ArmyYazılım

WordPress Güvenlik Rehberi – Adım Adım

Kasım 3, 2019 | İbrahim Bozkurt

WordPress Güvenlik. WordPress güvenliği her web sitesi sahibi için büyük öneme sahip bir konudur. 

WordPress Güvenlik Rehberi - Adım Adım
WordPress Güvenlik Rehberi – Adım Adım

Google, kötü amaçlı yazılımlar için her gün yaklaşık 10.000’den fazla kötüye kullanımı bulunan web sitesini ve her hafta phishing (Yemleme) için faaliyet gösteren yaklaşık 50.000 kişiyi kara listeye alır.

Web siteniz konusunda ciddiyseniz, WordPress için en iyi güvenlik uygulamalarına dikkat etmeniz gerekir.

Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olmak için en iyi WordPress güvenlik ipuçlarını paylaşacağız.

WordPress çekirdek yazılımı çok güvenli olmasına rağmen, yüzlerce geliştirici tarafından düzenli olarak denetlenirken sizinde sitenizi güvende tutmak için yapabileceğiniz birçok şey vardır.

ArmyYazilim.com‘da güvenliğin risklerin ortadan kaldırılması ile ilgili olmadığına inanıyoruz. Çünkü riskler hiçbir zaman ortadan kaldırılamaz.

Günümüzde dünyanın en güvenli sitemleri bile hacklenebilirken bizim WordPress sitemiz için riskleri ortadan kaldırmamız mümkün değildir.

Bu nedenle WordPress sitemizdeki riskleri en aza indirmek için bu makaleyi kaleme aldık.

Bir web sitesi sahibi olarak, WordPress güvenliğinizi artırmak için yapabileceğiniz çok şey var (teknik bilgili olmasanız bile).

Web sitenizi güvenlik açıklarına karşı korumak için gerçekleştirebileceğiniz birkaç uygulanabilir adım vardır.

Kolaylaştırmak için, nihai WordPress güvenlik rehberimizde kolayca dolaşmanıza yardımcı olacak bir içerik tablosu hazırladık.

WordPress Güvenlik Makalesinin İçindekiler

WordPress Güvenliğinin Temelleri

Kolay Adımda WordPress Güvenliği (Kodlama Yok)

Geliştiriciler için WordPress Güvenliği

Hazır mısınız? Hadi Başlayalım.

WordPress Güvenlik Temelleri

WordPress güvenliği ile ilgili en temel ayarları bu başlık altında inceledik. Bu başlık altındaki bilgileri kodlama bilmeden uygulayabilirsiniz.

Web Sitesi Güvenliği Neden Önemli?

Saldırıya uğramış bir WordPress sitesi, işletme gelirinize ve itibarınıza ciddi zarar verebilir.

Bilgisayar korsanları, kullanıcı bilgilerini, şifreleri çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

En kötüsü, sadece web sitenize yeniden erişim sağlamak için bile bilgisayar korsanlarına fidye ödeyebilirsiniz.

WordPress Güvenlik Web Sitesi Güvenliği Neden Önemli
WordPress Güvenlik Web Sitesi Güvenliği Neden Önemli

Mart 2016’da, Google, 50 milyondan fazla web sitesi kullanıcısının ziyaret ettikleri bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıldığını bildirdi.

Ayrıca, Google kötü amaçlı yazılımlar için yaklaşık 20.000 web sitesini ve her hafta phishing için yaklaşık 50.000 kişiyi kara listeye ekler.

Web siteniz bir işletmeyse, WordPress güvenliğine daha fazla dikkat etmeniz gerekir.

İşletme sahiplerinin fiziksel mağaza binalarını koruma sorumluluklarına benzer şekilde, bir çevrimiçi işletme sahibi olarak işletme web sitenizi korumak sizin sorumluluğunuzdadır.

WordPress’i Güncel Tutmak

WordPress düzenli olarak bakımı yapılan ve güncellenen açık kaynaklı bir yazılımdır.

WordPress Güvenlik WordPress'i Güncel Tutmak
WordPress Güvenlik WordPress’i Güncel Tutmak

Varsayılan olarak, WordPress küçük güncelleştirmeleri otomatik olarak yükler.

Fakat büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.

WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir.

Bu eklentiler ve temalar, düzenli olarak güncellemeleri yayınlayan üçüncü taraf geliştiriciler tarafından da korunmaktadır.

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve kararlılığı için çok önemlidir.

WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.

Güçlü Parolalar ve Kullanıcı İzinleri

En yaygın WordPress saldırı girişimleri, çalınan şifreleri kullanır.

Güçlü Parolalar ve Kullanıcı İzinleri
Güçlü Parolalar ve Kullanıcı İzinleri

Web siteniz için benzersiz olan daha güçlü şifreleri kullanarak bunu zorlaştırabilirsiniz.

Yalnızca WordPress yönetici alanı için değil, aynı zamanda FTP hesapları, veritabanı, WordPress barındırma hesabı ve sitenizin etki alanı adını kullanan özel e-posta adresleriniz için de geçerlidir.

Yeni başlayanların çoğu, güçlü şifreler kullanmaktan hoşlanmıyor çünkü hatırlaması zor.

İyi olan, artık şifreleri hatırlamanıza gerek kalmamasıdır. Bir şifre yöneticisi kullanabilirsiniz.

Google ve birçok güvenilir şirket şifre yöneticisi eklentileri sunuyor.

Chrome araç çubuğuna ekleyeceğiniz Google şifre yöneticisi eklentisiyle sorunu çözebilirsiniz.

Riski azaltmanın bir başka yolu, kesinlikle gerekmedikçe hiç kimsenin WordPress yönetici hesabınıza erişmesine izin vermemektir .

Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress’teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun .

WordPress Hosting’in Rolü

Kişisel WordPress barındırma hizmeti WordPress sitenizin güvenliğinde en önemli rolü oynar.

BluehostSiteground, Natro veya Turhost gibi iyi bir paylaşılan barındırma sağlayıcısı , sunucularını ortak tehditlere karşı korumak için ek önlemler almaktadır.

İyi bir web hosting şirketi web sitelerini ve verilerinizi korumak için arka planda nasıl çalışır?

  • Şüpheli faaliyetler için ağlarını sürekli izlerler.
  • Tüm iyi hosting firmalarının büyük çapta DDOS saldırılarını önleyen araçları var
  • Bilgisayar korsanlarının eski bir sürümde bilinen bir güvenlik açığından yararlanmalarını önlemek için sunucu yazılımlarını ve donanımlarını güncel tutarlar.
  • Büyük kaza durumunda verilerinizi korumalarını sağlayan felaket kurtarma ve kaza planlarını uygulamaya hazırdırlar.

Paylaşılan bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız.

Bu, bir hacker’a komşu bir siteyi web sitenize saldırmak için kullanabileceği siteler arası kontaminasyon riskini açar.

Yönetilen bir WordPress barındırma hizmeti kullanmak , web siteniz için daha güvenli bir platform sağlar.

Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar.

Tercih edilen yönetilen WordPress hosting sağlayıcısı olarak Natro’yu tavsiye ediyoruz .

Ayrıca sektördeki en popüler olan hosting firmalarındandır.

Kolay Adımda WordPress Güvenlik (Kodlama Yok)

WordPress güvenliğini arttırmanın yeni başlayanlar için korkunç bir düşünce olabileceğini biliyoruz. Özellikle de teknisyen değilseniz. Bu konuda yalnız değilsin.

Binlerce WordPress kullanıcısının WordPress güvenliklerini sağlamlaştırmalarına yardımcı olduk size de yardımcı olacağız.

WordPress güvenliğinizi yalnızca birkaç tıklatmayla nasıl geliştirebileceğinizi göstereceğiz (kodlama gerekmez).

İşaretler ve tıklarsanız, bunu yapabilirsiniz!

Bir WordPress Yedekleme Çözümü yükleyin

Yedekler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey 100% güvenli değildir. Hükümet web siteleri hacklenebiliyorsa, sizinki de hacklenebilir.

Bir WordPress Yedekleme Çözümü yükleyin
Bir WordPress Yedekleme Çözümü yükleyin

Yedekler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.

Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedekleme söz konusu olduğunda bilmeniz gereken en önemli şey, tam site yedeklemelerini düzenli bir şekilde uzak bir konuma (barındırma hesabınıza değil) kaydetmeniz gerektiğidir.

Amazon, Dropbox veya Stash gibi özel bulutlar gibi bir bulut hizmetinde saklamanızı öneririz.

Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar günde bir kez veya gerçek zamanlı yedeklemeler olabilir.

Neyse ki bu VaultPress veya UpdraftPlus gibi eklentiler kullanılarak kolayca yapılabilir .

Hem güvenilir hem de en önemlisi kullanımı kolaydır (kodlamaya gerek yoktur).

En İyi WordPress Güvenlik Eklentisi

Yedeklemelerin ardından, yapmamız gereken bir sonraki şey web sitenizde olan her şeyi izleyen bir denetim ve izleme sistemi kurmak.

Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması vb. dahildir.

Neyse ki, tüm bu en iyi ücretsiz WordPress güvenlik eklentisi Sucuri Scanner tarafından halledilir.

Sucuri

Ücretsiz Sucuri Security eklentisini kurmanız ve etkinleştirmeniz gerekir. Aktivasyon üzerine, WordPress yöneticinizdeki Sucuri menüsüne gitmeniz gerekir.

Yapmanız istenecek ilk şey ücretsiz bir API anahtarı oluşturmaktır. Bu, denetim günlüğü, bütünlük kontrolü, e-posta uyarıları ve diğer önemli özellikleri sağlar.

Sucuri Api Key
Sucuri Api Key

Yapmanız gereken bir sonraki şey, ayarlar menüsünden ‘Hardening‘ sekmesine tıklamak. Her seçeneğe göz atın ve “Hardening Uygula” düğmesine tıklayın.

Sucuri Güvenlik Sertleştirme
Sucuri Güvenlik Sertleştirme

Bu seçenekler, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları kilit alanları kilitlemenize yardımcı olur. Ücretli yükseltme olan “only hardening” seçeneği, bir sonraki adımda açıklayacağımız Web Uygulaması Güvenlik Duvarıdır, şimdilik atlayın.

Ayrıca, bu makalenin ilerleyen bölümlerinde, bir eklenti kullanmadan veya “Veritabanı Öneki değişikliği” veya “Yönetici Kullanıcı Adının Değiştirilmesi” gibi ek adımlar gerektirenler için bu “Hardening” seçeneklerinin çoğunu da ele aldık.

Hardening bölümünden sonra, varsayılan eklenti ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişiklik yapmanıza gerek yoktur. Özelleştirmenizi önerdiğimiz tek şey ‘E-posta Uyarıları‘.

Varsayılan uyarı ayarları, gelen kutunuzu e-postalarla karıştırabilir. Eklentilerdeki değişiklikler, yeni kullanıcı kaydı vb. gibi önemli eylemler için uyarılar almanızı öneririz.

Uyarıları Sucuri Ayarları »Uyarılar bölümüne giderek yapılandırabilirsiniz.

Sucuri E-posta Uyarıları
Sucuri E-posta Uyarıları

Bu WordPress güvenlik eklentisi çok güçlüdür, bu yüzden Kötü Amaçlı Yazılım tarama, Denetim günlükleri, Başarısız Giriş Denemesi izleme vb. işlemleri görmek için tüm sekmelere ve ayarlara göz atın.

Web Uygulaması Güvenlik Duvarını (WAF) Etkinleştir

Sitenizi korumanın ve WordPress güvenliğinden emin olmanın en kolay yolu, bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.

Bir web sitesi güvenlik duvarı, web sitenize ulaşmadan önce tüm kötü amaçlı trafiği engeller.

DNS Seviyesi Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca orijinal trafik göndermelerini sağlar.

Uygulama Seviyesi Güvenlik Duvarı – Bu güvenlik duvarı eklentileri trafiği sunucunuza ulaştığı zaman çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS düzeyindeki güvenlik duvarı kadar verimli değildir.

Sucuri Web Uygulaması Güvenlik Duvarı
Sucuri Web Uygulaması Güvenlik Duvarı

Bizim de kullandığımız ve tavsiye ettiğimiz Sucuri WordPress için en iyi web uygulama güvenlik duvarıdır.

WPBeginner sitesine ayda 450.000 WordPress saldırısı yapıldı ve Sucuri bunları engellemeyi başardı.

WPBeginner Sucuri Güvenlik Analizi
WPBeginner Sucuri Güvenlik Analizi

Sucuri’nin güvenlik duvarının en iyi yanı, kötü amaçlı yazılım temizleme ve kara listeden kaldırma garantisi ile birlikte gelmesidir.

Temel olarak, siteniz saldırıya uğramış ve hasar görmüşse; Sucuri, web sitenizi düzelteceğini garanti eder (kaç sayfanız varsa).

Bu oldukça güçlü bir garantidir, çünkü saldırıya uğramış web sitelerinin onarımı pahalıdır.

Güvenlik uzmanları normalde saat başına 250 dolar alıyor. Oysa bütün Sucuri güvenlik yığınını yılda 199 $ karşılığında alabilirsiniz.

WordPress Sitenizi SSL / HTTPS’ye Taşıyın

SSL (Güvenli Yuva Katmanı), web siteniz ile kullanıcı tarayıcınız arasında veri aktarımını şifreleyen bir protokoldür.

Bu şifreleme, birinin etrafa burnunu sokmasını ve bilgi çalmasını zorlaştırır.

WordPress Sitenizi SSL HTTPS ye Taşıyın
WordPress Sitenizi SSL HTTPS ye Taşıyın

SSL’yi etkinleştirdiğinizde, web siteniz HTTP yerine HTTPS’yi kullanacak, web sitenizin yanında tarayıcıda bir asma kilit işareti göreceksiniz.

SSL sertifikaları tipik olarak sertifika yetkilileri tarafından verilir ve fiyatları sertifika veren firmadan firmaya değişir. Ama ek maliyet nedeniyle, çoğu web sitesi sahibi güvensiz protokolü kullanmaya devam etmeyi seçer.

Bunu düzeltmek için, Let’s Encrypt adlı kar amacı gütmeyen bir organizasyon, web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından desteklenmektedir.

Artık tüm WordPress web siteleriniz için SSL kullanmaya başlamak hiç olmadığı kadar kolay. Pek çok barındırma şirketi şimdi WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor zaten.

Barındırma şirketiniz bir teklif sunmuyorsa, Domain.com adresinden bir tane satın alabilirsiniz . Piyasadaki en iyi ve en güvenilir SSL anlaşmasına sahiptirler. 10,000 dolar güvenlik garantisi ve TrustLogo güvenlik mührü ile birlikte geliyor.

Geliştiriciler için WordPress Güvenlik

Şu ana kadar bahsettiğimiz her şeyi yaparsanız, oldukça iyi durumdasınız demektir.

Ancak her zaman olduğu gibi, WordPress güvenliğinizi sertleştirmek için yapabileceğinizden daha fazlası var.Bu adımların bazıları kodlama bilgisi gerektirebilir.

Varsayılan “admin” kullanıcı adını değiştir

Eski günlerde varsayılan WordPress admin kullanıcı adı “admin” idi. Kullanıcı adları oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bilgisayar korsanlarının kaba kuvvet saldırıları yapmalarını kolaylaştırdı.

Neyse ki, WordPress bunu değiştirdi ve şimdi WordPress’i yüklerken özel bir kullanıcı adı seçmenizi istiyor.

Bununla birlikte, bazı 1 tıklamayla WordPress yükleyicileri, hala varsayılan yönetici kullanıcı adını “admin” olarak ayarlayabiliyor. Öyle olacağını fark ederseniz, muhtemelen web barındırma geçişinizi değiştirmek iyi bir fikir olabilir.

WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.

  1. Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
  2. Username Changer eklentisini kullanın
  3. PhpMyAdmin’deki kullanıcı adını güncelleyin.

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, tema ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenizi sağlayan yerleşik bir kod düzenleyici ile birlikte gelir.

Yanlış ellerde, bu özellik bir güvenlik riski oluşturabilir, bu yüzden kapatmanızı öneririz.

Dosya Düzenlemeyi Devre Dışı Bırak
Dosya Düzenlemeyi Devre Dışı Bırak

Bunu, wp-config.php dosyanıza aşağıdaki kodu ekleyerek kolayca yapabilirsiniz .

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak 1 tıklamayla bunu yapabilirsiniz.

Bazı WordPress Dizinlerinde PHP Dosya Çalıştırmasını Devre Dışı Bırakma

WordPress güvenliğinizi sertleştirmenin bir başka yolu da / wp-content / uploads / gibi ihtiyaç duyulmayan dizinlerde PHP dosya yürütmesini devre dışı bırakmaktır.

Bunu Notepad gibi bir metin düzenleyicisini açıp şu kodu yapıştırarak yapabilirsiniz:

<Files *.php>
deny from all
</Files>

Daha sonra, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki / wp-content / uploads / klasörlerine yüklemeniz gerekir .

Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Güvenlik Sertleştirme özelliğini kullanarak 1 tıklamayla bunu yapabilirsiniz.

Limit Giriş Denemeleri

Varsayılan olarak, WordPress kullanıcıların istedikleri kadar giriş yapmasını sağlar.

Bu, WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır.

Hackerlar farklı kombinasyonlarla giriş yapmaya çalışarak şifreleri kırmaya çalışıyorlar.

Bu, kullanıcının yapabileceği başarısız oturum açma girişimlerini sınırlayarak kolayca düzeltilebilir.

Daha önce belirtilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.

Ancak, güvenlik duvarı kurulumuna sahip değilseniz, aşağıdaki adımlarla devam edin.

Öncelikle, Login LockDown eklentisini kurmanız ve etkinleştirmeniz gerekir.

Limit Giriş Denemesi
Limit Giriş Denemesi

Etkinleştirmeden sonra eklentiyi ayarlamak için Ayarlar »Oturum Açma LockDown sayfasını ziyaret edin.

İki Faktör Kimlik Doğrulaması Ekleyin

İki faktörlü kimlik doğrulama tekniği, kullanıcıların iki aşamalı bir kimlik doğrulama yöntemi kullanarak giriş yapmasını gerektirir. Birincisi, kullanıcı adı ve şifredir ve ikinci adım, ayrı bir cihaz veya uygulama kullanarak kimlik doğrulaması yapmanızı gerektirir.

Google, Facebook, Twitter gibi en iyi çevrimiçi web siteleri, hesaplarınız için etkinleştirmenize izin verir. Aynı işlevi WordPress sitenize de ekleyebilirsiniz.

Öncelikle, İki Faktör Kimlik Doğrulama eklentisini kurmanız ve etkinleştirmeniz gerekir .

Aktivasyon üzerine, WordPress admin kenar çubuğundaki ‘Two Factor Auth‘ bağlantısına tıklamanız gerekiyor.

İki Faktör Kimlik Doğrulaması Ekleyin
İki Faktör Kimlik Doğrulaması Ekleyin

Daha sonra, telefonunuza bir kimlik doğrulayıcı uygulaması kurmanız ve açmanız gerekir. Bunlardan bazıları Google Authenticator, Authy ve LastPass Authenticator’dur.

Hesaplarınızı buluta yedeklemenizi sağladıkları için LastPass Authenticator veya Authy kullanmanızı öneririz.

Telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon almanız durumunda bu çok kullanışlıdır. Tüm hesap girişleriniz kolayca geri yüklenir.

Eğitim için LastPass Kimlik Doğrulayıcı’yı kullanacağız. Ancak, talimatlar tüm auth uygulamaları için benzerdir.

Kimlik doğrulama uygulamanızı açın ve ardından Ekle düğmesine tıklayın.

İki Faktör Kimlik Doğrulaması Ekleyin 2
İki Faktör Kimlik Doğrulaması Ekleyin 2

Bir siteyi manuel olarak mı taramak, yoksa barkodu taramak isteyip istemediğiniz sorulacak.

Barkodu tara seçeneğini seçin ve ardından telefonunuzun kamerasını eklentinin ayarları sayfasında gösterilen QRcode üzerine getirin.

Hepsi bu, kimlik doğrulama uygulamanız şimdi kaydedecek. Web sitenize bir daha giriş yaptığınızda, şifrenizi girdikten sonra iki faktörlü kimlik doğrulama kodu istenecektir.

İki Faktör Kimlik Doğrulaması Ekleyin 3
İki Faktör Kimlik Doğrulaması Ekleyin 3

Telefonunuzdaki kimlik doğrulayıcı uygulamasını açmanız ve üzerinde gördüğünüz kodu girmeniz yeterlidir.

WordPress Veritabanı Önekini Değiştirin

Varsayılan olarak, WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak “wp_” kullanır .

WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden değiştirmenizi tavsiye ediyoruz.

Not: Bu düzgün yapılmazsa sitenizi bozabilir. Yalnızca kodlama becerileriniz konusunda rahat hissediyorsanız devam edin.

Şifre Koruması WordPress Yönetici ve Giriş Sayfası

Normalde, bilgisayar korsanları wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmadan talep edebilir.

Şifre Koruması WordPress Yönetici ve Giriş Sayfası
Şifre Koruması WordPress Yönetici ve Giriş Sayfası

Bu, bilgisayar korsanlık numaralarını denemelerine veya DDoS saldırıları yapmalarına izin verir.

Sunucu tarafında, bu istekleri etkili bir şekilde engelleyecek ek bir şifre koruması ekleyebilirsiniz.

Dizin Dizinlemeyi ve Taramayı Devre Dışı Bırak

Dizin tarama, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim kazanmak için bu dosyalardan yararlanabilirler.

Dizin Dizinlemeyi ve Taramayı Devre Dışı Bırak
Dizin Dizinlemeyi ve Taramayı Devre Dışı Bırak

Dizin tarama, diğer insanlar tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı bulmak ve diğer bilgileri bulmak için de kullanılabilir.

Bu yüzden, dizin indeksleme ve tarama işlemlerini kapatmanız şiddetle tavsiye edilir.

Web sitenize FTP veya cPanel’in dosya yöneticisini kullanarak bağlanmanız gerekir.

Ardından, web sitenizin kök dizinindeki .htaccess dosyasını bulun. 

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Options -Indexes

.Htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın.

WordPress te Güvenlik için XML-RPC’yi devre dışı bırakın

XML-RPC, WordPress 3.5’te varsayılan olarak etkindir; çünkü WordPress sitenizi web ve mobil uygulamalara bağlamaya yardımcı olur.

Güçlü doğası gereği, XML-RPC kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Örneğin, geleneksel olarak bir hacker web sitenizde 500 farklı şifre denemek isterse, oturum açma kilitleme eklentisi tarafından yakalanacak ve engellenecek olan 500 ayrı oturum açma denemesi yapmak zorunda kalacaklardır.

Ancak, XML-RPC ile bir bilgisayar korsanı, 20 veya 50 istekle binlerce parolayı denemek için system.multicall işlevini kullanabilir.

Bu nedenle, XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.

WordPress’te XML-RPC’yi devre dışı bırakmanın 3 yolu vardır ve bunların hepsini, WordPress’te XML-RPC’nin nasıl devre dışı bırakılacağına ilişkin adım adım öğretici adımda ele aldık .

İpucu: .htaccess yöntemi en iyisidir.

Daha önce belirtilen web uygulaması güvenlik duvarını kullanıyorsanız, bu güvenlik duvarından sorumludur zaten.

WordPress’teki Boşta Kullanıcıları otomatik olarak kapat

Giriş yapan kullanıcılar bazen ekrandan uzaklaşabilir ve bu bir güvenlik riski oluşturur. Birisi oturumunu ele geçirebilir, şifreleri değiştirebilir veya hesabında değişiklikler yapabilir.

Bu yüzden birçok bankacılık ve finans sitesi otomatik olarak etkin olmayan bir kullanıcı oturumunu kapatır. Benzer işlevleri WordPress sitenize de uygulayabilirsiniz.

Inactive Logout eklentisini kurmanız ve etkinleştirmeniz gerekir . Aktivasyon üzerine, eklenti ayarlarını yapılandırmak için Ayarlar »Aktif Olmayan Oturumları Kapat sayfasını ziyaret edin.

WordPress'teki Boşta Kullanıcıları otomatik olarak kapat
WordPress’teki Boşta Kullanıcıları otomatik olarak kapat

Basitçe zaman süresini ayarlayın ve bir oturum kapatma mesajı ekleyin.

Ayarlarınızı kaydetmek için değişiklikleri kaydet düğmesine tıklamayı unutmayın.

WordPress Giriş Ekranına Güvenlik Soruları Ekleme

WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birinin yetkisiz erişim sağlamasını zorlaştırır.

WordPress Giriş Ekranına Güvenlik Soruları Ekleme
WordPress Giriş Ekranına Güvenlik Soruları Ekleme

WP Güvenlik Soruları eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz .

Etkinleştirdikten sonra eklenti ayarlarını yapılandırmak için Ayarlar »Güvenlik Soruları sayfasını ziyaret etmeniz gerekir.

WordPress te Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama

Yüklü bir WordPress güvenlik eklentiniz varsa, bu eklentiler rutin olarak kötü amaçlı yazılımları ve güvenlik ihlallerinin belirtilerini kontrol eder.

WordPress’te Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama
WordPress’te Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama

Ancak, web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz, bir taramayı el ile çalıştırmak isteyebilirsiniz.

WordPress güvenlik eklentinizi kullanabilir veya bu kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanabilirsiniz .

Bu çevrimiçi taramaları çalıştırmak oldukça basittir, web sitenizin URL’lerini girersiniz ve tarayıcıları bilinen kötü amaçlı yazılımları ve kötü amaçlı kodları bulmak için web sitenizi kullanır.

Artık çoğu WordPress güvenlik tarayıcısının sadece web sitenizi tarayabileceğini unutmayın.

Kötü amaçlı yazılımları kaldıramazlar veya saldırıya uğramış bir WordPress sitesini temizleyemezler.

Bu bizi bir sonraki bölüme getirir, kötü amaçlı yazılımları temizler.

Hacklenmiş WordPress Sitesini Düzeltmek

Birçok WordPress kullanıcısı, web siteleri hacklenene kadar yedeklemeler ve web sitesi güvenliğinin önemini anlamıyor.

Bir WordPress sitesinin temizlenmesi çok zor ve zaman alıcı olabilir. İlk önerimiz, bir profesyonelin ilgilenmesine izin vermek olacaktır.

Bilgisayar korsanları etkilenen sitelere arka kapılar kurar ve bu arka kapılar düzgün şekilde sabitlenmezse, web siteniz büyük olasılıkla yeniden saldırıya uğrayacaktır.

Sucuri gibi profesyonel bir güvenlik şirketinin web sitenizi düzeltmesine izin vermek , sitenizin tekrar güvenli bir şekilde kullanılmasını sağlar. Ayrıca gelecekteki saldırılara karşı sizi koruyacaktır.

Hepsi bu, bu makalenin WordPress web siteniz için en iyi WordPress güvenlik eklentilerini keşfetmenize yardımcı olacağını umuyoruz.

Bu makaleyi beğendiyseniz, lütfen WordPress video eğiticileri için YouTube Kanalımıza abone olun . Bizi Twitter ve İnstagram‘da da bulabilirsiniz …



güvenlik sucuri sucuri güvenlik wordpress wordpress güvenlik wordpress sucuri
3 sene / WordPress


Yorumlar