WordPress Yüksek Güvenlik Önlemleri

 

WordPress, dünyadaki en popüler içerik yönetim sistemlerinden (CMS) biridir. Tüm web sitelerinin %18,9'unu çalıştırır ve 76,5 milyondan fazla kez indirilmiştir. Ne yazık ki, popülerliğin bazı dezavantajları da vardır. Web sitesi güvenliği konusunda uzmanlaşmış bir şirket olan Securi tarafından yayınlanan bir hacker raporuna göre, WordPress dünyanın en çok hacklenen CMS'sidir. Ama paniğe gerek yok! Bu kılavuzdaki bazı genel kuralları takip edip çeşitli teknikler uygularsanız, WordPress güvenliğinde büyük bir fark yaratabilirsiniz.


1. Sürümü Güncel Tutma

Bu ilk ve en önemli hatırlatmadır. Temiz ve kötü amaçlı yazılım içermeyen bir web sitesi istiyorsanız, WordPress'i güncel tutmalısınız. Bu basit bir öneri gibi görünse de, WordPress kurulumlarının yalnızca %22'si en son sürümü kullanır. WordPress, 3.7 sürümünde bir otomatik güncelleme işlevi ekledi, ancak bu yalnızca küçük güvenlik güncellemeleri için geçerlidir. Bu nedenle, büyük çekirdek güncellemeleri manuel olarak yapılmalıdır.

2. Güçlü Şifreler Kullanmak

WordPress kullanıcı adınız olarak hala admin mi kullanıyorsunuz? Cevabınız evet ise, herhangi bir saldırgan yönetici panelinize daha kolay giriş yapmayı deneyebilir. Yönetici kullanıcı adını başka bir adla değiştirmeniz nasıl yapılacağını bilmiyorsanız lütfen farklı bir yönetici hesabı oluşturmanız ve eski hesabı silmeniz şiddetle önerilir. İkinci seçeneği tercih ederseniz, lütfen aşağıdaki adımları izleyin:

  1. WordPress admin paneline giriş yapın
  2. Menü bölümünden kullanıcılar kısmına tıklayın
  3. Yeni bir kullanıcı oluştur'a tıklayın
  4. Hiç kimsenin bulamayacağı bir kullanı adı ve şifre giriniz
  5. Yeni oluşturduğunuz kullanıcı adı ile panele giriş yapıp eski admin hesabını siliniz
İyi bir parola, WordPress güvenliğinde önemli bir rol oynar. Rakamlar, büyük ve küçük harfler ve özel karakterler içeren kaba kuvvet parolalarını kullanmak çok daha zordur. LastPass ve 1Password, karmaşık şifreleri yönetmenize yardımcı olur. Ayrıca, güvenli olmayan bir ağa (örneğin kafe, halk kütüphanesi vb.) bağlıyken WordPress panosuna giriş yapmanız gerekiyorsa, giriş bilgilerinizi korumak için lütfen güvenli bir VPN kullanmayı unutmayın.


3. İki Adımlı Doğrulama 

İki adımlı doğrulama, giriş sayfanızda büyük bir güvenlik katmanı oluşturur. Adından da anlaşılacağı gibi, oturum açmak için izlenmesi gereken bir adım ekler. Bu özelliği e-postalarda, çevrimiçi bankacılıkta veya hassas bilgiler içeren diğer hesaplarda kullanıyor olabilirsiniz. Öyleyse neden WordPress'te kullanmıyorsunuz? Kulağa karmaşık gelse de, WordPress iki adımlı doğrulamayı etkinleştirmek çok basittir. Tek yapmanız gereken iki adımlı bir doğrulama uygulaması yüklemek ve WordPress'inizi kurmak.

4. PHP ve Raporlamayı Devre Dışı Bırakma

Bir web sitesi geliştiriyorsanız ve her şeyin yolunda olduğundan emin olmak istiyorsanız, PHP hata raporlaması yardımcı olabilir. Ama herkese bir hatanın ciddi bir güvenlik açığı olduğunu göstermek. Bu sorunu en kısa sürede çözmelisiniz. Endişelenmeyin, WordPress'te PHP hata raporlamasını kapatmak için herhangi bir kodlama bilgisine ihtiyacınız yok. Çoğu barındırma sağlayıcısı, kontrol panelinden hata raporlamayı kapatma seçeneği sunar. Bu özellik mevcut değilse, lütfen wp-config.php dosyasına aşağıdaki satırı ekleyin. wp-config.php dosyasını düzenlemek için bir FTP istemcisi veya dosya yöneticisi kullanabilirsiniz:

error_reporting(0); 
@ini_set(‘display_errors’, 0); 


5. Nulled Eklentiler ve Temalar Kullamamak

İnternette binlerce geçersiz eklenti ve tema var. Kullanıcılar bunları çeşitli Warez veya torrent sitelerinden ücretsiz olarak indirebilir. Bilmedikleri şey, çoğunun kötü amaçlı yazılım ve siyah şapka SEO bağlantılarıyla dolu olduğuydu. Geçersiz eklentiler ve temalar kullanmayın. Bu sadece etik dışı olmakla kalmaz, aynı zamanda WordPress'in güvenliği için de çok zararlıdır. Web sitenizi düzeltmek için geliştiricilere daha fazla para ödeyebilirsiniz.

6. WordPress Yazılım Taraması Yapma

Bilgisayar korsanları, WordPress'e kötü amaçlı yazılım bulaştırmak için genellikle eklentilerdeki veya temalardaki güvenlik açıklarını kullanır. Bu nedenle, blog sitenizi sık sık taramanız önemlidir. Bu amaç için birçok iyi tasarlanmış eklenti mevcuttur. WordFence şu anda öne çıkanlardan biridir. Çeşitli farklı ayarların yanı sıra manuel ve otomatik tarama seçenekleri sunar. Hatta birkaç tıklama ile değiştirilen/kötü amaçlı dosyaları kurtarma olanağına sahipsiniz. Ücretsiz ve açık kaynak kodludur. Bu nedenler tek başına eklentiyi hemen yüklemeniz için yeterlidir.

BulletProof Sec: WordFence'in aksine, BulletProof dosyalarınızı taramaz, ancak güvenlik duvarları, veritabanları vb. sağlar. Bu eklentinin en büyük avantajlarından biri, sadece birkaç tıklamayla kurulabilmesi ve kurulabilmesidir. 

Sucuri Security: Bu eklenti sizi DOS saldırılarından koruyabilir, bir kara liste oluşturabilir ve web sitenizi kötü amaçlı yazılımlara karşı tarayarak güvenlik duvarınızı yönetebilir. Bir şey tespit ederse, e-posta yoluyla bir bildirim sağlayacaktır. Google, Norton, McAfee-tüm bu kara liste motorları bu eklentiye dahildir.


7. WordPress Sitenizi Daha Güvenli Sunucuda Barındırın

Bu garip bir öneri gibi görünebilir, ancak istatistikler, WordPress sitelerinin %40'ının, barındırma hesaplarındaki güvenlik açıklarını kullanan bilgisayar korsanları tarafından istismar edildiğini gösteriyor. Bu numara, mevcut barındırma seçeneklerinizi sorgulamanıza ve WordPress sitenizi daha güvenli bir barındırma hizmetine taşımanıza neden olmalıdır. Yeni bir ev sahibi ararken akılda tutulması gereken bazı kurallar şunlardır: Paylaşımlı hosting ise lütfen hesabınızın diğer kullanıcılardan izole edildiğinden ve bir sitenin sunucudaki diğer sitelere zarar verme olasılığının sıfır olduğundan emin olun. Otomatik yedekleme işlevi olduğundan emin olun. Sunucu tabanlı bir güvenlik duvarı ve virüs tarama aracınız olduğundan emin olun. 

Paylaşımlı hosting ise lütfen hesabınızın diğer kullanıcılardan izole edilmiş olduğundan ve bir sitenin sunucudaki diğer sitelere zarar verme olasılığının sıfır olduğundan emin olun. Otomatik yedekleme işlevi olduğundan emin olun. Sunucu tabanlı bir güvenlik duvarı ve virüs tarama aracınız olduğundan emin olun. 


8. Her Zaman Yedeğinizi Alın

Sahipleri güvenliklerini artırmak için binlerce dolar harcayan en büyük web siteleri bile her gün saldırıya uğruyor. En iyi uygulamaları kullanıyorsanız ve bu kılavuzdaki ipuçlarını takip ediyorsanız, WordPress sitenizi sık sık yedeklemeniz önemlidir. Yedek oluşturmanın birden fazla yolu vardır. Örneğin, WordPress dosyalarını manuel olarak indirebilir, bir veritabanı yükleyebilir veya bir barındırma şirketinin yedekleme aracını kullanabilirsiniz. Başka bir yol, bir WordPress eklentisi kullanmaktır. En popüler WordPress yedekleme eklentileri şunlardır:

9. Dosya Düzenlemeyi Kapama

Bildiğiniz gibi, WordPress'in yerleşik dosya düzenleme araçlarının yardımıyla PHP dosyalarını değiştirebilirsiniz. Bu özellik kullanışlı olsa da bazı dezavantajları da vardır. Bir saldırgan WordPress yönetici panelinizi ele geçirirse, bakmaları gereken ilk şey dosya düzenleyicisidir. Bazı WordPress kullanıcıları bu özelliği tamamen devre dışı bırakmayı tercih eder. wp-config.php dosyasını düzenleyerek ve aşağıdaki satırı ekleyerek bu özelliği kapatabilirsiniz:

define( 'DISALLOW_FILE_EDIT', true );


10. Kullanılmayan Temaları ve Eklentileri Kaldırın

 WordPress sitenizi temizleyin ve kullanılmayan tüm eklentileri ve temaları silin. Çoğu durumda, saldırganlar devre dışı bırakılmış ve güncel olmayan temaları ve eklentileri (resmi WordPress eklentileri dahil) tarar ve bunları yönetim paneline erişmeye veya sunucunuza kötü amaçlı dosyalar yüklemeye çalışmak için kullanır. Kullanmayı bıraktığınız eklentileri ve temaları silerek WordPress'in güvenliğini daha da artırabilirsiniz.

11. WordPress Güvenlik İçin .htaccess Kullanmak

WordPress bağlantılarının düzgün çalışması için .htaccess dosyaları gerekir. .htaccess dosyası doğru kurallara sahip olmadığında çok sayıda 404 hatası alırsınız. Çoğu kullanıcı, .htaccess dosyalarının WordPress'in güvenliğini artırmak için kullanılabileceğini bilmiyor. Örneğin, belirli klasörlerde PHP yürütmesini devre dışı bırakabilir ve erişimi engellemek için .htaccess dosyalarını kullanabilirsiniz. Aşağıdaki örnek, WordPress güvenliğini artırmak için .htaccess dosyalarının nasıl kullanılacağını gösterir.

Vereceğim kodu kullanarak WordPress panelinizi sadece belirli ip'lere giriş iznini açabilirsiniz

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>
Lütfen xx.xx.xx.xxx adresini kendi IP adresinizle değiştirmeniz gerektiğini unutmayın. Bu web sitesini kullanarak IP adresinizi bulabilirsiniz. WordPress sitenizi yönetmek için birden fazla bağlantı kullanıyorsanız, buraya başka IP adresleri eklediğinizden emin olun (istediğiniz kadar ekleyebilirsiniz). Dinamik bir IP adresiniz varsa bu kod önerilmez.

Bazı klasörlerinizi PHP çalıştırmayı engelleyin

Saldırganlar arka kapı komut dosyalarını WordPress yükleme klasörüne yüklemeyi sever. Varsayılan olarak, bu klasör yalnızca medya dosyalarını yüklemek için kullanılır. Bu nedenle, herhangi bir PHP dosyası içermemelidir. Aşağıdaki kurallarla /wp-content/uploads/ içinde yeni bir .htaccess dosyası oluşturarak PHP yürütmesini devre dışı bırakabilirsiniz

<Files *.php>
deny from all
</Files>


Wp-config.php Dosyasını Korumak

wp-config.php dosyası, WordPress ayarlarını ve MySQL veritabanı bilgilerini içerir. Bu nedenle, en önemli WordPress dosyasıdır. Bu nedenle her WordPress korsanının ana hedefidir. Ancak aşağıdaki .htaccess kuralları ile bu dosyayı kolayca koruyabilirsiniz: 

<files wp-config.php>

order allow,deny

deny from all

</files>


 Wp-config.php dosyasını sıkılaştırmak

WordPress altyapısındaki en önemli dosya wp-config.php dosyasıdır. Bu dosyanın içeriğinde bazı ayarlamalar yaparak sistem güvenliğini artırabilirsiniz. Öncelikle wp-config.php dosyasının güvenliğini doğrulamamız gerekiyor. Apache sunucusundaki wp-config.php dosyasını korumak için .htaccess dosyasının içeriğine aşağıdaki kodu girin. Bu kod sayesinde wp-config.php dosyasının içeriği harici aramalarla okunamaz ve harici erişim kapatılacaktır.

<files wp-config.php>

order allow,deny

deny from all

</files>

Aynı zamanda wp-config.php dosyasını html klasöründen çıkarmak için farklı eklentiler kullanmak güvenlik açısından katma değer sağlayacaktır. Bu dosya, WordPress günlüğündeki en önemli dosyadır. wp-config.php, veritabanına bağlanmak için gerekli bilgileri içerir.

Wp-Config Dosyasını Şifreleme

wp-config.php dosyasına erişimi kısıtlamanın başka bir yolu da wp-config.php dosyasının içeriğini şifrelemektir. Şifreleme için ionCube, Zend Guard veya phpr.org'daki en basit ve ücretsiz aracı kullanabilirsiniz. Bu sayede wp-config.php dosyasına ulaşabilenler sadece şifrelenmiş verileri görebilir ve veritabanı bağlantı bilgileriniz gizli tutulacaktır.

wp-config.php dosyasının bulunduğu dizinin veya dosyanın direkt adını değiştirebiliriz. Bunu yapmak için sitemizin ana dizinindeki wp-load.php dosyasını açmamız ve wp-config.php metnini kendi klasörümüze değiştirmemiz gerekiyor. Not: Bu ayarlar her güncellemeden sonra geri yükleneceği için onları kalıcı hale getiren eklentiler kullanabilirsiniz.


Wp-load.php Dosyasını Erişime Engelleme
WordPress'i korumanın diğer bir adımı da wp-load.php dosyasına erişimi engellemektir. .htaccess dosyasını kullanarak wp-config.php dosyasına dışarıdan erişimi engelleyebilir ve wp-load.php dosyasına olası yetkisiz erişimi kısıtlayabiliriz.

<files wp-load.php>
order allow,deny
deny from all
</files>

Plugins Dizinini Koruma

WordPress sisteminde kullandığınız eklentilerin de zayıf yönleri olabilir. Saldırganlar, sisteminize yetkisiz erişim elde etmek için bu eklentilerdeki güvenlik açıklarını da kullanabilir. Bunu yapmak için WordPress'te Eklentiler adlı eklenti klasöründe güvenlik önlemleri almalıyız. Normal şartlar altında, dizine erişilirken dizindeki klasörler listelenmemelidir. Ancak bazı sürümlerde veya kullanıcı hatasından dolayı bu dizin açılarak klasörler listelenebilir. Saldırgan bu şekilde sistemdeki eklentiler hakkında bilgi edinebilir. Eklentinizi harici isteklerde görmelerini engellemek istiyorsanız bu klasörde index.html adında boş bir dosya oluşturarak dizinin listelenmesini engelleyebilirsiniz.

.htaccess Dosyasını Erişime Kapatma
.htaccess dosyası, WordPress Apache sunucusunda çok önemlidir. Bu dosya genellikle WordPress standart yönlendirme içeriği içerir. Öte yandan yukarıda bahsettiğimiz gibi yetkisiz erişimi engellemek için de kullanabilirsiniz. Aşağıdaki kodu .htaccess dosyamıza eklersek .htaccess dosyamızın güvenliğini de sağlamış oluruz.

<files .htaccess>
order allow,deny
deny from all
</files>
Hata Ayıklama Modunu Kapama
WordPress hata mesajlarını kapatarak olası güvenlik açıklarını önleyebilirsiniz. wp-config.php dosyasına aşağıdaki kodu ekleyerek hata ayıklama modunu kapatabilirsiniz. Hata ayıklama modu, olası Wordpress hatalarını görüntülemek için kullanılır.Geliştiriciler genellikle bu modu etkinleştirir ve sistemdeki hataları kontrol etmek için kullanır. Koddaki "yanlış" değer modunu kapatabilir veya "doğru" olarak değiştirerek hata modunu yeniden etkinleştirebilirsiniz.

define( ‘WP_DEBUG’, false );

12. WordPress Database Ekini Değiştirerek SQL İnjection Saldırılarını Engelleme

WordPress veritabanı, web sitenizin çalışması için gereken tüm bilgileri kaydeder ve saklar. Bu nedenle, SQL saldırıları gerçekleştirmek için otomatik kod çalıştıran saldırganlar ve spam gönderenler için gıpta edilen bir hedeftir. WordPress kurulumu sırasında çoğu kişi varsayılan wp_ ekini değiştirmeye tenezzül etmeyecektir. WordFence'e göre, SQL saldırıları nedeniyle beş WordPress sitesinden biri saldırıya uğradı. Varsayılan ayar **wp** olduğundan, saldırganlar esas olarak bu değeri hedefler. Bu adımda, WordPress sitenizi bu tür saldırılara karşı nasıl daha güvenli hale getireceğinize odaklanacağız.

wp-config.php dosyasını bulmak için bir FTP istemcisi veya dosya yöneticisi kullanın ve ctrl f yaparak $table_prefix'i arayın.


Rakam, harf veya alt çizgi ekleyebilirsiniz. Ardından değişiklikleri kaydedin ve bir sonraki adıma geçin. Bu kılavuzda, yeni tablo eki olarak wp_1secure1_ kullanacağız. wp-config.php'de, hangi veritabanını düzenlemeniz gerektiğini bilmeniz için veritabanı adını da bulabilirsiniz. Tanım ("DB_NAME" bölümünü arayın)











Yorum Gönder

0 Yorumlar
* Please Don't Spam Here. All the Comments are Reviewed by Admin.

buttons=(Accept !) days=(20)

Our website uses cookies to enhance your experience. Learn More
Accept !