WordPress Güvenliğinizi Nasıl Sağlamlaştırabilirsiniz? 16 ipucu

wordpress

Bu 16 güvenlik ipucu ile WordPress web sitenizi bilgisayar korsanlarından nasıl koruyacağınızı öğrenin ve WP siteniz saldırıya uğradığında ne yapacağınızı öğrenin.

Güvenlik söz konusu olduğunda, WordPress’e özgü bir güvenlik türü yoktur. Güvenlikle ilgili tüm sorunlar, tüm web siteleri veya uygulamalar için ortaktır.

WordPress güvenlik sorunları , web’in yaklaşık %40’ına güç sağladığı ve açık kaynak olduğu için büyük ilgi görüyor. WordPress çekirdeğinde veya eklentilerinde bir güvenlik açığı bulunduğunda, onu kullanan diğer web siteleri savunmasız hale gelir çünkü hepsi aynı kodu kullanır.

Öte yandan, web sitenizin güvenliğini güçlendirmek için kullanabileceğiniz çok sayıda eklenti var.

Bu sütunda, bu makalenin kapsamı daha geniş ve her tür web uygulaması için geçerli olsa da, WordPress sitenizi farklı türdeki güvenlik açıklarına karşı nasıl güçlendireceğinizi öğreneceksiniz.

WordPress Güvenlik Açıklarına Karşı Koruma

En yaygın güvenlik açığı türleri şunlardır:

  1. Arka kapılar.
  2. İlaç Hack’leri.
  3. Kaba Kuvvet Giriş Denemeleri.
  4. Kötü Amaçlı Yönlendirmeler.
  5. Siteler Arası Komut Dosyası Çalıştırma (XSS).
  6. Hizmet Reddi (DDoS).

Bunlar yaygın güvenlik açığı türleridir, ancak bu, yalnızca bunlarla sınırlı oldukları anlamına gelmez. Güvenliği düşündüğünüzde, genel olarak 360° olarak düşünmelisiniz.

Bir web sitesini hacklemenin sınırlı bir yolu yoktur. Saldırganlar sitenize erişmek için birçok teknik kullanabilir.

Örneğin, bilgisayarınızı çalabilir ve bilgisayarınıza fiziksel erişim sağlayabilirler. Ayrıca, genel bir ağdan web sitenize giriş yaparken parolalarınızı görmek için gözetim tekniklerini kullanabilirler.

Saldırganlar için hayatı biraz daha zor hale getirmek için WordPress kurulumlarımızı nasıl sertleştireceğimize bakalım.

WordPress web sitenizin güvenliğini artırmanın bu 16 yolunun her biri hakkında daha fazla bilgi edinmek için okumaya devam edin:

  1. HTTPS’yi kullanın.
  2. Her zaman güçlü parolalar kullanın.
  3. Parolalarınızı saklamak için parola yöneticilerini kullanın.
  4. Giriş formlarında Captcha’yı etkinleştirin.
  5. Kaba kuvvet oturum açma girişimlerini önleyin.
  6. İki faktörlü kimlik doğrulama kullanın.
  7. Eklentileri güncel tutun.
  8. Güvenlik HTTP Başlıklarını Ayarlayın.
  9. WordPress dosyaları için doğru dosya izinlerini ayarlayın.
  10. WordPress’ten dosya düzenlemeyi devre dışı bırakın.
  11. Gereksiz tüm özellikleri devre dışı bırakın.
  12. WordPress sürümünü gizleyin.
  13. Bir WordPress güvenlik duvarı yükleyin.
  14. Yedekleri saklayın.
  15. SFTP’yi kullanın.
  16. Kullanıcıların faaliyetlerini izleyin.

1. Sitenizi HTTPS ile Güvence Altına Alın

Web sitesini HTTPS ile güvence altına alarak başlamamız tesadüf değil .

Yaptığınız her şey ağ ve kablo kabloları üzerinden akar. HTTP, verileri tarayıcı ve sunucu arasında düz metin olarak değiştirir. Bu nedenle, sunucu ile tarayıcı arasındaki ağa erişimi olan herkes şifrelenmemiş verilerinizi görüntüleyebilir.

Bağlantınızı korumazsanız, hassas verileri saldırganlara ifşa etme riskiniz vardır. HTTPS ile verileriniz şifrelenir ve saldırganlar ağınıza erişimleri olsa bile iletilen verileri okuyamaz.

Bu nedenle, web sitenizi güvence altına almanın bir numaralı adımı HTTPS’yi etkinleştirmektir. Henüz HTTPS’ye geçmediyseniz, WordPress’inizi HTTPS’ye taşımak için bu kılavuzu kullanabilirsiniz .

HTTP’yi HTTPS’ye Taşımak için Kullanabileceğiniz Araçlar ve WordPress Eklentileri

Better Search Replace.
Database Search and Replace Script.

  1. Daima Güçlü Parolalar Kullanın

Bilgisayar korsanlarının web sitelerine erişmesinin en yaygın yolu, zayıf veya şifreli şifrelerdir. Bunlar sizi kaba kuvvet saldırılarına karşı savunmasız hale getirir.

Aşağıda listelenen diğer yöntemlerden daha fazla güçlü parolalar kullanarak güvenliğinizi artırın.

Daima güçlü şifreler kullanmak ve onlar edilip edilmediğini düzenli olarak kontrol pwned .

Parola Güvenliğini Artırmak için WordPress Eklentileri:

Disallow Pwned Password.
Download Password Policy Manager.
Password bcrypt.

  1. Parolalarınızı Saklamak için Parola Yöneticilerini Kullanın

Herkese açık bir ağdan çalışırken oturum açtığınızda, dizüstü bilgisayarınızda yazdıklarınızı kimin izlediğinden veya şifrelerinizi kaydettiğinden emin olamazsınız.

Bu sorunu çözmek için parolalarınıza kolayca erişmek ve bunları güvenli bir yerde saklamak için parola yöneticilerini kullanın.

PC’nize erişilse bile, şifrelerinizi alamazlar. Parola yöneticileri tarayıcı tabanlıdır ve WordPress eklentileri değildir.

Password Manager Tarayıcı Eklentileri:

LastPass.
1Password.
NordPass.

  1. Giriş ve Kayıt Formuna CAPTCHA’yı ekleyin

Web sitenizi HTTPS ile güvence altına aldığınızda ve güçlü şifreler kullandığınızda, bilgisayar korsanlarının hayatını zaten oldukça zorlaştırmış olursunuz.

Ancak giriş formlarına CAPTCHA ekleyerek bunu daha da zorlaştırabilirsiniz.

Captcha’lar, oturum açma formlarınızı kaba kuvvet saldırılarına karşı korumanın harika bir yoludur.

WordPress Girişinde Captcha Eklemek için Eklentiler:

Login No Captcha reCAPTCHA.
Login Security reCAPTCHA.

  1. Brute Force Giriş Girişimlerinden Koruyun

Giriş CAPTCHA size belirli bir noktaya kadar kaba kuvvet girişimlerine karşı koruma sağlar, ancak tamamen değil. Genellikle, captcha belirteçleri çözüldükten sonra birkaç dakika geçerlidir.

Örneğin Google reCaptcha 2 dakika geçerlidir. Saldırganlar, bu süre boyunca giriş formunuza kaba kuvvetle giriş denemelerini denemek için bu iki dakikayı kullanabilir.

Bu sorunu çözmek için başarısız oturum açma girişimlerini IP adresi ile engellemelisiniz.

Brute-Force Saldırılarını Önlemek için WordPress Eklentileri:

WP Limit Login Attempts.
Limit Login Attempts Reloaded.

  1. İki Faktörlü (2FA) Kimlik Doğrulamayı Ayarlayın

Giriş formlarındaki güvenli şifreler ve captcha ile daha fazla korunursunuz, evet.
Peki ya bilgisayar korsanları web sitenize erişmek için gözetleme yöntemleri kullanıp yazdığınız şifreyi videoya kaydettiyse?

Parolanız varsa, yalnızca iki faktörlü kimlik doğrulama web sitenizi saldırganlardan koruyabilir.

2FA Kimlik Doğrulaması Kurulumu için WordPress Eklentileri:

Two-Factor.
Google Authenticator.
WordPress Two Factor Authentication (2FA , MFA).

  1. WordPress Çekirdeği ve Eklentilerini Güncel Tutun

Güvenlik açıkları genellikle WordPress çekirdeği ve eklentileri için ortaya çıkar ve oluştuğunda bulunur ve rapor edilir. Web sitelerinin dosyalarda bilinen ve bildirilen deliklerden saldırıya uğramasını önlemek için eklentilerinizi en son sürümle güncellediğinizden emin olun.

Bilginiz olmadan web sitelerinizin bozulmasına neden olabileceğinden otomatik güncellemeye geçmenizi tavsiye etmem.

Ancak, bu güncellemeler çekirdek için güvenlik yamaları içerdiğinden, bu kod satırını wp-config.php‘ye ekleyerek WordPress çekirdeğinin küçük güncellemelerini etkinleştirmenizi şiddetle tavsiye ederim .

define( ‘WP_AUTO_UPDATE_CORE’, ‘minor’ );

  1. Güvenlik HTTP Başlıklarını Ayarlayın

Güvenlik başlıkları, web sitesinde gezinirken tarayıcı ve sunucu arasında gerçekleştirilebilecek eylemleri kısıtlayarak ekstra bir koruma katmanı sağlar.

Güvenlik başlıkları, Clickjacking ve Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırılarına karşı koruma sağlamayı amaçlar.

Güvenlik başlıkları şunlardır:

Sıkı Taşımacılık Güvenliği (HSTS).
İçerik-Güvenlik-Politika.
X-Frame-Seçenekleri.
X-İçerik-Türü-Seçenekleri.
Meta Veri Başlıklarını Getirin.
Yönlendiren-Politika.
Önbellek Kontrolü.
Site Verilerini Temizle.
Özellik-Politika.

Her bir güvenlik başlığı açıklamasına derinlemesine girmeyeceğiz, ancak bunları düzeltmek için bazı eklentileri burada bulabilirsiniz.

Güvenlik Başlıklarını Etkinleştirmek için WordPress Eklentileri:

HTTP headers to improve web site security.
GD Security Headers.

  1. WordPress Dosyaları için Doğru Dosya İzinlerini Ayarlayın

Yanlış ayarlanırsa, paylaşılan barındırmadaki bir web sitesi saldırıya uğradığında, saldırganlar web sitenizdeki dosyalara erişebilir ve oradaki herhangi bir içeriği – özellikle wp-config.php – okuyabilir ve web sitenize tam erişim elde edebilir.

Tüm dosyalar 644 olmalıdır.
Tüm klasörler 775 olmalıdır.
wp-config.php 600 olmalıdır.

Yukarıdaki kurallar, barındırma kullanıcı hesabınızın dosyaları okuyabileceği ve değiştirebileceği ve web sunucusunun (WordPress) dosya ve klasörleri değiştirebileceği, sileceği ve okuyabileceği anlamına gelir.

Diğer kullanıcılar wp-config.php içeriğini okuyamaz. wp-config.php için 600 ayarı web sitenizi çökertirse, onu 640 veya 644 olarak değiştirin.

  1. WordPress’ten Dosya Düzenlemeyi Devre Dışı Bırakın

Dosyaları yönetici arka ucundan düzenleyebileceğiniz, WordPress’te bilinen bir özelliktir.

Gerçekten gerekli değil çünkü geliştiriciler SFTP kullanıyor ve bunu nadiren kullanıyor.

Dosya izinleri , WordPress dosyalarınızı barındıran işletim sistemindeki kurallardır; bu kurallar, dosyaların nasıl okunacağını, düzenlenebileceğini ve yürütülebileceğini belirler. Bu güvenlik önlemi, özellikle bir web sitesini paylaşılan barındırmada barındırdığınızda çok önemlidir.

  1. Tüm Gereksiz Özellikleri Devre Dışı Bırakın

WordPress, hiç ihtiyaç duymayabileceğiniz birçok özellikle birlikte gelir. Örneğin, WordPress’teki XML-RPC uç noktası, harici uygulamalarla iletişim kurmak için oluşturulmuştur. Saldırganlar bu uç noktayı kaba kuvvet oturumları için kullanabilir.

Disable XML- RPC-API eklentisini kullanarak XML-RPC’yi devre dışı bırakın .

WordPress’in yerleşik olduğu bir diğer konu, web sitesindeki tüm kullanıcıları listelemek için bir REST-API uç noktası sağlamaktır.

Herhangi bir WordPress kurulumuna “/wp-json/wp/v2/users” eklerseniz, JSON verileri olarak kullanıcı adlarının ve kullanıcı kimliklerinin bir listesini görürsünüz.

Bu kod satırını function.php’ye ekleyerek kullanıcıları REST-API’yi devre dışı bırakın

function disable_users_rest_json( $response, $user, $request ){

return ”;

}add_filter( ‘rest_prepare_user’, ‘disable_users_rest_json’, 10, 3 );

  1. WordPress Sürümünü Gizle

WordPress, sayfanın HTML’sine WordPress sürümüyle otomatik olarak bir yorum ekler. Saldırgana ek bilgi olarak yüklü WordPress’inizin sürümünü verir.

Örneğin, çekirdeğinde bir güvenlik açığı olduğu bildirilen bir WordPress sürümü kullanıyorsanız, saldırgan, web sitenizi hacklemek için bildirilen tekniği kullanabileceğini bilir.

Bu Eklentileri Kullanarak WordPress Sürümü Meta Etiketlerini Gizle:

Meta Generator and Version Info Remover.
WP Generator Remover by Dawsun.

  1. Bir WordPress güvenlik duvarı kurun

Güvenlik duvarı, web sitelerinde çalışan ve gelen HTTP isteklerini analiz eden bir web uygulamasıdır. Potansiyel olarak tehdit oluşturabilecek istekleri filtrelemek için karmaşık bir mantık uygular.

İstekleri engellemek için kurallarını güvenlik duvarının yerleşik kurallarının üzerine ayarlayabilirsiniz. Yaygın saldırı türlerinden biri SQL enjeksiyonudur.

SQL enjeksiyonlarına karşı savunmasız bir WordPress eklentisi çalıştırdığınızı ve bunu bilmediğinizi varsayalım. Bir güvenlik duvarı çalıştırırsanız, saldırgan eklentideki güvenlik açığını bilse bile web sitesini hackleyemez.

Bunun nedeni, güvenlik duvarının SQL enjeksiyonları içeren istekleri engellemesidir.

Güvenlik duvarları, IP’den gelen bu istekleri engeller ve art arda gelen tehlikeli isteklerin gelmesini engeller. Güvenlik duvarları, tek bir IP’den çok fazla istek algılayıp bunları engelleyerek DDoS saldırılarını da önleyebilir.

Bir web sunucusuna istek yapılmadan önce çalışan DNS düzeyinde güvenlik duvarlarını çalıştırmak da mümkündür. Bir örnek Cloudflare DNS güvenlik duvarıdır .

Bu yöntemin avantajı, DDoS saldırılarına karşı daha sağlam olmasıdır.

Sunucuda çalışan uygulama düzeyindeki güvenlik duvarları, HTTP isteklerinin web sunucusuna ulaşmasına ve ardından onu engellemesine izin verir. Bu, sunucunun onları engellemek için bazı CPU/RAM kaynaklarını harcadığı anlamına gelir.

DNS düzeyindeki güvenlik duvarları ile sunucu kaynaklarını harcamaz, bu nedenle saldırılara karşı daha sürdürülebilir.

Kullanabileceğiniz WordPress Güvenlik Duvarı Eklentileri:

Wordfence Security.
Sucuri.
All In One WP Security & Firewall.
BulletProof Security.
Shield Security.

Not: Güvenlik duvarları kurmaya karar verirseniz, oturum açma brute-force koruması veya 2F kimlik doğrulama gibi özelliklere sahip olabilirler ve yukarıda bahsedilen eklentileri yüklemek yerine onların özelliklerini kullanabilirsiniz.

  1. Yedeklemeleri Saklayın

Saldırıya uğrarsanız, kurtarmanın en iyi yolu, web sitesini virüslü olmayan en son sürümden geri yüklemektir.

Web sitesi yedeklerini saklamazsanız, web sitesini temizlemek zaman alan bir işlem olabilir. Ve bazı durumlarda, kötü amaçlı yazılım tüm verileri sildiği için tüm bilgileri geri yüklemek mümkün olmayabilir.

Bu tür senaryolardan kaçınmak için web sitenizin veritabanını ve dosyalarını düzenli olarak yedekleyin.

Barındırma desteğinize, günlük yedekleme işlevi sağlayıp sağlamadıklarını kontrol edin ve etkinleştirin. Değilse, yedeklemeleri çalıştırmak için bu eklentileri kullanabilirsiniz:

BackWPup.
UpdraftPlus.
BackupBuddy.
BlogVault.

  1. SFTP’yi kullanın

Pek çok geliştirici, web sunucularına bağlanmak için SFTP’yi zaten kullanıyor, ancak hala kullanmıyorsanız, bunu hatırlatmak önemlidir.

HTTPS gibi, SFTP de dosyaları ağ üzerinden aktarmak için şifreleme kullanır ve ağa erişimi olsa bile düz metin olarak okumayı imkansız hale getirir.

  1. Kullanıcıların Faaliyetlerini İzleyin

Web sitenizi bilinmeyen bilgisayar korsanlarından korumanın birçok yolunu tartıştık. Ancak, web sitesi yöneticisine erişimi olan bir çalışanınız, içeriğe bağlantı eklemek gibi gölgeli şeyler yaptığında ne olacak?

Yukarıdaki yöntemlerin hiçbiri gölgeli bir çalışanı tespit edemez.

Bu, etkinlik günlüklerini izleyerek yapılabilir. Her kullanıcının etkinliğine bakarak, çalışanlardan birinin yapmaması gereken bir makaleyi düzenlediğini görebilirsiniz.

Ayrıca şüpheli görünen etkinliklere bakabilir ve hangi değişikliklerin yapıldığını görebilirsiniz.

Kullanıcı Etkinliğini İzlemek için WordPress Eklentileri:

Activity Log.
User Activity Log.
WP Activity Log.

Bu eklentilerin tuttuğu süreyi (veya kayıt sayısını) sınırlamak isteyebileceğinizi unutmayın. Çok fazla varsa, veritabanınızı aşırı yükleyecek ve web sitesi performansını ve hızını etkileyebilir.

Hacklenirseniz Ne Yapmalısınız?

Güvenlik uzmanlarının tüm tavsiyelerine ve web sitelerinizi saldırılardan korumanın yollarını bilmemize rağmen, yine de oluyor.

Web siteniz saldırıya uğradıysa, kurtarmak için aşağıdaki adımları uygulamanız gerekir:

E-posta ve diğer kişisel şifreleri her değiştirin öncelikle sizin web sitesine erişmek mümkün böylece hackerlar ilk e-postanıza erişimi kazanılmış olabilir çünkü ve.
Web sitenizi bilinen en son saldırıya uğramamış yedeklemeye geri yükleyin.
Tüm web sitesi kullanıcılarının şifrelerini sıfırlayın.
Mevcut güncellemeler varsa tüm eklentileri güncelleyin.