sitenizi Korumanın Yolları

Dünyada her gün yaklaşık 37.000 site saldırıya uğramaktadır. Bu sitelerden en az dörtte birinin WordPress siteleri olma ihtimali çok yüksek. Çünkü tüm sitelerin dörtte birini WordPress ile kurulan siteler oluşturmaktadır. WordPress güvenlik önlemleri almanız konusunda, pek çok alternatif bulabileceğiniz bir platform. Bu yazıda WordPress güvenlik önlemleri hakkında, kesin olarak sitenizi korumaya yarayacak bilgiler bulunmaktadır.

WordPress güvenlik önlemleri – Tema ve eklentileri düzenlemeyi devre dışı bırakma

WordPress yönetim panelin’den, tema ve eklentileri kolayca düzenlemeniz mümkün. Ancak bu kolaylı sitenizin sonu olabilir. Onca emeğiniz bir anda heba olabilir. Çünkü yönetim paneline bir şekilde girmeyi başaran birisi, eklenti ve temaları kendi çıkarına göre düzenleyebilir.Emin olun sitenizin yönetim paneline girmeyi başaran bir hacker için, tema ve eklentileri kullanarak, kendisi için onlarca kapı açması çok zor olmaz. Hatta sitenizi tamamen bile kaybedebilirsiniz.Bu nedenle tema ve eklentilerin, yönetim panelinden düzenlenmesini etkisiz hale getirmek, güvenlik açısından çok önemli bir adımdır.

define( 'DISALLOW_FILE_EDIT', true );

Confing.PHP dosyasına üstteki kodu eklediğinizde, FTP dışında tema eklentilerin düzenlenmesi imkansız hale gelecektir. Yani Hacker’lar için bir kapıyı kapatmış olacağız.

İki faktörlü kimlik doğrulaması

WordPress güvenlik önlemleri içerisinde yapılması gerekenlerden biride, iki faktörlü kimlik doğrulaması’dır.Sitenizde iki faktörlü kimlik doğrulaması yerleşik değilse, bu işelm için eklenti kullanmalısınız. Kullanabileceğiniz bazı eklentilere alttaki linklerden ulaşabilirsiniz.

Bu eklentilerden biri mutlaka işinizi görecektir.

Giriş deneme sayılarını sınırlayın

En çok bilinen hack yöntemi, çok fazla sayııda giriş denemesi yaparak doğru giriş bilgilerini bulmaya çalışmaktır. WordPress varsayılan olarak bu girişimler için savunmasızdır. Bu savunma için eklenti kullanmalı yada yerleşik bir kod dizini kullanmalısınız.

Lock Down kullanabileceğiniz eklentilerden bir tanesi. Bu eklenti sizin belirlediğiniz sayıdaki başarısız giriş denemesi tespit ettiğinde, o ip için tüm girişleri kapatmaktadır.

Düzenli olarak siteyi taramak

Sitemizde kullandığımız tüm dosyaları, düzenli olarak taramalıyız. Kullandığımız bir tema yada eklenti için, sonraki güncellemelerin de sitenize zarar verecek kodlar eklenmiş olarak gelmeyeceğini kim garanti edebilir. Bunu dosyayı satın aldığımız kişiler yapar demiyorum. Ancak onları hack’lemiş olamazlar’mı!.

WordPress güvenlik önlemleri alabilmemiz için, bize çok fazla seçenek sunakta.  Wordfence en iyi örneklerden biridir. Bu eklenti sitenizi tarar ve bir sorunla karşılaşırsa size bildirir. Aynı zamanda saldırıları, zararlı yazılımları engeller. Daha pek çok işlevi olan önemli bir eklentidir.

Diğer kullanabileceğimiz eklentiler için bir kaç öneri daha sunalım.

Hosting değiştirmek

Çoğu kez sitelerin tehdit altında olmasına  sebep, yeterli güvenlik sunmayan hosting firmalarıdır. Bu nedenle  hosting seçimi çok önemlidir. Hosting firmanıza güvenmiyorsanız, değiştirmelisiniz.

WordPress sürüm numarasını gizleme

Varsayılan olarak WordPress bir sürüm numarasına sahiptir. Bu sayede tüm dünyadaki WordPress sitelerini takip etmek mümkündür. Ancak Hacker’lar için bu sizi kolay av haline getirebilir.

Mevcut WordPress sürümü için bilinen bir güvenlik açığı ile, sürüm numaranız kullanılarak sitenize kolayca erişilebilir. Bu nedenle WordPress güvenlik önlemleri içinde, sürüm numarasını gizlemek, sitenizi tehlikelerden korumaya yardımcı olabilir.

add_filter( 'the_generator', '__return_null' );

Fonctions.php dosyasınına üstteki kodu eklediğimizde, WordPress sürüm numaramız gizlenecektir.

Daha kapsamlı bir gizleme için alttaki kodu kullanın.

/* Hide WP version strings from scripts and styles
 * @return {string} $src
 * @filter script_loader_src
 * @filter style_loader_src
 */
function fjarrett_remove_wp_version_strings( $src ) {
 global $wp_version;
 parse_str(parse_url($src, PHP_URL_QUERY), $query);
 if ( !empty($query['ver']) && $query['ver'] === $wp_version ) {
 $src = remove_query_arg('ver', $src);
 }
 return $src;
}
add_filter( 'script_loader_src', 'fjarrett_remove_wp_version_strings' );
add_filter( 'style_loader_src', 'fjarrett_remove_wp_version_strings' );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() {
return '';
}
add_filter('the_generator', 'wpmudev_remove_version');

Meta etiketi, komut dizeleri ve RSS beslemeleri için WordPress sürümünüz gizlenecektir.

PHP hata raporlarını gizleme

Bir eklenti yada Tema nın çalışmasında bir sorun olduğunda, PHP hatası vermektedir. Bu hatayı düzeltmek için iyi bir şey gibi görünse’de, tam olarak dosya yolunu veriyor olması başınızı derde sokabilir.

Sitenizi çökertmek yada ele geçirmek isteyen birinin arayıp da bulamadığı bir fırsat olabilir PHP hatası. Bunu bizzat bir arkadaşım vasıtasıyla tecrübe ettim. php hatası veren bir sitemi, gözümün önünde ele geçirmesini hayretle izledim. Tabii arkadaşım bu işleri yapmıyor ama üst düzey bir yazılımcı kendisi ve sadece bana bunun olabileceğini göstermek için yaptı.

error_reporting(0);
@ini_set(‘display_errors', 0);

wp-confing.php dosyasına üstteki kodları eklediğinizde, PHP hatalarını gizlemiş olursunuz.

Sitenizi düzenli olarak yedekleyin

Alınan her türlü önleme rağmen, bir sitenize yapılan bir saldırının başarılı olduğunu’da düşünmek gerek. Bunun için en etkili savunma, kesinlikle  site yedeğini almak olacaktır.Site yedeğini aldığınızda, başınıza her ne gelirse gelsin, anında geri yükleyip hiç kayıp yaşamadan yolunuza devam edebilirsiniz.

En iyi WordPress site yedekleme eklentilerinden bazılarını önerelim.

Giriş yapmayı engelleme

Sizin dışınızda kimsenin giriş sayfasına erişimini engelleye bilirsiniz.

Yalnızca sizin İP adresinizi, yada giriş izni verdiğiniz adresleri tanımlayarak, giriş sayfasına erişimi engelleye bilirsiniz.

Ancak bunu yaparken değişmez bir IP adresi kullanmayı unutmayın. Tabi kendi sitenize kendi girişinizi engellemek istemiyorsanız..

Giriş sayfasına erişimi kısıtlamak için, htaccess dosyasına alttaki kodları eklememiz gerek.

< IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ Buraya IP addresi 1$
RewriteCond %{REMOTE_ADDR} !^ Buraya IP addresi 2$
RewriteCond %{REMOTE_ADDR} !^ Buraya IP addresi 3$
RewriteCond %{REMOTE_ADDR} !^ Buraya IP addresi 4$
RewriteCond %{REMOTE_ADDR} !^ Buraya IP addresi 5$
RewriteRule ^(.*)$ - [R=403,L]
< /IfModule >

IP adreslerini her bir satıra ayrı ayrı girmelisiniz. Daha sonradan erişimini engellemek istediğiniz bir ip adresi olursa, o satırı silmeniz yeterlidir.

Kullanılmayan eklenti ve temaları kaldırın

Kullanmadığınız tema ve eklentiler, site hızınızın düşmesine vede olası güvenlik sorunlarına neden olacaktır.Kullanmadığınız tema ve eklentilerin, hala destek sağlanıyor olma ihtimali varsa da, kullanmadığınız için muhtemelen güncel olmayacaktır. Buda açıkların tespit edilmesini kolaylaştırır.Pek çok güncellemeden sonra hangi açıkların kapatıldığı belirtilir. Sizin eski sürümünü kullanıyor olmanız, zaten kimsenin açık aramasına gerek bırakmaz.Kullanılmayan tema ve eklentiler kesinlikle kaldırılmalıdır.

Güçlü şifre ve kullanıcı adı kullanımı

Giriş denemelerinin başarısız olması için, güçlü şifreler ve kullanıcı adı kullanmalısınız.Kolay tahmin edilebilecek kullanıcı adları ve şifreler, sitenizin güvenliği için büyük sıkıntıdır. Özellikle kullanıcı adı olarak admin, şifre olarak doğum tarihi vs gibi basit kullanımlardan uzak durmalıyız.Güçlü şifreler oluşturmak için, Strong Pasword Generator yada Rasswords Generator gibi online araçları kullanabilirsiniz.

Ayrıca daha güçlü şifreler için kullanabileceğimiz WordPress eklentileri vardır.

Force Strong Password eklentisi, kullanıcıların şifre belirlerken, zor tahmin edilecek güçlü şifreler belirlemesini sağlar. Yani özetle onları güçlü şifreler belirlemeye zorlar.

Veri güvenliği için SSL kullanın

SSL kullanımı, WordPress güvenlik önlemleri içinde önemli bir adımdır. Secure Sockets Layer (SSL) sitenize gelen ve sitenizden giden tüm verileri şifreler.Ziyaretçilerin sitede paylaştığı özel veriler, bu şekilde güvende ve gizli kalmış olur.

SSL kullanımı sayesinde, kullanıcıların sitenizde paylaştığı kredi kartı bilgileri, şifreler vb gibi hassas bilgileri korumak için bir güvenlik tüneli oluşturur. Bilgisayar korsanlarının bu bilgilere erişimini engeller.

Bir site SSL kullanıyorsa, site adresi https ile başlar. Ancak geçerli bir SSL belgesine sahip değilse, site adresinin başında Güvenli ibaresi bulunmaz.

Hatta 2017 Ocak sonu itibarıyla Google SSL güvenliği konusunda yeni bir adım atarak, belli kriterlere uymayan siteler için Güvenli olmayan site uyarısını biraz daha agresif biçimde gösterme kararı almıştır.

Giriş sayfasını yeniden adlandırın

WordPress güvenlik önlemleri içerisinde atabileceğimiz bir diğer adım, giriş sayfasını değiştirmek olacaktır.Bu adım giriş sayfanızı gizler ve saldırılara karşı korur. Varsayılan olarak giriş sayfası için URL adresi, siteadı.com/wp-login.php dir.Sitenize giriş denemesi yapmak isteyen biri bu adresi girince 404 hatası alacaktır. Çünkü siz giriş sayfasını değiştirmiş olacaksınız. Muhtemelen hemen siteyi terk edecektir.

Bunu yapmak için kullanabileceğiniz eklentiler vardır. Rename WP LoginMove Login yada İThemes Security eklentilerinden birini kullanmanız mümkün.

WP-Config dosyasını güvenli hale getirin

Wp-config dosyası, veritabanı bağlantı bilgileri gibi web sitenizin temel yapılandırma detaylarını içerir.Wp-config.php dosyanızı saldırıdan korumak için, sörf yapan herhangi bir kişiye erişimi reddetmek için .htaccess dosyanıza şu kodu ekleyin.

<files wp-config.php>
order allow,deny
deny from all
</files>

SONUÇ:

Bu yazıda WordPress güvenlik önlemleri için neler yapabileceğimizi işledik. Unutmayın siteniz büyüdükçe ve popülerleştikçe, sizde artık birilerinin hedefi haline gelebilirsiniz. Bu yüzden site güvenliğine önem vermelisiniz.

Burada yazılanların dışında, sizin önerebileceğiniz WordPress güvenlik önlemleri varsa, yorumlarda bunu paylaşmanızdan mutluluk duyarız.

Sitenizin Hacklenmesi durumunda, sizi oldukça zor ve pahalı bir süreç bekler. Bu duruma düşmemek için site güvenliğine önem vermeliyiz. Hem huzurumuz, hem paramız cebimizde kalsın. Siteleriniz daima güvende olsun.

Yorum Yap

Yazar Hakkında

Samet KARACAN

Owner # wordpress, web güvenlik, sistem yönetimine dair ~

Yorum Yap