Birçok website sahibi vakit çok geç olana kadar WordPress sitelerinin güvenliği üzerine düşünmez.
Bir hack işlemi için yapmanız gereken en iyi şey, yaşanmadan önce yapılacaklardır. Neyse ki günümüzde WordPress sitelerinizin güvenlik seviyesini iyileştirmek için yapabileceğiniz birçok şey var.
WordPress güvenliği için proaktif davranarak önleyici adımlar atmak hem kendiniz, hem de siteniz için yapabileceğiniz en iyi şeydir. Kimse sabah uyandığında sitesinin ele geçirildiğini görmek istemez.
Bu yazımızda sizin için WordPress sitenizi daha güvenli bir hale getirebilmeniz için bazı güvenlik eklentilerini de içeren 7 farklı yöntem paylaşacağız.
İçerik Tablosu
WordPress ne kadar güvenli?
Genel olarak bakıldığında WordPress oldukça güvenilir bir platformdur. Ancak sektörde daha kötü bir bilinirliğe sahip olmasının asıl sebebi, kullanıcıların web siteleri için güvenlik uygulamalarını takip etmemesidir.
WordPress, en yaygın saldırıya uğrayan web sitesi platformu olarak sektörde liderdir. Ancak, bu veriler kısmen tam olarak da gerçeği yansıtmamakta. Çünkü WordPress aynı zamanda en popüler web sitesi oluşturma platformlarından biridir (şu anda internetin % 30’undan fazlası WordPress tabanlı sitelerden oluşuyor.)
WordPress sitelerinin hacklenmesine sebep olan başlıca sebepler:
- WordPress’i ya da eklentileri güncellememek.
- Warez, nulled ya da boş temaları ya da eklentileri kullanmak (örneğin illegal bir şekilde indirilmiş olanlar)
- Kötü kullanıcı yönetimi uygulamaları.
- Düşük kalitede tema ya da eklenti kullanmak
Gördüğünüz gibi aslında birçok wordpress güvenlik riskini güncellemeleri düzenli bir şekilde yaparak ve güvenilir kaynaklardan temalar ve eklentiler indirerek minimize edebilirsiniz.
WordPress’in devasa doğası gereği, güvenlik boşlukları mevcut. Binlerce farklı tema ve eklenti kombinasyonlarının test edilmesi maalesef imkansız.
Ancak aşağıda belirttiğimiz bazı güvenlik önlemlerini almak, sitenizin güvenliğini büyük bir ölçüde yükseltecektir.
WordPress sitenizi güvenli tutmak için 7 farklı yöntem
Düzgün bir şekilde WordPress sitenizin kurulumunu yapmış olmak maalesef güvenlik için yeterli değildir. WordPress sitelerin güvenliğini etkileyen birçok farklı etken bulunmakta.
Aşağıda, WordPress sitenizin güvenliğini artırmak için hemen uygulayabileceğiniz yedi farklı güvenlik ipucu bulacaksınız:
Güçlü Şifreler Kullanmak
Bilgisayar korsanları wp-admin alanına saldırırken, şifre oluşturma araçlarını kullanarak birçok siteyi ele geçirmiştir. Eğer zayıf bir şifre kullanıyorsanız ve aynı şifreyi birden fazla platformda kullanıyorsanız, saldırıya uğrama şansınızı epey artırıyorsunuz.
Bunun en kolay çözümü güçlü bir şifre kullanmaktır. WordPress sitenizin kurulumunu yaparken birkaç farklı yerde şifre oluşturmanız istenecektir: admin erişimi için, WordPress veritabanı şifresi ve FTP şifreleri gibi.
Güçlü bir şifre oluşturmak ilk adımdır ancak o şifreyi hatırlamak daha da zor olabilir.
Bununla başa çıkmanın harika bir yolu password manager kullanmaktır. Bu araç, website şifrelerinizi güvenli ve şifrelenmiş olarak depolar. Ve ne zaman bir şifreyi bir siteye ya da uygulamaya girmeniz gerekirse,o zaman bu tool şifreyi hatırlıyor ve girmenizi sağlıyor.
Mevcutta şifreleri depolayan birçok şifre yöneticisi (password manager) var, aşağıdakilerden bazıları ise denemeye değer:
- LastPass
- Dashlane
- Keeper Security gibi…
Yazılım Sürümünüzü, Temalarınızı ve Eklentilerini Güncel Tutmak
Sitenizi güvenli tutmanın en açık ve net yolu sitenizi güncel tutmaktan geçer. Bu sayede kullandığınız WordPress sürümünü, temalarını ve eklentilerini de otomatik olarak güncel tutmuş olursunuz.
WordPress’in güncel sürümleri oldukça güvenlidir ve wordpress ekibindeki birçok yazılımcı sürekli güvenlik açıklarını bulmak, kapatmak ve yamalamak için çalışmaktadır. Tabii birçok yazılım gibi, güncellemeler ve yamalar, güvenlik riskleri ortaya çıktıktan sonra piyasaya sürülür ki bu da “wordpress’i neden güncel tutmalıyız?” sorusuna en büyük cevaptır.
Yani eğer eski bir sürüm kullanıyorsanız, adeta arka kapınızı açık bırakıyorsunuz demektir.
Birçok eklenti kurmak da sitenizi saldırılara karşı hassas hale getirebilir. Eklentilerin sitenize birçok kullanışlı fonksiyon ve özellik eklediği açık, ancak bu aynı zamanda kötü bir şekilde kodlanmış birçok eklentiyi sitenize kurmak anlamına gelir ve riskleri artırır.
Ne zaman bir eklenti kurulumu yaparsanız, o eklentiyi araştırmak, kalitesini anlamak ve arkasındaki ekibi tanımak için zaman ayırmalısınız. Ve de ne zaman bir güncelleme yayınlansa tüm eklentilerinizi güncellemeniz gerekmekte. Ne zaman güncelleme yayınlandığını bilmeniz pek mümkün değil, o yüzden gösterge paneline girip güncellemeleri düzenli olarak kontrol etmeniz çok önemli.
Kötü kodlanmış bir tema, sitenizin güvenliğini tehlikeye atabilir. Güvenilir bir kaynaktan bir tema yüklemek, sitenizin saldırıya uğrama olasılığını azaltabilir, ancak temalarınızı da güncel tutmanız ve en son sürüm ile çalışmanız gerekir.
Siteye Giriş İzinlerini ve Kullanıcı Rollerini Kısıtlamak
WordPress, sitenizde birçok kullanıcı hesabı oluşturmanıza izin verir. Bu durum, eğer sitenizi yöneten bir takımınız varsa oldukça işe yarar. Ayrıca blog yazarlarınız makaleleri direkt olarak siteye yüklüyorlarsa, onları kolayca yönetmenin en akıllıca yolu kullanıcı rolü eklentileridir.
Bununla birlikte, ne kadar çok oturum açma ve parola belirleme havada uçuşursa, tek bir kullanıcının bile zayıf bir parolaya sahip olması, hesabın güvenliğinin tehlikeye girme olasılığını artırır.
WordPress sitenizde yeni kullanıcılar oluştururken onlara sitenin belli kısımlarına erişim veren yetkiler tanımlamalısınız, böylece işlerini de verimli bir şekilde yapmaya devam ederler. Örneğin; bir kişi blog yazılarına erişecekse, eklentilere, temalara ya da site ayarlarına erişmemelidir.
Ayrıca ek önlem olarak; sitenizde iki faktörlü kimlik doğrulamayı(2FA) kullanmak da işinize yarayacaktır. Bu sayede web sitesine giriş yapan kullanıcının kimliğini doğrulayan ve ikincil bir uygulama veya eklenti kullanarak güvenli giriş yapılmasını sağlayan bir süreç oluşturmuş olursunuz.
Websiteniz İçin Firewall’ı Aktif Etmek
Firewall’ı aktif etmek,WordPress sitenizin etrafında bir kuvvet alanı oluşturmaya benzer. Sitenizi birkaç ay boyunca güncellemeyi atlarsanız, bunu bir özel durum güvenliği olarak düşünün. Bazı durumlarda, belirli bir yazılım yapılandırması nedeniyle tek tek eklentileri güncellememiş olabilirsiniz.
Böyle durumlarda sitenizin güvenlik duvarı, bazı eklentiler ya da temalar son sürüme sahip olmasa bile sitenizi güvenli tutacaktır.
Firewall, web siteleri için güvenlik duvarı olarak bilinir. Bu, sitenize ulaşmadan önce tüm web sitesi trafiğini gözden geçiren bir filtreleme mekanizması gibi davranır. Kötü trafiği veya hatta hack girişimlerini filtreleyici önlemler alacak ve sadece iyi ve güvenilir trafiğin sitenize ulaşmasına izin verecektir.
Ek bir fayda olarak da, eğer ani bir trafik artışı yaşarsanız veya web siteniz bir DDoS saldırısı alırsa, sitenizi çevrimiçi tutmanıza yardımcı olabilir.
WordPress güvenlik duvarı kullanmanın en büyük faydalarını şöyle özetleyebiliriz:
- Hackerlar ve botlar otomatik olarak kara listeye alınır, böylece sitenize asla ulaşamazlar
- Kötü amaçlı yazılım bulaşmaları, DDoS saldırıları ve SQL Injection girişimleri önlenecektir
- Hack saldırıları artık büyük bir problem olmaktan çıkar.
- Siteniz daha hızlı çalışabilir ve daha iyi performans gösterebilir
- Web sitenizin 7/24 korunduğunu bilerek sitenize daha fazla zaman ayırabilirsiniz.
Aşağıda ise hazır kurulu olan birkaç WordPress güvenlik duvarı eklentisini anlatacağız.
Sitenizi Cloudflare gibi bir CDN üzerinden çalışacak şekilde yapılandırmak bile, sitenizi DDoS saldırılarına karşı korumaya yardımcı olacaktır. Böylece web sitenizin trafiği doğrudan web sitenizin kendi kaynağına gitmek yerine sunucu ağları üzerinden güvenle sitenize yönlendirilecektir.
Sitenizin Yedeklemeleri için Bir Sistem Kullanmak ve Otomatize Etmek
Elbette web sitenizi yedeklemek, sitenizi daha güvenli hale getirmez, ancak bir saldırı sırasında web siteniz çevrimdışı duruma gelirse size aksiyon almada yardımcı olabilir. Bir yedekleme sisteminiz varsa, her zaman ve her durumda geri yükleyebileceğiniz bir siteye sahip olduğunuzdan emin olmalısınız.
Sitenizle ilgili herhangi bir sorunla karşılaştığınızda yedekleme yapmış olmak, her zaman bir adım önde olmanızı sağlar. Saldırıya uğradıysanız veya siteniz herhangi bir nedenle kesintili çalışıyorsa, her zaman önceki bir sürümü geri yükleyebilme imkanınız olur.
IHS’den hosting aldığınızda, yedekleme hizmetini de ücretsiz bir biçimde kullanabilirsiniz. Verilerinizi korumak amacıyla her zaman son iki haftaya dönük yedeklerini alabilir, sitenizin çökmesi durumunda güvenle yedekten geri yükleyebilirsiniz. Ancak yine de yedekleme aşamasında da size yardımcı olabilecek bir dizi WordPress yedekleme eklentisi mevcuttur. Birden siteyi yedeklemek ve bunları farklı konumlarda saklamak konusunda da bu eklentiler yardımcı olabilir.
Denemeye değer bazı yedekleme eklentileri şunlardır:
- UpdraftPlus
- BlogVault
- BackupBuddy
- All in One Migration (yedekleme ve aktarım)
Bir WordPress yedekleme eklentisi ile endişelenmenize gerek kalmadan sitenizi koruyabilirsiniz. Ayrıca, sitenizde bir saldırı yaşarsanız bile böylece her zaman bir yedek planınız olacaktır.
Giriş Denemelerini Sınırlandırmak
WordPress’teki giriş yapma ekranı oldukça savunmasızdır. Güçlü bir parola sahibi olmak, bir bilgisayar korsanının sitenize saldırı yoluyla erişmesini engellemede çok yardımcı olacaktır.
Ancak, güvenliği daha da artırmak istiyorsanız, bir kullanıcının şifresini bloke etmeden önce kaç kez giriş denemesi yapabileceğini sınırlandırmalısınız.
Örneğin, giriş denemesi sayısını 4 ile sınırlandırabilirsiniz. Böylece, dördüncü denemeden sonra, o kullanıcı ve IP adresleri hakkında bir bildirim alırsınız. Tekrar eden bir sorun haline gelmesi halinde, bu IP adreslerini bile yasaklayabilirsiniz.
Limit Login Attempts Reloaded (Yeniden Yüklenmiş Limitli Giriş Denemeleri), bu manidar isimli eklenti bu konudaki en iyi eklentilerden biridir.
Daha da iyisi, bu eklenti tamamen ücretsizdir ve şu anda bir milyondan fazla WordPress sitesi tarafından güvenle kullanılmaktadır. Sadece eklentiyi yükleyin, ayarları yapılandırın ve WordPress giriş ekranınız çok daha güvenli bir hale gelecektir.
WordPress Güvenlik Eklentisini Kurmak
Birçok WordPress güvenlik eklentisi, yukarıda vurgulanan özelliklerin birçoğuna zaten mevcutta sahiptir. WordPress güvenlik eklentileri çok kullanışlıdır, çünkü eklentiyi yüklemeniz ve kurulumunu yapmanız sitenizi çevrimiçi gizli risklerden korumaya yetiyor.
Birçok WordPress Güvenlik Eklentisi şu özelliklere sahiptir:
- Kötü amaçlı yazılım taraması
- Hazır kurulu güvenlik duvarı koruması
- Giriş yapma ekranı koruması
- Hangi eklentilerin ve temaların güncel olup olmadığını bildirmek
- DDos ve diğer çevrimiçi saldırılara karşı koruma
- Temiz ve güvenilir bir yorum bölümü için spama karşı koruma
Yüklemeye değer birkaç WordPress güvenlik eklentisi:
- WordFence
- MalCare
- iThemes Security Pro
- VaultPress
- BulletProof Security
Yukarıda bahsedilen çoğu eklentinin ücretsiz versiyonu mevcuttur. Ancak sitenizin güvenliğini artırmada daha ciddiyseniz premium sürümlere yatırım yapmanız daha anlamlı olacaktır.
İlk olarak ücretsiz bir sürümle başlayabilirsiniz, ve tüm özellikleri keşfedip sitenizi nasıl koruduğunu öğrendikten sonra premium versiyona geçebilirsiniz.
Güvenli Bir Hosting Kullanmanın Önemi
Yukarıdaki tüm maddeleri uygularsanız WordPress siteniz oldukça güvenli bir siteye dönüşecektir. Ancak sitenin kendisini güvenli hale getirmekten öte onu güvenli bir hosting hizmeti sağlayıcısında barındırmak isteyeceksiniz.
IHS olarak bu konuda 20 yılı aşkın sektör deneyimimizle en güvenli hosting hizmetini sunmaktayız.
Sonuç olarak: WordPress Sitenizi Güvende Tutmak
Artık WordPress sitenizin güvenlik seviyesini yükseltmek için izlemeniz gereken adımları daha iyi kavramış bir haldesiniz.
Yukarıda bahsettiğimiz güvenlik önerilerini geç olmadan uygulamak çok önemli. Bir saldırının ne zaman olacağını hiçbir zaman kestiremezsiniz ve bu yüzden hazırlıklı olmalısınız.
En kolay yapılacak şey, bu yazıda da bahsedilen WordPress güvenlik eklentilerinden birini yüklemektir. Bunu WordPress güvenliği için tek bir kerede her şeyi halletmek gibi düşünün. Bu, sitenize bir güvenlik duvarı ekleyecek, giriş ekranınızı kilitleyecek, düzenli olarak kötü yazılımları tarayan bir filtreleme içerecek, sizi kötü amaçlı yazılımlardan ve DDoS saldırılarından koruyacaktır.
Son olarak, bu yazıda bahsedilen her WordPress güvenlik önerisini uygulasanız bile, eğer hosting hizmetiniz güvenilir değil ise yaptıklarınız boşa gidebilir. Başka bir deyişle hosting firmanız, sitenizin güvenliğinin temelidir. Bu sebeple IHS hosting paketlerini tercih edebilir, WordPress sitenize %100 uyumlu WordPress hosting satın almayı düşünebilirsiniz. Üstelik sitenizi taşırken ücretsiz destek veriyoruz. Hosting paketlerimizi incelemek için Hosting sayfamıza göz atabilirsiniz.
Blog içeriklerimizi arkadaşlarınızla paylaşabilir, Blog yazılarımızdan haberdar olmak için bültene kaydolabilirsiniz.