Açık kaynak kodlu içerik yönetim sistemi olan WordPress, her tür web sitesi oluşturmak için 2003’ten beri blog yazarlarına ve web yöneticilerine hizmet vermektedir. Açık kaynak kodun avantajı sayesinde ücretsiz olarak kullanılabilmektedir. Esnekliği ve kolaylığından dolayı yakın zamanda daha fazla popülerlik kazanarak pazar lideri oldu. Bu nedenle WordPress güvenliği çok önemli bir hale geldi.
WordPress, sadece bireyler tarafından değil devlet kurumları, okullar, kobiler ve büyük ölçekli şirketler tarafından da web site altyapılarını oluşturmak için kullanılmaktadır. Ücretsiz WordPress blog hizmetleri (WordPress.com) dahil WordPress alt yapısını kullanan 74 milyondan fazla site mevcuttur. Olağanüstü CMS(Content Management System) sayesinde sayısız sayıda bulunan eklentisiyle kısa zamanda çok güzel web siteleri ortaya çıkartılabilmektedir.
Çok sayıda avantajın yanı sıra, WordPress güvenliği de yaygın bir sorun haline gelmiştir. WordPress siteniz varsa güvenliği sağlamanız için gerekli adımları atmanız gerekmektedir.
İçerikler
WordPress Sitesi ve Blogunu Neden Güvende Tutmalısınız?
Şimdi madalyonun bir de diğer tarafını bakalım. WordPress’in büyük popülaritesi ve kayda değer pazar payı nedeniyle, bilgisayar korsanları ve diğer siber suçlular için cazip bir nokta haline gelmektedir. Bir bilgisayar korsanı herhangi bir WordPress sitesine girme yolunu yöneldiğinde, sitenizi kötü amaçlı siteye dönüştürmek için virüslü kodlar ve güvenlik açıkları ekleyebilir. Bunun sonucunda sitenizi bile kontrol edemezken, aynı zamanda kişisel verilerinize de erişmiş olurlar.
Bir bilgisayar korsanı sitenize veya bilgisayarlarınıza girdiğinde, bu durum size korkunç sonuçlar doğurur. Bu nedenle, ana çalışmanızı yaparken sitenizi kötü amaçlı saldırılara karşı savunabilmeniz için WordPress siteniz için olası tehditleri bilmek çok önem arz etmektedir. Tüm potansiyel güvenlik açıklarını kapatmalısınız. Bu makalede, gelecekte pişmanlıktan yaşamamanız ve WordPress sitesini güvenli hale getirmenin farklı yollarını açıklamaya çalışacağım. Bu sayede wordpress güvenliği konusunda ilk adımları atmış olacaksınız.
1. Karmaşık Şifreler Kullanın
Şifre oluştururken almanız gereken bazı önlemler var.
- Web sitenizin adını asla şifre olarak kullanmayın.
- Yalnızca sayısal kelimeleri veya yalnızca harfleri kullanmayın.
- Asla telefonunuzu, araç plakanızı veya doğum tarihinizi kullanmayın.
- Ardışık sayıları kullanmayın
- En önemlisi, hiçbir zaman sözlük kelimelerini veya sözlük kelimelerinin kombinasyonlarını kullanmayın.
Şifreleri seçerken bunlara dikkat edin
- Numara ve harf karışımı kullanın,
- Hem Küçük hem de büyük harf harfler kullanın,
- Şifrelerde $, @,% gibi özel işaretler kullanın,
- Şifrenizi en az 8 karakter olarak belirleyin,
Etkili şifreler oluşturmak için ipucu
Parolanız uzun ve alfa sayısal kelimelerin birleşimi olmalıdır. Şifrelerinizi siz karmaşık hale getirmek ve hatırlamak için kendiniz için bir cümle oluşturun ve bunların baş harflerini şifre olarak belirleyin. Örneğin: “2 hafta sonra Trabzon’a gideceğim. 7 gün orada kalacağım!
Şimdi yukarıda verdiğim örneğe göre bir karmaşık şifre oluşturalım. Şifremiz “2hsTg.7gok!” gibi görünüyor. Gördüğünüz gibi şifre karmaşık ve hatırlaması kolay. Siz de bu şekilde kolay bir şekilde karmaşık şifreler oluşturabilirsiniz.
2. Yönetici Alanınızı Güvenceye Alın
Yönetici alanının yani admin panelinin etrafına sağlam bir duvar gibi inşa etmek, ekstra bir güvenlik katmanı eklemek için mükemmel bir yoldur. Panele erişebileceğiniz belirli IP’leri seçebilirsiniz. Böyle olunca, kısıtlı IP’ler admin panelinize giremeyeceklerdir. Ekstra eklenti ve .htaccess dosyası vasıtasıyla siz de IP yetkilendirmesi yapabilirsiniz. IP adresinizi WhatIsMyIP web sitesini kullanarak bulabilirsiniz .
- Hosting kontrol panelinize giriş yapın ve “Dosya Yöneticisi” ne tıklayın.
- .Htaccess dosyasını WordPress kurulum dizininde bulun ve ve sağ tuş tıklayarak düzenleyin.
- Aşağıdaki kodları ekleyin ve IP adresinizi 00.000.000.000 yerine yapıştırın.
<Files wp-login.php> order deny,allow Deny from all Allow from 00.000.000.000 </Files>
Bu yöntem, sabit bir IP adresiniz varsa çok iyi çalışmaktadır, fakat farklı noktalardan Wi-Fi ile bağlantı yapıyorsanız IP sürekli değiştiğinden sorun yaşayabilirsiniz.
3. İki Faktörlü Kimlik Doğrulama
MiniOrange tarafından tarafından geliştirilen iki faktörlü kimlik doğrulaması ana güvenlik katmanınızı üstün kılmaktadır. WordPress’te bu tür bir hizmeti etkinleştirmek için bir eklenti yüklemeniz gerekir. İki Faktör Kimlik Doğrulaması Clef ve Google Kimlik Doğrulayıcı, iki faktörlü kimlik doğrulaması için en iyi eklentilerdedir.
MiniOrange tarafından geliştirilen eklentide E-posta doğrulama, Google Kimlik Doğrulayıcı, QR kod tarama, Push Bildirimi, vb. birçok seçenek mevcuttur. Eklenti ayrıca SMS ve Çağrı doğrulama özelliklerini içerirmektedir.
4. WordPress Güvenlik Eklentileri
WordPress’i kurduktan sonra, en iyi WordPress Güvenlik Eklentilerini kurmak birinci önceliğiniz olmalıdır. Bu konuda çok sayıda eklenti mevcuttur, ancak Sucuri , iThemes veya Wordfence’ı yüklemenizi önerebilirim. En çok kullanılan bu üç eklenti ücretsiz birçok özelliği barındırmaktadır. Sucuri kötü amaçlı yazılım taraması, giriş uyarıları, gizli anahtar durumu ve birçok diğer güvenlik katmanı sunar.
Bu uygulamaları yükledikten sonra sürekli güncel tutmanızı öneriyorum. Geliştiriciler WordPress güvenliğini geliştirmek için zaman zaman hataları ve güvenlik açıklarını gidermek için çeşitli güncellemeler yayınlamaktadırlar.
5. Giriş URL’sini değiştirin
2. maddede bahsetmiş olduğumuz belirlenen IP’lerden giriş yapmaya izin veren protokolü kullanmak istemiyorsanız, giriş URL’sini değiştirmek WordPress sitesinizi korumak için etkili bir yöntemdir.
Giriş URL’sini değiştirmenin çeşitli yolları vardır. Sadece basit bir eklenti kurarak(IThemes) giriş URL’sini değiştirebileceğiniz gibi arka planda wp-login.php üzerinden de bunu yapabilirsiniz.
6. İyi Eklentileri Seçin
Yüklemiş olduğunuz eklentiler, blogunuzda güvenlik açıklarına neden olabilir. Bu yüzden bir eklenti yüklemeden önce, indirme sayısını ve derecesini kontrol edin. İndirme sayısının daha yüksek olması, genellikle eklentinin iyi olduğu ve sorunsuz çalıştığı anlamına gelmektedir.
Ek bilgi olarak, eklenti başlığına tıkladığınızda, bu eklentiyi kaç kişinin 5 yıldız veya altında derecelendirdiğini görebileceğiniz bir kutu açılacaktır. Bu bölümden kullanıcıların deneyim ve yorumlarını okuyarak da ilerleyebilirsiniz.
7. Güvenli WordPress Temaları / Eklentileri
Bazı acemi blogcular sınırlı bir bütçeye sahip oldukları için kırık(crack) temalar kullanırlar. Hiçbir zaman kırık veya çalıntı temalar kullanmayın.
Kırık tema kurmadan önce bilmeniz gerekenler:
- Bir sorun durumunda destek alamazsınız,
- Geliştirici sürümü, temada bulunan hataları gizlemek için sık sık güncellenir. Ancak bir kırık versiyonunda, güncelleme yapılamamaktadır,
- Muhtemelen temayı kıran kişi, içine bazı gizli kodlar eklemiştir,
WordPress, web siteleri ve blog için bir çok ücretsiz temalar sunmaktadır. Tabi ki, bu ücretsiz temalar tamamen özelleştirilebilir değildir, ancak yeni bir blog için yeterli özelleştirmeye sahiptirler. Ancak, bu ücretsiz temaların kırık temalardan çok daha güvenli olduğunu unutmayın. Bu ücretsiz temalar WordPress.org tarafından desteklenmekte ve son güncellemeleri almaktadırlar.
8. Asla “admin” i Kullanıcı Adı olarak kullanmayın.
Eğer admin’i kullanıcı adınız olarak kullanıyorsanız, bunun çok büyük bir hata olduğunun farkına varmalısınız. Brute gibi siber saldırılarda bilgisayar korsanlarının önceliği, en yaygın ve varsayılan admin ismini kullanmaktadırlar.
Kullanıcı adını, hosting sağlayıcısının sağladığı kontrol panelinden (cPanel) veya Username Changer gibi bir eklentiler kullanarak değiştirebilirsiniz .
9. Uygun Rolleri Atama
Siteyi yöneten ve işleten tek kişi ise, bu sorun teşkil etmeyecektir. Fakat web siteniz bir ekip tarafından yönetiliyor ve birden fazla kullanıcınız varsa, her kullanıcıya belirli bir rol vermeniz gerekmektedir. Herkese yönetici hakkı vermek, WordPress site güvenliğinizi tehlikeye atabilir. Abone, Yönetici, İçerik Sağlayıcı, Yazar ve Editör, vb. gibi farklı roller vardır. Her rolün Yönetici dışında bazı sınırlamaları mevcuttur.
WordPress panosunun kenar çubuğunda, Kullanıcılar> Tüm Kullanıcılar’a gidin . Burada yeni kullanıcıları ekleyebilir ve rol atayabilirsiniz. Özellikle kullanıcıları dış kaynaklardan kullanırken, rolleri dikkatlice atamanız gerekmektedir.
10. WordPress Güvenlik Anahtarları
Bu güvenlik katmanı, kullanıcı çerezlerini koruyarak, bilgisayar korsanlarının şifreyi kırmasını zorlaştırmaktadır. Peki çerezler neler? Basitçe açıklamak gerekirse, çerezler, kullanıcı bilgisayarında bir web tarayıcısı aracılığıyla depolanan küçük veri / bilgi parçalarıdır. Bilgisayar korsanları bu çerezleri kırabilir, bu nedenle adım atmanız ve bu bilgilerin şifrelemeniz gerekmektedir.
Çerezlerinizi şifrelemek için WordPress Secret Key Generator kullanın . Bu anahtaralar, sayfayı her yenilediğinizde değişir. Bu nedenle, benzersiz, yeni kombinasyonunuzu seçtiğinizden ve tüm anahtarları, yani tüm satırları kopyaladığınızdan emin olun. Bu anahtarları wp-config.php dosyasına eklemeniz gerekmektedir.
Güvenliği artırmak için WordPress Secret Key Generator nasıl kullanılır
- Hosting kontrol panelinize giriş yapın (cPanel)
- Dosya yöneticisini açın ve WordPress kurulum dizinine girin (wp-admin, wp-content ve wp-include gibi klasörlerin bulunduğu yer).
- Wp-config.php adlı dosyayı bulun ve düzenleyin.
- Aşağıdaki terimleri bulana kadar aşağı kaydırın
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');- Şimdi Gizli Anahtar Üreticiden kopyaladığınız tüm anahtarları eskilerinin yerine yapıştırın. İşleminiz tamamlandı.
11. Limit Giriş Denemeleri
Adından da anlaşılacağı gibi, bu yöntem admin panele oturum açma girişimi sayısına kısıtlamalar getirmiştir. Etkinleştirdikten sonra, belirli giriş denemeleri yapılıp eğer yanlış kullanıcı adı veya şifre girilirse, o zaman bu IP’yi belirli bir süre boyunca engeller. WordPress web sitesini korumanın bu yolu, Brute Force Attack’e karşı çok etkilidir. Bu tür saldırı saldırılarında botlar veya program ya da her ne ise, siteye girmek için farklı kombinasyonlar denerler. Ayrıca bir çok hosting firması da bu denemeleri otomatik olarak sağlamaktadırlar.
WordPress kurulum sihirbazı aracılığıyla kurulum, Limit oturum açma girişimlerini etkinleştirmek isteyip istemediğiniz sorulacaktır. Seçeneği oradan etkinleştirmediyseniz “WP Limit Login Attempts plugin” yükleyerek bunu sağlayabilirsiniz.
12. Güvenlik Denetleyicisi
Sitenizi tarayarak güvenlik risklerini öğrenebilirsiniz. Sucuri Security Scanner, güvenlik risklerini bulmak için ücretsiz olarak kullanılan bir araçtır. Web sitenizi SPAM, kötü amaçlı yazılım, kara liste ve güvenlik duvarı vb. için kontrol ederek önerilerde bulunur. Sitenizi sık sık taratarak kontrollerinizi yapın.
13. CloudFlare ve SSL
CloudFlare yalnızca sitenizin performansını iyileştirmekle kalmaz aynı zamanda WordPress güvenliğini de güçlendirir. Hem ücretli hem de ücretsiz sürümü mevcuttur. Ücretsiz sürümde, DDOS korumasını ve diğer bazı güvenlik katmanlarını etkinleştirebilirsiniz.
CloudFlare ayrıca ücretsiz SSL sertifikası da vermektedir. SSL, sitenize ek güvenlik katmanını sağlar. SSL, müştereilerinizin kredi kartı numaraları vb. verilerini korumak için kullanılmaktadır. Arama motoru SSL kullanan siteleri daha güvenli olarak değerlendirmekte ve arama sıralamasında daha üst sıralara çıkmalarını sağlamaktadırlar.
14. Rutin Yedeklemeler Oluşturun
Yedeklerinizi sık sık alın Hosting firmalarının çoğu, ek ücret ödemeden yedekleme hizmetlerini vermektedirler. Ancak, siz kendinizi sağlama alın ve sık sık kendi yedeklerinizi yönetim panelinden alın.
WordPress site yedeğini oluşturmak için kullanılan yedekleme eklentileri bulunmaktadır. Updraftplus eklentisi tüm sitenin yedeğini oluşturmak için ücretsiz ve premium hizmetler sunar. Bu eklenti ile ayrıca ne zaman yedeklemeler oluşturulacağını ve kaç tane yedek kopyasının saklanacağını da belirleyebilirsiniz.
15. Güvenli Web Hosting
Güvenli bir hosting firması seçmek yukarıda sıraladığımız faktörler en zorunlu olanıdır Bir hosting hesabı satın almadan önce, web sitelerinde şirket güvenlik protokollerini mutlaka kontrol edin. Ben bu araştırmalarım sonunda Güzel.net.tr firmasıyla çalışmaktayım ve tavsiye ediyorum.
Güvenli Hosting Özellikleri:
- Firewall Uygulaması
- Önceden yüklenmiş RAID
- Kötü niyetli algılama sistemi
- PHP gibi en son programları kullanma
- SPAM önleme sistemi
- Günlük Yedeklemeler
Sitem Hacklendi mi?
İşte saldırıya uğradığınızı anlamanın ana göstergeleri.
- Google arama sonucu sayfasında “Bu Site saldırıya uğramış olabilir” gibi bir mesaj gösterildiğinde.
- Google sitenizi kara listeye aldığında ve Sucuri Güvenlik Tarayıcı kara liste durumunu gösterdiğinde.
- Google Chrome gibi bir web tarayıcısı ziyaretçilere bir Uyarı mesajı ilettiğinde.
- Hosting sağlayıcı hesabınızı devre dışı kaldığında.
- Google Arama Konsolu size bir uyarı mesajı gönderdiğinde
- Güvenlik tarayıcısı bir uyarı mesajı gösterdiğinde,
Hacklenen WordPress Web Sitesini Düzeltme
- Şifreleri ve kullanıcı adlarını değiştirin,
- WordPress gizli anahtarlarını değiştirme,
- Hosting sağlayıcınıza başvurun ve oradaki giriş bilgilerini değiştirin,
- Yedeklemeyi geri yükleyin,
- Eklentileri ve Temayı tarayın,
- Diğer kullanıcılara göz atın ve düzenleyin,
WordPress Güvenliği Sonuç
WordPress güvenlik tehditlerini önlemek için her zaman en son ve en kararlı sürümleri kullanmanız ve giriş güvenliğini artırmanız gerekmektedir. WordPress ve eklentilerinizi güncel tutun, kırık temalar kullanmayın.
Bu makale ile WordPress web sitelerinizi ve bloglarınızın güvenliğini artırabilir ve sorun yaşamadan online dünyada varlığınızı devam ettirebilirsiniz. WordPress güvenliği konusunun çok önemli olduğunu asla unutmayın.
