WordPress Güvenlik Kontrol Listesi – Sitenizi Korumanın 17 Yolu

Sitenizi güvence altına almak için bir WordPress güvenlik kontrol listesi mi arıyorsunuz? WordPress güvenliğini nasıl geliştireceğinizi bilmek ister misiniz?

Yukarıdaki sorulara cevabınız evet ise bu yazı tam size göre.

WordPress şüphesiz en iyi içerik yönetim sistemlerinden (CMS) biridir. Ancak, çok sayıda WordPress sitesinin güvenlik sorunlarıyla karşı karşıya olduğu da bir gerçektir.

Bu nedenle, bu yazıda, bu tür sorunları önlemek için sitenize uygulayabileceğiniz bir WordPress güvenlik kontrol listesi oluşturduk.

Hadi başlayalım!

WordPress Güvenliğine Neden Öncelik Vermelisiniz?

WordPress, herkesin kullanmasına, değiştirmesine ve dağıtmasına izin veren açık kaynaklı bir CMS'dir. Herkes platformu kullanabilir ve üçüncü taraf özelliklerini veya temalar ve eklentiler gibi işlevleri entegre edebilir.

Ancak bu özgürlük, platformu birden fazla güvenlik tehdidine karşı savunmasız hale getirdi.

Bu, WordPress'in web siteleri oluşturmak için iyi olmadığı anlamına gelmez. Hiç şüphesiz bir kişinin kullanabileceği en iyi CMS'dir.

Ancak, bir WordPress sitesi oluştururken dikkat etmeniz gereken birçok şey vardır. Ve güvenlik en büyük önceliğiniz olmalıdır.

İşte WordPress güvenliğinin önemli olmasının birkaç nedeni:

• Saldırganları önlemek için: Sitenizde kusursuz güvenlik önlemleri uygulamak saldırganları caydırır. Bunun nedeni, güvenlik açığı bulunan siteleri hedeflemenin, güvenliği yüksek olan sitelere göre onlar için daha kolay olmasıdır.
• Hassas bilgileri korumak için: WordPress güvenliğine öncelik vermek, kullanıcıların kişisel verileri, ödeme ayrıntıları vb. gibi hassas bilgileri korumanıza yardımcı olur.
• Marka itibarını korumak için: Veri ihlali gibi güvenlik saldırıları, kesinti süresine neden olur ve trafiği azaltır. Bu sonuçta marka itibarınıza zarar verir.
• Mali kaybı önlemek için: Güvenlik saldırıları mali kayıpla sonuçlanabilir çünkü sitenizi eski haline getirmek için gereken masraflardan ve yasal ücretlerden tasarruf etmeniz gerekebilir.

Ancak sitenizi siber saldırılardan korumak da kolaydır.

Kapsamlı kodlama veya teknik bilgi gerektirmez. Ne yapabileceğinizi bilmeniz ve bu bilgiyi sitenizde uygulamanız yeterlidir.

Bu nedenle, sitenizin güvenliğini artırmaya yardımcı olan WordPress güvenlik kılavuzuna geçelim.

WordPress Güvenliğini Geliştirmenin 17 Yolu – Nihai Kontrol Listesi

Giriş sayfanızı, yüklü temaları ve eklentileri, yönetici panelini ve daha fazlasını güvence altına almak için uygulayabileceğiniz 17 ipucu.

WordPress Giriş Sayfanızı Güvenli Hale Getirin

1. Güçlü Parolalar Kullanın

WordPress giriş sayfanızın güvenliğini sağlamak için her zaman kimsenin tahmin edemeyeceği bir şifre kullanmalısınız. Daha da iyisi, parolanın modeli benzersiz olmalıdır.

NordPass verilerine göre en yaygın şifre “şifre”dir. Bu tür şifreler kolayca tahmin edilebilir ve web sitenizi saldırganlara karşı savunmasız bırakır.

Bu nedenle, en az 12 karakterden oluşan bir şifre kullanın. Ayrıca, şifreniz büyük ve küçük harflerden, bazı rakamlardan ve özel karakterlerden oluşan bir karışım içermelidir.

Sizin için güçlü parolalar oluşturmak için Delinea gibi parola oluşturucuları da kullanabilirsiniz.

Bu arada, şifrenizi düzenli olarak değiştirmeniz de yardımcı olacaktır.

2. İki Faktörlü Kimlik Doğrulamayı Etkinleştirin

İki faktörlü kimlik doğrulamayı etkinleştirmek, fazladan bir güvenlik katmanı eklemek gibidir.

İlk kimlik doğrulama, kullanıcı adınız ve şifrenizdir, ikincisi ise ayrı bir uygulama veya cihaz kullanır.

Örneğin, ikinci kimlik doğrulama için e-postanızı veya telefon numaranızı ayarlayabilirsiniz. Ardından, bir telefona veya e-postaya bir güvenlik kodu göndererek oturum açarken kullanıcının kimliğini doğrulayacaktır.

Kullanıcılar sadece aynı kodu girerlerse giriş yapabilirler. Bunu yapmak için, iki faktörlü kimlik doğrulama işlevi ekleyen bir eklenti kurmalı ve etkinleştirmelisiniz.

Bu tür eklentilerin bazı örnekleri, İki Faktörlü, İki Faktörlü Kimlik Doğrulama vb.

3. Giriş Denemelerini Sınırlayın

Giriş denemeleri için sınır belirlediğinizde, saldırganların sınırı aştıktan sonra WordPress sitenize giriş yapmaları yasaklanır.

Kullanıcı adı ve şifreyi birden fazla tahmin ederek artık giremezler. Ayrıca, herhangi bir web sitesine saldırmanın en kolay yollarından biri olan kaba kuvvet saldırılarını da önler.

Bir sonraki bölümde kaba kuvvet saldırıları hakkında daha fazla konuşacağız.

Bir bilgisayar korsanı veya saldırgan birden çok kez giriş yapmayı denediğinde, diğer savunmasız sitelere geçer. Ayrıca, doğru parolayı girmediklerinde engellenirler.

Giriş denemelerini sınırlandırmak için, Limit Login Attempts Reloaded gibi işlevsellik sunan bir eklenti kullanabilirsiniz.

4. Varsayılan Oturum Açma URL'sini değiştirin

Saldırganların WordPress sitenize saldırmasının en kolay yollarından biri giriş URL'sidir. Değiştirmediyseniz, varsayılan WordPress oturum açma URL'sini bulmak kolaydır.

Herhangi bir WordPress web sitesi için varsayılan giriş URL'si, domain-name/wp-login veya domain-name/wp-admin şeklindedir.

Örneğin, example.com web sitesinin oturum açma URL'si www.example.com/wp-admin şeklindedir.

Bu nedenle, giriş sayfası URL'nizi değiştirmeli ve özel bir giriş URL'si kullanmalısınız. Saldırganlar için benzersiz bir oturum açma URL'si bulmak zordur.

Varsayılan oturum açma URL'sini değiştirmek için Kullanıcı Kaydı eklentisini kullanabilirsiniz.

5. Varsayılan Kullanıcı Adını Değiştir – yönetici

Yönetici ve yönetici gibi kullanıcı adları geneldir ve tahmin edilmesi kolaydır. Bu nedenle, kullanıcı adını admin'den benzersiz bir şeye değiştirmelisiniz, böylece kimse onu çözemez.

Oturum açmak için bir e-posta adresi kullanmak, bir kullanıcı adından bile daha iyidir.

WordPress varsayılan olarak kullanıcı adlarının değiştirilmesine izin vermez. Ancak yeni bir yönetici oluşturup eskisini silerek kullanıcı adını değiştirebilirsiniz.

Kullanıcılar >> Yeni Ekle'ye giderek ve Yönetici rolü vererek yeni bir kullanıcı oluşturabilirsiniz.

Easy username Updater gibi kullanıcı adı değiştirici eklentiyi de kullanabilir veya kullanıcı adını phpMyAdmin'den güncelleyebilirsiniz.

Yüklü Temalarınızı ve Eklentilerinizi Güvenli Hale Getirin

6. Güvenilir Kaynaklardan Tema ve Eklenti İndirin

WordPress, sitenize ekstra işlevler eklemek için birçok harika eklenti ve tema sunar. Ancak bu temaları ve eklentileri seçerken çok dikkatli olmanız en iyisi olacaktır.

Ücretsiz temaları ve eklentileri kullanmak için her zaman WordPress deposundan indirin. Ayrıca, kullanıcı incelemelerine bakarak temayı veya eklentiyi seçin.

Premium temalar ve eklentiler için ise ilgili tema ve eklentinin resmi web sitesinden satın almalısınız.

Örneğin, WordPress temasının premium sürümü olan Zakra'yı resmi web sitesi zakratheme.com'dan satın alabilirsiniz.

Veya Envato'nun ThemeForest'ı gibi tanınmış bir pazardan da tema satın alabilirsiniz.

Ayrıca, daha fazla güvenlik için WordPress sitenizde kullandığınız tema ayrıntılarını da gizleyebilirsiniz.

7. Temaları ve Eklentileri Güncelleyin

WordPress, çekirdeğini düzenli olarak güncellediğinden, üçüncü taraf temaları ve eklentileri de sık sık güncellemeler yayınlar.

Bu nedenle, yeni sürümün bildirimini alır almaz bunları güncellemelisiniz. Her yeni sürümde temalar ve eklentiler, hatalarını ve güvenlik açıklarını düzeltir.

Ayrıca, WordPress'in yeni çıkan sürümüne uyacak şekilde uyumlu hale getirildiler.

Temaların ve eklentilerin en son sürümüne sahip olup olmadığınızı kontrol etmek için kontrol panelinizdeki Güncellemeler'e gidebilirsiniz.

Ayrıca çok uzun süre güncellenmeyen temalar ve eklentiler siteniz için güvenlik riski oluşturur. Bu nedenle, artık güncellenmiyorlarsa temayı ve eklentiyi hemen değiştirin.

WordPress'i, temaları ve eklentileri en son sürüme güncelleme hakkındaki makalemizi de okuyabilirsiniz.

8. WordPress Güvenlik Eklentisini Kullanın

Sitenizin güvenliğini sağlamak için yapmanız gereken bir diğer önemli şey de bir güvenlik eklentisi kullanmaktır.

WordPress sitesinin güvenliğini sağlamak için oluşturulmuş birçok güvenlik eklentisi vardır. Bu nedenle, güvenilir bir güvenlik eklentisi bulun ve web sitenize kurun.

Bu arada olası WordPress saldırılarını engelleyebilecek Sucuri Security gibi güncel, doğrulanmış, güvenli bir güvenlik eklentisi seçmelisiniz.

Ayrıca başvurabileceğiniz bazı mükemmel güvenlik eklentilerinin bir listesine sahibiz.

9. Kullanılmayan Temaları ve Eklentileri Silin

Bir WordPress web sitesini yıllarca veya aylarca çalıştırdıktan sonra birçok tema ve eklentiyi denemiş ve test etmiş olabilirsiniz.

Ayrıca, aşağıdaki resimde gösterildiği gibi, kullanılmayan temaları ve eklentileri silmemiş olma olasılığınız da yüksektir. Zakra dışındaki tüm temalar etkin olmayan temalardır.

Ancak kullanılmayan tema ve eklentilerinizin güvenlik tehditlerine açık olduğunu bilmelisiniz.

Herhangi bir güncelleme yapmadan sitenizde kaldıkları için diğer kötü amaçlı yazılımları sitenize davet edebilirler. Bu nedenle, etkin olmayan temaları ve eklentileri web sitenizden kaldırdığınızdan emin olun.

İşte takip edebileceğiniz, kullanılmayan temaları silmeyle ilgili tam kılavuz.

Yönetim Panelinizi Güvenli Hale Getirin

10. WordPress Temel Yazılımını Düzenli Olarak Güncelleyin

WordPress, her güncellemede hata ve güvenlikle ilgili sorunlarına birçok düzeltme getiriyor. Çekirdek WordPress'inizi güncelleyememek, saldırganları davet etmek anlamına gelir.

Ama endişelenme! Tek bir tıklama ile WordPress çekirdeğini güncellemek çok kolaydır. Size kolaylık sağlamak için WordPress, her büyük güncellemeyi doğrudan kontrol panelinizde size bildirir.

Bu nedenle, herhangi bir saldırıyı önlemek için WordPress'inizi güncel tutun. Ancak, temel WordPress'i güncellemeden önce lütfen bir web sitesi yedeği oluşturun.

11. Düzenli Olarak Bir Yedek Oluşturun

Web sitesinin tamamının yedeğini oluşturmak, güvenlik saldırıları durumunda web sitenizi geri yüklemenize yardımcı olur. Bu şekilde, güvenlik ihlali nedeniyle önemli verilerinizi kaybetmezsiniz.

Ayrıca, web sitenizde yanlışlıkla bazı değişiklikler yapmanız daha sonra büyük bir avantaj olabilir.

Web sitesinin yanı sıra, veritabanınızın bir yedeğini de oluşturmalısınız.

İyi haber şu ki, sitenizi yedeklemek zaman almıyor. Gerisini halleden UpdraftPlus gibi bir yedekleme eklentisini kurabilirsiniz.

Aralarından seçim yapabileceğiniz yedekleme eklentilerinin tam listesi burada.

12. Web Uygulaması Güvenlik Duvarını Etkinleştirin

Bir web uygulaması güvenlik duvarı (WAF), tüm kötü niyetli web trafiğini web sitenize ulaşmadan engelleyebilir.

İnternet ile bir web uygulaması arasındaki gelen ve giden trafiği izler ve filtreler. WAF, web sunucunuza yalnızca gerçek trafik gönderilmesine izin verir.

Böylece web uygulamalarını siteler arası komut dosyası çalıştırma (XSS), SQL enjeksiyonu vb. saldırılardan korur.

Bir WAF'ı etkinleştirmek için Wordfence, Sucuri Security ve Cloudflare gibi iyi bir güvenlik WordPress eklentisi kurabilirsiniz.

13. wp-config Dosyasını Gizle

wp-config dosyası, bir WordPress sitesinin yapılandırmasıyla ilgili tüm bilgileri içerir.

Veritabanına bağlanan parametrelere, güvenlik anahtarlarına, şifrelere ve daha pek çok şeye sahiptir. Saldırganın bu dosyaya web sitenizden erişmesi ciddi bir soruna neden olabilir.

Bu nedenle, wp-config dosyasını saldırganlardan gizlemelisiniz.

Varsayılan olarak, wp-config dosyası public_html klasöründe bulunur. Böylece, dosyanın konumunu kolayca değiştirebilirsiniz.

14. Kullanıcı Rolüne Göre Erişim Verme

WordPress, kullanıcı rolleri atama özelliğine sahiptir. Varsayılan olarak, WordPress'te belirli ayrıcalıklara sahip 5 kullanıcı rolü vardır.

Bu nedenle, rollerine göre kullanıcılara web sitenize erişim izni vermelisiniz.

Örneğin, bir blog ekibiniz varsa, onlara yalnızca makaleyi yayınlaması, düzenlemesi ve güncellemesi için yazar veya editör rolü verin. Yönetici hakları gerektirmezler.

Yönetim en önemli rollerden biridir ve bunu yalnızca ihtiyacı olanlara dağıtmalısınız.

15. Web Sitesini Düzenli Olarak Tarayın

Bildiğiniz gibi, önleme tedaviden daha iyidir. Bu nedenle, web sitenizi düzenli olarak taramanız gerekir. Bu, sitenizin kötü amaçlı yazılımlardan korunmasını sağlar.

En iyi güvenlik eklentileri listemizden seçim yapın ve sitenize herhangi bir eklenti yükleyin. Bazı kötü amaçlı yazılımları algılasa bile, bunları zamanında kaldırabilirsiniz.

Jetpack gibi eklentiler, dosyalarınızdaki değişiklikleri otomatik olarak algılayabilir, kötü niyetli davranışları bulabilir ve sitenizi koruyabilir.

Ayrıca sizi kritik sorunlar hakkında bilgilendirir, kesinti sürelerini izler ve yaygın tehditleri otomatik olarak düzeltirler.

Barındırma Aracılığıyla Güvenlik Elde Edin

16. Güvenli Bir WordPress Barındırma Hizmeti Seçin

Satın aldığınız barındırma hizmeti, web sitenizin evidir. Bu nedenle hosting hizmetini seçerken son derece bilinçli olmanız gerekmektedir.

Sıkı güvenlik sağlamalı ve aynı zamanda HTTPS'yi desteklemeli, SSL sertifikaları sağlamalı ve yedeklemeleri yönetmelidirler.

Bluehost ve Hostinger gibi birçok web barındırma sağlayıcısı, WordPress sitenizi barındırmak için eksiksiz bir çözüm sunar.

17. SSL sertifikalarını kurun

SSL (Güvenli Yuva Katmanı) veya TLS (Aktarım Katmanı Güvenliği), bilgisayar ağları arasında şifrelenmiş ve kimliği doğrulanmış bağlantılar kurmaya yönelik bir protokoldür.

Önemli bilgilerin siteniz ve tarayıcılar arasında güvenli bir şekilde aktarılmasını sağlar. SSL sertifikası, genel ve özel anahtardan oluşan bir kriptografik anahtar çifti sağlar.

Genel anahtar, bir web tarayıcısının bir web sunucusuyla şifrelenmiş iletişimi başlatmasına izin verir.

Öte yandan, özel anahtar sunucuda tutulur ve web sayfalarını ve diğer belgeleri dijital olarak imzalamak için kullanılır.

WordPress için barındırma hizmeti sağlayıcıları, kurulum sürecini sizin için gerçekleştiren SSL sertifikaları sunar.

Veya Cloudflare ve GoDaddy gibi sertifika yetkililerinden bir SSL sertifikası da ekleyebilirsiniz.

Yaygın WordPress Güvenlik Sorunları

kaba kuvvet saldırısı

Kaba kuvvet saldırısı, en yaygın WordPress güvenlik sorunlarından biridir. Bir kaba kuvvet saldırısı durumunda, saldırgan parolayı tahmin ederek birden fazla oturum açmaya çalışır.

Saldırganlar genellikle web sitesinin giriş sayfasını hedef alır ve yetkisiz erişim elde etmeye çalışır. Tahmin ettikleri kullanıcı adı ve şifre doğru olana kadar giriş yapmaya çalışırlar.

Bu nedenle, güçlü bir parola kullanmalı, oturum açma girişimlerini sınırlamalı, iki faktörlü kimlik doğrulama kullanmalı ve varsayılan oturum açma URL'sini ve kullanıcı adını değiştirmelisiniz.

SQL Enjeksiyonu

Bir SQL enjeksiyonu, WordPress sitenizin veritabanını hedefler. Saldırganlar, yetkisiz bilgilere erişmek için veritabanına kötü amaçlı SQL sorguları eklemeye çalışır.

Bu komut dosyaları yürütüldüğünde, saldırganlar veritabanı tablosunun satırlarını değiştirebilir veya kaldırabilir.

WordPress söz konusu olduğunda, saldırganlar SQL enjeksiyonu yoluyla web sitesinin veritabanıyla etkileşime giren eklentiye ve temalara da saldırabilir.

Bu nedenle, eklentileri ve temaları düzenli olarak güncellemek, bir güvenlik duvarı kullanmak ve bir web sitesi yedeği oluşturmak, WordPress sitenize SQL enjeksiyon saldırıları riskini azaltabilir.

DDoS Saldırısı

Bir DDoS (Dağıtılmış Hizmet Reddi) saldırısı, alışılmadık derecede büyük bir trafik hacmiyle bir web sitesini veya sunucuyu aşırı yükler. Sonuç olarak, kullanıcı web sitesine erişemez.

Saldırganlar, aynı anda hedef web sitesine büyük miktarda trafik göndermek için bilgisayar botları oluşturarak saldırıyı gerçekleştirir.

Bu tür saldırıları önlemek için, gelen trafiği dağıtmak için Cloudflare gibi bir içerik dağıtım ağı (CDN) ve bir web uygulaması güvenlik duvarı kullanın.

Ayrıca sitenizin ağ trafiğini düzenli olarak izleyebilir ve güvenli bir barındırma hizmeti kullanabilirsiniz.

Siteler Arası Komut Dosyası Çalıştırma (XSS)

Siteler Arası Komut Dosyası Çalıştırma (XSS), bir saldırganın bir web sitesine kötü amaçlı yürütülebilir kod veya komut dosyası eklemeye çalıştığı başka bir siber saldırı türüdür.

Saldırganlar, yorumlar, iletişim formları veya kullanıcı kayıt formu gönderimleri gibi kullanıcı tarafından oluşturulan içerik aracılığıyla bir XSS saldırısı gerçekleştirebilir.

Bu nedenle, her zaman kullanıcı girişini doğrulamalı ve Everest Forms gibi güvenli iletişim formu eklentilerini ve Kullanıcı Kaydı gibi kullanıcı kaydı eklentilerini kullanmalısınız.

Bunun yanında diğer güvenlik önlemlerini de almalısınız.

Sarmalamak!

WordPress güvenlik kontrol listesinde bizden bu kadar. Makaleyi okumaktan büyük keyif aldığınızı ve WordPress güvenliğini nasıl geliştireceğinizi anladığınızı umuyoruz.

Kısacası, WordPress sitenizin güvenliği her zaman önceliğiniz olmalıdır. Verilerinizi ve bilgilerinizi koruyabilir ve sitenizin bütünlüğünü koruyabilir.

Böylece, WordPress güvenlik kontrol listemizi izleyerek sitenizin saldırıya uğrama riskini azaltabilirsiniz. Diğer üçüncü taraf ürünlerini de dikkatli kullanmanızı öneririz.

Hala vaktiniz varsa blog sayfamızı inceleyebilirsiniz. Tema adını altbilgiden kaldırmanıza, bağlantı rengini değiştirmenize vb. yardımcı olacak harika makalelerimiz var.

Ayrıca, en son güncellemeleri almak için bizi Twitter ve Facebook'ta takip edin.