wordpress güvenlik önlemleri

wordpress güvenlik önlemleri WordPress, Internet’te site kurmak için kullanılan en popüler içerik yönetimi sistemidir ve bu nedenle saldırıların web siteler içinde en popüler hedefidir. Yazılım açık kaynak olup, Github’da barındırılıyor ve bilgisayar korsanları daima diğer WordPress sitelerine erişmek için kullanılabilecek böcekler ve güvenlik açıklarını arıyorlar.

Bu makalemizde aşağıdaki sorularınıza cevap bulacaksınız

1. wordpress güvenlik eklentileri
2. wordpress guvenliği
3. wordpress security
4. wordpress güvenlik plugin
5. wordpress güvenli kurulum

WordPress tabanlı sitenizi güvende tutmak için yapabileceğiniz bir kaç şey var, her zaman WordPress.org yazılımının en son sürümünü çalıştırdığından ve çeşitli temaların ve eklentilerin güncellendiğinden emin olmak yapacaklarınız işler arasında en başında geliyor. WordPress bloglarınızın güvenliğini artırmak için yapabileceğiniz diğer birkaç şey aşağıda belirtilmiştir:

1. WordPress hesabınızla giriş yapın

Bir WordPress blog’u kurduğunuzda, ilk kullanıcı varsayılan olarak “admin” olarak adlandırılır. WordPress blog’unuzu yönetmek için “admin” kullanıcısını kaldırmak veya rolü “yönetici” den “abone” ye çevirmek için farklı bir kullanıcı oluşturmalısınız.

Ya tamamen rastgele (tahmin edilmesi zor) kullanıcı adını ya da Jetpack ile tekli oturum açmayı etkinleştirdiğiniz  ve  WordPress blogunuza giriş yapmak için WordPress.com hesabınızı kullanmanızın daha iyi bir alternatif oluşturabilirsiniz.

2. WordPress sürümünüzü 3. Kişiler tarafından bilinmemesi önemlidir

WordPress siteleri her zaman kullanılan sürüm numarasını yayınlar; böylece insanların WordPress’in yamalı olmayan sürümünü çalıştırıp çalıştırmadığınızı belirlemelerini kolaylaştırır.

WordPress sürümünü sayfadan kaldırmak kolaydır ancak bir değişiklik daha yapmanız gerekir. bunun için readme.html dosyasını WordPress kurulum dizininizden silin .

3. Başkalarının WordPress dizinine “Yaz” iznini kapatın

WordPress Linux giriş yapın ve başka bir kullanıcının dosya yazabileceği tüm “açık” dizinlerin listesini almak için aşağıdaki komutu çalıştırın.

find . -type d -perm -o=w

Ayrıca, tüm WordPress dosyalarınız ve klasörleriniz için doğru izinleri ayarlamak için aşağıdaki iki komutu da çalıştırmak isteyebilirsiniz

find /your/wordpress/folder/ -type d -exec chmod 755 {} \;

find /your/wordpress/folder/ -type f -exec chmod 644 {} \;

Dizinler için, 755 (rwxr-xr-x), yalnızca sahibin yazma iznine sahip olduğu, diğerlerinin okuma ve yürütme izinlerine sahip olduğu anlamına gelir. Dosyalar için 644 (rw-r-r-), dosya sahiplerinin okuma ve yazma izinlerine sahip oldukları, diğerlerinin da dosyaları okuyabileceği anlamına gelir.

4. WordPress tablolarınızın önekini yeniden adlandırın

WordPress’i varsayılan seçenekleri kullanarak yüklediyseniz, WordPress tablolarınızda wp_posts veya wp_users gibi adlar bulunur. Bu nedenle, tabloların önekini (wp_) bir miktar rastgele değere dönüştürmek iyi bir fikirdir. Değişim DB Önek eklentisi, bir tıklama ile herhangi bir diğer dizeye tablo öneki adlandırmak sağlar.

5. Kullanıcıların WordPress dizinlerine göz atmasını engelleme

Bu önemli. WordPress kök dizininizdeki. htaccess dosyasını açın ve en üstte şu satırı ekleyin.

Options -Indexes

Varsayılan index.html veya index.php dosyalarının bu dizinlerden yok olması durumunda dış dünyaların dizinlerinizde mevcut dosyaların bir listesini görmesini önleyecektir.

6. WordPress Güvenlik Anahtarlarını Güncelle

WordPress blogunuz için altı güvenlik anahtarı oluşturmak için buraya gidin. Wp-config.php dosyasını WordPress dizininin içinde açın ve varsayılan tuşları yenileriyle üzerine yazın.

birisi bilginiz olmadan WordPress’e giriş yaparsa, şu an çerezleri geçersiz kılacakları için hemen çıkış yapacaklarıdır.

7. WordPress PHP ve Veritabanı hatalarının günlüğünü tutun

Hata günlükleri, bazen geçersiz veritabanı sorgularının ve dosya isteklerinin WordPress kurulumunuza nasıl geldiğini belirlemek için güçlü ipuçları sunabilir. Hata Günlüğü Monitörünü periyodik olarak hata günlüklerini e-postayla gönderir ve bunları WordPress gösterge tablonuzun içinde bir widget olarak görüntülerken tercih ederim.

WordPress’de hata günlüğünü etkinleştirmek için, aşağıdaki kodu wp-config.php dosyanıza ekleyin ve /path/to/error.log dosyasını günlük dosyanızın gerçek yoluyla değiştirmeyi unutmayın. Error.log dosyası tarayıcıdan erişilemeyen bir klasöre konmalıdır

define(‘WP_DEBUG’, true);

if (WP_DEBUG) {

define(‘WP_DEBUG_DISPLAY’, false);

@ini_set(‘log_errors’, ‘On’);

@ini_set(‘display_errors’, ‘Off’);

@ini_set(‘error_log’, ‘/path/to/error.log’);

}

8. Yönetici Hesap Özeti Şifre Korumalı

Bu alandaki dosyalardan hiçbiri genel WordPress web sitenizi ziyaret eden kişiler için tasarlanmadığından, WordPress’in wp-admin klasörünü parola korumak her zaman iyi bir fikirdir.  yetkili kullanıcıların bile, WordPress Yönetici gösterge tablosuna giriş yapmak için iki şifre girmesi gerekecek.

9. WordPress sunucunuzdaki giriş etkinliğini takip edin

Linux’ta “last -i” komutunu kullanarak, IP adreslerinizle birlikte WordPress sunucunuza giriş yapan tüm kullanıcıların listesini alabilirsiniz. Bu listede bilinmeyen bir IP adresi bulursanız, kesinlikle şifrenizi değiştirme zamanı geldi.

Ayrıca, aşağıdaki komut kullanıcı girişi etkinliğini IP adreslerine göre gruplandırılmış daha uzun bir süre gösterecektir (USERNAME’i kullanıcı adınızla değiştirin).

last -if /var/log/wtmp.1 | grep USERNAME | awk ‘{print $3}’ | sort | uniq -c

Eklentilerle WordPress’i izleyin

WordPress sitenizi müdahaleler ve diğer şüpheli etkinlikler için sürekli olarak izleyecek epeyce güvenlikle ilişkili eklentileri içerir. İşte size tavsiye edebileceklerim.

1. Exploit Scanner–  Tüm WordPress dosyalarınızı ve blog yayınlarınızı hızla tarar ve kötü amaçlı koda sahip olanları listeler. Spam bağlantıları, WordPress blog yayınlarınızda CSS veya IFRAMES kullanarak gizli olabilir ve eklenti de onları algılar.
2. WordFence Security– Bu, sahip olmanız gereken son derece güçlü bir güvenlik eklentisidir. WordPress çekirdeğindeki dosyalarınızı depodaki orijinal dosyalarla karşılaştıracak ve böylece herhangi bir değişiklik hemen anında algılanacaktır. Ayrıca, eklenti ‘n’ sayısındaki başarısız oturum açma girişimlerinden sonra kullanıcıları kilitleyecektir.
3. WP Notifier– WordPress Yönetici kontrol panelinize çok sık girerseniz, bu eklentiniz sizin için. Yüklü temalar, eklentiler ve çekirdek WordPress için yeni güncellemeler bulunduğunda size e-posta uyarısı gönderir.
4. VIP Scanner– “resmi” güvenlik eklentisi WordPress temalarınızı herhangi bir sorun için tarayacaktır. Ayrıca, WordPress şablonlarınıza enjekte edilmiş olabilecek herhangi bir reklam kodunu algılar.
5. Sucuri Security– Çekirdek dosyalardaki değişiklikler için WordPress’i izler, herhangi bir dosya veya yazı güncellendiğinde e-posta bildirimleri gönderir ve ayrıca başarısız oturum açma bilgileri de dâhil olmak üzere kullanıcı oturum açma etkinliğinin bir günlüğünü tutar.

İpucu: Son 3 günde değiştirilen tüm dosyaların listesini almak için aşağıdaki Linux komutunu da kullanabilirsiniz. “N” dakika önce değiştirilmiş dosyaları görmek için mtime değerini mmin olarak değiştirin.

find . -type f -mtime -3 | grep -v “/Maildir/” | grep -v “/logs/”

WordPress Giriş Sayfanızın güvenliğini sağlayın

WordPress giriş sayfanıza dünyanın her yerinden erişebilirsiniz, ancak yetkili olmayan kullanıcıların WordPress’e giriş yapmasını önlemek isterseniz üç seçeneğiniz vardır.

1. .htaccess ile Şifre Koruması – Bu, normal WordPress kimlik bilgilerinize ek olarak bir kullanıcı adı ve şifreyle WordPress’in wp-admin klasörünü korumayı içerir.
2. Google Authenticator – Bu mükemmel eklenti WordPress blogunuza Google Hesabınıza benzer iki adımlı doğrulama ekler. Parolayı ve ayrıca cep telefonunuzda üretilen zamana bağlı kodu girmeniz gerekecek.
3. Password-less Login – Bir QR kodu tarayarak WordPress web sitenize giriş yapmak için Clef eklentisini kullanın ve oturumunuzu cep telefonunuzla uzaktan sonlandırabilirsiniz.