WordPress Nasıl Güçlendirilir: Temel Araçlarla 18 Adımlı Kılavuz

Yayınlanan: 2024-08-01

WordPress web siteleri, bakımları iyi yapılmadığı takdirde savunmasız hale gelebilir. Atlanan birkaç güncelleme veya kötü bir eklenti varsa siteniz risk altındadır. Saldırganlar, düzgün bir şekilde güvence altına alınmamışsa giriş sayfasından da girebilir veya dağıtılmış hizmet reddi (DDoS) saldırılarıyla sitenizi durma noktasına getirebilir.

Çok fazla kasvet ve kıyamet mi var?

Neyse ki WordPress'i güçlendirmek için gerekli adımları atarsanız bu saldırılar kolayca önlenebilir. İçerik yönetim sistemi (CMS), sitenizin ayarları üzerinde size tam kontrol sağlar; bu, sitenizi farklı türdeki saldırılardan korumak için stratejiler uygulayabileceğiniz anlamına gelir.

Bu yazıda size WordPress güvenliği konusunda tam bir kurs vereceğiz. Hangi araçları kullanmanız gerektiğini tartışacağız, WordPress'i güçlendirmek için 18 adımı inceleyeceğiz ve Jetpack Security'nin tek bir eklentiyle sitenizi güvende tutmanıza nasıl yardımcı olabileceğini size göstereceğiz. Hadi hadi bakalım!

WordPress sitenizi güçlendirmenin önemi

Siber saldırganlar, yararlanabilecekleri güvenlik açıklarına sahip siteleri bulmak için web'i tarama eğilimindedir. Siteniz nispeten yeni olsa bile, saldırganlar kötü amaçlı yazılım dağıtmak veya veri çalmak için yine de sitenizi hedefleyebilir.

Bu, WordPress güvenliğini tüm web siteleri için çok önemli hale getirir. Bu yazının yazıldığı sırada, 50.000'den fazla belgelenmiş WordPress güvenlik açığı bulunmaktadır. Buna 7.800'den fazla bilinen güvenlik açığı bulunan eklenti ve yaklaşık 670 tema dahildir.

WordPress'in artan popülaritesi ve piyasadaki çok sayıda yeni eklenti ve tema nedeniyle güvenlik açıkları her geçen yıl artmaya devam ediyor.

Siteniz hedeflenirse siteye erişiminizi kaybedebilir ve verileriniz tehlikeye girebilir. İhlalin ciddiyetine bağlı olarak web sitenizi onarmak biraz zaman alabilir ve bu da birçok dönüşümün kaybedilmesine yol açabilir. Ayrıca, daha büyük bir çevrimiçi işletme işletiyorsanız, bir siber suçun kurbanı olmak ciddi mali kayıplara yol açabilir.

İyi haber şu ki, WordPress web sitenizi korumak için yapabileceğiniz çok şey var. Ancak güvenliği sağlamak için proaktif olmanız gerekir.

WordPress sitenizi güçlendirmek için temel araçlar

Bu kılavuz boyunca kullanabileceğiniz çeşitli güvenlik araçlarına değineceğiz. Bunlar, WordPress sitenizi güçlendirmek için önlemler uygulamanıza yardımcı olacaktır. Gelin bunların ne olduğuna bir göz atalım.

1. Bir güvenlik açığı tarayıcısı

Güvenlik açığı tarayıcısı, web sitenizi güvenlik sorunlarına karşı tarayan bir yazılımdır. WordPress söz konusu olduğunda, bir tarayıcı sitenizin dosyalarını, eklentilerini ve temalarını inceleyerek saldırganların yararlanabileceği potansiyel koruma açıklarını arar.

Tarayıcı bulduğu verileri WPScan gibi bir güvenlik açığı veritabanıyla karşılaştırır. Bu, sürekli olarak güncellenen, bilinen WordPress güvenlik açıklarının en büyük veritabanıdır.

Jetpack Koruma, web sitenizi güvenlik açıklarına karşı taramak söz konusu olduğunda en iyi seçenektir.

Jetpack Koruma, web sitenizi güvenlik açıklarına karşı taramak söz konusu olduğunda en iyi seçenektir. Eklenti, web sitenizde otomatik taramalar çalıştırarak WPScan veritabanından yararlanmanızı sağlar.

Jetpack bir güvenlik açığı tespit ederse sizi bilgilendirecek ve sorunun nasıl çözüleceğini gösterecektir. Çoğu durumda bu, savunmasız eklentilerin veya temaların silinmesini veya güncellenmesini içerecektir.

2. Kötü amaçlı yazılım tarayıcısı

Kötü amaçlı yazılım tarayıcısı, güvenlik açığı tarayıcısına benzer şekilde çalışır. Bu durumda yazılım, virüslü dosyaları bulmaya ve web sitenizi kötü amaçlı yazılımlardan temizleyebilmeniz için bunları karantinaya almanıza veya silmenize yardımcı olmaya odaklanır.

Çoğu durumda güvenlik açığı ve kötü amaçlı yazılım tarayıcıları birlikte çalışır. Örneğin WPScan, WordPress web sitenizdeki hem güvenlik açıklarını hem de kötü amaçlı yazılımları tanımlamanıza yardımcı olabilir.

Jetpack kullanıyorsanız ve Güvenlik planına erişiminiz varsa (veya Korumayı premium'a yükseltirseniz), eklenti web sitenizi kötü amaçlı yazılımlara ve güvenlik açıklarına karşı tarayacaktır. Web sitenizde bir sorun bulursa eklenti size genellikle yalnızca bir veya iki tıklamayla bu sorunları çözme seçenekleri sunar.

3. Bir web uygulaması güvenlik duvarı (WAF)

Muhtemelen güvenlik duvarı kavramına aşinasınızdır. Bu, bir sunucudan veya bilgisayardan gelen veya giden trafiği engelleyen bir programdır.

Bir web uygulaması güvenlik duvarı (WAF) benzer şekilde çalışır. Gelen kötü amaçlı trafiği engellemenize veya sitenizdeki kötü amaçlı yazılımların bilgi göndermesini önlemenize yardımcı olmak için tasarlanmıştır.

Çoğu WAF, ne tür bağlantıların engelleneceğine ilişkin kurallarla önceden yapılandırılmış olarak gelir. Hatta ayarlarına bağlı olarak bilinen kötü amaçlı IP adreslerini bile tespit edebilirler.

Jetpack Protect, basit yapılandırma ayarlarına sahip bir WAF içerir. WAF'ı, Jetpack'teki güvenlik uzmanları tarafından düzenli olarak sağlanan ve güncellenen otomatik kuralları kullanacak şekilde ayarlayabilirsiniz. Bu otomatik kurallar, yüksek önemdeki istismarları engellemek için yapılmıştır; böylece bir uzantıda güvenlik açığı olsa bile WAF kuralı sitenizi koruyabilir.

Eklenti ayrıca belirli IP adreslerini izin verilenler listesine veya engellenenler listesine koymanıza da olanak tanır. Kontrol paneline kimlerin erişebileceğini sınırlamak istiyorsanız bu yararlı olabilir.

Eklenti ayrıca belirli IP adreslerini izin verilenler listesine veya engellenenler listesine koymanıza da olanak tanır. Kontrol paneline kimlerin erişebileceğini sınırlamak istiyorsanız bu yararlı olabilir.

4. Tesis dışı yedekleme çözümü

Yedekleme araçları web sitenizin kopyalarını oluşturur ve gerekirse bunları geri yükler. Yedeklemelerin ardındaki fikir, sitenizin arızalanması veya kolayca düzeltemeyeceğiniz bir güvenlik sorunuyla karşı karşıya kalmanız durumunda her zaman sitenizin güncel bir kopyasına sahip olmanızdır.

Daha fazla güvenlik için, yedeklerden birinin arızalanması ihtimaline karşı, yedekleri hem sitenizin içinde hem de dışında saklamanız önerilir. Bu şekilde web sitenizin verileri hiçbir zaman gerçekten kaybolmaz.

Sitenizi manuel olarak yedekleyebilirken Jetpack VaultPress Backup gibi özel bir eklenti kullanmak size gönül rahatlığı sağlayabilir ve tüm süreci otomatikleştirebilir.

Bu eklenti, web sitenizin gerçek zamanlı yedeklerini oluşturur ve bunları 30 güne kadar site dışında saklar.

Bu eklenti, web sitenizin gerçek zamanlı yedeklerini oluşturur ve bunları 30 güne kadar site dışında saklar. Bunların hepsi otomatik olarak gerçekleşir, ancak isterseniz kendi manuel yedeklemelerinizi de oluşturabilirsiniz.

Jetpack, sitenizde yaptığınız değişiklikleri anında kaydeder. Bu, yeni bir yedeği geri yüklemeniz gerektiğinde kısmi veri kaybı riskini ortadan kaldırır. Etkinlik günlüğüne gidip geri yüklemek istediğiniz tarih ve saati seçmeniz yeterlidir; Jetpack sitenizi hemen geri yüklemeye başlayacaktır (tamamen çevrimdışı olsa bile).

Etkinlik günlüğünden bahsetmişken…

5. Site değişikliklerini izlemek için bir etkinlik günlüğü

Etkinlik günlüğü, web sitenizde olup bitenlerin dökümünü veren bir araçtır. Bu günlükleri, oturum açma işlemleri, eklenti yüklemeleri, gönderi yüklemeleri ve hatta sitenizin yapılandırmasındaki değişiklikler dahil olmak üzere farklı etkinlik türlerini izlemek için kullanabilirsiniz.

Bir etkinlik günlüğünün önemi abartılamaz. Bir web sitesini yönetmek için başkalarıyla işbirliği yaparsanız, bu araç size diğer herkesin ne yaptığına dair fikir verecektir.

Sorunları gidermek için etkinlik günlüğünü de kullanabilirsiniz. Örneğin, güvenlik açığı tarayıcınız aniden bir eklentiyle ilgili bir sorun tespit ederse, eklentinin ne zaman ve kim tarafından kurulduğunu görmek için günlükleri kontrol edebilirsiniz.

Jetpack, sitenizdeki son 20 etkinliği görebileceğiniz ücretsiz bir WordPress.com hesabı içeren bir etkinlik günlüğü içerir. Premium lisansla en az son 30 güne ait etkinliklere erişebileceksiniz

WordPress sitenizi 18 adımda nasıl sağlamlaştırabilirsiniz?

Önceki bölümde ele aldığımız araçların yanı sıra WordPress'i güçlendirmek için de adımlar atmanız gerekecek. İşte siteniz için en önemli güvenlik önlemleri.

1. Sitenizi yedekleyin

Yedeklemeler belki de kapsamlı bir güvenlik stratejisinin en önemli parçasıdır. Her zaman güncel yedeklemelere sahip olmak, web sitenizin saldırıya uğraması veya kötü amaçlı yazılımdan etkilenmesi durumunda içeriğinizi her zaman geri yükleyebileceğiniz anlamına gelir.

İdeal olarak, yedeklemeleri otomatikleştiren bir eklenti kullanacaksınız. Bu, web sitenizde önemli değişiklikler yaptıktan sonra yedekleme yapmayı unutma riskini ortadan kaldırır.

Bahsettiğimiz gibi Jetpack VaultPress Backup, tek başına veya Jetpack Security gibi nitelikli bir planla birlikte gelen güçlü bir yedekleme çözümüdür. Gerçek zamanlı bir yedekleme sistemi kullanır. Bu, sitenizde her değişiklik yaptığınızda tasarruf sağladığı ve böylece her yeni değişikliğin anında korunduğu anlamına gelir.

Bu sistem zamanlanmış yedeklemelere tercih edilir. İkincisi ile, son geri yükleme noktası çok gerideyse veri kaybı riskiyle karşı karşıya kalırsınız. VaultPress Backup'ı kullanıyorsanız bu bir sorun değildir.

2. Hepsi bir arada bir güvenlik eklentisi yükleyin

Aralarından seçim yapabileceğiniz çok sayıda WordPress güvenlik eklentisi var. Bazı araçlar, WAF veya iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmek gibi belirli amaçlar için tasarlanmıştır. Diğerleri daha bütünsel bir yaklaşım benimsiyor ve sitenizi korumak için birden fazla özelliği birleştiriyor.

Hepsi bir arada güvenlik eklentilerinin ardındaki fikir, web sitenize kurmanız gereken üçüncü taraf araçların sayısını en aza indirirken, mümkün olduğunca çok özelliğe erişim sağlamaktır.

Jetpack çok çeşitli güvenlik özellikleri sunar. Ücretsiz eklentiyi tercih ederseniz etkinlik günlüğüne, WAF işlevselliğine, güvenli kimlik doğrulama seçeneğine ve daha fazlasına erişim elde edersiniz.

Jetpack Güvenlik planına kaydolarak eklentinin sunduğu güvenlik özellikleri yelpazesini genişletebilirsiniz.

Jetpack Güvenlik planına kaydolarak eklentinin sunduğu güvenlik özellikleri yelpazesini genişletebilirsiniz. Bu plan, bir yedekleme çözümüne, tek tıklamayla düzeltmeler sunan otomatik kötü amaçlı yazılım taramasına, spam korumasına ve daha fazlasına erişmenizi sağlar.

Değer açısından Jetpack Security, WordPress kullanıcıları için en kapsamlı güvenlik çözümlerinden birini sunar. İsterseniz her zaman ücretsiz eklentiyi kullanmaya başlayabilir ve kendinizi rahat hissettiğinizde premium sürüme güncelleyebilirsiniz.

3. WordPress çekirdeğini güncelleyin

WordPress'i en son sürümüne güncellemek, web sitenizin güvenliğini artırmak için yapabileceğiniz en önemli şeylerden biridir. Bunun nedeni, yeni sürümlerin güvenlik düzeltmeleri ve iyileştirmeler içerme eğiliminde olmasıdır. Üstelik yazılımın geliştiricileri, acil güvenlik açıklarını gidermek için sıklıkla yamalar yayınlar.

WordPress'in eski sürümlerini kullanmak, eklentiler ve temalarla uyumluluk sorunlarına da yol açabilir. Bunlar web sitenizdeki önemli öğelerin çalışmasının durmasına neden olabilir.

WordPress'i güncel tutmak basittir. Kontrol paneline eriştiğinizde, WordPress size herhangi bir güncelleme olup olmadığını söyleyecektir. Kontrol Paneli → Güncellemeler seçeneğine tıklayarak WordPress'i güncelleyebilirsiniz.

Eklentileriniz veya temalarınız daha yeni sürümü desteklemiyorsa WordPress'i güncellemenin uyumluluk sorunlarına yol açabileceğini unutmayın.

Eklentileriniz veya temalarınız daha yeni sürümü desteklemiyorsa WordPress'i güncellemenin uyumluluk sorunlarına yol açabileceğini unutmayın. Bu durumdan kurtulmak için büyük güncellemelerden önce sitenizin bir yedeğini oluşturmak isteyeceksiniz.

VaultPress Backup'ı kullanıyorsanız bu gerekli olmayacaktır. Eklenti sitenizi gerçek zamanlı olarak yedekleyecektir, böylece sitenizi geri yüklemeniz gerekebileceği için güncellemeden önce bir geri yükleme noktanız olur.

4. Kullanılmayan eklentileri ve temaları kaldırın

Siteniz büyüdükçe yeni eklentilere ihtiyaç duyabilir, hatta farklı bir temaya bile geçebilirsiniz. Bu, sitenize daha fazla güvenlik açığı getirebilir. Genel bir kural olarak, artık ihtiyacınız olmayan eklentileri veya temaları kaldırmak akıllıca olacaktır.

İşlem basittir.

Kontrol panelindeki eklentiler veya temalar sayfanıza gidin. Ardından, artık kullanmadıklarınızı devre dışı bırakın ve silin.

Kontrol panelindeki eklentiler veya temalar sayfanıza gidin. Ardından, artık kullanmadıklarınızı devre dışı bırakın ve silin.

Bu eklentilerden bazılarını daha sonraki bir tarihte yeniden yüklemeye karar verirseniz sorun değil. Bunları yüklemek ve etkinleştirmek yalnızca birkaç dakika sürecektir, ancak ayarlarını yeniden yapılandırmanız gerekebilir.

5. Kalan tüm eklentileri ve temaları güncelleyin

Eklenti ve tema listenizi temizledikten sonra sitenizde kalan öğelerden herhangi birinin güncelleme gerektirip gerektirmediğini kontrol etmek isteyeceksiniz. Eklenti ve tema güncellemeleri, saldırılar için en yaygın vektörlerden bazıları olduğundan güvenlik açısından WordPress çekirdek güncellemeleri kadar önemli olabilir.

WordPress, kontrol paneline eriştiğinizde mevcut eklenti ve tema güncellemeleri hakkında sizi bilgilendirecektir. İdeal olarak, sitenizin bileşenlerini yeni sürümler mevcut olur olmaz güncelleyeceksiniz.

Bunu kontrol panelindeki eklenti ve tema sayfalarından yapabilirsiniz.

Sitenizi her gün kontrol edemeyecek kadar meşgulseniz, her eklenti için otomatik güncellemeleri etkinleştirebilirsiniz. Bu basit bir önlemdir.

Sitenizi her gün kontrol edemeyecek kadar meşgulseniz, her eklenti için otomatik güncellemeleri etkinleştirebilirsiniz. Bu basit bir önlemdir ancak web sitenizdeki güvenlik açığı riskini büyük ölçüde en aza indirebilir.

6. Güçlü bir şifre politikası uygulayın

Çoğu zaman, web sitesi ihlalleri WordPress'teki güvenlik açıklarından değil, insan hatasından kaynaklanır. Pek çok kişi web sitelerine giriş yapmak için zayıf kimlik bilgileri kullanıyor ve bu da bilgisayar korsanlarının kontrol paneline erişmesini kolaylaştırıyor.

Bunu önlemenin en iyi yolu güçlü bir şifre politikası uygulamaktır. WordPress web sitenize bir hesap kaydettiğinizde sizin için güvenli bir şifre oluşturulur.

Bunu önlemenin en iyi yolu güçlü bir şifre politikası uygulamaktır.

Jetpack kullanıyorsanız giriş sayfasını daha fazla korumak için kullanabileceğiniz iki faktörlü kimlik doğrulama (2FA) işlevine de erişebileceksiniz.

Jetpack kullanıyorsanız giriş sayfasını daha fazla korumak için kullanabileceğiniz iki faktörlü kimlik doğrulama (2FA) işlevine de erişebileceksiniz.

Sitenizde birden fazla kullanıcınız varsa (yazarlar ve mağaza yöneticileri gibi) bu çok yararlı olabilir. Kullanıcılarınız zayıf şifrelere bağlı kalsa bile, web sitenizi bu kimlik bilgilerine erişimi olan saldırganlara karşı korumak için 2FA'nın geri dönüşüne sahip olacaksınız (bu konuya daha sonra değineceğiz).

7. Oturum açma denemelerini sınırlayın

Genel olarak konuşursak, eğer birisi oturum açma ayrıntılarını hatırlayamıyorsa, genellikle birkaç farklı kimlik bilgisi deneyecek ve ardından parola sıfırlama talebinde bulunacaktır.

Bir kişinin çok sayıda kullanıcı adı ve şifre kombinasyonunu denediğini (etkinlik günlükleri aracılığıyla) fark ederseniz, muhtemelen bir saldırıyla karşı karşıyasınız demektir. Bu nedenle, bir kullanıcının belirli bir süre içinde yapabileceği oturum açma denemelerinin sayısını sınırlamak iyi bir fikirdir.

Bu Jetpack'te bulunan bir özelliktir. Eklenti, bilinen kötü amaçlı IP adreslerini tanıyabilen ve bu adreslerin oturum açmaya çalışmasını engelleyebilen kaba kuvvet koruması sunar.

Eklenti, bilinen kötü amaçlı IP adreslerini tanıyabilen ve bu adreslerin oturum açmaya çalışmasını engelleyebilen kaba kuvvet koruması sunar.

Kaba kuvvet koruması Jetpack'te varsayılan olarak etkindir. Jetpack → Ayarlar'a giderek yapılandırmasını inceleyebilirsiniz. Buraya ayrıca izin verilen IP adreslerini de ekleyebilirsiniz, böylece Jetpack yanlışlıkla oturum açma sayfasına erişmenizi engellemez.

8. Giriş güvenliğini 2FA ile güçlendirin

Yakın zamanda yapılan bir anket, geliştiricilerin yüzde 40'ından fazlasının 2FA'yı uygulamayı en büyük öncelikleri olarak gördüklerini gösteriyor. Bu önlem, saldırganların çalıntı kimlik bilgileriyle web sitenize erişme riskini en aza indirir.

İki faktörlü kimlik doğrulama, birçok kullanıcının zayıf parolalara sahip olması veya kimlik bilgilerini çeşitli sitelerde yeniden kullanması nedeniyle kritik bir güvenlik özelliğidir. 2FA ile bu kullanıcıların başka bir kimlik doğrulama biçimi sağlamasını zorunlu kılarsınız.

Konuştuğumuz gibi Jetpack, WordPress web siteniz için 2FA kullanmanızı sağlar. Bu, kullanıcıların bir WordPress.com hesabı oluşturmasını gerektirir. Daha sonra bu hesabı diğer WordPress web sitelerine, hatta WordPress'in açık kaynaklı sürümünü kullananlara bile giriş yapmak için kullanabilirler.

2FA, Jetpack'in ücretsiz sürümünde mevcuttur. Bu özellik açılıp kapatılabilir ve WordPress.com'a dayalı olduğundan, onu yapılandırmak için gelişmiş ayarlarla uğraşmanıza gerek yoktur.

9. Kullanılmayan kullanıcı hesaplarını kaldırın

Etkin olmayan kullanıcı hesapları, özellikle üst düzey izinlere sahiplerse, web siteniz için güvenlik riski oluşturabilir (bunun hakkında bir sonraki bölümde daha fazla konuşacağız). Bu hesaplar, kimlik bilgilerinin tehlikeye girebileceği ve web üzerinde paylaşılabileceği için güvenlik ihlallerine karşı ek fırsatlar sağlar.

Bu nedenle birçok web sitesi, hesabınız uzun süre aktif olmadığında (tabii ki sizi uyardıktan sonra) hesabınızı otomatik olarak silecektir. WordPress, kullanıcı listeniz üzerinde tam kontrol sahibi olmanızı sağlar; bu, istediğiniz zaman kullanıcıları ekleyebileceğiniz veya silebileceğiniz anlamına gelir.

Kullanıcıları silmek basit bir işlemdir. Kullanıcılar → Tüm Kullanıcılar'a gidin, hesabı bulun ve Sil seçeneğini seçin.

Kullanıcıları silmek basit bir işlemdir. Kullanıcılar → Tüm Kullanıcılar'a gidin, hesabı bulun ve Sil seçeneğini seçin. WordPress sizden onay isteyecektir ancak kullanıcının hesap silme işlemini kendisinin onaylamasına gerek yoktur.

Hesaplarını silmeden önce kullanıcılarla iletişime geçmek isteyebilirsiniz. Ancak bir hesap yıllardır etkin değilse muhtemelen kaldırılması gerekir.

10. Kalan kullanıcılara doğru rolü atayın

Kullanıcı listesini temizledikten sonra bir sonraki adımınız kalan kullanıcıların izinlerini gözden geçirmek olmalıdır. WordPress, her rolün önceden belirlenmiş bir dizi izinlere sahip olduğu basit bir rol sistemi kullanır.

Tüm WordPress ayarlarına tam erişime sahip tek kullanıcı rolü yöneticidir. Güvenlik açısından yalnızca bir yönetici bulunmalıdır. Diğer WordPress rolleri yazarları, editörleri, katkıda bulunanları ve aboneleri içerir.

Bazı eklentiler ayrıca güncellenmiş izinlere sahip yeni kullanıcı rolleri de ekler.

Her rol, kullanıcıların belirli görevleri yerine getirmesine olanak tanıyan izinlerle birlikte gelir. Örneğin yazarlar kendi gönderilerini yayınlayabilir ve düzenleyebilir ancak diğer kullanıcılar tarafından oluşturulan gönderileri yayınlayamaz ve düzenleyebilir.

Her rol, kullanıcıların belirli görevleri yerine getirmesine olanak tanıyan izinlerle birlikte gelir. Örneğin yazarlar kendi gönderilerini yayınlayabilir ve düzenleyebilir ancak diğer kullanıcılar tarafından oluşturulan gönderileri yayınlayamaz ve düzenleyebilir.

İdeal olarak hiçbir kullanıcının kendisine ihtiyaç duyduğundan daha fazla izin veren bir rolü olmamalıdır. Yanlış rollerin atanması, kullanıcıların dokunmamaları gereken WordPress ayarlarını değiştirebileceğinden güvenlik sorunlarına yol açabilir.

Herkese doğru rollerin atandığından emin olmak için kullanıcı listesini düzenli aralıklarla gözden geçirmek önemlidir. Bu basit uygulama, yanlış izinlere sahip ekip üyelerinin neden olduğu güvenlik sorunlarını en aza indirmenize yardımcı olacaktır.

11. Varsayılan “yönetici” hesabını yeniden adlandırın

WordPress yönetici hesabı, saldırganlar için en önemli mücevherdir. Buna erişim kazanırlarsa, web sitenizde veri çalmak ve kötü amaçlı yazılım yerleştirmek dahil istedikleri her şeyi yapabilecekler.

Varsayılan olarak WordPress, yönetici hesabı için yönetici kullanıcı adını kullanır. Bunu hesabı oluştururken değiştirebilirsiniz ancak daha sonra değiştiremezsiniz.

Yönetici kullanıcı adını kullanıyorsanız, çoğu saldırgan için bu kolay bir tahmindir; bu, yalnızca şifrenizi almaları gerektiği anlamına gelir. WordPress, yönetici olsanız bile mevcut kullanıcı adlarını değiştirmenize izin vermez.

Yönetici kullanıcı adını kullanıyorsanız bu çoğu saldırgan için kolay bir tahmindir; bu da yalnızca şifrenizi almaları gerektiği anlamına gelir.

Bunu aşmak için, daha güçlü bir kullanıcı adına sahip yeni bir yönetici hesabı oluşturabilir ve ardından ilkini silebilirsiniz. Bunu yalnızca yöneticiyseniz yapabileceğinizi unutmayın.

12. Varsayılan veritabanı önekini değiştirin

Varsayılan olarak WordPress, site veritabanları için wp_ önekini kullanır. Bu, veritabanı adını tahmin etmeyi nispeten kolaylaştırır ve bu da saldırganların veritabanına bağlanmasına yardımcı olabilir.

Bu öneki değiştirerek otomatik SQL enjeksiyon araçlarının veritabanını tanımlama riskini azaltabilirsiniz. İdeal olarak, bunu kurulum işlemi sırasında yaparsınız. WordPress kurulum sihirbazı, web sitenizi kurmadan önce size hangi veritabanı önekinin kullanılacağını soracaktır.

Siteniz zaten yayındaysa veritabanı önekini değiştirmek için wp-config.php dosyasını değiştirmeniz gerekecektir. Dosya aktarım protokolünü (FTP) kullanarak web sitesine bağlanın ve WordPress kök dizininde wp-config.php dosyasını arayın.

Dosyayı düzenleyin ve $table_prefix = 'wp_'; yazan satırı arayın. Devam edin ve wp_ değerini kullanmak istediğiniz önekle değiştirin. Dosyayı kaydedip kapattığınızda FTP istemciniz değişiklikleri yüklemelidir.

Şimdi phpMyAdmin'i kullanarak veritabanına erişin. Veritabanınızı seçin ve SQL'i kullanın Veritabanındaki her tablo için aşağıdaki sorguyu çalıştırmak için ekranın üst kısmındaki sekmeyi kullanın:

Tabloyu wp_xxxx'İ otherprefix_xxxx'E YENİDEN ADLANDIRIN;

Bu sorgunun gerçek hayatta nasıl görünmesi gerektiği aşağıda açıklanmıştır:

Veritabanınızı seçin ve veritabanındaki her tablo için aşağıdaki sorguyu çalıştırmak üzere ekranın üst kısmındaki SQL sekmesini kullanın: tablo wp_xxxx TO otherprefix_xxxx'e RENAME;

Bu son derece hassas bir işlemdir, bu nedenle önekleri değiştirmeyi denemeden önce tam site yedeğine (veritabanı dahil) sahip olduğunuzdan emin olmalısınız.

İşlem tamamlandıktan sonra web sitenizin iyi çalıştığından emin olun. Herhangi bir hatayla karşılaşırsanız, veritabanı tablolarından birini yeniden adlandırmayı unutmuş veya yanlış sorguyu çalıştırmış olabilirsiniz.

Sitenizi koruyoruz. Sen işini yürütürsün.

Jetpack Security, gerçek zamanlı yedeklemeler, web uygulaması güvenlik duvarı, kötü amaçlı yazılım taraması ve spam koruması da dahil olmak üzere kullanımı kolay, kapsamlı WordPress site güvenliği sağlar.

Sitenizin güvenliğini sağlayın

13. /wp-admin ve /wp-login.php'yi gizleyin

Muhtemelen bu URL son eklerinin her ikisini de tanıyorsunuzdur. WordPress'te oturum açmak ve kontrol paneline erişmek için kullanılırlar. Hatırlanması kolaydır ancak bu, bilgisayar korsanlarının web sitenize erişmesini kolaylaştırabilir.

Güvenlik açısından her iki URL için de farklı bir sonek kullanmak daha mantıklıdır. Başlamak için WordPress giriş URL'sinin nasıl değiştirileceğini anlatan bu eğitime göz atabilirsiniz. Bu , wp-login ve wp-admin.php'yi hem manuel olarak hem de eklentileri kullanarak değiştirme talimatlarını içerir.

14. Veri şifreleme için bir SSL sertifikası yükleyin

Günümüzde web sitelerinin güvenli yuva katmanı (SSL) sertifikalarını kullanmamaları için hiçbir neden yok. Bu sertifikalar sitenizin meşruiyetini doğrular ve şifrelenmiş verileri gönderip almak için HTTPS protokolünü kullanmanızı sağlar.

Bazı tarayıcılar, bir siteye olan bağlantılarının güvenli olmaması veya sitenin geçersiz ya da süresi dolmuş bir SSL sertifikasına sahip olması durumunda kullanıcıları uyarır.

Bazı tarayıcılar, bir siteye olan bağlantılarının güvenli olmaması veya sitenin geçersiz ya da süresi dolmuş bir SSL sertifikasına sahip olması durumunda kullanıcıları uyarır.

Web siteniz için ücretsiz bir SSL sertifikası almak ve yüklemek için bu kılavuzu takip edebilirsiniz. Ayrıca Jetpack'in tümü otomatik kurulumlu ücretsiz SSL sertifikaları sunan önerilen web sunucularından birini de kullanabilirsiniz.

15. FTP erişimini IP adresine göre kısıtlayın

Varsayılan olarak web sitenizin FTP kimlik bilgilerine erişimi olan herkes bu protokolü kullanarak sitenize bağlanabilir. Bu, saldırganların kimlik bilgilerinizi ele geçirmeleri durumunda sitenizin neredeyse her yönünü değiştirebilecekleri anlamına gelir.

Bazı web barındırıcıları, erişimi IP adresine göre sınırlamak gibi gelişmiş FTP güvenlik önlemleri sağlar. Bu, web sitenize FTP aracılığıyla hangi adreslerin bağlanabileceğini seçmenizi sağlar.

Yalnızca yöneticinin ve FTP yoluyla erişime ihtiyaç duyan diğer ekip üyelerinin gerekli izinlere sahip olması gerekir. Bu, güvenlik olaylarını en aza indirmenize ve WordPress ile ilgili sorunlarla karşılaşırsanız önemli dosyalarda kimin değişiklik yaptığını belirlemenize yardımcı olabilir.

İdeal olarak, FTP'yi hiç kullanmayacaksınız ve bunun yerine sunucunuza erişmek için SFTP veya SSH'yi seçeceksiniz.

Bu süreç web barındırıcınıza bağlı olarak değişecektir. Barındırma sağlayıcınızın FTP erişimini IP adresine göre kısıtlamanıza izin verip vermediğinden emin değilseniz, belgelerini kontrol edebilirsiniz.

16. Güvenli dosya ve dizin izinleri

UNIX tabanlı sistemler sayı kümelerine dayalı izin kurallarını kullanır. Bireysel dosyalar ve dizinler, bunlara kimlerin erişebileceğini, düzenleyebileceğini ve yürütebileceğini belirleyen farklı izin kümelerine sahip olabilir.

UNIX izinlerinin nasıl çalıştığı hakkında daha fazla bilgiyi WordPress Geliştirici El Kitabı'nda okuyabilirsiniz.

Şimdilik WordPress web siteleri ve dosya sistemleri için ideal izin düzeylerinin bulunduğunu unutmamak önemlidir.

Bunlar:

  • Dosyalar için 644 veya 640. İlk sayı grubu, dosyanın sahibine dosyaya tam okuma ve yazma erişimi verir ve gruptaki diğer kullanıcılar yalnızca okuma erişimine sahip olur. İkinci izin grubu kullanıcılara okuma erişimi sunmaz.
  • Dizinler için 755 veya 750. Bu izin kümesi son örnekle aynı şekilde çalışır ancak dizinlerle çalışır. 755, sahibine tam okuma ve yazma erişimi sağlarken, grubun diğer üyeleri de okuma erişimine sahiptir.

FTP kullanarak WordPress dosya sisteminizin dosya izinlerini değiştirebilirsiniz. Bunu yapmak için bir dosyaya veya dizine sağ tıklayın ve dosya izinleri seçeneğini seçin (bu, kullandığınız FTP istemcisine bağlı olarak değişebilir).

FTP kullanarak WordPress dosya sisteminizin dosya izinlerini değiştirebilirsiniz.

Bazı FTP istemcileri, sayısal sistemi kullanmanın yanı sıra belirli kutuları işaretleyerek dosya izinlerini ayarlamanıza olanak tanır. Hangi seçeneği tercih ediyorsanız onu seçmekte özgürsünüz.

17. Dosya düzenlemeye izin verme

Bazı web sunucuları bunları varsayılan olarak devre dışı bıraksa da, WordPress kutudan çıkan tema ve eklenti dosyası düzenleyicilerini içerir. Bunlar, web sitenizdeki eklentilerin ve temaların kodunda değişiklik yapmak için kontrol panelinden kullanabileceğiniz basit metin düzenleyicilerdir.

Kontrol panelinden dosya düzenlemeyi etkinleştirmek bir güvenlik riski oluşturur. Bu, saldırganların kontrol paneline erişim sağlaması durumunda, FTP kimlik bilgilerine veya barındırma paneline erişmeye gerek kalmadan sitenin kodunu doğrudan değiştirebilecekleri anlamına gelir.

Web sunucunuz WordPress'te dosya düzenlemeyi kullanmanıza izin veriyorsa, wp-config.php dosyasını değiştirerek bu seçeneği manuel olarak devre dışı bırakabilirsiniz. Dosyayı açın ve /* yazan satırın önüne aşağıdaki kod satırını ekleyin. Hepsi bu, düzenlemeyi bırakın! Mutlu bloglama. */ :

 define('DISALLOW_FILE_EDIT', true);

Değerin “true” olarak ayarlandığından emin olun, ardından değişiklikleri wp-config.php dosyasına kaydedin ve kapatın. Kontrol panelini şimdi kontrol ederseniz tema ve eklenti düzenleyicilerinin artık orada görünmemesi gerekir.

18. wp-config.php dosyanızı güvence altına alın

Bu WordPress güçlendirme kılavuzunda gördüğünüz gibi wp-config.php dosyası güvenlik açısından kritik öneme sahiptir. Web sitenizin korumasını artırmak için dosyanın kodunu değiştirebilirsiniz; bu nedenle, başka hiç kimsenin dosyaya erişememesi önemlidir.

wp-config.php dosyanızı yetkisiz erişime karşı korumanın bir yolunu zaten araştırdık. Temel olarak, web sitenize FTP yoluyla kimlerin bağlanabileceğini sınırlamayı içerir. İdeal olarak, riski azaltmak için FTP yoluyla bağlanmaya yetkili yalnızca bir veya sınırlı sayıda IP adresiniz olacaktır.

Alabileceğiniz ikinci güvenlik önlemi, uygun dosya izinlerinin mevcut olduğundan emin olmaktır. Diğer dosyalar için önerilen izin düzeyleri 644 veya 640 olsa da wp-config.php dosyası 440 veya 400 olarak ayarlanmalıdır. Bu izin düzeyleri, yönetici dışındaki diğer kullanıcıların okuma erişimi bile elde edemeyeceği anlamına gelir. dosyaya.

Felaket kurtarma için yedeklemenin önemi

Yedeklemelerin otomatikleştirilmesi muhtemelen en önemli güvenlik önlemidir. Yakın zamanda aldığınız site dışı yedekleme sayesinde, bir şeyler ters giderse web sitenizi her zaman geri yükleyebilirsiniz.

VaultPress Backup kullanıyorsanız manuel olarak yedekleme oluşturma konusunda endişelenmenize gerek yoktur. Mevcut yedeklemeleri Jetpack → VaultPress Backup'a gidip simgesine tıklayarak kontrol edebilirsiniz. Yedeklemelerinizi bulut düğmesinde görün .

VaultPress Backup kullanıyorsanız manuel olarak yedekleme oluşturma konusunda endişelenmenize gerek yoktur.

Bu size mevcut tüm yedeklemeleri gösterecek ve bunlardan herhangi birini tek bir tıklamayla geri yükleme seçeneği sunacaktır. VaultPress Backup, sitenizde değişiklik yaptığınızda sitenizin gerçek zamanlı kopyalarını oluşturur, böylece her zaman en güncel yedeklemelere sahip olursunuz.

Jetpack Security, gönül rahatlığı için yedeklemeleri nasıl yönetir?

Jetpack Security'nin yedeklemeleri nasıl işlediğine daha yakından bakalım. Aşağıdaki özelliklerin yalnızca Jetpack Security, Jetpack Complete veya VaultPress Backup gibi premium planlarda mevcut olduğunu unutmayın.

1. Gerçek zamanlı yedeklemeler

Çoğu yedekleme çözümü, yedeklemeleri manuel olarak oluşturmanızı veya bunları sizin için bir programa göre oluşturmanızı gerektirir. Örneğin günlük, haftalık veya aylık yedekleme yapma seçeneğiniz olabilir.

Günlük yedeklemeler harika bir başlangıçtır ancak o zaman bile web sitenizi geri yüklemeniz gerektiğinde kritik verileri kaybetme riskiyle karşı karşıya kalırsınız. Bu günlük yedeklemeden sonra ve bir sonraki yedeklemeden önce sitede herhangi bir değişiklik yaptıysanız, bunları yeniden uygulamanız gerekecektir.

VaultPress Backup, sitenizin gerçek zamanlı kopyalarını oluşturarak bu sorunu çözer. Her değişiklik yaptığınızda, eklenti işleri yedekleyecek ve yeni bir geri yükleme noktasına sahip olacaksınız. Bu, veri kaybetme riskiniz olmadığı anlamına gelir.

2. Ultra güvenli tesis dışı depolama

Depolama, çoğu yedekleme çözümünde bir sorun olabilir. Sitenizin kopyalarını kendi sunucusunda, yerel olarak veya bulut depolamayı kullanarak saklayabilirsiniz. Tesis dışı çözümler güvenlik açısından daha iyidir çünkü sunucu çökse bile bunlara hâlâ erişebilirsiniz.

VaultPress Backup, kendi tesis dışı depolama çözümünü sunar. Jetpack depolama alanına erişim elde ettiğiniz için eklentiyi bulut depolama sağlayıcılarıyla çalışacak şekilde yapılandırmanıza gerek yoktur.

Eklenti, son 30 günlük yedeklemeleri otomatik olarak iş yeri dışında saklar. İstediğiniz zaman bu yedeklerden birini seçip geri yükleyebilirsiniz.

3. Tek tıklamayla geri yükleme

VaultPress Backup, web sitenizi geri yüklemeyi kolaylaştırır. Tek yapmanız gereken, geri yüklemek istediğiniz yedeği seçip seçiminizi onaylamaktır; gerisini eklenti halledecektir.

Web sitenize tekrar eriştiğinizde VaultPress Backup'ı kullanarak geri yüklediğiniz sürümü göreceksiniz. Bu noktadan sonra sitede değişiklik yapmaya devam edebilirsiniz.

Sıkça Sorulan Sorular

WordPress web sitenizi veya VaultPress Yedeklemenizi nasıl koruyacağınız konusunda hala sorularınız varsa bu bölüm onlara cevap verecektir.

WordPress sertleştirme nedir ve neden önemlidir?

WordPress'i güçlendirmek sitenizin güvenliğini artırma sürecini ifade eder. Bu, saldırganların web sitesine erişmesini zorlaştırır.

WordPress sitelerine yönelik en yaygın tehditler nelerdir?

Çoğu WordPress güvenlik açığı eski eklentilerden, temalardan ve WordPress çekirdeğinden kaynaklanmaktadır. Güncel olmayan yazılımların, saldırganların web sitenize erişmek veya kontrolünü ele geçirmek için kullanabileceği güvenlik açıklarına sahip olma olasılığı daha yüksektir.

WordPress sitemi güvenlik açıklarına karşı nasıl izleyebilirim?

Sitenizi güvenlik açıklarına karşı izlemenin en kolay yolu bir güvenlik tarayıcısı kullanmaktır. Jetpack Security, web sitenizi bilinen WordPress güvenlik açıklarına karşı incelemek için WPScan'den yararlanır.

Üstelik Jetpack, eklentinin taramalar sırasında bulduğu güvenlik sorunlarını gidermenize yardımcı olabilir.

Bir WordPress güvenlik eklentisinde nelere dikkat etmeliyim?

En iyi WordPress güvenlik eklentileri, diğer üçüncü taraf araçlara olan ihtiyacı en aza indirirken web sitenizi korumaya yardımcı olacak bir dizi özellik sunar. Gerçek zamanlı yedeklemeler, WAF, spam koruması, 2FA uygulaması ve daha fazlası gibi özelliklere erişim elde etmek için Jetpack'i Jetpack Güvenlik planıyla birlikte kullanabilirsiniz.

Kaç site web sitesi güvenliği konusunda Jetpack'e güveniyor?

Jetpack, zengin güvenlik ve performans optimizasyonu özellikleri nedeniyle piyasadaki en popüler WordPress eklentilerinden biridir. Beş milyondan fazla web sitesi Jetpack kullanıyor, bu nedenle hem yeni hem de deneyimli WordPress kullanıcıları için mükemmel bir seçimdir.

Jetpack Security spam yorumlarına ve form gönderimlerine de yardımcı olabilir mi?

Jetpack Security, gelişmiş algoritmalara ve verilere dayalı olarak spam içerikli yorumları otomatik olarak engelleyen veya filtreleyen spam koruma özelliklerini içerir. Yanlış pozitif sonuç olmadığından emin olmak için işaretlenen yorumları da inceleyebilirsiniz.

Jetpack Güvenliği hakkında nereden daha fazla bilgi edinebilirim?

Jetpack Güvenliği hakkında daha fazla bilgi edinmek istiyorsanız planın ana sayfasını ziyaret edebilirsiniz. Burada özellikleri hakkında ek bilgi bulabilir ve bir plana kaydolabilirsiniz.

Jetpack Security'yi kullanarak web sitenizi koruyun

WordPress web sitenizi güçlendirmenin birçok yolu vardır. Bunlardan bazıları, varsayılan oturum açma ve kontrol paneli URL'lerini değiştirmek, wp-config.php dosyanızı güvence altına almak ve daha fazlası gibi güvenlik önlemlerinin uygulanmasını içerir. Ancak çoğu durumda sitenizi korumak için yapabileceğiniz en etkili şey, hepsi bir arada bir güvenlik eklentisi kullanmaktır.

Jetpack güvenliği güçlü bir çözümdür. Giriş sayfanızı korumanızı ve sitenizi DDOS saldırılarına karşı savunmanızı sağlar. Ayrıca gerçek zamanlı yedeklemeler, spam koruması ve çok daha fazlasını sağlar.

WordPress'i sertleştirmek söz konusu olduğunda nereden başlayacağınızdan emin değilseniz, JetPack Security'ye göz atın. Bir plana kaydolabilir ve web sitenizi hemen korumaya başlayabilirsiniz!