WordPress Güvenliği Nasıl Sağlanır?

wordpress güvenliği

Dünyadaki en popüler içerik yönetim sistemi (CMS) olan WordPress, tüm internet sitelerinin %20.9’unu çalıştırır ve milyonlarca kez yüklenmiştir. Ne yazık ki bu popülerlik güvenlik açıklarını da beraberinde getirmekte. WordPress ne yazık ki dünyada en fazla hack’lenen içerik yönetim sistemidir.

Sizler için özetleyeceğimiz bazı genel kuralları atlamaz ve çeşitli püf noktaları uygularsanız WordPress güvenlik konusunda ciddi yol katedebilirsiniz. Özellikle son başlıkta yer verdiğimiz wordpress güvenlik eklentileri kısmını dikkatle incelemenizi öneririm.

WordPress’i Güncel Tutalım

Ne yazık ki tüm WordPress sitelerinin sadece %25’lik bölümü en son ve en güncel WordPress sürümünü kullanmaktadır.  WordPress’i ve kullandığınız eklentilerinizi güncel tutmalısınız.  Tabi bir çok WordPress kullanıcısı, bir heves başladığı yayıncılık işinden sıkılıyor haliyle güncellemeler konusunda da ihmalkar davranıyor. Bu da bir etken.

Klişe Giriş Bilgileri Kullanmayalım

WordPress  kullanıcı adı olarak admin veya peşi sıra basit şifreler kullanmak , saldırılara adeta davetiye çıkarmak anlamına geliyor. Saldırganın yönetici panelinize giriş denemelerini kolaylaştırmak istiyorsanız bu şekilde devam da edebilirsiniz elbette.

Çözüm. Menü’den Kullanıcılar‘a tıklayın ve ardından Yeni Ekle sekmesini açın. Yönetici rolü ekleyeceğiniz yeni bir kullanıcı oluşturun. Son adımda kullanıcılar bölümüne geri dönün ve sorunlu Admin kullanıcısını silin.

wordpress güvenliği

2 Adım Doğrulama Etkinleştirme

Giriş yapabilmek için uygulanması gereken bir adım ekleyen iki-adım doğrulama, giriş sayfanızda etkili bir güvenlik duvarı oluşturur. E-posta veya internet bankacılığı hizmetlerinden tanıdık gelen bu işlemi neden WordPress’de kullanmayasınız?

Sms ile doğrulama işlemi için iki adet WordPress eklentisine ihtiyaç duyacağız. Two Factor ve Two Factor SMS eklentileri işimizi görecektir.

PHP Hata Raporlamayı Devre Dışı Bırak

PHP hata raporlama özelliği ile tüm olası hataları göstermek ciddi güvenlik ihlalleri yaratabilir. Çoğu hosting firması hata raporlama özelliğini kontrol paneli içerisinden kapatma seçeneği sunmakta. Eğer bu özellik yoksa endişelenmeyin, wp-config.php dosyanızın içerisine aşağıda paylaşacağımız satırları eklemeniz gerekmektedir.

error_reporting(0);
@ini_set(‘display_errors’, 0);

Nulled WordPress Temaları Kullanmayın

İnternette; warez veya torrent sitelerinden ücretsiz olarak indirilebilen binlerce nulled tema ve eklentinin neredeyse tamamında zararlı kodlar mevcut. Nulled yani  çalıntı tema ve eklentiler kullanmak web sitenizde açıklar yaratır  ve son noktada bunları düzeltebilmek için geliştiricilere çok daha fazlasını ödemek zorunda kalırsınız.

wordpress güvenlik

Güvenli Bir Hosting Kullanmalısınız

Ne yazık ki deneyimsiz bir çok kullanıcısı, ilk yıllarında merdivenaltı ucuz firmalarla çalıştığı için zarar görmekte. Sunucu bazlı güvenlik sunan Güzel Hosting, haftalık yedeklemeleri ve etkili önlemleriyle ülkenin önde gelen hosting şirketlerinden birisi.

VaultPress, BackUpWordPress ve BackupGuard gibi WordPress eklentileri ile rutin yedekleme programınızı oluşturabilir, nispeten yoğunluğu az bir web sitesine sahipseniz firmanızın haftalık yedeklemeleriyle idare edebilirsiniz seçim sizin.

Kullanılmayan Tema ve Eklentiler

WordPress sitenizde özellikle ilk kurulum sonrasında detaylıca temizlik yapın ve kullanılmayan tüm eklenti ve temaları sisteminizden kaldırın. Kullanmayı bıraktığınız eklenti ve temaları silerek WordPress güvenliğini bir miktar daha arttırmış olursunuz.

wordpress güvenlik

Sadece Belirli IP’lerden Giriş İzni Vermek

Aşağıdaki kodu .htaccess dosyanıza ekleyerek WordPress yönetici bölümüne sadece belirli IP’lerden giriş izni verebilirsiniz. Eğer dinamik IP adresine sahipseniz bu kodu kullanmanız tavsiye edilmez. xx.xx.xx.xxx kısmını kendi IP adresinizle değiştirmeniz gerektiğini aklınızdan çıkarmayın.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx
</LIMIT>

Aktif Hesap Sayısını Minimumda Tut

WordPress web sitenize erişim imkanı olan hesapların sayısını minimumda tutmak ve erişecek kişilerin yetkilerini doğru bir şekilde ayarlamak güvenliğinizi sağlamlaştırmak adına önemli. Bir sistemde birden fazla “Yönetici” yetkisinin olası açıklarınızın artmasına sebep olabilir.

Ücretsiz Çevrimiçi Tarayıcılar Kullanın

Virustotal, Sitecheck, Unmaskparasites, Redleg AW-Snap, Wordfence, Sucuri Security, VaultPress, Norton Web Yöneticisi Aracı ve Google Arama Konsolu gibi araçlar kullanarak web sitenizdeki güvenlik zafiyetleri tespit edilebilir.

Kesinti Tespiti ve Çalışma Süresi İzleme

Saldırı veya kesinti gibi durumlardan haberdar olmak için ücretsiz olarak hizmet veren web sitelerini kullanabilirsiniz. JETPACK’in bu konuda  mail üzerinden bilgilendirme  sunduğu bir bildirim sistemi olsa da UptimeRobot ve Pingdom da denenebilir.

wordpress güvenlik eklentileri

WordPress Güvenlik Eklentileri

Buna benzer bir çok makale, FTP üzerinden ulaşacağınız .htaccess vb dosyalarınıza güvenliği artırıcı (!) bazı kodlar eklemenizi söyler. Giriş seviyesi WordPress kullanıcılarını hedeflediğimiz için kod bilgisi olmayan kişilerin sitelerine kalıcı olarak zarar vermesi de mümkündür. Aşağıdaki güvenlik eklentilerini kurarak sisteminizi adeta kale gibi güvenli bir hale getirebilirsiniz.

Avantajları ve kolay kullanımı ile iThemes Security önersek de; All In One WP Security & Firewall, Sucuri Security, iThemes Security ve Wordfence Security de ücretli ve ücretsiz seçenekleri ile incelenebilir.

Yeni bir web sitesi kuruyorsanız, ilk kuracağınız eklentilerden birisi bence iThemes Security olmalı! Bu arada her zaman söylediğimiz gibi aklınıza takılan sorular olursa lütfen sormaktan çekinmeyin!

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir