Bir WordPress Sitesini Nasıl Güvenli Hale Getirirsiniz?

Bugünlerde kendi WordPress sitenizi başlatmak oldukça kolay. Ne yazık ki, bilgisayar korsanlarının sitenizi hedeflemeye başlaması uzun sürmeyecektir.

Bir WordPress sitesini güvenli hale getirmenin en iyi yolu, bir (WordPress)WordPress sitesi çalıştırmaktan kaynaklanan her türlü güvenlik açığını anlamaktır . Ardından, bu noktaların her birinde bilgisayar korsanlarını engellemek için uygun güvenliği kurun.

Bu makalede, etki alanınızı, WordPress giriş bilgilerinizi ve (WordPress)WordPress sitenizi güvence altına almak için mevcut araçları ve eklentileri nasıl daha iyi güvence altına alacağınızı öğreneceksiniz .

Özel Etki Alanı Oluşturun

Bugünlerde uygun bir alan adı bulmak(find an available domain) ve onu çok ucuz bir fiyata satın almak çok kolay. Çoğu kişi, alanları için hiçbir zaman alan adı eklentisi satın almaz. Ancak, her zaman göz önünde bulundurmanız gereken bir eklenti Gizlilik Korumasıdır(Privacy Protection) .

GoDaddy ile üç temel gizlilik koruması düzeyi vardır , ancak bunlar aynı zamanda çoğu alan sağlayıcısının teklifleriyle eşleşir.

  • Temel(Basic) : Adınızı ve iletişim bilgilerinizi WHOIS dizininden gizleyin. Bu, yalnızca hükümetiniz alan iletişim bilgilerini gizlemenize izin veriyorsa kullanılabilir.
  • Tam(Full) : Gerçek kimliğinizi gizlemek için kendi bilgilerinizi alternatif bir e-posta adresi ve iletişim bilgileriyle değiştirin.
  • Nihai(Ultimate) : Kötü amaçlı alan taramasını engelleyen ve gerçek siteniz için web sitesi güvenlik izlemesini içeren ek güvenlik.

Genellikle, alan adınızı bu güvenlik düzeylerinden birine yükseltmek, alan listeleme sayfanızdaki bir açılır menüden yükseltme yapmayı seçmenizi gerektirir.

Temel(Basic) alan koruması oldukça ucuzdur (genellikle yılda 9,99 ABD doları civarındadır) ve daha yüksek güvenlik seviyeleri çok daha pahalı değildir.

Bu, spam gönderenlerin iletişim bilgilerinizi WHOIS(WHOIS) veritabanından veya iletişim bilgilerinize erişmek isteyen kötü niyetli diğer kişilerden silmesini engellemenin mükemmel bir yoludur .

(Hide)wp-config.php ve .htaccess Dosyalarını Gizle

WordPress'i(install WordPress) ilk kurduğunuzda , wp-config.php dosyasına  WordPress SQL veritabanınızın yönetici kimliğini ve parolasını eklemeniz gerekir .

Bu veriler kurulumdan sonra şifrelenir, ancak bilgisayar korsanlarının bu dosyayı düzenlemesini ve web sitenizi bozmasını da engellemek istersiniz. Bunun için sitenizin kök klasöründeki .htaccess dosyasını bulun ve düzenleyin ve dosyanın en altına aşağıdaki kodu ekleyin.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

.htaccess'in kendisinde değişiklik yapılmasını önlemek için dosyanın altına aşağıdakini de ekleyin.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Dosyayı kaydedin ve dosya düzenleyiciden çıkın.

Ayrıca, her dosyaya sağ tıklayıp Yazma(Write) erişimini herkes için tamamen kaldırmak için izinleri değiştirmeyi de düşünebilirsiniz .

Bunu wp-config.php dosyasında yapmak herhangi bir soruna neden olmazken, .htaccess üzerinde yapmak sorunlara neden olabilir. Özellikle .htaccess dosyasını sizin için düzenlemesi gerekebilecek herhangi bir güvenlik WordPress eklentisi kullanıyorsanız.(WordPress)

WordPress'ten(WordPress) herhangi bir hata alırsanız , izinleri her zaman .htaccess dosyasında Yazma(Write) erişimine izin verecek şekilde güncelleyebilirsiniz.

WordPress Giriş URL'nizi Değiştirin

Her WordPress sitesi için varsayılan giriş sayfası etkialaniniz/wp-admin.php olduğundan, bilgisayar korsanları sitenize girmeye çalışmak için bu URL'yi kullanır.

Bunu, birçok kişinin yaygın olarak kullandığı tipik kullanıcı adları ve şifrelerin varyasyonlarını gönderecekleri "kaba kuvvet" saldırıları olarak bilinen yöntemlerle yapacaklardır. Bilgisayar korsanları şanslı olacaklarını ve doğru kombinasyonu elde edeceklerini umuyorlar.

WordPress giriş URL'nizi(WordPress login URL) standart olmayan bir şeyle değiştirerek bu saldırıları tamamen durdurabilirsiniz .

Bunu yapmanıza yardımcı olacak birçok WordPress eklentisi var. (WordPress)En yaygın olanlardan biri WPS Girişi Gizle(WPS Hide Login) .

Bu eklenti , WordPress'teki Ayarlar altındaki (Settings)Genel(General) sekmesine bir bölüm ekler .

Buraya, istediğiniz herhangi bir oturum açma URL'sini(URL) yazabilir ve etkinleştirmek için Değişiklikleri Kaydet'i(Save Changes) seçebilirsiniz . WordPress sitenize bir daha giriş yapmak istediğinizde , bu yeni URL'yi(URL) kullanın .

Biri eski wp-admin URL'nize(URL) erişmeye çalışırsa , sitenizin 404 sayfasına yönlendirilir.

Not : Bir önbellek eklentisi kullanıyorsanız, yeni giriş (Note)URL'nizi(URL) önbelleğe alınmayacak(not) siteler listesine eklediğinizden emin olun . Ardından, WordPress(WordPress) sitenize tekrar giriş yapmadan önce önbelleği temizlediğinizden emin olun .

Bir WordPress Güvenlik Eklentisi yükleyin

Aralarından seçim yapabileceğiniz birçok WordPress güvenlik eklentisi(WordPress security plugins) var. Hepsinden Wordfence , iyi bir sebeple en çok indirilenidir.

Wordfence'in(Wordfence) ücretsiz sürümü, arka kapı tehditlerini, eklentilerinizdeki(malicious code in your plugins) veya sitenizdeki kötü amaçlı kodları, MySQL enjeksiyon tehditlerini ve daha fazlasını arayan güçlü bir tarama motoru içerir . Ayrıca DDOS saldırıları gibi aktif tehditleri engellemek için bir güvenlik duvarı içerir. 

Ayrıca, oturum açma girişimlerini sınırlayarak ve çok fazla yanlış oturum açma girişiminde bulunan kullanıcıları kilitleyerek kaba kuvvet saldırılarını durdurmanıza da olanak tanır.

Ücretsiz sürümde pek çok ayar mevcuttur. Küçük ve orta ölçekli web sitelerini çoğu saldırıdan korumak için fazlasıyla yeterli.

Ayrıca, engellenen son tehditleri ve saldırıları izlemek için gözden geçirebileceğiniz kullanışlı bir pano sayfası da bulunmaktadır.

WordPress Parola Oluşturucu(WordPress Password Generator) ve 2FA'yı kullanın

İstediğiniz son şey, bilgisayar korsanlarının şifrenizi kolayca tahmin etmesidir. Ne yazık ki, çok fazla insan tahmin etmesi kolay çok basit şifreler kullanıyor. Bazı örnekler, parolanın bir parçası olarak web sitesi adının veya kullanıcının kendi adının kullanılmasını veya herhangi bir özel karakterin kullanılmamasını içerir.

WordPress'in(WordPress) en son sürümüne yükselttiyseniz, WordPress sitenizin güvenliğini sağlamak için güçlü parola güvenlik araçlarına erişebilirsiniz . 

Parola güvenliğinizi iyileştirmenin ilk adımı, siteniz için her bir kullanıcıya gidip Hesap Yönetimi(Account Management) bölümüne ilerleyip Parola Oluştur(Generate Password) düğmesini seçmektir.

Bu, harfler, sayılar ve özel karakterler içeren uzun, çok güvenli bir şifre oluşturacaktır. Bu parolayı güvenli bir yere, tercihen çevrimiçiyken bilgisayarınızla bağlantısını kesebileceğiniz harici bir sürücüdeki bir belgeye kaydedin.

Tüm etkin oturumların kapalı olduğundan emin olmak için Başka Her Yerde Oturumu Kapat'ı(Log Out Everywhere Else) seçin .

Son olarak, Wordfence(Wordfence) güvenlik eklentisini yüklediyseniz, 2FA'yı Etkinleştir(Activate 2FA) düğmesini göreceksiniz . Kullanıcı oturumlarınız için iki faktörlü kimlik doğrulamayı etkinleştirmek için bunu seçin.

Wordfence kullanmıyorsanız(Wordfence) , bu popüler 2FA eklentilerinden herhangi birini yüklemeniz gerekir.

Diğer Önemli Güvenlik Hususları(Important Security Considerations)

WordPress sitenizi tamamen güvenli hale getirmek için yapabileceğiniz birkaç şey daha var .

Hem WordPress eklentileri hem de (WordPress plugins)WordPress sürümü her zaman güncellenmelidir. Bilgisayar korsanları genellikle sitenizdeki eski kod sürümlerindeki güvenlik açıklarından yararlanmaya çalışır. Her ikisini de güncellemezseniz sitenizi riske atmış olursunuz.

1. WordPress(WordPress) yönetici panelinizde düzenli olarak Eklentiler(Plugins) ve Yüklü Eklentiler'i(Installed Plugins) seçin . Yeni bir sürümün mevcut olduğunu söyleyen bir durum için tüm eklentileri inceleyin .(Review)

Güncel olmayan bir tane gördüğünüzde, şimdi güncelle(update now) öğesini seçin . Eklentileriniz için otomatik güncellemeleri etkinleştir'i seçmeyi de düşünebilirsiniz. 

Ancak, eklenti güncellemeleri bazen sitenizi veya temanızı bozabileceğinden, bazı insanlar bunu yapmaktan çekinir. Bu nedenle, eklenti güncellemelerini canlı sitenizde etkinleştirmeden önce yerel bir WordPress test sitesinde test(local WordPress test site) etmek her zaman iyi bir fikirdir .

2. WordPress(WordPress) kontrol panelinizde oturum açtığınızda, daha eski bir sürüm kullanıyorsanız WordPress'in(WordPress) güncel olmadığını belirten bir bildirim görürsünüz .

Yine, siteyi yedekleyin ve canlı web sitenizde güncellemeden önce WordPress güncellemesinin sitenizi bozmadığını test etmek için kendi PC'nizdeki yerel bir test sitesine yükleyin.

3. Web barındırıcınızın ücretsiz güvenlik özelliklerinden yararlanın. Çoğu web barındırıcısı, orada barındırdığınız siteler için çeşitli ücretsiz güvenlik hizmetleri sunar. Bunu sadece sitenizi korumakla kalmayıp tüm sunucuyu güvende tuttuğu için yaparlar. Bu, özellikle diğer istemcilerin aynı sunucuda web siteleri olduğu paylaşılan bir barındırma hesabındaysanız önemlidir.

Bunlara genellikle siteniz için ücretsiz SSL güvenlik yüklemeleri, (free SSL security)ücretsiz yedeklemeler(free backups) , kötü amaçlı IP adreslerini engelleme yeteneği ve hatta sitenizi herhangi bir kötü amaçlı kod veya güvenlik açığı için düzenli olarak tarayan ücretsiz bir site tarayıcısı dahildir.

Bir web sitesi çalıştırmak asla WordPress'i(WordPress) kurmak ve sadece içerik yayınlamak kadar basit değildir . WordPress web sitenizi mümkün olduğunca güvenli hale getirmek önemlidir . Yukarıdaki ipuçlarının tümü, çok fazla çaba harcamadan bunu yapmanıza yardımcı olabilir.



Eylül Özer

About the author

Ben bir bilgisayar uzmanıyım ve iOS cihazlarında uzmanım. 2009'dan beri insanlara yardım ediyorum ve Apple ürünleriyle olan deneyimim, onların teknoloji ihtiyaçlarına yardımcı olmak için beni mükemmel bir insan yapıyor. Becerilerim şunları içerir: - iPhone'ları ve iPod'ları onarma ve yükseltme - Apple yazılımını yükleme ve kullanma - İnsanların iPhone'ları ve iPod'ları için en iyi uygulamaları bulmalarına yardımcı olma - Çevrimiçi projeler üzerinde çalışma


Related posts