WordPress Sitesi Nasıl Güvenli Hale Getirilir Bugünlerde kendi WordPress sitenizi başlatmak oldukça kolay. Ne yazık ki, bilgisayar korsanlarının sitenizi hedeflemeye başlaması uzun sürmeyecek.
Bir WordPress sitesini güvenli hale getirmenin en iyi yolu, bir WordPress sitesi çalıştırmanın getirdiği her güvenlik açığı noktasını anlamaktır. Ardından, bu noktaların her birinde bilgisayar korsanlarını engellemek için uygun güvenliği kurun.
Bu makalede, etki alanınızı, WordPress giriş bilgilerinizi ve WordPress sitenizi güvence altına almak için mevcut olan araçları ve eklentileri nasıl daha iyi koruyacağınızı öğreneceksiniz.
Özel Etki Alanı Oluşturun
Bu günlerde uygun bir alan adı bulmak ve çok ucuza satın almak çok kolay. Çoğu kişi, etki alanı için hiçbir etki alanı eklentisi satın almaz. Ancak, her zaman göz önünde bulundurmanız gereken bir eklenti Gizlilik Korumasıdır.
GoDaddy ile üç temel gizlilik koruması seviyesi vardır, ancak bunlar aynı zamanda çoğu alan adı sağlayıcısının teklifleriyle de eşleşir.
- Temel : Adınızı ve iletişim bilgilerinizi WHOIS dizininden gizleyin. Bu, yalnızca hükümetiniz alan adı iletişim bilgilerini gizlemenize izin veriyorsa kullanılabilir.
- Tam : Gerçek kimliğinizi gizlemek için kendi bilgilerinizi alternatif bir e-posta adresi ve iletişim bilgileriyle değiştirin.
- Nihai : Kötü amaçlı alan taramasını engelleyen ve gerçek siteniz için web sitesi güvenliğini izlemeyi içeren ek güvenlik.
Genellikle, etki alanınızı bu güvenlik düzeylerinden birine yükseltmek yalnızca etki alanı listeleme sayfanızdaki bir açılır menüden yükseltmeyi seçmeyi gerektirir.
Temel alan koruması oldukça ucuzdur (genellikle yaklaşık 9,99 $ / yıl) ve daha yüksek güvenlik seviyeleri çok daha pahalı değildir.
Bu, spam gönderenlerin, kişi bilgilerinizi WHOIS veritabanından veya kötü niyetli kişilerle iletişim bilgilerinize erişmek isteyen diğerlerinden çıkarmalarını önlemenin mükemmel bir yoludur.
Wp-config.php ve .htaccess Dosyalarını Gizle
WordPress’i ilk kurduğunuzda , wp-config.php dosyasına WordPress SQL veritabanınızın yönetici kimliğini ve şifresini eklemeniz gerekir.
Bu veriler kurulumdan sonra şifrelenir, ancak bilgisayar korsanlarının bu dosyayı düzenlemesini ve web sitenizi bozmasını da engellemek istersiniz. Bunu yapmak için sitenizin kök klasöründe .htaccess dosyasını bulun ve düzenleyin ve aşağıdaki kodu dosyanın altına ekleyin.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
.Htaccess’in kendisinde değişiklik yapılmasını önlemek için, aşağıdakileri dosyanın altına da ekleyin.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Dosyayı kaydedin ve dosya düzenleyiciden çıkın.
Ayrıca, herkes için Yazma erişimini tamamen kaldırmak için her bir dosyaya sağ tıklayıp izinleri değiştirmeyi de düşünebilirsiniz.
Bunu wp-config.php dosyasında yapmak herhangi bir soruna neden olmazken, .htaccess üzerinde yapmak sorunlara neden olabilir. Özellikle .htaccess dosyasını sizin için düzenlemeniz gerekebilecek herhangi bir güvenlik WordPress eklentisi çalıştırıyorsanız.
WordPress’ten herhangi bir hata alırsanız, .htaccess dosyasına Yazma erişimine izin vermek için her zaman izinleri güncelleyebilirsiniz.
WordPress Giriş URL’nizi Değiştirin
Her WordPress sitesi için varsayılan giriş sayfası alaniniz / wp-admin.php olduğundan, bilgisayar korsanları sitenize girmek için bu URL’yi kullanır.
Bunu, birçok insanın yaygın olarak kullandığı tipik kullanıcı adı ve şifrelerin varyasyonlarını gönderecekleri “kaba kuvvet” saldırıları olarak bilinen yöntemlerle yapacaklar. Hackerlar, şanslı olacaklarını ve doğru kombinasyonu elde edeceklerini umuyorlar.
WordPress giriş URL’nizi standart olmayan bir şeye değiştirerek bu saldırıları tamamen durdurabilirsiniz.
Bunu yapmanıza yardımcı olacak birçok WordPress eklentisi var. En yaygın olanlardan biri WPS Hide Login’dir.
Bu eklenti, WordPress’teki Ayarlar altındaki Genel sekmesine bir bölüm ekler.
Orada, istediğiniz herhangi bir giriş URL’sini yazabilir ve etkinleştirmek için Değişiklikleri Kaydet’i seçebilirsiniz. Bir dahaki sefere WordPress sitenize giriş yapmak istediğinizde, bu yeni URL’yi kullanın.
Herhangi biri eski wp-admin URL’nize erişmeye çalışırsa, sitenizin 404 sayfasına yönlendirilir.
Not: Bir önbellek eklentisi kullanıyorsanız, yeni giriş URL’nizi önbelleğe alınmayacak siteler listesine eklediğinizden emin olun. Ardından, WordPress sitenize tekrar giriş yapmadan önce önbelleği temizlediğinizden emin olun.
WordPress Güvenlik Eklentisi Kurun
Aralarından seçim yapabileceğiniz çok sayıda WordPress güvenlik eklentisi var. Hepsinin, Wordfence iyi bir nedenle, en sık indirilen biridir.
Wordfence’in ücretsiz sürümü, arka kapı tehditlerini, eklentilerinizdeki veya sitenizdeki kötü amaçlı kodları, MySQL enjeksiyon tehditlerini ve daha fazlasını arayan güçlü bir tarama motoru içerir. Ayrıca DDOS saldırıları gibi aktif tehditleri engellemek için bir güvenlik duvarı içerir.
Ayrıca, oturum açma girişimlerini sınırlandırarak ve çok fazla yanlış oturum açma denemesi yapan kullanıcıları kilitleyerek kaba kuvvet saldırılarını durdurmanıza da olanak tanır.
Ücretsiz sürümde epeyce ayar mevcut. Küçük ve orta ölçekli web sitelerini çoğu saldırıdan korumak için fazlasıyla yeterli.
Engellenen son tehditleri ve saldırıları izlemek için inceleyebileceğiniz kullanışlı bir kontrol paneli sayfası da vardır.
WordPress Password Generator ve 2FA’yı kullanın
Bilgisayar korsanlarının şifrenizi kolayca tahmin etmesini isteyeceğiniz son şey. Ne yazık ki, pek çok insan tahmin edilmesi kolay çok basit parolalar kullanıyor. Bazı örnekler, web sitesi adını veya kullanıcının kendi adını parolanın bir parçası olarak kullanmayı veya herhangi bir özel karakter kullanmamayı içerir.
WordPress’in en son sürümüne yükselttiyseniz, WordPress sitenizi korumak için güçlü şifre güvenlik araçlarına erişiminiz vardır.
Parola güvenliğinizi artırmanın ilk adımı, siteniz için her bir kullanıcıya gitmek, Hesap Yönetimi bölümüne gitmek ve Parola Oluştur düğmesini seçmektir.
Bu, harfler, rakamlar ve özel karakterler içeren uzun ve çok güvenli bir şifre oluşturacaktır. Bu parolayı güvenli bir yere, tercihen çevrimiçiyken bilgisayarınızdan çıkarabileceğiniz harici bir sürücüdeki bir belgeye kaydedin.
Tüm aktif oturumların kapalı olduğundan emin olmak için Başka Her Yerde Oturumu Kapat’ı seçin.
Son olarak, Wordfence güvenlik eklentisini yüklediyseniz, 2FA’yı Etkinleştir düğmesini göreceksiniz . Kullanıcı oturum açma işlemleriniz için iki faktörlü kimlik doğrulamayı etkinleştirmek için bunu seçin.
Wordfence kullanmıyorsanız, bu popüler 2FA eklentilerinden herhangi birini yüklemeniz gerekir.
- Google Authenticator
- Two Factor Authentication
- Rublon Two-Factor Authentication
- Duo Two-Factor Authentication
Diğer Önemli Güvenlik Hususları
WordPress sitenizi tamamen güvenli hale getirmek için yapabileceğiniz birkaç şey daha var.
Hem WordPress eklentileri hem de WordPress’in sürümü her zaman güncellenmelidir. Bilgisayar korsanları genellikle sitenizdeki eski kod sürümlerindeki güvenlik açıklarından yararlanmaya çalışır. Bunların ikisini de güncellemezseniz, sitenizi risk altında bırakırsınız.
1. WordPress yönetici panelinizde düzenli olarak Eklentiler ve Yüklü Eklentiler’i seçin. Yeni bir sürümün mevcut olduğunu belirten bir durum için tüm eklentileri inceleyin.
Güncelliğini yitirmiş bir tane gördüğünüzde, şimdi güncelle’yi seçin. Eklentileriniz için otomatik güncellemeleri etkinleştir’i seçmeyi de düşünebilirsiniz.
Ancak, eklenti güncellemeleri bazen sitenizi veya temanızı bozabileceğinden, bazı insanlar bunu yapmaktan çekinirler. Bu nedenle eklenti güncellemelerini, canlı sitenizde etkinleştirmeden önce yerel bir WordPress test sitesinde test etmek her zaman iyi bir fikirdir.
2. WordPress panonuzda oturum açtığınızda, eski bir sürümü çalıştırıyorsanız WordPress’in güncel olmadığına dair bir bildirim göreceksiniz.
Yine, siteyi yedekleyin ve canlı web sitenizde güncellemeden önce WordPress güncellemesinin sitenizi bozmadığını test etmek için kendi bilgisayarınızda yerel bir test sitesine yükleyin.
3. Web barındırıcınızın ücretsiz güvenlik özelliklerinden yararlanın. Çoğu web sunucusu, orada barındırdığınız siteler için çeşitli ücretsiz güvenlik hizmetleri sunar. Bunu, yalnızca sitenizi korumakla kalmayıp tüm sunucuyu güvende tuttuğu için yaparlar. Bu, özellikle diğer müşterilerin aynı sunucuda web sitelerine sahip olduğu paylaşılan bir barındırma hesabındaysanız önemlidir.
Bunlar genellikle siteniz için ücretsiz SSL güvenlik yüklemelerini, ücretsiz yedeklemeleri, kötü amaçlı IP adreslerini engelleme yeteneğini ve hatta sitenizi herhangi bir kötü amaçlı kod veya güvenlik açıklarına karşı düzenli olarak tarayacak ücretsiz bir site tarayıcısını içerir.
Bir web sitesini çalıştırmak, WordPress yüklemek ve sadece içerik göndermek kadar basit değildir. WordPress web sitenizi olabildiğince güvenli hale getirmek önemlidir. Yukarıdaki tüm ipuçları, çok fazla çaba harcamadan bunu yapmanıza yardımcı olabilir.