WordPress Güvenliği: Sitenizi Güvenli Hale Getirmek ve Korumak için 16 Adım

Yayınlanan: 2021-08-18

Güvenlik söz konusu olduğunda, WordPress'e özgü bir güvenlik türü yoktur. Güvenlikle ilgili tüm sorunlar, tüm web siteleri veya uygulamalar için ortaktır.

WordPress güvenlik sorunları, web'in yaklaşık %40'ına güç sağladığı ve açık kaynak olduğu için büyük ilgi görüyor. WordPress çekirdeğinde veya eklentilerinde bir güvenlik açığı bulunduğunda, onu kullanan diğer web siteleri, hepsi aynı kodu kullandığı için savunmasız hale gelir.

Öte yandan, web sitenizin güvenliğini güçlendirmek için kullanabileceğiniz çok sayıda eklenti var.

Bu sütunda, bu makalenin kapsamı daha geniş ve her tür web uygulaması için geçerli olsa da, WordPress sitenizi farklı türdeki güvenlik açıklarına karşı nasıl güçlendireceğinizi öğreneceksiniz.

WordPress Güvenlik Açıklarına Karşı Koruma

En yaygın güvenlik açığı türleri şunlardır:

  1. Arka kapılar.
  2. İlaç Hack'leri.
  3. Kaba Kuvvet Giriş Denemeleri.
  4. Kötü Amaçlı Yönlendirmeler.
  5. Siteler Arası Komut Dosyası Çalıştırma (XSS).
  6. Hizmet Reddi (DDoS).

Bunlar yaygın güvenlik açığı türleridir, ancak bu, yalnızca bunlarla sınırlı oldukları anlamına gelmez. Güvenlik hakkında düşündüğünüzde, genel olarak 360° olarak düşünmelisiniz.

Bir web sitesini hacklemenin sınırlı bir yolu yoktur. Saldırganlar sitenize erişmek için birçok teknik kullanabilir.

Örneğin, bilgisayarınızı çalabilir ve bilgisayarınıza fiziksel erişim sağlayabilirler. Ayrıca, genel bir ağdan web sitenize giriş yaparken parolalarınızı görmek için gözetim tekniklerini kullanabilirler.

Saldırganlar için hayatı biraz daha zor hale getirmek için WordPress kurulumlarımızı nasıl sertleştireceğimize bakalım.

WordPress web sitenizin güvenliğini artırmanın bu 16 yolunun her biri hakkında daha fazla bilgi edinmek için okumaya devam edin:

  1. HTTPS'yi kullanın.
  2. Her zaman güçlü parolalar kullanın.
  3. Parolalarınızı saklamak için parola yöneticilerini kullanın.
  4. Giriş formlarında Captcha'yı etkinleştirin.
  5. Kaba kuvvet oturum açma girişimlerini önleyin.
  6. İki faktörlü kimlik doğrulamayı kullanın.
  7. Güncel eklentileri tutun.
  8. Güvenlik HTTP Başlıklarını Ayarlayın.
  9. WordPress dosyaları için doğru dosya izinlerini ayarlayın.
  10. WordPress'ten dosya düzenlemeyi devre dışı bırakın.
  11. Gereksiz tüm özellikleri devre dışı bırakın.
  12. WordPress sürümünü gizleyin.
  13. Bir WordPress güvenlik duvarı yükleyin.
  14. Yedekleri saklayın.
  15. SFTP'yi kullanın.
  16. Kullanıcıların faaliyetlerini izleyin.

1. Sitenizi HTTPS ile Güvence Altına Alın

Web sitesini HTTPS ile güvence altına alarak başlamamız tesadüf değil.

Yaptığınız her şey ağ ve kablo kabloları aracılığıyla akar. HTTP , verileri tarayıcı ve sunucu arasında düz metin olarak değiştirir. Bu nedenle, sunucu ile tarayıcı arasındaki ağa erişimi olan herkes şifrelenmemiş verilerinizi görüntüleyebilir.

Bağlantınızı korumazsanız, hassas verileri saldırganlara ifşa etme riskiniz vardır. HTTPS ile verileriniz şifrelenir ve saldırganlar ağınıza erişimleri olsa bile iletilen verileri okuyamaz.

Bu nedenle, web sitenizi güvence altına almanın bir numaralı adımı HTTPS'yi etkinleştirmektir. Henüz HTTPS'ye geçmediyseniz, WordPress'inizi HTTPS'ye taşımak için bu kılavuzu kullanabilirsiniz.

HTTP'yi HTTPS'ye Taşımak için Kullanabileceğiniz Araçlar ve WordPress Eklentileri

  1. Daha İyi Ara Değiştirin.
  2. Veritabanı Ara ve Komut Dosyasını Değiştir.

2. Daima Güçlü Parolalar Kullanın

Bilgisayar korsanlarının web sitelerine erişmesinin en yaygın yolu, zayıf veya şifreli parolalardır. Bunlar sizi kaba kuvvet saldırılarına karşı savunmasız hale getirir.

Aşağıda listelenen diğer yöntemlerden daha fazla güçlü parolalar kullanarak güvenliğinizi artırın.

Daima güçlü şifreler kullanın ve şifrelenip şifrelenmediklerini düzenli olarak kontrol edin.

Parola Güvenliğini Artırmak için WordPress Eklentileri:

  1. Pwned Parolaya İzin Verme.
  2. Parola Politikası Yöneticisi'ni indirin.
  3. Şifre bcrypt.

3. Parolalarınızı Saklamak için Parola Yöneticilerini Kullanın

Genel bir ağdan çalışırken oturum açtığınızda, dizüstü bilgisayarınızda yazdıklarınızı kimin izlediğinden veya şifrelerinizi kaydettiğinden emin olamazsınız.

Bu sorunu çözmek için parolalarınıza kolayca erişmek ve bunları güvenli bir yerde saklamak için parola yöneticilerini kullanın.

PC'nize erişilse bile, şifrelerinizi alamazlar. Parola yöneticileri tarayıcı tabanlıdır ve WordPress eklentileri değildir.

Password Manager Tarayıcı Eklentileri:

  1. Son Geçiş.
  2. 1Şifre.
  3. NordPass.

4. Giriş ve Kayıt Formuna CAPTCHA'yı ekleyin

Web sitenizi HTTPS ile güvence altına aldığınızda ve güçlü parolalar kullandığınızda, bilgisayar korsanlarının hayatını zaten oldukça zorlaştırmış olursunuz.

Ancak giriş formlarına CAPTCHA ekleyerek bunu daha da zorlaştırabilirsiniz.

WordPress Güvenliği: Güvenli Olmak İçin 16 Adım & Sitenizi Koruyun

Captcha'lar, oturum açma formlarınızı kaba kuvvet saldırılarına karşı korumanın harika bir yoludur.

WordPress Girişinde Captcha Eklemek için Eklentiler:

  1. Giriş Yap Captcha reCAPTCHA yok.
  2. Giriş Güvenliği reCAPTCHA.

5. Brute Force Giriş Girişimlerinden Koruyun

Giriş CAPTCHA, size belirli bir noktaya kadar kaba kuvvet girişimlerine karşı koruma sağlar, ancak tamamen değil. Genellikle, captcha belirteçleri çözüldükten sonra birkaç dakika geçerlidir.

Örneğin Google reCaptcha 2 dakika geçerlidir. Saldırganlar, bu süre boyunca giriş formunuza kaba kuvvetle giriş denemelerini denemek için bu iki dakikayı kullanabilir.

Bu sorunu çözmek için başarısız oturum açma girişimlerini IP adresi ile engellemelisiniz.

Brute-Force Saldırılarını Önlemek için WordPress Eklentileri:

  1. WP Sınırlı Giriş Denemeleri.
  2. Giriş Denemelerini Sınırla Yeniden Yüklendi.

6. İki Faktörlü (2FA) Kimlik Doğrulamayı Ayarlayın

Giriş formlarındaki güvenli şifreler ve captcha ile daha fazla korunursunuz, evet.

Peki ya bilgisayar korsanları web sitenize erişmek için gözetleme yöntemleri kullanıp yazdığınız şifreyi videoya kaydettiyse?

Parolanız varsa, yalnızca iki faktörlü kimlik doğrulama web sitenizi saldırganlardan koruyabilir.

WordPress Güvenliği: Güvenli Olmak İçin 16 Adım & Sitenizi Koruyun

2FA Kimlik Doğrulaması Kurulumu için WordPress Eklentileri:

  1. İki Faktörlü.
  2. Google Kimlik Doğrulayıcı.
  3. WordPress İki Faktörlü Kimlik Doğrulama (2FA , MFA).

7. WordPress Çekirdeği ve Eklentilerini Güncel Tutun

Güvenlik açıkları genellikle WordPress çekirdeği ve eklentileri için ortaya çıkar ve oluştuğunda bulunur ve raporlanır. Web sitelerinin dosyalarda bilinen ve bildirilen deliklerden saldırıya uğramasını önlemek için eklentilerinizi en son sürümle güncellediğinizden emin olun.

Bilginiz olmadan web sitelerinizi bozmanıza neden olabileceğinden otomatik güncellemeye geçmenizi tavsiye etmem.

Ancak, bu güncellemeler çekirdek için güvenlik yamaları içerdiğinden, bu kod satırını wp-config.php'ye ekleyerek WordPress çekirdeğinin küçük güncellemelerini etkinleştirmenizi şiddetle tavsiye ederim .

 define('WP_AUTO_UPDATE_CORE', 'küçük');

8. Güvenlik HTTP Başlıklarını Ayarlayın

Güvenlik başlıkları, web sitesinde gezinirken tarayıcı ve sunucu arasında gerçekleştirilebilecek eylemleri kısıtlayarak ekstra bir koruma katmanı sağlar.

Güvenlik başlıkları, Clickjacking ve Siteler Arası Komut Dosyası Çalıştırma (XSS) saldırılarına karşı koruma sağlamayı amaçlar.

Güvenlik başlıkları şunlardır:

  • Sıkı Taşımacılık Güvenliği (HSTS).
  • İçerik-Güvenlik-Politika.
  • X-Frame-Seçenekleri.
  • X-İçerik-Türü-Seçenekler.
  • Meta Veri Başlıklarını Getirin.
  • Yönlendiren-Politika.
  • Önbellek Kontrolü.
  • Site Verilerini Temizle.
  • Özellik-Politika.

Her bir güvenlik başlığı açıklamasına derinlemesine girmeyeceğiz, ancak bunları düzeltmek için bazı eklentileri burada bulabilirsiniz.

Güvenlik Başlıklarını Etkinleştirmek için WordPress Eklentileri:

  1. Web sitesi güvenliğini artırmak için HTTP üstbilgileri.
  2. GD Güvenlik Başlıkları.

9. WordPress Dosyaları için Doğru Dosya İzinlerini Ayarlayın

Dosya izinleri, WordPress dosyalarınızı barındıran işletim sistemindeki kurallardır; bu kurallar, dosyaların nasıl okunacağını, düzenlenebileceğini ve yürütülebileceğini belirler. Bu güvenlik önlemi, özellikle bir web sitesini paylaşılan barındırmada barındırdığınızda çok önemlidir.

Yanlış ayarlanırsa, paylaşılan barındırmadaki bir web sitesi saldırıya uğradığında, saldırganlar web sitenizdeki dosyalara erişebilir ve oradaki herhangi bir içeriği - özellikle wp-config.php - okuyabilir ve web sitenize tam erişim elde edebilir.

  • Tüm dosyalar 644 olmalıdır.
  • Tüm klasörler 775 olmalıdır.
  • wp-config.php 600 olmalıdır.

Yukarıdaki kurallar, barındırma kullanıcı hesabınızın dosyaları okuyabileceği ve değiştirebileceği ve web sunucusunun (WordPress) dosya ve klasörleri değiştirebileceği, sileceği ve okuyabileceği anlamına gelir.

Diğer kullanıcılar wp-config.php içeriğini okuyamaz. wp-config.php için 600 ayarı web sitenizi çökertirse, onu 640 veya 644 olarak değiştirin.

10. WordPress'ten Dosya Düzenlemeyi Devre Dışı Bırakın

Dosyaları yönetici arka ucundan düzenleyebileceğiniz, WordPress'te bilinen bir özelliktir.

Gerçekten gerekli değil çünkü geliştiriciler SFTP kullanıyor ve bunu nadiren kullanıyor.

WordPress Güvenliği: Güvenli Olmak İçin 16 Adım & Sitenizi Koruyun

11. Tüm Gereksiz Özellikleri Devre Dışı Bırakın

WordPress, hiç ihtiyaç duymayabileceğiniz birçok özellikle birlikte gelir. Örneğin, WordPress'teki XML-RPC uç noktası, harici uygulamalarla iletişim kurmak için oluşturulmuştur. Saldırganlar bu uç noktayı kaba kuvvet oturumları için kullanabilir.

Disable XML-RPC-API eklentisini kullanarak XML-RPC'yi devre dışı bırakın.

WordPress'in yerleşik olduğu bir diğer sorun, web sitesindeki tüm kullanıcıları listelemek için bir REST-API uç noktası sağlamaktır.

Herhangi bir WordPress kurulumuna “/wp-json/wp/v2/users” eklerseniz, JSON verileri olarak kullanıcı adlarının ve kullanıcı kimliklerinin bir listesini görürsünüz.

Bu kod satırını function.php'ye ekleyerek kullanıcıları REST-API'yi devre dışı bırakın

 function disable_users_rest_json( $yanıt, $kullanıcı, $istek ){

 dönüş '';

}add_filter( 'rest_prepare_user', 'disable_users_rest_json', 10, 3 );

12. WordPress Sürümünü Gizle

WordPress, sayfanın HTML'sine WordPress sürümüyle otomatik olarak bir yorum ekler. Saldırgana ek bilgi olarak yüklü WordPress'inizin sürümünü verir.

WordPress Güvenliği: Güvenli Olmak İçin 16 Adım & Sitenizi Koruyun

Örneğin, çekirdeğinde bir güvenlik açığı olduğu bildirilen bir WordPress sürümü kullanıyorsanız, saldırgan, web sitenizi hacklemek için bildirilen tekniği kullanabileceğini bilir.

Bu Eklentileri Kullanarak WordPress Sürümü Meta Etiketlerini Gizle:

  1. Meta Jeneratör ve Sürüm Bilgisi Sökücü.
  2. Dawsun'dan WP Jeneratör Sökücü.

13. Bir WordPress güvenlik duvarı kurun

Güvenlik duvarı, web sitelerinde çalışan ve gelen HTTP isteklerini analiz eden bir web uygulamasıdır. Potansiyel olarak tehdit oluşturabilecek istekleri filtrelemek için karmaşık bir mantık uygular.

İstekleri engellemek için kurallarını güvenlik duvarının yerleşik kurallarının üzerine ayarlayabilirsiniz. Yaygın saldırı türlerinden biri SQL enjeksiyonudur.

SQL enjeksiyonlarına karşı savunmasız bir WordPress eklentisi çalıştırdığınızı ve bunu bilmediğinizi varsayalım. Bir güvenlik duvarı çalıştırırsanız, saldırgan eklentideki güvenlik açığını bilse bile web sitesini hackleyemez.

Bunun nedeni, güvenlik duvarının SQL enjeksiyonları içeren istekleri engellemesidir.

Güvenlik duvarları, IP'den gelen bu istekleri engeller ve art arda gelen tehlikeli isteklerin gelmesini engeller. Güvenlik duvarları, tek bir IP'den çok fazla istek algılayıp bunları engelleyerek DDoS saldırılarını da önleyebilir.

Bir web sunucusuna istek yapılmadan önce çalışan DNS düzeyinde güvenlik duvarlarını çalıştırmak da mümkündür. Bir örnek Cloudflare DNS güvenlik duvarıdır.

Bu yöntemin avantajı, DDoS saldırılarına karşı daha sağlam olmasıdır.

Sunucuda çalışan uygulama düzeyindeki güvenlik duvarları, HTTP isteklerinin web sunucusuna ulaşmasına ve ardından onu engellemesine izin verir. Bu, sunucunun onları engellemek için bazı CPU/RAM kaynaklarını harcadığı anlamına gelir.

DNS düzeyindeki güvenlik duvarları ile sunucu kaynaklarını harcamaz, bu nedenle saldırılara karşı daha sürdürülebilir.

Kullanabileceğiniz WordPress Güvenlik Duvarı Eklentileri:

  1. Wordfence Güvenliği.
  2. Sucuri.
  3. Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı.
  4. Kurşun Geçirmez Güvenlik.
  5. Kalkan Güvenliği.

Not: Güvenlik duvarları kurmaya karar verirseniz, oturum açma kaba kuvvet koruması veya 2F kimlik doğrulama gibi özelliklere sahip olabilir ve yukarıda belirtilen eklentileri yüklemek yerine özelliklerini kullanabilirsiniz.

14. Yedeklemeleri Saklayın

Saldırıya uğrarsanız, kurtarmanın en iyi yolu, web sitesini virüslü olmayan en son sürümden geri yüklemektir.

Web sitesi yedeklerini saklamazsanız, web sitesini temizlemek zaman alan bir işlem olabilir. Ve bazı durumlarda, kötü amaçlı yazılım tüm verileri sildiği için tüm bilgileri geri yüklemek mümkün olmayabilir.

Bu tür senaryolardan kaçınmak için web sitenizin veritabanını ve dosyalarını düzenli olarak yedekleyin.

Barındırma desteğinize, günlük yedekleme işlevi sağlayıp sağlamadıklarını kontrol edin ve etkinleştirin. Değilse, yedeklemeleri çalıştırmak için bu eklentileri kullanabilirsiniz:

  1. BackWPup.
  2. UpdraftPlus.
  3. YedekBuddy.
  4. Blog Kasası.

15. SFTP'yi kullanın

Pek çok geliştirici, web sunucularına bağlanmak için SFTP'yi zaten kullanıyor, ancak hala kullanmıyorsanız, bunu hatırlatmak önemlidir.

HTTPS gibi, SFTP de dosyaları ağ üzerinden aktarmak için şifreleme kullanır ve ağa erişimi olsa bile düz metin olarak okunmasını imkansız hale getirir.

16. Kullanıcıların Faaliyetlerini İzleyin

Web sitenizi bilinmeyen bilgisayar korsanlarından korumanın birçok yolunu tartıştık. Ancak, web sitesi yöneticisine erişimi olan bir çalışanınız, içeriğe bağlantı eklemek gibi gölgeli şeyler yaptığında ne olacak?

Yukarıdaki yöntemlerin hiçbiri gölgeli bir çalışanı tespit edemez.

Bu, etkinlik günlüklerini izleyerek yapılabilir. Her kullanıcının etkinliğine bakarak, çalışanlardan birinin yapmaması gereken bir makaleyi düzenlediğini görebilirsiniz.

Ayrıca şüpheli görünen etkinliklere bakabilir ve hangi değişikliklerin yapıldığını görebilirsiniz.

Kullanıcı Etkinliğini İzlemek için WordPress Eklentileri:

  1. Etkinlik Günlüğü.
  2. Kullanıcı Aktivite Günlüğü.
  3. WP Etkinlik Günlüğü.

Bu eklentilerin tuttuğu süreyi (veya kayıt sayısını) sınırlamak isteyebileceğinizi unutmayın. Çok fazla varsa, veritabanınızı aşırı yükleyecek ve web sitesi performansını ve hızını etkileyebilir.

Hacklenirseniz Ne Yapmalısınız?

Güvenlik uzmanlarının tüm tavsiyelerine ve web sitelerinizi saldırılardan korumanın yollarını bilmemize rağmen, yine de oluyor.

Web siteniz saldırıya uğradıysa, kurtarmak için aşağıdaki adımları uygulamanız gerekir:

  1. Tüm e-postalarınızı ve diğer kişisel şifrelerinizi değiştirin, çünkü bilgisayar korsanları önce e-postanıza erişmiş olabilir ve böylece web sitenize erişebilir.
  2. Web sitenizi bilinen en son saldırıya uğramamış yedeklemeye geri yükleyin.
  3. Tüm web sitesi kullanıcılarının şifrelerini sıfırlayın.
  4. Mevcut güncellemeler varsa tüm eklentileri güncelleyin.

Çözüm

Güvenlik söz konusu olduğunda 360° düşünün. Güvenlik kurallarına uymadıkları takdirde şirketin maruz kalabileceği sonuçları anlamaları için tüm çalışanlarınız için güvenliğin önemini vurgulayın.

Saldırıya uğrarsanız, ]web sitenizi yedekten kurtarın ve en kısa sürede web sitenizin ve e-postalarınızın tüm şifrelerini değiştirin.

WordPress Güvenliği: Güvenli Olmak İçin 16 Adım & Sitenizi Koruyun