10'de WordPress Web Sitenizi Güvende Tutmanın 2023 Güçlü Anahtarı

Çoğu zaman, WordPress web sitesi sahipleri sitelerinin güvenliğinin ihlal edildiğini fark eder. Bir CMS olarak popülaritesi göz önüne alındığında, WordPress bilgisayar korsanları tarafından en çok hedeflenen platformdur ve sonuç olarak güvensiz olduğu için kötü bir isim alır.

Ama bu gerçekten böyle değil.

WordPress'in açık kaynak yapısı, herkesin kullanabileceği anlamına gelir ve onu kullananların büyük çoğunluğu temel siber güvenlik uygulamalarında iyi bilgi sahibi değildir. WordPress'in diğer web sitesi oluşturma seçeneklerinden bir şekilde daha az güvenli olduğu yanılsamasını yaratan şey budur.

Sağlam güvenlik uygulamalarını kullanan kişiler, sitelerin saldırıya uğramasıyla nadiren sorun yaşar. Peki bir WordPress web sitesini güvenli yapan nedir?

 

WordPress Web Sitenizin Güvenliğini Sağlama

WordPress web sitenizi güvence altına almak söz konusu olduğunda akılda tutulması gereken 10 şey.

 

Güvenli Bir Ana Bilgisayar Kullanın

Bu gönderiden başka bir şey alamazsanız, en azından buna dikkat edin. WordPress web siteniz yalnızca üzerinde yaşadığı sunucu kadar güvenlidir.

Çoğu WordPress web sitesi, paylaşılan barındırma üzerine kuruludur; bu, sitenizin diğer müşterilerin web siteleriyle aynı sunucuda yaşadığı anlamına gelir. Sunucularında hesap izinlerini uygun şekilde kafesleyen bir barındırma şirketi seçin.

Bu göz atın: En İyi WordPress Barındırma Hizmetleri Karşılaştırıldı

Güvenliği ihlal edilmiş bir web sitesinin aynı sunucudaki diğerlerine bulaşması nadir değildir. İzinlerin her hesap için uygun şekilde ayrıldığı bir ana bilgisayar seçerseniz, siteler arası kontaminasyon riski en aza indirilir.

Sanılanın aksine, VPS hosting kötü amaçlı yazılım yayılımına karşı da hassastır. Kötü amaçlı yazılımın sanallaştırma platformlarındaki güvenlik açıklarını kullandığı VMescape saldırıları, kötü amaçlı yazılımın bir VPS'den kaçmasına ve aynı fiziksel donanımda yaşayan başka bir VPS'ye geçmesine izin verebilir.

Güvenli ana bilgisayarlarda ayrıca başka azaltmalar da olacaktır. Bunlar, web sunucusu yapılandırmalarında mod güvenliğinden yararlanmayı, Imunify360 gibi kötü amaçlı yazılımdan koruma paketlerini ve sitelerin botlar tarafından boğulmasını önlemek için DDoS korumasını içerir.

 

Çekirdeğinizi, Temalarınızı ve Eklentilerinizi Güncel Tutun

Çoğu WordPress sitesi, güncel kodları tükendiği için saldırıya uğrar. Bu bir görüş değil, belgelenmiş bir gerçektir.

Saldırıya uğramış binlerce WordPress web sitesinde adli analiz yapan güvenlik araştırmacıları, şüphesiz bunların %80'inden fazlasının güncel olmayan eklenti ve temalardan sorumlu olduğunu belirledi.

Temalarınızı ve eklentilerinizi güncel tutarak sitenizin güvenliğinin ihlal edilme olasılığının %80'ini ortadan kaldırabileceğinizi hayal edin. İşte bu, WordPress'i güvence altına almanın anahtarıdır.

 

2 Faktörlü Kimlik Doğrulamayı Etkinleştir

Saldırıya uğramış WordPress web sitelerinin büyük çoğunluğundan güncel olmayan temalar ve eklentiler sorumlu olsa da, kullanıcı adlarına ve şifrelere yönelik kaba kuvvet saldırıları, web sitelerine yetkisiz erişim elde etmek için denenen en yaygın yöntemlerdir.

Başarı oranı genellikle düşük olsa da, saldırıya uğramış web sitelerinin yaklaşık %8'i, yalnızca bir kullanıcının şifresini tahmin ederek kırıldı.

Web sitenizi korumanın bir yolu, 2 Faktörlü Kimlik Doğrulamayı (2FA) etkinleştirmektir. 2FA, kullanıcı adınıza ve şifrenize ek olarak, mobil cihazınızdan veya bir e-posta mesajından tek seferlik bir şifre göndermenizi isteyecektir.

Bir bilgisayar korsanı web siteniz için kullanıcı adınıza ve şifrenize sahipse, ancak telefonunuza veya e-postanıza erişimi yoksa, oturum açamaz.

Web sitenize 2 Faktörlü Kimlik Doğrulama ekleyen birkaç eklenti vardır ve bir sonraki bölümde bahsedeceğimiz birçok kapsamlı güvenlik eklentisi de içerdikleri birçok özelliğin bir parçası olarak ekler.

 

Bir Güvenlik Eklentisi Yükleyin

Tüm güvenliğin sunucunuz tarafından yapılması gerektiğini söyleyenler var, ancak siber güvenlik dünyasında güvenliğin katmanlar halinde gerçekleştiğine inanıyoruz. WordPress'inizde bir güvenlik eklentisine sahip olmak web sitesi bu katmanlardan sadece bir tanesidir.

Güvenlik eklentileri söz konusu olduğunda, aralarından seçim yapabileceğiniz çeşitli seçenekler vardır. İşte en popüler güvenlik eklentilerinden bazıları. Bunları test etmeli ve hangisinin ihtiyaçlarınıza en uygun olduğunu görmelisiniz.

 

Wordfence

Bu gönderi, hangi güvenlik eklentisinin en iyi olduğu konusuna girmeyecek olsa da, en popüler olanı şudur: Wordfence - ve bunun için harika nedenler var.

Birincisi, Wordfence güvenlik odaklı bir şirkettir, çünkü yaptıkları tek şey güvenliktir. Portföylerinde bir güvenlik eklentisi olan bir WordPress eklentisi geliştiricisi değiller. güvenlik içinde yaşıyorlar ve nefes alıyorlar.

Wordfence eklentisi, her isteği bilinen bir açıklar listesine karşı kontrol eden ve bir eşleşme bulursa onları engelleyen ücretsiz bir web uygulaması güvenlik duvarı ile birlikte gelir. Ayrıca kötü amaçlı etkinlik ve dosyaların açıklayıcı işaretlerini arayan bir kötü amaçlı yazılım tarayıcıları da vardır. Bir başka harika özellik de, tarayıcının tüm tema ve eklenti dosyalarınızı, eşleştiklerinden emin olmak için WordPress.org deposundakilerle karşılaştırabilmesidir.

Wordfence, güvenlikle ilgili tüm etkinlikleri varsayılan olarak günlüğe kaydeder, böylece gözden geçirebilir ve sitenizin güvenli olduğundan emin olabilirsiniz.

Wordfence'deki bir başka güzel özellik de 2 Faktörlü Kimlik Doğrulama modülüne sahip olmalarıdır, böylece bu gönderide 3 numaralı öneriyi devre dışı bırakabilirsiniz. Aynı koruma hattında, birden çok kez oturum açmaya çalışan IP adreslerini kilitlemek için kaba kuvvet korumasına da sahiptirler.

 

Sucuri

Sucuri WordPress web sitenizi korumaya yardımcı olabilecek başka bir harika güvenlik eklentisidir. Dikkate değer bir istisna dışında Wordfence tarafından sunulan aynı harika özelliklerin çoğuna sahiptir: ücretsiz güvenlik duvarı yoktur – yalnızca premium ücretli planda kullanılabilir.

Sucuri ile ilgili önemli bir not, eklentinin yakın zamanda GoDaddy tarafından satın alınmış olması ve dolayısıyla eklentiyi doğru bir şekilde destekleme yeteneklerinin henüz kanıtlanmamasıdır. Web barındırma çevrelerinde GoDaddy'ye olumlu bakılmıyor, bu nedenle bu itibarın Sucuri'ye uzanıp uzanmayacağını veya bu zorluğun üstesinden gelip gelemeyeceğini yalnızca zaman gösterecek.

Sucuri'de ayrıca bir denetim günlüğü vardır, böylece web sitenizdeki başarısız oturum açmalar gibi güvenlikle ilgili etkinlikleri inceleyebilirsiniz.

 

Hepsi Bir Arada WP Güvenliği ve Güvenlik Duvarı

Hepsi Bir Arada WP Güvenliği ve Güvenlik Duvarı popülerlik açısından Wordfence'e bile yaklaşan tek eklentidir. .htaccess kurallarına dayalı ücretsiz bir güvenlik duvarı, kaba kuvvet koruması ve bir güvenlik tarayıcısı dahil olmak üzere aynı avantajların çoğunu sunar.

İçermediği bir şey 2 Faktörlü kimlik doğrulama modülüdür, bu nedenle bu işlevsellik için bağımsız bir eklenti eklemeniz gerekir.

All in One WP Security & Firewall'un aslında tüm güvenlik eklentileri arasında en sağlam güvenlik duvarını sağladığı söylenebilir. Güvenlik duvarı .htaccess tabanlı olduğundan, herhangi bir komut dosyası çalıştırılmadan önce işlenir ve bu da onu çok güvenilir kılar.

Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı, otomatik yorum spam'ına karşı korunmaya yardımcı olacak güzel bir özellik de içerir. Alternatif olarak, WordPress varsayılan yorum sistemini şununla değiştirebilirsiniz: Deeper Yorumlar Ek özellikler ve koruma için.

 

Cloudflare'ı kullanın

Cloudflare, web sitenizi hızlandırmaya yardımcı olan mükemmel (ve ücretsiz) CDN hizmeti nedeniyle WordPress kullanıcıları arasında popülerlik kazandı. Ancak Cloudflare, sitenizi saldırılara karşı güçlendirmeye yardımcı olan bir dizi ücretsiz araç da sunar.

Birincisi, ad sunucularınızı Cloudflare'a yönlendirdiğinizde, mevcut en hızlı ve en güvenli DNS hizmetlerinden ve ücretsiz SSL sertifikalarından birinden yararlanırsınız.

Cloudflare sunucuları, DDoS saldırıları için sunucunuza ulaşmadan önce tüm trafiği kontrol eder ve güvenlik duvarları, ülkeye, ASN'ye ve hatta trafiği filtrelemenize izin veren ücretsiz sürümde (sınırlı sayıda kuralla) bile yüksek düzeyde yapılandırılabilir. URL veya sorgu dizesi.

Örnek olarak, web sitenize yalnızca tek bir IP adresinden veya az sayıda sabit IP adresinden giriş yapıyorsanız, Cloudflare'de diğer tüm IP'lerin wp-admin veya wp-login.php'ye erişmesini bile engelleyen bir kural oluşturabilirsiniz. . Bu, 3. bölümde bahsettiğimiz kaba kuvvet saldırılarını gerçekleştirmeye çalışan tüm botları engeller. .htaccess dosyanızı kullanarak wp-admin'e erişimi kısıtlayın Cloudflare yerine. Birden fazla koruma katmanı istiyorsanız her ikisini de uygulayabilirsiniz (şiddetle tavsiye edilir).

 

Nulled Temalar veya Eklentiler Kullanmayın

Bu premium temayı istiyor musunuz, ancak bunun için ödeme yapmak istemiyor musunuz? Eh, onu boş temalar ve eklentiler sunan kabataslak sitelerden birinden alırsanız, ücretsiz olarak alabilirsiniz. Ama yine de bir bedeli var…

Boş bir tema veya eklenti kullandığınızda, ürünün resmi satıcı tarafından sunulanla aynı olduğu garantisini kaybedersiniz. Bu, kodun bütünlüğünü kaybettiğiniz anlamına gelir.

Nulled temalar ve eklentiler önemli bir kötü amaçlı yazılım kaynağıdır, çünkü bazen eklentiyi geçersiz kılan her kimse, sitenizi ele geçirmek veya kripto madenciliği için kaynaklarınızı çalmak gibi diğer kötü amaçlı eylemleri gerçekleştirmek için kendi kötü amaçlı yazılımlarını buna ekledi.

Nulled temalar ve eklentiler, farkında olmadan kendi web sitenize isteyerek yüklediğiniz kötü amaçlı yazılımlardır. Sadece birkaç dolar tasarruf etmek için mi? Buna değmez. Premium bir özelliğe ihtiyacınız varsa, bunun için saygın bir geliştiriciye ödeme yapın.

 

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress yönetici panosu, temanızın ve eklenti dosyalarınızın içeriğini değiştirmenize olanak tanıyan çok kullanışlı bir yerleşik düzenleyiciye sahiptir. Ne yazık ki, bu düzenleyici, bilgisayar korsanlarının hesabınıza girmeleri durumunda web sitenizin kodunu değiştirmesini de kolaylaştırır.

Gerçek şu ki, neredeyse asla bu işlevi kullanacak. Bir çekirdek dosyayı düzenlerseniz, muhtemelen bunu doğrudan ana makinenizin dosya yöneticisi aracılığıyla veya bir FTP istemcisi kullanarak yapacaksınız.

Bu satırı wp-config.php dosyanıza ekleyerek yönetici panosundan dosyaları düzenleme özelliğini devre dışı bırakabilirsiniz:

define('DISALLOW_FILE_EDIT', true);

Bu satırı eklediğinizde, WordPress yönetici panosundaki eklenti ve tema dosyaları için düzenleme menüleri artık kullanılamaz.

 

wp-config.php Dosyanızı Taşıyın ve Yeniden Adlandırın

Biz wp-config.php dosyasından bahsederken, birçok kişi wp-config.php dosyasını WordPress kurulumunuzdan bir dizine taşıyabileceğinizi ve sitenizin gayet iyi çalışacağını zaten biliyor. Ama hadi bir adım daha ileri gidelim.

wp-config.php dosyasını gerçekten istediğiniz şekilde yeniden adlandırabileceğinizi ve onu WordPress kurulumunuzdan tamamen ortak olmayan bir klasöre taşıyabileceğinizi biliyor muydunuz? Yapması biraz daha fazla iş gerektiriyor, ama buna değer.

Dosyanın kendisi bir web tarayıcısında çağrıldığında genellikle boş bir sayfa döndürürken, PHP işleyicisinin başarısız olduğu nadir durumlarda, dosyanın tüm içeriği doğrudan bir web tarayıcısında düz metin olarak görünebilir.

wp-config.php dosyası, veritabanı kullanıcı adı ve şifresi dahil olmak üzere web siteniz hakkında hassas bilgiler içerir. Bu bilgi yanlış ellere geçerse felaket olabilir. Dosyayı rastgele bir şeyle yeniden adlandırmak, onu botlardan ve bilgisayar korsanlarından gizlemeye yardımcı olur.

By wp-config.php'yi ortak olmayan bir klasöre taşıma, PHP hander hatası sırasında birisinin bilgileri bir tarayıcı aracılığıyla alma yeteneğini ortadan kaldırırsınız.

 

Sitenizdeki Denetim Etkinliği

Web sitenizde neler olup bittiğini takip etmiyorsanız, sizi kötü niyetli faaliyetlere teşebbüs konusunda uyarabilecek önemli bilgileri kaçırıyor veya sitenizin güvenliği zaten ihlal edilmişse kötü niyetli faaliyetler keşfediyor olabilirsiniz.

Güvenlik avantajlarının yanı sıra, birden fazla kullanıcıya sahip bir siteniz varsa, iyi bir denetim eklentisine sahip olmak, yasal etkinlikleri izleyebilmenize de yardımcı olabilir. Bir ajans olarak, müşterinizin yapmadığını söylese bile bir şeyi berbat edip etmediğini bilmek için harika bir araçtır!

Site etkinliğini denetlemek için birkaç iyi eklenti vardır. Daha önce bahsedilen güvenlik eklentilerinin bazılarının bir düzeyde denetim günlüğü özelliği vardır, ancak aşağıdakiler yalnızca güvenlikle ilgili olaylar yerine tüm kullanıcı etkinliklerini denetleyerek bunu bir sonraki düzeye taşır. İşte ilk 3

 

Basit Geçmiş – Kullanıcı Etkinlik Günlüğü, Denetim Aracı

Basit Tarih denetim için en popüler eklentidir ve test etmeye başlamak için harika bir eklentidir. İçerik güncellemeleri, eklenti yüklemeleri ve etkinleştirmeleri ve hemen hemen her tür kullanıcı etkinliği gibi beklediğiniz her şeyi günlüğe kaydeder.

Eklentinin 5 yıldızlı bir derecelendirmesi var ve geliştirici ekibi destek forumlarında oldukça aktif ve oradaki destek sorularını makul bir zaman diliminde düzenli olarak yanıtlıyor.

 

WP Etkinlik Günlüğü

The WP Etkinlik Günlüğü eklenti, siteniz için kullanabileceğiniz başka bir harika seçenektir. Belirli olayların denetimini etkinleştirme ve devre dışı bırakma yeteneği ve günlüğe kaydetme için yapılandırılabilir bir saklama süresi gibi önceki eklentiden daha yapılandırılabilir seçeneklere sahiptir. Ayrıca, izlemeyi WooCommerce ve WPForms gibi özel eklentilere genişletmek için bir sürü eklentiye sahiptir.

Eklenti 4.5 yıldızlı bir derecelendirmeye sahiptir ve lider geliştirici, hemen hemen her destek forumu sorusuna kişisel olarak yanıt verir.

Bir ajans işletiyorsanız, WP Activity Log, popüler yönetim aracı MainWP ile iyi bir şekilde entegre olur, böylece tüm müşteri sitelerinizin denetim günlüklerini tek bir arayüzde görüntüleyebilirsiniz. Ajanslar arasında, WP Activity Log, denetim günlüğü için 1 numaralı seçimdir.

 

Etkinlik Günlüğü

4.5 yıldızlı derecelendirme ile bir başka popüler seçenek. Etkinlik Günlüğü beklediğiniz her şeyi yakalar ve çok sayıda etkin kuruluma sahiptir.

Ne yazık ki geliştirici, çoğu destek sorusu süresiz olarak yanıtsız kaldığı için forumlardaki destek isteklerine genellikle yanıt vermez.

 

En Az Ayrıcalık İlkesinden Yararlanın

Siber güvenlik dünyasında, En Az Ayrıcalık İlkesi, kullanıcının yalnızca işini yapmak için ihtiyaç duyduğu izinlere sahip olduğu bir kavramdır.

WordPress dünyasında, tümü Yönetici olarak ayarlanmış 10 kullanıcılı bir şirket görmek nadir değildir. Bu erişim düzeyinin meşru nedenleri olabilir, ancak bu kadar yüksek düzeyde izinlere sahip 1 veya 2'den fazla hesaba ihtiyaç duyulması nadirdir.

Kontrol edemediğiniz bir şey, kullanıcılarınızın WordPress web sitenizde aktif olarak çalışmadıklarında ne yaptıklarıdır. Bunun anlamı, eğer başaramazlarsa kendi verilerini bilgisayar korsanlarından korumak, özensizliğin web sitenize sıçraması için iyi bir şans var.

Erişimlerini sınırlayarak, bir kullanıcının web sitenizde oturum açmış durumdayken kötü niyetli bir bağlantıya tıklamak gibi istemeden yapabileceği herhangi bir zararı azaltabilirsiniz. Site yöneticisi olsanız bile, üst düzey yönetim görevleri gerçekleştirmediğinizde sınırlı izinlere sahip ayrı bir düzenleyici hesabı kullanmalısınız.

Bunu yapmak sıkıcı mı? Emin. Ancak virüslü bir web sitesini temizlemek zorunda kalmaktan çok daha az sıkıcı.

 

Bonus: Sık Yedekleme Alın

Sitenizin güvenliğinin ihlal edildiği en kötü senaryoda, bazen tek seçenek siteyi temiz bir yedekten geri yüklemektir; enfeksiyondan önce alınmış olan. Çoğu iyi web barındırma şirketi sitenizi günde bir kez yedekler, ancak genellikle bu yedekleri yalnızca birkaç hafta saklarlar.

Bir süredir fark edilmeyen bir enfeksiyonunuz varsa bu sorunludur. Çoğu enfeksiyon, tespit edilmekten mümkün olduğunca uzun süre kaçınmak için kendilerini oturum açmış yöneticilerden etkili bir şekilde gizler.

Artık güvenliğin en iyi katman olduğunu bildiğiniz için, web barındırıcınıza ek olarak kendi yedeklerinizi alarak aynı konsepti yedeklerinize uygulayabilirsiniz.

Dahil olmak üzere bazı harika ücretsiz yedekleme eklentileri vardır. UpdraftPlus, BackWPup, ve Hepsi Bir Arada WP Göç. Her birinin kendi güçlü ve zayıf yönleri vardır, ancak hepsi çok güvenilirdir ve sitenizi daha düzenli olarak yedeklemenizi sağlar. Hatta bazı durumlarda Dropbox veya OneDrive gibi uzak bulut depolama alanına otomatik olarak yedekleme yapabilirsiniz.

 

Son Düşüncelerimiz

WordPress güvenliği, bir web sitesine sahip olmanın önemli bir parçasıdır. Yanlış veya ihmal edildiğinde de zaman alıcı ve kaynak yoğun bir süreç olabilir. Bu gönderideki anahtarları uygulayarak, güvenlik gereksinimlerinizin çoğunu otomatik hale getirebilirsiniz, böylece önemli olana, işinize odaklanabilirsiniz.