12 WordPress Güvenlik İpuçları 2021 – Web Sitenizi Hackleyen Hackerları Durdurun

İnternetteki tüm web sitelerinin %40'ı bugün WordPress kullanıyor. Ve yanılmıyorsam sen de onlardan birisin!

WordPress, son birkaç yılda çok popülerlik kazandı. Ancak, büyük popülerlik aynı zamanda yetenekli bilgisayar korsanlarını da davet ediyor!

Her gün 10.000'den fazla web sitesi, kötü amaçlı yazılım kodları içerdiği için Google tarafından kara listeye alınır. Bu, web sitesi güvenliğini birinci derecede önemli bir konu haline getirir.

Bugünün makalesinde, web sitenizi çevrimiçi güvenlik açıklarından ve bilgisayar korsanlarının saldırılarından korumanıza yardımcı olacak 12 etkili WordPress güvenlik önlemi ve güvenlik ipucunu tartışacağım!

O halde lafı daha fazla uzatmadan hemen konuya girelim!

WordPress Güvenlik İpuçları ve WordPress Güvenlik Eklentisini Kullanma

1) İyi Bir Barındırma Hizmeti Kullanın

İyi bir barındırma hizmeti, başarılı bir web sitesinin yapımında önemli bir bileşendir. Barındırma sunucularında maksimum sayıda hackleme girişiminin yapıldığını biliyor musunuz?

Güvenlik hizmetleri zayıf olan barındırma şirketleri, siber suçlar için bir üreme alanı haline geldi.

Bluehost güvenlik ihlalleriyle ünlüdür! Sunucuları, kodlarındaki bariz hatalar ve boşluklar nedeniyle birkaç kez saldırıya uğradı.

Web siteniz Bluehost'ta mı barındırılıyor? Son derece yavaş sayfa yükleme hızları veya sık sık web sitesi arızaları mı yaşıyorsunuz? O zaman başka bir ana bilgisayara geçmenin zamanı geldi.

Kötü bir barındırma, tüm web sitesi verilerinizi tehlikeye atabilir. Kendinizi kurtarmak için, barındırma hizmetinizi seçerken her zaman çok dikkatli olmalısınız.

2) İyi Bir Güvenlik Eklentisi Kullanın

Bir eklenti, sitenizin güvenliğinde ve performansında tüm farkı yaratabilir. Ancak, barındırma hizmetiniz tatmin edici değilse, web siteniz her zaman saldırıya uğrama riski altındadır. Yani, iyi bir hosting şarttır.

WordPress için iki yüksek verimli güvenlik eklentisi öneririm:

1. Wordfence Güvenliği
2. iThemes Güvenliği

Bu eklentilerin her ikisi de güçlüdür, ancak Wordfence Security bazı web sitelerinde yavaş yükleme hızlarına sahiptir, bu yüzden web sitelerim için iThemes Security'yi tercih ederim.

3) Farklı Bir Giriş Sayfası Ayarlayın

WordPress web siteleri için giriş sayfasına şu URL üzerinden erişebildiğinizi fark etmiş olmalısınız: web siteniz.com/wp-admin . Ama bir yakalama var!

Bir bilgisayar korsanının bakış açısından düşünürseniz, bu bilgi bir ikramiyedir. URL'nin sonuna wp-admin ekleyerek kelimenin tam anlamıyla herhangi bir WordPress sitesinin giriş sayfasına erişebilirim!

Giriş sayfalarında her zaman maksimum bilgisayar korsanlığı girişimi yapılır.

Herhangi bir saldırıya uğrama ihtimalinden kaçınmalıyız. iThemes Security ile, wp-admin olan oturum açma sayfasını yourwebsite.com/ this_is_my_site gibi başka bir şeye değiştirebilirsiniz. ya da kelimenin tam anlamıyla yaygın olmayan herhangi bir şey.

Ama aynı zamanda 3-4 farklı yerde güvenli bir şekilde saklayın. Bu URL'yi kaybederseniz, sitenize girmenin başka bir yolu yoktur.

iThemes Security kullanarak giriş sayfanızı şu şekilde değiştirebilirsiniz:

4) Güçlü Bir Kullanıcı Adı ve Parola Kullanın

WordPress, web siteleri için varsayılan kullanıcı adını 'admin' olarak sunar. Ve kullanıcıların çoğu, hatırlamaları kolay ve rahat olduğu için değiştirme zahmetine bile girmez.

Ancak 'admin' gibi genel kullanıcı adları, zaten kullanıcı adınıza sahip oldukları için bilgisayar korsanlarının şifrenizi bulmasını çok kolaylaştırır.

Parolanızı tahmin etmek için kaba kuvvet saldırısı gibi teknikleri kullanabilir ve ardından değerli verilerinizi sizden çalabilirler. (Kaba Kuvvet Saldırısının ne olduğunu merak mı ediyorsunuz? Öğrenmek için okumaya devam edin.)

Bu nedenle, bir WordPress kullanıcısı olarak bilgisayar korsanlarından bir adım önde olun ve sitenizde güçlü şifreler uygulamaya başlayın.

iThemes Security eklentisi ile bu ayarları çok kısa sürede yapılandırabilirsiniz.

5) Giriş Denemelerinin Sayısına Bir Limit Belirleyin

Yani, Brute Force Attack hakkında konuşuyorduk. Bilgisayar korsanının, doğru şifreyi/hedef şifreyi bulana kadar hesabınıza giriş yapmak için farklı şifre kombinasyonları denemeye devam ettiği bir tür siber saldırıdır.

Zayıf parolaların kırılması yalnızca saniyeler sürer. Güçlü olanlar uzun sürebilir. Parola tahmin etme işlemi oldukça fazla zaman aldığından bu saldırıya Kapsamlı Arama da denilmektedir.

Bu, birinin şifresini kırmak için çok güvenilir bir yöntemdir çünkü sonunda, tüm kombinasyonları denedikten sonra, ne kadar güçlü olursa olsun hedef şifreyi mutlaka bulacaklardır!

İstatistiklere göre, 2017'de güvenlik ihlallerinin yaklaşık %5'i Brute force saldırıları nedeniyle gerçekleşti! Böylece bu saldırıyı gerçekleştirmenin ne kadar basit olduğunu hayal edebilirsiniz!

Ancak, oturum açma denemelerinin sayısına bir sınır koyarak bu etkinlikleri kontrol edebilirsiniz.

Örneğin, bir kullanıcı hesabınıza 3 defadan fazla giriş yapmaya çalışırsa, 24 saat boyunca kilitlenecektir. Bu daha iyi güvenlik sağlayacaktır. iThemes Security, oturum açma girişimleri için size harika özelleştirme ayarları sunar.

6) İki Faktörlü Kimlik Doğrulamayı Uygulayın

Daha önce gördüğümüz gibi, bilgisayar korsanları sonunda kaba kuvvet saldırısı kullanarak her şifre kombinasyonunu bulabilir. Bu, şifreniz ne kadar güçlü olursa olsun hesabınızın asla güvende olmayacağı anlamına gelir!

2FA'nın varlığını işaret ettiği yer burasıdır. 2FA (İki Faktörlü Kimlik Doğrulama) , hesaplarınızı parolalarla koruduktan sonra ek bir güvenlik katmanıdır.

Bildikleriniz (örneğin şifreniz) ve sahip olduklarınız (örneğin parmak iziniz veya diğer tanımlama özelliği) olmak üzere iki faktörü birleştirerek kullanıcının kimliğini doğrulamak için ikinci bir yöntem sağlar.

Biri hesabınıza giriş yapmaya çalıştığında, İki Faktörlü Kimlik Doğrulama, cihazınıza SMS yoluyla benzersiz bir OTP (tek kullanımlık şifre) gönderir. Bu kodu girdikten sonra, hesaba erişmenizi sağlar.

Bu yöntem, açık ara en güvenli ve en etkili yöntemdir ve maksimum güvenliği sağlamak için herkes bunu hesaplarında kullanmalıdır.

6) DDoS Saldırılarına Karşı Koruma için Cloudflare Kullanın

DDoS (Dağıtılmış Hizmet Reddi) , bilgisayar korsanlarının normal trafiği bozmak ve web sitenizi bozmak için 'Botnet' adlı bir zombi bilgisayar ağını kullandığı bir siber saldırıdır.

Bir DDoS saldırısının birincil amacı, web sunucunuzun işleyebileceğinden daha fazla istekle web sitenizi gerçek kullanıcılar için kullanılamaz hale getirmektir.

Basit bir deyişle, gerçek insanların geçmesine izin vermeyen istenmeyen bir trafik sıkışıklığı gibidir.

Peki bu trafik sıkışıklığını nasıl önleyebilirsiniz? Cloudflare bu durumda sizin cankurtaranınız! Web sitenizi DDoS Saldırıları, virüsler, botlar ve diğer müdahaleci öğeler gibi tüm kötü niyetli çevrimiçi etkinliklerden korur.

Ayrıca sayfa yükleme hızınızı artırır, Arama Motoru Sıralamasında yardımcı olur ve üçüncü taraflardan çevrimiçi iletişiminizin daha fazla güvenliğini sağlamaya yardımcı olmak için ücretsiz bir SSL Sertifikası sağlar.

Bu basit adımlarla ücretsiz bir SSL Sertifikası ve DDoS saldırılarına karşı koruma elde edebilirsiniz:

1. Cloudflare.com'da bir hesap oluşturun
2. Web sitenizi ekleyin
3. Tercihinize göre ücretsiz/ücretli planı seçin
4. Cloudflare'ın ad sunucularını DNS Kayıtlarınıza ekleyin.

Bu, web sitenizi Cloudflare'a bağlayacak ve olağanüstü güvenlik özelliklerinin keyfini çıkarabilirsiniz.

7) Nulled Eklentileri ve Temaları Kullanmaktan Kaçının

Çoğu WordPress kullanıcısı Nulled temalar/eklentiler kullandıklarının farkında bile değildir.

Nulled temalar ve eklentiler, ücretsiz olarak dağıtılan premium özelliklerdir. Distribütör, kendi kötü amaçlı kodunu kaynak koduna ekleyebilir ve verilerinizi çalabilir.

Nulled temaların/eklentilerin bir başka dezavantajı da güncelleme eksikliğidir. Geliştirici, yazılımdaki güvenlik sorunlarını gidermek için sık sık güncellemeler yayınlar.

Ancak Nulled temalar için dağıtıcı yasal bir geliştirici değildir. Yani, herhangi bir güncelleme mevcut değil. Bu nedenle, üçüncü taraf bilgisayar korsanlarına karşı oldukça savunmasızdırlar.

Son olarak, Nulled temalarda destek veya özelleştirme seçeneği yoktur. Sayfadaki yazı tiplerini, yazı tipi renklerini, widget'ların konumunu veya diğer öğeleri değiştiremezsiniz.

Bu nedenle, asla Nulled temaları kullanmayın. Her zaman GPL (GNU Genel Kamu Lisansı) temalarına gitmelisiniz. GPL Lisansı, kullanıcılarına yazılım kodunu kullanma ve değiştirme özgürlüğü veren ücretsiz ve tanımlanmış bir lisanstır.

Bu nedenle, satın almadan veya yüklemeden önce temanızın GPL Lisansı kapsamında olduğundan emin olun.

8) WordPress, Eklentiler ve Temaları Düzenli Olarak Güncelleyin

Temalar ve Eklenti geliştiricileri, kusurları sürekli olarak düzeltmeye ve temalarını/eklentilerini yükseltmeye devam ediyor. Bu yüzden onları her 15 günde bir güncelleyin, aksi takdirde saldırıya uğrama riskiniz olabilir.

Ayrıca, sorunsuz bir deneyim yaşamak için WordPress web sitenizi en son sürüme güncellemeyi asla kaçırmayın.

Örneğin, birisi bir temanın/eklentinin kodunu kullanarak insanların verilerini hacklemenin bir yolunu bulduysa. Siz de bu temayı/eklentiyi kullanıyorsunuz.

Şimdi güncellemeyi unutursanız, bu kötü niyetli hack saldırılarına karşı savunmasız kalacaksınız!

9) Etkin Olmayan Eklentileri ve Temaları Kaldırın

Gönderinizde bir resim galerisi görüntülemek istediğinizi varsayalım. Bunun için bir eklenti kuruyorsunuz ve işiniz bittikten sonra yıllarca kullanılmayan eklentiler klasörünüzde duruyor! Bu her birimizin başına gelmedi mi?

Bu uygulama, değerli verilerinizi riske atabilir çünkü bilgisayar korsanları, etkin olmayan temalar ve eklentiler aracılığıyla da verilerinizi değiştirmeye çalışır. Bu nedenle, artık kullanılmıyorlarsa, bunları her zaman sildiğinizden emin olun.

Şu anda web sitenizde kaç tane etkin olmayan eklenti var? Yorum kutusunda bana bildirin!

10) Kullanıcı Kaydını Kapatın

Ne tür bir web siteniz var? Kullanıcıların hesaplarını sitenizde oluşturmasını gerektiriyor mu? Değilse, 'kullanıcı kayıtlarını' devre dışı bırakmak en iyisidir.

WordPress web sitenizi temel blog oluşturma amaçları için kullanıyorsanız, bu özelliği kapalı tutun, çünkü kullanıcı kayıtları sayfası aracılığıyla bilgisayar korsanlığı girişimleri de gerçekleşebilir.

11) Düzenli Yedeklemeler Alın

Bunu söylemeye gerek yok – Web sitesi yedeklerini düzenli olarak alın. Ancak hatırlanması gereken önemli şey, bunun Site Dışı Yedekleme olması gerektiğidir.

Site Dışı Yedeklemeler , verilerimizi birincil sunucudan farklı bir sunucuda şifreler, sıkıştırır ve güvence altına alır. Bunun gibi birçok faydası vardır:

• Depolama alanından tasarruf sağlar
• Tüm sistemin çökmesi durumunda bir veri yedeğimiz var
• Web sitesinin kapalı kalma süresini önler
• Verilerimizi çevrimiçi saldırılara karşı korur

Ancak nasıl yedek oluşturulacağını ve ayrıca nasıl geri yükleneceğini de bilmek gerekir.

Maksimum kişi yedekleme alabilir, ancak bunları geri yüklemek sorunun ortaya çıktığı yerdir. Sitenizin güvenliğini sağlamak için bu temel becerileri hemen öğrenin!

12) SQL Enjeksiyonunu Önlemek için WordPress Tablo Önekini Değiştirin

WordPress tabloları, giriş bilgileriniz de dahil olmak üzere web sitenizle ilgili her bilgiyi içerir. Bu nedenle hackerların en gözde hedefidir.

Ve fark ettiyseniz, WordPress veritabanı tablolarının öneki varsayılan olarak wp_'dir . Sizin ve benim gibi normal kullanıcılar bunu değiştirme gereği duymadığından, saldırganların bu varsayılan öneki hedef alması ve web sitemizde SQL Injection gerçekleştirmesi daha kolay hale geliyor.

SQL enjeksiyonu , bilgisayar korsanının, kullanıcının veritabanı tablolarını ele geçirmek için bir temadaki/eklentideki bazı güvenlik açıklarından yararlandığı ve böylece veritabanının sahibi, yani siz gibi aynı düzeyde yetki kazandığı bir bilgisayar korsanlığı tekniğidir.

Kulağa korkutucu gelmiyor mu? iThemes Security eklentisi, tablo önekini düzenlemek ve SQL Injection'ı sıfır çabayla önlemek için bize kolay seçenekler sunar!

WordPress Güvenlik Eklentisi Nasıl Kullanılır

WordPress Güvenlik Eklentisini nasıl kullanabileceğinizi öğrenmek için bu videoyu izleyebilirsiniz. Tüm WordPress güvenlik önlemlerini ayarlamak için iThemes Security Pro'nun ücretsiz sürümünü kullandım.

Çözüm

Yani bugünlük bu kadardı. Umarım bu makale, bu ipuçlarını izleyerek ve Güvenlik eklentilerini kullanarak WordPress web sitenizi güvende tutmanıza yardımcı olur.

Web sitelerinizde başka hangi güvenlik önlemlerini uyguluyorsunuz? Bunları aşağıdaki yorumlar bölümünde paylaşın.

Ayrıca, bu içeriği beğendiyseniz, bu bloga abone olduğunuzdan emin olun. Bu Kripesh imza atıyor! Bir sonrakinde görüşürüz. Kendinize iyi bakın ve öğrenmeye devam edin çocuklar!