WordPress siteniz için en iyi güvenlik önlemlerini nasıl alacağınızı rehberimiz ile öğrenin.
Son zamanlarda WordPress altyapısına sahip web siteler, web site korsanlarının hedefi haline geldi. Bu yüzden sizler de WordPress web sitenizin güvenliğini artırmak istiyor olabilirsiniz. WordPress güvenlik rehberi sayesinde web sitelerinizi daha güvenli hale getirebilirsiniz.
WordPress güvenliği şüphe duyulması gerekilen bir konu değildir. Çünkü WordPress güvenlidir ancak kullanılan temalar ve bazı eklentiler web sitenizi güvensiz hale getirmektedir. Bu durum WordPress güvenlik açıkları olarak değerlendirilse de aslında mevcut açık CMS sisteminde olmayın ekstra kurulum yapılan öğelerdedir.
WordPress kullanıyorsanız web sitenizi güvenli hale getirmek için yapabileceğiniz birkaç şey bulunmaktadır. Özellikle güvenilir eklenti kullanmanız yapabileceğiniz ilk şeydir.
Bakınız: En iyi WordPress eklentileri
Geçmiş yıllarda bizde web korsanları tarafından çeşitli saldırılara uğradık. Bu da WordPress güvenliği konusunda tecrübe edinmemizi sağladı. Bu tecrübeden yola çıkarak bu WordPress güvenliği konusunda sizleri de aydınlatmaya çalışacağız.
- WordPress Güvenliği Neden Önemlidir
- WordPress Yedeklemelerini Yapılandırın
- Güvenilir Hosting Kullanın
- WordPress’in En Son Sürümünü Kullanın
- WordPress Eklentilerini Güncelleyin
- Son PHP Sürümünü Kullanın
- Web Uygulaması Güvenlik Duvarını (WAF) Kullanın
- WordPress Sürümünü Gizleyin
- Güçlü Oturum Açma Parolası Kullanın
- WordPress Giriş URL’sini Değiştirin
- Dizine Eklenen Sayfalar İçin Google Uyarısı Ayarlayın
- WordPress Klasör Dosya İzinlerini Kontrol Edin
- Varsayılan Yönetici Kullanıcısını Silin
- Eklenti Dizinini Gizleyin
WordPress Güvenliği Neden Önemlidir
Sürekli olarak WordPress’in en güvenilir CMS olduğunu söylüyoruz. Peki, sistem bu kadar güvenliyse ekstra olarak WordPress güvenliği neden çok önemlidir konusuna değiniyoruz?
WordPress CMS olarak elbette çok güvenli. Ancak web sitenin güvenilir olmayan sunucularda barındırılması, kullanılan temalar ve eklentiler güvenli bir sistemi güvensiz hale getirebilmektedir. Kullanılan ekstra kodlar gibi şeyler sistemi açık hale getirerek saldırıya uğrama olasılığını arttırmaktadır. Özellikle WordPress site hızlandırma adı altında eklenen kodlar güvenlik açığı oluşmasına neden olabilir.
Bakınız: Hosting seçiminde dikkat edilmesi gerekenler
Bugüne kadar yapılan saldırıları analiz ettiğimizde birçoğunun kullanılan temalar ve eklentilerden kaynaklandığını görüyoruz. Bilgisayar korsanları WordPress sisteminde açık aramak yerine kullanılan tema ve eklentiler de açık ararlar. Saldırılar genel olarak bu kısımlardan geçekleşir.
WordPress tema ve eklenti yazanlar genelde güvenlik konusunda yeterli bilgiye sahip değildir. Bu durum eklenti ve temaları saldırılara açık hale getirmektedir. Tema ve eklenti yazarları sistemde açık buldukça bunu güncelleme yaparak gidermeye çalışırlar.
Korsanlar genel olarak gelir elde etmek için saldırı yapar. Web sitenize hacklink eklemek ya da başka bir alan adına yönlendirme yapmak onlara gelir sağlayabilir. Bu durum web sitenizde ciddi trafik kayıplarının yaşanmasına neden olur.
Bu tarz durumlarla karşı karşıya kalmamak için WordPress güvenliği çok önemlidir. Şimdi CMS sisteminizi nasıl daha güvenli hale getireceğinizi öğrenelim.
WordPress Yedeklemelerini Yapılandırın
WordPress sisteminde yapılabilecek en büyük hata yedeklemelerin yapılandırılmamış olmasıdır. WordPress tabanlı web siteniz saldırıya uğrasa bile sizin için en önemli şey hiçbir şey kaybetmemek olmalıdır.
Güvenilir WordPress yedekleme sistemine sahip olmamanız yapacağınız en büyük hatadır. WordPress güvenliği için ilk olarak güvenli bir şekilde günlük yedekleme yapmalısınız.
Hosting sağlayıcınız tarafından size sunulan yedekleme sistemini kullanabilirsiniz. Ayrıca WordPress yedekleme işlemi için geliştirilen eklentileri de kullanabilirsiniz.
Hosting firmanız yedekleme hizmeti sunuyor olabilir ancak bu yeterli değildir. Kesinlikle tüm yedeklerin farklı bir sunucuda saklanması gerekir. Hosting seçimi yaparken yedeklerin farklı sunucularda saklanıp saklanmadığını mutlaka öğrenin.
Güvenilir Hosting Kullanın
WordPress, sadece sunucuya yüklenen bir yazılımdan ibarettir. Sistemin güvenirli olması için kullanılan sunucunun da saldırılara karşı yeterli korumaya sahip olması gerekir.
Güvenli olarak nitelendirilen hostinglerin genel olarak şu özellikleri içermesi gerekmektedir:
- DDOS saldırılarına karşı korunmak için sunucu düzeyinde güvenlik duvarı olmalı.
- Fiziksel anlamda güvenlik için birinci sınıf donanım ve veri merkezi olmalı.
- İşletim sistemi güncellenmeli ve periyodik olarak güvenlik yamaları uygulanmalı.
- Yapılan izinsiz girişleri tespit edebilen sistemler bulundurmalıdır.
Hangi hosting firmalarının güvenli olduğunu tespit etmek gerçekten de zordur. Burada sizlere şu ya da bu firmayı tercih edin demeyeceğiz. Ancak hosting seçimi yapmadan önce diğer kullanıcıların görüşlerini almaya özen gösterin diyebiliriz.
WordPress’in En Son Sürümünü Kullanın
WordPress güncellemeleri, genel olarak yeni özellikler eklemek ve açıkları kapatmak için yapılır. Güvenlik açıkları nedeniyle sorun yaşamamak için her zaman WordPress’in en son sürümünü kullanın.
Eğer panelinize WordPress güncellemesi düştüyse bu güncellemeyi en kısa süre içerisinde yapın. Yapılan güncelleme açıklamasında bazı hataları düzelttiklerini, bazı güvenlik açıkları kapattıklarını ve ek özellikler eklediklerini göreceksiniz.
WordPress güncelleme yapması en kolay CMS sistemidir. Admin panelinde yer alan güncellemeler kısmına girip sadece bir tuşa basarak sistem güncellemesi yapabilirsiniz.
Güncellemeyi yapmadan önce bu güncellemenin neyle alakalı olduğuna bakın. Eğer güncelik güncellemesi değilse birkaç gün beklemenizde fayda var. Çünkü kimi zaman eklenti ve tema uyuşmazlığı meydana gelebiliyor. Diğer kullanıcılar güncelleme yapınca sorunlar da ortaya çıkacaktır. Gerekli sorunlar ortadan kaldırıldıktan sonra sistem güncellenmesi yapmak daha doğru olacaktır. Yani kendinizi kurban etmek yerine başkalarını kurban etmeniz daha doğru olur.
WordPress Eklentilerini Güncelleyin
WordPress’in güncel olması kadar eklentilerin de güncel olması gerekmektedir. Makalemizin başında da belirttiğimiz gibi eklentilerde yer alan güvenlik açıkları WordPress güvenliğini direkt olarak etkiler. Eklenti güncellemeleri güvenlik açıklarını kapatmak için yapıldığından dolayı eklentiler en son sürüme getirilmelidir.
Çoğu zaman, açık bulunduran bir eklenti veya 3. taraf komut dosyası, WordPress web sitenizde bir güvenlik açığı oluşturabilir.
Kısa zaman önce wp form eklentisinde bu tarz bir açık oluştu ve birçok web site güvensiz hale geldi. Mevcut açık kısa süre içerisinde kapatıldı ve eklentiye güncelleme getirildi. Eklentiyi güncellemeyen web sitelerin büyük bölümü bundan zarar gördü.
Bunu göz önünde bulundurarak her zaman sürekli güncellenen ve iyi bir desteğe sahip olan eklentileri kullanın. Bir süredir güncellenmemiş bir eklenti kullanıyorsanız, ona bir alternatif bulun. Aksi halde saldırıya uğramanız an meselesi olabilir.
Son PHP Sürümünü Kullanın
PHP, WordPress CMS sisteminin bel kemiği olarak kabul edilir. Şu anda 7.4 PHP’nin en son sürümüdür. PHP 7.1’in altında bir PHP sürümü kullanıyorsanız, güvenlik güncellemelerini almayacağınız anlamına gelir. Güvenlik çok önemli olduğu için PHP güncellemesi yapılmalıdır.
Web siteleri incelediğimiz çoğu kişinin eski PHP sürümünü kullandığını görüyoruz. Web site sahipleri maalesef yeterli bilgiye sahip olmadığı için bazen bu tarz şeylerin farkına varmıyor. Siz o kişilerden birisi olmayın ve PHP sürümünü mutlaka son sürüme yükseltin.
Kimi zaman bazı tema ve eklentiler PHP sürümüyle uyumlu çalışamayabilir. Bu durum web sitenizde bozulmalara ve yüklenme kusurlarına neden olur. PHP sürümü güncellemesi yapmadan önce tema ve eklentilerin mevcut sürümle uyumlu çalışıp çalışmadığını mutlaka kontrol edin.
PHP sürümünün nasıl güncelleneceğini bilmiyorsanız web sitenizi barındırdığınız firmayla iletişime geçin. Teknik destek personeli PHP’nin son sürüme yükseltilmesi konusunda size yardımcı olacaktır.
Web Uygulaması Güvenlik Duvarını (WAF) Kullanın
Sunucunuzla ağ trafiği arasında bir güvenlik duvarı yer alır. Güvenlik duvarı, WordPress web sitenizin barındırıldığı makineye ulaşmadan önce en yaygın tehdidi filtrelemektir.
WordPress CMS sisteminde kullanabileceğiniz en yaygın üç güvenlik duvarı vardır. Onlar sırasıyla şu şekildedir:
- Ağ düzeyinde güvenlik: Ağ düzeyinde veya makine düzeyinde depolanmaktadır. Genellikle WordPress’i sahip olduğunuz bir veri merkezinde barındırdığınızda kullanılır. Şüphesiz maliyet açısından en maliyetli seçenektir. Genellikle gelişmiş kurumsal web sitelerde kullanılmaktadır.
- Ana bilgisayar düzeyinde güvenlik: Bu kesinlikle ağ tabanlı bir WAF’den daha iyidir. Ancak sunucu yükü çok fazla olduğu için WordPress sitemlerinde kullanılması önerilmez.
- Bulut tabanlı WAF: Çoğu zaman DNS düzeyinde uygulanır ve en yaygın tehdit türlerini WordPress sunucunuza ulaşmadan önce filtreler. Ekonomik açıdan en güvenli uygulamadır ancak DNS’yi değiştirmenizi gerektirebilir.
WAF’ı uygulamak için kullanabileceğiniz ve bizim size önerebileceğimiz iki hizmet vardır. Dilerseniz sizler de bunları kullanabilirsiniz.
- Cloudflare: Ayda 20 dolar ödeyerek ücretli sürümünü kullanabilirsiniz. Ancak ücretsiz sürümü de yeterli düzeyde koruma sağlayacaktır.
- Sucuri: Ayda 9,99 dolar ödeme yaparak kullanabileceğiniz bir WAF uygulamasıdır.
WordPress Sürümünü Gizleyin
Kullandığınız WordPress sürümünün görünür olması, web site korsanlarının işini kolaylaştırabilir. Eğer WordPress’in eski bir sürümünü kullanıyorsanız ve bu görünüyorsa şimdiden hacklenmeye hazır olun. İlgili sürümdeki açıklar bilindiği için korsanlar web sitenizi daha kolay bir şekilde hackleyebilir.
Bu yüzden WordPress sürümünün gizlenmesi taraftarıyız. Bunu yapmak için functions.php dosyasına aşağıdaki kodu eklemeniz yeterli olacaktır.
<? php remove_action ('wp_head', 'wp_generator'); ?>
Güçlü Oturum Açma Parolası Kullanın
İnsanların oturum açma parolanızı bulamayacağı şekilde güçlü parolalar kullanın. Örneğin doğum tarihiniz ya da daha basit rakam sıralamaları parolanızda yer almasın. Bunun yerine sayı harf ve karakterlerden meydana gelen parolaları tercih edin.
Ayrıca giriş denemelerini sınırlandırın. Giriş denemelerini bir eklentiyle sınırlandırmanız mümkün. Bunun için Limit login attempt eklentisini kullanabilirsiniz. Bu eklenti tüm giriş denemeleri için ip kaydı da yapacaktır. Bu yasal işlem gerektiren durumlarda size yardımcı olur.
WordPress Giriş URL’sini Değiştirin
WordPress giriş URL sayfasını değiştirerek, birçok saldırıyı ve bilgisayar korsanlığı girişimlerini engelleyebilirsiniz. Sadece şahsınızın yönettiği bir web site sahibiyseniz giriş sayfa URL’sini değiştirmek size çok yardımcı olacaktır. Bu kısmen karmaşık bir işlem olduğu için farklı bir makalede giriş URL değişimini ele alacağız.
Dizine Eklenen Sayfalar İçin Google Uyarısı Ayarlayın
Bu çoğu web site sahibi tarafından az bilinen bir özelliktir. Web siteniz için Google alert eklemesi yaparak yeni dizine eklenen sayfalar için Google’ın tarafınıza uyarı göndermesini sağlayabilirsiniz.
Web site korsanları web sitenizin gücünden yararlanmak için sizin göremeyeceğiniz şekilde sayfa eklemeleri yapabilir. Bunun farkına varmanız ciddi anlamda zordur. Google alert sayesinde dizine eklenen tüm yeni sayfalarınız için uyarı almanız mümkündür.
Google alert hizmeti ücretsizdir. İşlem yapmanız da sadece 5 dakika sürecektir. Bu yüzden vakit kaybetmeden bu sisteme dahil olmanızı tavsiye ederiz.
“Hakkında bir uyarı oluştur” alanına site: domain.com adresini ekleyin. Artık arama motorunda yeni bir sayfa indekslendiğinde anında bildirim alacaksınız. Dil ve bildirim sıklığını doğru bir şekilde ayarlamanız önemlidir. Tüm durumlar için bildirim oluşturmakta fayda var.
WordPress Klasör Dosya İzinlerini Kontrol Edin
Bunu yapmak için CPanel dosya yöneticisine giriş yapın. Bu işlemi FTP yönetim kullanıcısını kullanarak da yapabilirsiniz. Giriş yaptıktan sonra sunucuda yer alan wordpress klasörlerinin dosya özniteliklerini kontrol edin.
744 ise (salt okunur) iyidir. 777 olduğunu düşünüyorsanız, henüz saldırıya uğramadığınız için kendinizi çok şanslı hissetmelisiniz. Özellikle yakın zaman içerisinde sunucu değişikliği yaptıysanız mutlaka dosya izinlerini kontrol edin. Sadece bu yüzden bile web site korsanlarının kurbanı olabilirsiniz.
Varsayılan Yönetici Kullanıcısını Silin
Bu güvenli WordPress sistemine sahip olmak isteyen herkes için önemlidir. Web sitenizi kurduğunuz gibi ilk yapacağınız şey varsayılan yönetici kullanıcıyı silmek olmalı.
Varsayılan yönetici kullanıcı ismini değiştirmeyi büyük ihtimalle unutacaksınız. Bu da web sitenizin saldırılara açık hale gelmesine neden olacaktır.
WordPress’i kurduğunuzda, özel bir kullanıcı adı kullandığınızdan ve “admin” kullanmadığınızdan emin olun.
Web sitenizi kurduysanız öncelikli olarak yeni bir yönetici kullanıcı oluşturun. Daha sonra bu yeni kullanıcıyla sisteme giriş yapın. Akabinde sistemle birlikte gelen yönetici kullanıcıyı silin.
Eğer uzun zamandan içerik girişi yapılan bir web siteniz varsa kurulumla birlikte gelen adminle çok sayıda içerik girişi yapmış olabilirsiniz. Bu içeriklerin silinememesine dikkat edin. Mevcut içerikleri yeni oluşturduğunuz yöneticiye aktarın.
Eklenti Dizinini Gizleyin
Eklentiler klasörü / wp-content / plugins / içerisinde yer alan klasörlerin ve dosyaların listesini göstermemelidir. Bunun için eklentiler klasörünüzü ziyaret etmeyi deneyin. Eğer eklentiler listeleniyorsa biran evvel müdahale etmelisiniz.
Aşağıdaki uzantıyı kullanarak eklenti klasörünüzü ziyaret edebilirsiniz.
domain.com/wp-content/plugins/
Bir listelenmesi söz konusu olduğunda gerekli gizlemelerin yapılması gerekir. Klasör ve dosyaları gizlemek için .htaccess dosyası içerisine aşağıdaki kodu eklemelisiniz.
# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond% {REQUEST_FILENAME}! -F RewriteCond% {REQUEST_FILENAME}! -D RewriteRule. /index.php [L] # Dizin listelemesini engeller IndexIgnore * # END WordPress
Bazı durumlarda .htaccess dosyasının eklendi dizinine de eklenmesi gerekebilir. Bu herhangi bir sorun oluşturmayacaktır. Ana dizinde yer alan .htaccess dosyasına eklemenize rağmen bir değişim olmadıysa eklenti klasörüne de .htaccess eklemesi yapın.
WordPress güvenliği WordPress SEO optimizasyonu için önemlidir. Güvenlik açıklarının olması SEO puanını düşürücü yönde etki yapacaktır. Daha iyi sıralamalar için web sitenizi güvenli tutmaya devam etmelisiniz.
Harika bir içerik. Çok teşekkürler.