WordPress Web Sitenizi Hackerlardan Nasıl Koruyabilirsiniz?

Kuruluşunuzun doğru yapması gereken en önemli yönlerden biri web güvenliğidir. Web siteniz sizin kalenizse, bilgisayar korsanları, içinde saklı hazineye erişmek için sitenizin savunmasını kırmaya çalışan günümüzün istilacı ordularıdır. Onları uzak tutmak size kalmış çünkü yapmazsanız çok zarar verirler.

WordPress, pazar payının %60'ından fazlasına sahip popüler bir CMS platformudur. Uzmanlara göre, WordPress web sitesi oluşturucu kullanılarak her gün 500'den fazla web sitesi oluşturuluyor. Web geliştirme platformunuz olarak WordPress kullanıyorsanız, güvenliği dikkate almak önemlidir.

Ancak bilgisayar korsanları sitenize nasıl girebilir ve onları nasıl dışarıda tutabilirsiniz? WordPress web sitesi güvenliği hakkında daha fazla bilgi edinmek için aşağıdaki bölümlere bakın:

Bilgisayar korsanları neden web sitenizin güvenliğini hedefler?

Web sitenizi bilgisayar korsanlığı saldırılarından korumak, herhangi bir işletme için bir önceliktir ve hatta bir çevrimiçi mağaza işletenler için daha da önemlidir. “Nasıl”a bakmadan önce web sitesi güvenliğinin “nedenine” bakmalıyız. Bilgisayar korsanlarını web sitenizi hedeflemeye iten nedir? Cevabı bilmek, sitenizin hangi bölümlerinin en fazla korumaya ihtiyaç duyduğunu belirlemenize yardımcı olabilir.

Aşağıda, web sitesi güvenlik tehditlerinin en yaygın nedenlerinin bir listesi bulunmaktadır:

1. Hassas bilgileri elde etmek için

Gizli bilgilere erişmek için Bilgisayar korsanları çeşitli nedenlerle web sitenize girmeye çalışır. Birincisi - ve kesinlikle en yaygın olanı - hassas bilgiler elde etmektir. Bu bilgiler sıklıkla işinizle bağlantılıdır – şirket evrakları, satış kayıtları ve bilgisayar korsanlarının gelecekte firmanıza zarar vermek için kullanabileceği diğer fikri mülkiyet.

Bilgisayar korsanları, kullanıcı bilgileri için de olabilir. Sitenizde müşterileriniz veya müşterilerinizle ilgili verileri, özellikle finansal bilgileri depolarsanız, bilgisayar korsanları bunu sizden alışveriş yapanlardan para çalmak için kullanabilir.

2. Kötü amaçlı yazılım barındırmak için

Bilgisayar korsanlarının sitenizi hedef almasının bir başka nedeni de onu virüs dağıtım noktası olarak kullanmaktır. Bilgisayar korsanları web sitenize erişim elde ettiğinde, virüs yükleyebilir ve bu virüsleri İnternet üzerinden yaymak için bir başlatma paneli olarak kullanabilirler.

Bu eylem, sitenizdeki kötü amaçlı yazılımları görecek ve sizi arama sıralamalarından kaldıracak ve virüsleri yok etmeyi zorlaştıracak olan Google ile olan itibarınızı zedeleyecektir. Arama motoru optimizasyonu (SEO) konusundaki tüm çabalarınız boşa gidecek.

3. Eğlenmek için

Son olarak, birçok bilgisayar korsanı, sırf heyecanı için web sitelerine girer. Web sitenizin kontrolünü ele geçirmenin getirdiği memnuniyeti elde etmek için güvenlik duvarlarını kırmanın ve tüm korumalarınızı ihlal etmenin keyfini çıkarırlar.

Diğerleri, dolandırıcılıklarıyla kendilerine bir isim yapmayı umarak bir adım daha ileri götürür. Bir bilgisayar korsanı yakalandığında, istismarlarıyla övünmek için genellikle sosyal medyaya girerler. Ne yazık ki, yakalansalar bile sitenize zaten zarar verilmiş demektir.

Bazı yaygın web sitesi güvenlik tehditleri nelerdir?

Bilgisayar korsanlarının sitenize neden saldırdığını ve neden bu kadar tehlikeli olabileceğini tartıştığımıza göre, şimdi bilgisayar korsanlarının güvenliğinizi aşmaya çalıştığı bazı yaygın yöntemlere bir göz atalım. Göz önünde bulundurulması gereken üç ana web sitesi güvenlik tehlikesi türü!

1. Virüsler ve kötü amaçlı yazılımlar

Kötü amaçlı yazılımın bilgisayar korsanları tarafından web siteniz üzerinden nasıl yayılabileceğini zaten tartışmıştık. Ancak kötü amaçlı yazılım, bilgisayar korsanlarının web sitenize erişmesinin başka bir yoludur.

Sıklıkla bir bağlantıya tıklamak kadar basit bir şeyle başlar. Bilgisayar korsanları, en yaygın olarak e-postalar aracılığıyla önünüze bağlantılar almanın bir yolunu bulacaktır. Linklere tıkladığınızda kendi bilgisayarınızdan sitenize hızlı bir şekilde girecek bir virüs salınacaktır.

Bu noktada tüm siteniz çökecek ve sizi bilgisayar korsanlarının denediği her şeye karşı duyarlı ve savunmasız bırakacak - bunun sonucunda satışlarınızın zarar göreceğini söylemeye gerek yok!

2. Spam Bağlantılar

Bilgisayar korsanları, sizi buna ikna etmeye çalışmanın yanı sıra, genellikle site ziyaretçilerinizi kötü amaçlı bağlantılara tıklamaya ikna etmeye çalışabilir. Web sitenize yorum bırakmak, bunu yapacakları en popüler yöntemlerden biridir.

Yorum yapabilecekleri bir blogunuz varsa, okuyucularınızın söylediklerine bir göz atın. Bilgisayar korsanları, yanlışlıkla kötü amaçlı yazılımları tüketicilerin bilgisayarlarına indiren bağlantıları dağıtmak için kanalı sıklıkla kullanır.

Google, web sitenizden kaynaklanan bu bağlantıları fark ettiğinde, arama sonuçlarında sizi hızla cezalandıracaktır, bu nedenle sitenizde bu tür yorumlardan kaçınmaya çalışmalısınız.

3. DDOS Saldırıları

Dağıtılmış hizmet reddi (DDoS) saldırıları, üçüncü en yaygın web sitesi güvenlik sorunu türüdür ve son yıllarda popülerlik kazanmıştır. Bilgisayar korsanları tüm sitenizi sahte trafikle doldurarak çökerttiğinde, buna DDoS saldırısı denir.

Bilgisayar korsanları, sahte IP adreslerinden oluşan devasa ordular oluşturur ve hepsine aynı anda sitenize erişmelerini emreder. Bu kadar çok ziyaretçiyi yönetemediği için web siteniz çökecek. Bu, diğer kişilerin siteyi ziyaret etmesini engelleyecek ve bu da sıralamalarınızı ve dönüşümlerinizi etkileyecektir.

Web Sitesi Güvenliği Neden Önemlidir?

Saldırıya uğramış bir WordPress sitesi, şirketinizin gelirine ve itibarına önemli ölçüde zarar verebilir. Bilgisayar korsanları, kullanıcı bilgilerini ve parolaları çalabilir, zararlı yazılımlar yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım bulaştırabilir. En kötü durum senaryosu, web sitenize erişimi kurtarmak için bilgisayar korsanlarına fidye yazılımı ödemek zorunda kalabilirsiniz.

Google'a göre, 50 milyondan fazla web sitesi kullanıcısı, ziyaret ettikleri bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıldı. Ayrıca, Google her hafta yaklaşık 20.000 web sitesini kötü amaçlı yazılımlar için ve yaklaşık 50.000 web sitesini kimlik avı için kara listeye alır.

Bir işletme web sitesi işletiyorsanız, WordPress güvenliğine özellikle dikkat etmek isteyeceksiniz. Binasını güvence altına almak gerçek bir mağaza sahibinin yükümlülüğü olduğu gibi, web sitesini savunmak da bir çevrimiçi işletme sahibinin sorumluluğundadır.

WordPress Web Sitenizi Hackerlardan Nasıl Koruyabilirsiniz?

WordPress web sitenizi bilgisayar korsanlarından nasıl koruyacağınızla ilgili bazı ipuçları. Parolalarınızı değiştirerek, gönderilerde veya yorumlarda herhangi bir kişisel bilgi bırakmadığınızdan emin olarak, yüksek kaliteli bir güvenlik duvarı ve virüsten koruma yazılımı yükleyerek ve yıllar içinde WordPress'te yerleşik olarak bulunan birçok güvenlik önleminden yararlanarak başlayabilirsiniz. . WordPress sitenizin güvenliğini sağlamak için şu adımları izleyelim:

1. WordPress'i Güncel Tutmak

WordPress, düzenli olarak güncellenen ve bakımı yapılan açık kaynaklı bir programdır. Bu nedenle, WordPress sitelerinizi güncel tutmak, onları güvende tutmak için önemlidir. WordPress, varsayılan olarak küçük güncellemeleri otomatik olarak yükler. Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir. WordPress ayrıca “Güncellemeler” bölümü altında bu güncellemeleri bize hatırlatır.

WordPress ayrıca sitenizi özelleştirmek için kullanabileceğiniz binlerce eklenti ve temadan oluşan bir kitaplıkla birlikte gelir. Üçüncü taraf geliştiriciler, bu eklentileri ve temaları korur ve düzenli olarak güncellemeler yayınlar.

Bu WordPress yükseltmeleri, WordPress sitenizin güvenliği ve kararlılığı için kritik öneme sahiptir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olup olmadığını kontrol edin.

2. Güçlü Parolalar ve Kullanıcı İzinleri

Çalınan şifreler, WordPress hackleme girişimlerinin çoğunda kullanılır. Bunu daha da zorlaştırmak için web sitenize özgü daha sert şifreler kullanın. Yalnızca WordPress yönetici alanı için değil, aynı zamanda web sitenizin alan adını kullanan FTP hesapları, veritabanları, WordPress barındırma hesapları ve özel e-posta adresleri için.

Güçlü parolaları hatırlamak zor olduğundan, birçok yeni başlayanlar onlardan kaçınır. İyi haber şu ki artık şifreleri ezberlemeniz gerekmiyor. Parolalarınızı takip etmek için bir parola yöneticisi kullanabilirsiniz.

Tehlikeyi azaltmak için başka bir strateji, WordPress yönetici hesabınızı yalnızca kesinlikle ihtiyacınız olan kişilere sağlamaktır. Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress'teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun.

3. WordPress Barındırma Rolü

WordPress barındırma hizmetiniz, WordPress sitenizin güvenliğinin en kritik yönüdür. Yetkili bir paylaşımlı barındırma şirketi, sunucularını sık karşılaşılan tehditlerden korumak için yukarıda ve öteye gidecektir.

İşte yetkin bir web barındırma işinin web sitelerinizi ve verilerinizi arka planda nasıl koruduğu.

• Herhangi bir şüpheli davranış için ağlarına göz kulak olurlar.
• Büyük ölçekli DDOS saldırılarını önlemek için tüm iyi barındırma firmalarının araçları vardır.
• Bilgisayar korsanlarının eski bir sürümde bilinen bir güvenlik açığından yararlanmasını önlemek için
• sunucu yazılımlarını, PHP sürümlerini ve donanımlarını güncel tutarlar.

4. Bir WordPress Yedekleme Çözümü Kurun

Yedeklemeler, bir WordPress saldırısı durumunda ilk savunma hattınızdır. Hiçbir şeyin güvenli olmadığını unutmayın. Devlet web siteleri saldırıya uğrayabilirse, sizinkinin de saldırıya uğradığından emin olabilirsiniz.

Yedeklemeler, bir şeyler ters giderse WordPress sitenizi hızla kurtarmanıza olanak tanır. Çeşitli ücretsiz ve ücretli WordPress yedekleme eklentilerini kullanabilirsiniz. Yedeklemeler hakkında hatırlanması gereken en önemli şey, tam site yedeklemelerinin düzenli olarak uzak bir yere (hosting hesabınıza değil) kaydedilmesi gerektiğidir.

Amazon, Dropbox veya Google Drive gibi bir bulut sağlayıcısında saklamanızı öneririz. Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, günde bir kez yedeklemeler veya gerçek zamanlı yedeklemeler en iyi seçenek olabilir.

WordPress web sitesi yedeklemeniz aşağıdakilerden oluşur:

• WordPress Çekirdek kurulumu
• WordPress eklentileri
• WordPress temaları
• Resimler ve dosyalar
• JavaScript, PHP ve diğer kod dosyaları
• Ek dosyalar ve statik web sayfaları

5. En İyi WordPress Güvenlik Eklentisi

Yedeklemelerin ardından bir sonraki adım, web sitenizde meydana gelen her şeyi kaydeden bir denetleme ve izleme sistemi oluşturmaktır.

Dosya bütünlüğü izleme, başarısız oturum açma girişimleri, virüs algılama ve benzeri, bir güvenlik eklentisinin öğeleridir. Eklentiler veya ekstralar değil, her WordPress web sitesinin hayati bileşenleridir.

Güvenlik eklentilerinin tek amacı web sitenizi güvenli hale getirmektir. Bunu, bilgisayar korsanlarını savuşturarak, saldırıları önleyerek, güvenlik açıklarını tespit ederek ve bir sorun haline gelmeden önce bunları hafifleterek yapar. Sitenizin güvenliğini sağlamak için seçebileceğiniz birçok güvenlik eklentisi vardır.

WordPress güvenlik eklentilerinin neler sunabileceğini görün:

• Aktif güvenlik izleme
• Kara liste izleme
• Kaba kuvvet saldırı koruması
• Dosya tarama
• güvenlik duvarları
• Kötü amaçlı yazılım taraması
• Bir güvenlik tehdidi algılandığında bildirimler
• Saldırı sonrası eylemler
• Güvenlik güçlendirme

Ve daha fazlası…

6. Web Uygulaması Güvenlik Duvarını (WAF) Etkinleştirin

WordPress için bir güvenlik duvarı eklentisi (web uygulaması güvenlik duvarı veya WAF olarak da bilinir), web siteniz ile gelen tüm trafik arasında bir bariyer görevi görür. Bu web uygulaması güvenlik duvarları, web sitenizin trafiğini takip eder ve birçok tipik güvenlik tehlikesinin WordPress sitenize ulaşmasını engeller.

Bu web uygulaması güvenlik duvarları, WordPress güvenliğini önemli ölçüde artırmanın yanı sıra genellikle web sitenizin performansını hızlandırır ve iyileştirir.

WordPress güvenlik duvarı eklentileri iki kategoriye ayrılır.

DNS Düzeyinde Web Sitesi Güvenlik Duvarları - Bu güvenlik duvarları, web sitesi trafiğinizi bulut proxy sunucuları aracılığıyla filtreler. Sonuç olarak, web sunucunuza yalnızca meşru trafik sağlayabilirler.

Uygulama Düzeyi Güvenlik Duvarı — Bu güvenlik duvarı eklentileri, trafiği sunucunuza ulaştığında, ancak çoğu WordPress komut dosyası yüklenmeden önce denetler. Sunucu yükünün en aza indirilmesi açısından bu çözüm, DNS düzeyinde bir güvenlik duvarı kadar etkili değildir.

Yasal web sitesi trafiğini ve kötü amaçlı sorguları ayırt etmede çok iyi oldukları için DNS düzeyinde bir güvenlik duvarı kullanmanızı öneririz.

Bunu, binlerce web sitesini izleyerek, eğilimleri karşılaştırarak, botnet'leri ve bilinen kötü niyetli IP adreslerini arayarak ve ziyaretçilerinizin asla aramayacağı URL'lere olan bağlantıları sınırlayarak gerçekleştirirler.

Ek olarak, DNS düzeyinde web sitesi güvenlik duvarları, WordPress barındırma sunucunuzdaki yükü azaltarak web sitenizin çökmemesini sağlar.

İşte WordPress Güvenlik Duvarı Eklentilerinin en iyi birkaç ismi:

• sucuri
• MaxCDN (Yığın Yolu)
• bulut parlaması
• Wordfence Güvenliği
• Jet paketi
• Kurşun Geçirmez Güvenlik
• Hepsi Bir Arada WP Güvenliği
• Barbekü Güvenlik Duvarı
• Ninja Güvenlik Duvarı
• astra
• Kötü Bakım
• Savunmacı Güvenlik
• WP Cerber

7. WordPress Sitenizi SSL/HTTPS'ye Taşıyın

SSL (Güvenli Yuva Katmanı), web siteniz ve kullanıcının tarayıcısı arasındaki veri iletimini şifreleyen bir veri şifreleme tekniğidir. Birinin bu şifrelemeyi kullanarak araştırma yapması ve bilgi çalması daha zordur. SSL'yi etkinleştirdiğinizde web siteniz HTTP yerine HTTPS kullanacak ve tarayıcıda web sitesi adresinizin yanında bir asma kilit simgesi görünecektir.

Sertifika yetkilileri, geleneksel olarak, sitenizin güvenlik gereksinimlerinin düzeyine bağlı olarak, fiyatları 5 ABD Doları ile 1000 ABD Doları arasında değişen SSL sertifikaları sağlardı. Çoğu web sitesi sahibi, ek maliyet nedeniyle güvenli olmayan protokolü kullanmaya devam etmeyi seçti. Bunu çözmek için, kar amacı gütmeyen bir grup olan Let's Encrypt, web sitesi sahiplerine ücretsiz SSL sertifikaları sağlamaya karar verdi. Google Chrome, Facebook, Mozilla ve bir dizi başka şirket çabalarını destekledi.

Tüm WordPress web siteleriniz için SSL kullanmaya başlamak artık hiç olmadığı kadar kolay. WordPress web siteniz için ücretsiz bir SSL sertifikası artık birkaç barındırma şirketinden edinilebilir.

8. Varsayılan "yönetici" kullanıcı adını değiştirin

WordPress'i kurduğunuzda, varsayılan yönetici kullanıcı adı "admin" olacaktır. Yönetici kullanıcı adınız olarak "admin"i kullanmaya devam ederseniz, bir bilgisayar korsanının sitenize erişmesi kolaydır. Bilgisayar korsanları, parolaları denemek ve almak için varsayılan kullanıcı adının "admin" olduğu hesaplara kaba kuvvet saldırıları gerçekleştirir. Bir bilgisayar korsanı varsayılan WordPress yönetici kullanıcı adıyla bir hesaba giriş yaptığında, web siteniz üzerinde tam izne sahip olacaktır.

Varsayılan WordPress yönetici girişi, eskiden “yönetici” idi. Kullanıcı adları tüm oturum açma kimlik bilgilerinin %50'sini oluşturduğundan, kaba kuvvet saldırıları daha kolay hale getirildi.

Neyse ki, WordPress daha sonra bunu düzeltti ve şimdi yazılımı yüklerken benzersiz bir kullanıcı adı vermenizi istiyor.

Ancak, bazı tek tıklamalı WordPress yükleyicileri, varsayılan yönetici kullanıcı adı olarak “admin”i kullanmaya devam eder. Bunu keşfederseniz, web barındırma sağlayıcınızı değiştirmeniz muhtemelen iyi bir fikirdir.

WordPress varsayılan olarak kullanıcı adınızı değiştirmenize izin vermediğinden, üç teknikten birini kullanmanız gerekir.

• Eski yönetici kullanıcı adını kaldırın ve yeni bir tane oluşturun.
• phpMyAdmin'den kullanıcı adını güncelle
• Kullanıcı Adı Değiştirici eklentisini kullanın

9. Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, tema ve eklenti dosyalarını doğrudan WordPress yönetici alanından düzenlemenize izin veren bir kod düzenleyici içerir. Bu işlevsellik, yanlış ellerde bir güvenlik sorunu olabilir, bu yüzden onu kapatmanızı öneririz.

Yönetici kullanıcılar, "dosya düzenleme"yi etkinleştirmişlerse çekirdek dosyalara erişebilirler. Bu bir güvenlik riskidir çünkü herhangi biri içeri girebilir ve verileriniz üzerinde tam kontrole sahip olabilir.

Güvenlik ihlali riskini azaltmak için sitenizin koduna erişimi devre dışı bırakın ve yalnızca dosyaları düzenlemeniz gerektiğinde açın. WordPress admin'de dosya düzenlemeyi devre dışı bırakmak için şu kolay adımları izleyin:

1. One.com kontrol panelinde oturum açın.

2. Dosyalar ve Güvenlik altında Dosya Yöneticisi'ni açın.

3. wp-config.php dosyasını bulun ve seçmek için kutuyu işaretleyin.

4. Ekranınızın üst kısmındaki menü çubuğunda Düzenle'ye tıklayın.

5. wp-config'i define('DISALLOW_FILE_EDIT' için arayın, genellikle en altta bulunur.

6. Onu bulduysanız, "doğru" olarak ayarlanıp ayarlanmadığını kontrol edin (aşağıya bakın). Orada değilse, dosyanın altına şunun gibi eklemeniz gerekir:

define('DISALLOW_FILE_EDIT', true);

7. Ekranınızın üst kısmındaki Kaydet'e tıklayın.

İpucu: Dosya düzenlemeye geçici olarak izin vermek istiyorsanız, "doğru"yu "yanlış" ile değiştirebilirsiniz. Düzenlemeyi bitirdiğinizde tekrar değiştirin.

10. Giriş Denemelerini Sınırlayın

WordPress, kullanıcıların varsayılan olarak istedikleri kadar oturum açmaya çalışmasına izin verir. WordPress siteniz artık kaba kuvvet saldırılarına maruz kalıyor. Bilgisayar korsanları, çeşitli kombinasyonlarla giriş yaparak şifreleri kırmaya çalışır.

Bu, bir kullanıcının başarısız oturum açma girişimi sayısını kısıtlayarak kolayca giderilebilir. Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.

Ancak, bir güvenlik duvarınız yoksa, bir tane kurmanız gerekir.

WordPress'te oturum açma girişimlerini iki şekilde sınırlayabilirsiniz:

1). Bir eklenti kullanarak giriş denemelerini sınırlayın

2). Eklenti olmadan giriş denemelerini sınırlayın

11. İki Faktör Yetkilendirmesi

Kullanıcılar, iki faktörlü kimlik doğrulama metodolojisini kullanırken iki adımlı bir kimlik doğrulama prosedürü kullanarak oturum açmalıdır. İlk adım, kullanıcı adınızı ve şifrenizi girmek, ikincisi ise farklı bir cihaz veya uygulama kullanarak kimlik doğrulaması yapmaktır.

Google, Facebook ve Twitter gibi en popüler web sitelerindeki hesaplarınız için etkinleştirebilirsiniz. Aynı yetenek WordPress sitenize eklenebilir.

İki faktörlü kimlik doğrulama (2FA) gereksinimi, son siber saldırılarla arttı. WordPress'te iki faktörlü kimlik doğrulamayı etkinleştirerek web sitenizi veya blogunuzu bilgisayar korsanlarından ve yetkisiz erişimden koruyabilirsiniz. 2 farklı yöntemi izleyerek WordPress'te iki faktörlü kimlik doğrulamayı (2FA) etkinleştirebilirsiniz:

Yöntem 1. WordPress'e İki Faktörlü Kimlik Doğrulama Ekleme

Bu, tüm kullanıcılar için gerçekten kolay olan önerilen bir yöntemdir. İki faktörlü kimlik doğrulama ayarlayarak hesabınızı daha güvenli hale getirmenizi sağlar.

İlk olarak, WP 2FA – İki Faktörlü Kimlik Doğrulama eklentisini kurmanız ve etkinleştirmeniz gerekecek.

Etkinleştirmeden sonra, işlemi tamamlamak için Kullanıcılar » Profiliniz sayfasını ziyaret etmeniz ve 'WP 2FA Ayarları bölümüne kaydırmanız gerekir.

Yöntem 2. İki Faktör Kullanarak İki Faktörlü Kimlik Doğrulaması Ekleme

Bu yöntemle WordPress'te 2FA'yı etkinleştirmek için Two Factor eklentisini kurmanız ve etkinleştirmeniz gerekir.

Eklentiyi etkinleştirdikten sonra, Kullanıcılar » Profil sayfasını ziyaret etmeniz ve İki Faktörlü Seçenekler bölümüne kaydırmanız ve talimatları izlemeniz gerekir.

12. WordPress Veritabanı Önekini Değiştirin

WordPress sitenizdeki her bilgi veri tabanında tutulduğundan, bir bilgisayar korsanının tercih ettiği hedeftir. Otomatik SQL enjeksiyon kodları, spam gönderenler ve bilgisayar korsanları tarafından kullanılır. Ne yazık ki, WordPress'i kurarken birçok kişi veritabanı önekini güncellemeyi ihmal ediyor. Bilgisayar korsanları varsayılan wp_ önekini hedefleyerek daha kolay bir toplu saldırı planlayabilir. Veritabanınızı korumanın en akıllı stratejisi, yeni bir sitede gerçekleştirmesi oldukça basit olan veritabanı önekini değiştirmektir. Ancak, mevcut siteniz için WordPress veritabanı önekini tamamen bozmadan etkili bir şekilde değiştirmek birkaç adım gerektirir.

13. Parola Korumalı WordPress Yönetici ve Giriş Sayfası

WordPress yönetici dizininizi şifre kilitleyerek web sitenizin en önemli erişim noktasının güvenliğini güçlendirebilirsiniz.

WordPress yönetici panonuz, web sitenizin kalbi görevi görür. Yazılar ve sayfalar oluşturmak, temanızı değiştirmek, WordPress eklentileri yüklemek ve daha fazlası için kullanabilirsiniz.

Bilgisayar korsanları web sitenize erişmeye çalıştıklarında sıklıkla wp-admin panelini kullanırlar. Güvenli bir parola kullanarak ve oturum açma girişimlerini kısıtlayarak, web sitenizi olası tehditlerden korumaya yardımcı olabilirsiniz. Yönetici dizininizi bir parola ile korumak, web sitenize başka bir parola güvenliği katmanı eklemek için akıllıca bir yöntemdir.

WordPress Yöneticinizi parolayla korumak için bu kolay adımları izleyin

Adım 1: cPanel'de oturum açın ve Dosyalar sekmesini kontrol edin.

Adım 2: 'Dizin Gizliliği'ni bulun ve üzerine tıklayın.

Adım 3: wp-admin klasörünü düzenleyin.

Adım 4: Şifre, wp-admin'i korur.

Adım 5: Kullanıcı ve şifreyi ayarlayın.

14. Dizin İndeksleme ve Taramayı Devre Dışı Bırakın

Bilgisayar korsanları, bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını görmek için dizin taramayı kullanabilir, böylece erişim elde etmek için bu dosyalardan yararlanabilirler.

Diğer kişiler, dosyalarınıza bakmak, fotoğraf kopyalamak, dizin yapınızı anlamak ve diğer bilgileri almak için dizin taramayı kullanabilir. Sonuç olarak, dizin indeksleme ve taramayı devre dışı bırakmanız şiddetle tavsiye edilir.

Web sitenize FTP veya cPanel'deki dosya yöneticisi aracılığıyla bağlanmalısınız. .htaccess dosyasını web sitenizin kök dizininde bulun. Bundan sonra, .htaccess dosyasının en sonuna aşağıdaki satırı ekleyin:

Seçenekler Tümü - Dizinler

Değiştirilen kod şöyle görünecektir:

.htaccess dosyasını kaydedip sitenize yeniden yüklemeyi unutmayın.

15. WordPress'te XML-RPC'yi Devre Dışı Bırakın

WordPress sitenizi web ve mobil uygulamalarla entegre etmeye yardımcı olduğu için, XML-RPC, WordPress 3.5'te varsayılan olarak etkinleştirilmiştir. XML-RPC, güçlü doğası nedeniyle kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Örneğin, bir bilgisayar korsanı geçmişte web sitenizde 500 farklı şifre denemek isteseydi, giriş kilitleme eklentisinin yakalayıp engelleyeceği 500 farklı giriş denemesi yapmak zorunda kalacaktı.

Bir bilgisayar korsanı ise sistemi XML-RPC ile kullanabilir. Çoklu arama işlevini kullanarak, 20 veya 50 istekle on binlerce farklı şifreyi deneyebilirsiniz. Sonuç olarak, XML-RPC kullanmıyorsanız, onu kapatmanızı öneririz. Bir eklenti kullanarak veya manuel olarak XML-RPC'yi devre dışı bırakabilirsiniz.

16. WordPress'te Boşta Kalmış Kullanıcıların Oturumunu Otomatik Olarak Kapatın

Giriş yapan kullanıcılar zaman zaman ekranlarından uzaklaşarak güvenlik riski oluşturabilir. Birisi oturumunun kontrolünü ele geçirebilir, şifrelerini değiştirebilir ve hesabını değiştirebilir.

Bu nedenle birçok bankacılık ve finans web sitesi boşta kalan kullanıcıları otomatik olarak kilitler. Benzer işlevler WordPress sitenize de uygulanabilir.

Inactive Logout eklentisi kurulmalı ve etkinleştirilmelidir. Eklenti ayarlarını yapılandırmak için Ayarlar » Aktivasyondan sonra Etkin Değil Oturumu Kapat seçeneğine tıklayın.

Zamanlayıcıyı ve bir çıkış mesajı ayarlayın ve işiniz bitti. Değişiklikleri Kaydet düğmesine tıklayarak değişikliklerinizi kaydetmeyi unutmayın.

17. WordPress Giriş Ekranına Güvenlik Soruları Ekleyin

WordPress yönetici alanına yetkisiz erişim çeşitli yollarla engellenebilir. Çok kullanıcılı veya WordPress üyelik sitesi çalıştırıyorsanız, güvenlik ve kullanıcı deneyimi arasında bir denge kurmak daha zordur.

Giriş ekranınıza güvenlik soruları eklemek faydalı olabilir. Kullanıcılarınızdan, WordPress web sitenize giriş yapmadan önce, diğer kullanıcıların yanıtlarını bilmemeleri gereken bir veya daha fazla soruyu yanıtlamaları istenecektir. İki faktörlü kimlik doğrulama veya 2FA bir alternatiftir. Bu alternatif daha güvenlidir, ancak kurulumu biraz daha uzun sürer.

18. WordPress'i Kötü Amaçlı Yazılımlara ve Güvenlik Açıklarına Karşı Tarama

Yüklü bir WordPress güvenlik eklentiniz varsa, kötü amaçlı yazılımları ve güvenlik ihlallerinin kanıtlarını düzenli olarak tarar.

Web sitesi trafiğinde veya arama sıralamalarında önemli bir düşüş görürseniz, manuel olarak bir tarama yapmalısınız. Bu kötü amaçlı yazılım ve güvenlik tarayıcılarından birini veya WordPress güvenlik eklentinizi kullanabilirsiniz.

Bu çevrimiçi taramaları kullanmak kolaydır; web sitenizin URL'lerini girmeniz yeterlidir; tarayıcıları, bilinen kötü amaçlı yazılım ve zararlı kod için sitenizi arayacaktır.

WordPress güvenlik tarayıcılarının çoğunun yalnızca web sitenizi tarayabileceğini unutmayın. Enfeksiyondan kurtulamayacaklar veya saldırıya uğramış bir WordPress sitesini temizleyemeyecekler.

Kötü amaçlı yazılımları ve bilgisayar korsanlarını tespit etmek için en iyi WordPress güvenlik tarayıcılarının adları şunlardır:

1. Sucuri SiteKontrol

2. IsItWP Güvenlik Tarayıcısı

3. Google Güvenli Tarama

4. WPSec

5. TaramaWP

6. WordPress Güvenlik Taraması

7. WPrecon

8. Kuttera

9. Web Müfettişi

10. WordPress Güvenlik Açığı Tarayıcısı

11. UpGuard Bulut Tarayıcı

12. URL Sorgusu URL Tarayıcı

13. Virüs Toplamı

14. Norton Güvenli Web

19. Saldırıya Uğramış Bir WordPress Sitesini Düzeltme

Birçok WordPress kullanıcısı, çok geç olana kadar yedekleme ve web sitesi güvenliğinin gerekliliğinden habersizdir.

Bir WordPress sitesini temizlemek zaman alıcı ve zorlayıcı olabilir. İlk tavsiyemiz, görevi bir uzmana devretmek.

Arka kapılar, ele geçirilen sitelere bilgisayar korsanları tarafından yüklenir ve bu arka kapılar düzgün bir şekilde kaldırılmazsa, web siteniz büyük olasılıkla yeniden saldırıya uğrayacaktır.

Nitelikli bir güvenlik firmasının web sitenizi onarmasına izin vermek, bir kez daha kullanmanın güvenli olmasını sağlar. Ayrıca sizi gelecekteki tehditlerden koruyacaktır.

20. Temalarınızı ve Eklentilerinizi Güncelleyin

Eklentiler ve temalar aynı teknede. Mevcut temanızın yanı sıra sitenize yüklediğiniz tüm eklentilerin güncellenmesi gerekiyor. Bu sizi güvenlik kusurlarından, hatalardan ve olası güvenlik ihlallerinden korur.

Zaman zaman, çoğu yazılım ürününde olduğu gibi, belirli eklentiler saldırıya uğrayabilir veya içlerinde güvenlik açıkları ortaya çıkabilir. Örneğin geçmişte Ninja Forms ve WooCommerce gibi eklentiler ciddi sorunlarla boğuşuyordu.

Peki temalarınızı ve eklentilerinizi nasıl güncel tutuyorsunuz?

İlk olarak, eklentilere bakalım. Tüm eklentilerinizin bir listesini görmek için Eklentiler / Yüklü Eklentiler'e gidin. Bir eklenti en yeni sürüme güncellenmediyse WordPress sizi bilgilendirecektir:

Temanızı güncellemek için, yüklediğiniz tüm temaların listesini göreceğiniz Görünüm / Temalar'a gidin. Artık kullanılmayanlar, eklentilerle aynı şekilde tanımlanacaktır. Açılır menüden "Şimdi güncelle"yi seçmeniz yeterlidir.

21. Sitenize kullanıcı erişimini sınırlayın

Web sitenize erişimi olan tek kişi siz değilseniz, yeni kullanıcılar eklerken dikkatli olun. Her şeyi kontrolünüz altında tutmalı ve buna ihtiyaç duymayan kullanıcılara her türlü erişimi yasaklamaya çalışmalısınız.

Çok sayıda kullanıcınız varsa, kullanıcılarınızın işlevlerini ve izinlerini sınırlayabilirsiniz. Yalnızca görevlerini yerine getirmeleri için gerekli olan özelliklere erişimleri olmalıdır.

Güçlü Parolaları Zorla da bu sorunda size yardımcı olabilir. WordPress varsayılan olarak güvenli bir şifre önerir, ancak kötü bir şifre seçerseniz sizi şifreyi değiştirmeye zorlamaz. Bu eklenti, şifreniz yeterince güçlü olmadıkça devam etmenize izin vermeyecektir.

Bu, yöneticinize gelen herkes için güzel bir çözüm olabilir. Bu, esasen, sizin yaptığınız gibi güçlü parolalar kullanmalarını sağlamanın yegane yoludur.

22. wp-config.php Dosyanızı Koruyun

wp-config.php dosyası, sitenizin en önemli ve dolayısıyla hassas dosyalarından biridir. Bir bütün olarak WordPress kurulumunuzla ilgili hayati bilgileri ve verileri depolar. WordPress sitenizin temelidir. Başına korkunç bir şey gelirse blogunuzu normal şekilde kullanamazsınız.

Yapabileceğiniz basit bir şey, wp-config.php dosyasını WordPress kök dizininizin bir üst dizinine taşımaktır. Bu değişikliğin WordPress siteniz üzerinde hiçbir etkisi olmayacak, ancak bilgisayar korsanları artık onu bulamayacak.

23. Parolalarınızı Düzenli Olarak Değiştirin

Giriş formunuzda sınırsız kullanıcı adı ve şifre denemesine izin vermek, bir bilgisayar korsanının başarılı olmasına tam olarak yardımcı olur. Sonsuz sayıda denemelerine izin vermek, sonunda giriş bilgilerinizin keşfedilmesine yol açacaktır. Bunu önlemek için, önce mevcut deneme sayısını sınırlandırmalısınız. Giriş formunuzda sınırsız kullanıcı adı ve şifre denemesine izin vermek, bir bilgisayar korsanının başarılı olmasına tam olarak yardımcı olan şeydir. Sonsuz sayıda denemelerine izin vermek, sonunda giriş bilgilerinizin keşfedilmesine yol açacaktır. Bunu önlemek için, önce mevcut deneme sayısını sınırlandırmalısınız.

Olası oturum açma girişimlerinin sayısını sınırlamak için belirli özel eklentiler kullanılabilir.

Ayrıca, parolalarınızı sık sık değiştirmek, bir bilgisayar korsanının sitenize girme olasılığını azaltır. “Sık sık” derken “her gün” demek istemiyorum… 2-3 ayda bir yeterli olur. Araya girmeye çalışanlar için çeşitlilik eğlenceyi bozar.

VOCSO Nasıl Yardımcı Olabilir?

Her gün ortaya çıkan yeni teknolojiler ile en son değişikliklere ve iyileştirmelere ayak uydurmak zordur. Müşterilerimize en iyi ürün ve hizmetleri sunmaya çalışan lider bir WordPress web sitesi geliştirme şirketiyiz. Yüksek kaliteli programlama ile güvenli web siteleri geliştirmenin yanı sıra müşterilerimize web sitesi yönetimi, web sitesi yeniden tasarımı, özel web uygulaması geliştirme, mobil uygulama geliştirme, arama motoru optimizasyonu ve eksiksiz dijital pazarlama çözümleri gibi başka hizmetler de sunuyoruz.

Çözüm

Gördüğünüz gibi, WordPress kurulumunuzun güvenliğini artırmak için çeşitli teknikler var. Akıllı şifreler kullanmak, çekirdek ve eklentileri güncellemek ve güvenli bir yönetilen WordPress sunucusu seçmek, WordPress sitenizi güvende tutmanın sadece birkaç yoludur. Birçoğunuz için WordPress siteniz hem bir şirket hem de bir para kaynağı olarak hizmet ediyor, bu nedenle yukarıda listelenen en iyi güvenlik uygulamalarından bazılarını mümkün olduğunca çabuk benimsemek için zaman ayırmalısınız.

Bir WordPress sitesinin güvenliğini sağlamak sürekli bir süreçtir. Siber saldırılar sürekli geliştiğinden, onları düzenli olarak yeniden değerlendirmelisiniz. Risk her zaman var olacaktır, ancak WordPress güvenlik özelliklerini kullanarak riski azaltabilirsiniz.

Bu yazının, WordPress güvenlik önlemlerinin önemini ve bunları nasıl uygulayacağınızı daha iyi anlamanızı sağladığını umuyoruz.

Daha fazla netlik istiyorsanız VOCSO, bu web sitesi güvenlik kılavuzunu uygulamaya koymanıza yardımcı olabilir !