WordPress, içerik yönetim sistemleri arasında en çok sevilen panellerden birisidir. Açık kaynak kodlu olması, sevilme tarafında en büyük etkenlerden birisidir. Webmasterlar tarafından birçok çeşitli avantajlarından dolayı, sıklıkla tercih edilmektedir. Bu makalemizde ise WordPress ile birlikte güvenlik adımlarından bahsedeceğiz. Webmasterlar genel olarak güvenlik alanına bir hayli önem vermektedir. Çünkü site içerisinde yer alan tüm içerikler ya da ürünler, siteyi taşıyan ve oluşturan unsurlardır.
Bu blog yazımızda wordpress için güvenlik ipuçları başlığı altında farklı başlıklara yer vereceğiz. Bu sayede sizlerde kendi sitenizin güvenliği için gerekli adımlara ve uygulamalara kolaylıkla ulaşmış olacaksınız. Dilerseniz hızlıca başlıklarımıza geçiş sağlayabiliriz.
WordPress Güvenlik Önlemleri Nelerdir?
WordPress sitelerinde en temel gereksinimlerinden birisi güvenlik konusudur. Google, kötü amaçlı yazılım sahibi olan 10.000’den fazla web sitesini günlük olarak kara listeye almaktadır. Bu sebepten dolayı wordpress güvenlik konusuna teyet geçmek doğru olmayacaktır. Web sitenizi konusunda eğer ciddi düşünceler içindeyseniz, mutlaka sizler için hazırladığımız bu makaleyi detaylı bir şekilde okumanızı tavsiye etmekteyiz.
WordPress için güvenlik adımlarında izleyebileceğiniz birçok farklı uygulamayı, başlıklar halinde sizlerle birlikte paylaşmak istiyoruz. Bu sayede sizlerde güvenlik alanında kendi sitelerinizde başarılı işlemler uygulayabilirsiniz.
Başlangıçta Kullanıcı Adınızı Değiştirmek İle Başlayın
İçerik oluşturucu platformlarda en çok kullanılan kullanıcı adı “admin” olarak bilinmektedir. Genel olarak bu alanda kullanıcı adı oluştururken uğraşılmak istenmediği için, admin ismi direkt olarak hızlıca oluşturulmaktadır. WordPress güvenliği için mutlaka kullanıcı adınızı değiştirmeniz gerekmektedir. Aksi takdirde bilgi çalınmalarında “admin” kullanıcı adı, sizleri hırsızlara karşı bir adım geride bırakacaktır.
Şifreniz Karmaşık Bir Yapıda Olsun
Birçoğumuz birçok farklı platformda şifre konusunda basite kaçmaktayız. Bazen üşendiğimiz için bazen de unutmamak için bu tür durumları uygulamaktayız. Güçlü ve zor bir parola oluşturmak, sitenize karşı herhangi bir saldırı ya da müdahaleyi çok daha zorlu bir duruma çevirecektir. Bu sebepten dolayı mutlaka karmaşık bir şifre oluşturmanızı tavsiye etmekteyiz.
Warez Tema ve Eklenti Kullanmayın
Günümüzde sıkça yapılan hatalardan birisi de warez tema ve eklenti kullanımıdır. Lisanslı olarak satılan ürünler kullanmak yerine warez tercih edildiğinde, güvenlik önlemleri etkisiz hale gelmektedir. Warez tema ile eklenti kullanımı gerçekleştirildiğinde genel olarak kod alanında bazı illegal durumlara düşülebilmektedir. Bu durumdan asla haberdar olamayabilir ve tüm bilgilerinizin çalınmasına neden olabilirsiniz. Ücretli olarak satılan ürünleri ücretsiz bir şekilde illegal yollar ile indirmeniz, sitenizin ve genel olarak birçok bilginizin çalınmasına neden olacaktır. Bu tür temalarda sıklıkla tema dosyalarının içerisine gizlice yerleşmiş olan tehlikeli kodlarla karşılaşılmaktadır. Warez tema ve eklenti kullanmak yerine lisanslı olarak satılan ürünleri satın almanızı tavsiye etmekteyiz.
Sitenizi Güvenlik Önlemleri Yüksek Sunuculara Taşıyın
WordPress sitesi alanında sunucu seçimi en önemli adımlardan birisidir. Genel olarak burada en dikkat edilmesi gerekilen konunun, dünyaca bilinen hosting firmalarının tercih edilmesidir. Aksi takdirde birçok firmada birçok wordpress güvenlik sorunu yaşanmaktadır. Burada formül olarak “sunucu güvenliği = web sitesi güvenliği” olarak tanımlama yapmak da mümkündür. Sunucu seçiminizi mutlaka kaliteli ve bilindik alanlardan yapmanız gerekmektedir. Aysima olarak bu alanda sunucularımızda Litespeed kullanımını gerçekleştirmekteyiz. Bu sayede sitelerinizin hız performansını en üst seviyelerde tutabilmekteyiz.
İki Faktörlü Kimlik Doğrulama Ekleyin (2FA)
WordPress güvenlik ayarları kısmında en doğru atılacak olan adımlardan birisi 2FA kullanımıdır. İki faktörlü kimlik doğrulama ile birlikte sitenizi koruma altına alabilirsiniz. Bu işlem mutlaka gerçekleştirmeniz gereken adımlardan birisidir. Çünkü giriş aşamasında iki farklı kimlik doğrulama bilgisi gerekmektedir. Bu durum da saldırı ya da bot atma gibi durumlarında büyük ihtimaller oranlarında olumlu sonuçlar almaktadır. İki faktörlü kimlik doğrulama alanında genel olarak wordpress güvenlik eklentileri yer almaktadır. Eklentiler kısmından ufak bir araştırma yapabilir ve en çok kullanılan eklentiyi sitenize kurabilirsiniz.
Sıklıkla Site Yedeklemelerini Gerçekleştirin
Sunucu seçimi konusunda da site yedek alma durumu da ön plana çıkmaktadır. Bazı hosting firmaları aylık olarak yedekleme alıyorken, bazıları da günlük olarak yedekleme almaktadır. Burada aslında hosting ve sunucu firmalarının yaptığı iş kalitesini de görebilmek mümkündür. Normal şartlar altında hosting firmaları günlük olarak yedekleme almaları gerekmektedir. Bu durum wordpress site güvenliği konusunda en mantıklı adımdır. Eğer hosting firmanız günlük olarak yedekleme almazsa, sizlerin mutlaka almasını tavsiye etmekteyiz.
Peki wordpress site yedeklemesi nasıl alınır? Kısaca eklenti ile birlikte sizlere konuyu açıklamak ve sizleri bu konuda bilgilendirmek istiyoruz.
All in One WP Migration
WordPress yedek alma konusunda en çok beğeni kazanan ve işini en iyi yapan isimlerden birisi “All in One WP Migration” eklentisidir. 2 milyondan fazla kurulum ve kullanım sayısı olması, aslında ne kadar kaliteli bir yapıya sahip olduğunu da bizlere göstermektedir. All in One WP Migration ile birlikte, sitenizin günlük olarak manuel bir şekilde yedeklemesini alabilirsiniz. Aynı zamanda aldığınız yedekleri kolayca geri yükleme imkanınız da bulunmaktadır. Kapsamlı ve anlık olarak yedekleme yapmak isteyenler, mutlaka bu eklentiye bir göz atmalarını tavsiye etmekteyiz.
Yedekleme esnasında karşınıza birden fazla yedekleme kısmı gelecektir. Bu alandan istediklerinizi yedekleme yapabilir, istediklerinizi de liste dışında tutabilirsiniz. Aynı zamanda Google drive, dropbox gibi dışarı aktarma seçenekleri de bulunmaktadır.
Sitenize Güvenlik & Tarama Eklentisi Kurun
WordPress tabanlı sitelerde güvenlik amacı ile kullanılan onlarca farklı eklenti bulunmaktadır. Web yöneticileri genel olarak bu alanda Wordfence Security isimli eklentiyi kullanmaktadır. Bu eklenti ile birlikte sitenizi güncel olarak tarayabilirsiniz. Bu sayede herhangi bir hata, virüs bulaşan dosya gibi durumlar mevcut ise, ekranınıza otomatik olarak düşecektir. Aynı zamanda giriş panelinizi de koruma altına almaktadır. Kurduğunuz güvenlik eklentisinin mutlaka güncellemelerini zamanında yapmayı unutmayın. Sürekli değişen sürümler ile birlikte, güvenlik açıkları getirilen güncellemeler ile birlikte kapatılmaktadır.
Aysima olarak bu alanda sitenizin giriş panellerine otomatik olarak Google Recaptcha eklemesi yaparak bot kontrolleri de sağlamaktayız. Bu sayede sitenizin güvenlik önlemi konusunda sizleri bir adım önde başlatmaktayız.
Wp-config.php Güvenlik Anahtarlarını Güncelleyin
Her sitenin kök dizininde wp.config.php dosyası yer almaktadır. Bu alanda sitemizin toplamda 4 ana güvenlik anahtarını görebilmek mümkündür. Güvenlik anahtarları, sitemizi oluşturduktan hemen sonra WordPress tarafından otomatik olarak oluşturulmaktadır. Sitenize ulaşmak isteyen kötü niyetli yazılımlar, ilk olarak buraya erişmek istemektedirler. Bu sebepten dolayı belirli periyotlarda buradaki güvenlik anahtarlarınızı güncellemenizi tavsiye etmekteyiz.
Aynı zamanda sitenizin root alanında yer alan “wp-config.php” ile “htaccess” dosyalarının siste içerisinde gizlenmesini de gözden kaçırmamız gerekli. Bunlar genel olarak sistem kimlik bilgilerini taşıyan aktif dosyalardır. Saldırganların ilk olarak bu alanları hedef alması, risk oluşturan durumlardır. Gerekli eklentiler ile birlikte, buradaki dosyaların içeriklerini gizleyebilirsiniz.
Eklentileri Sürekli Olarak Güncelleyin
WordPress güvenlik önlemleri adımlarında eklentilerin güncellemelerine de mutlaka dikkat etmenizi tavsiye etmekteyim. WordPress sitelerinde kullanılan onlarca farklı eklenti yer alabiliyor. Bu eklentilere zaman zaman farklı güncellemeler gelmektedir. Eğer dikkat ederseniz birçoğunda güvenlik ile alakalı güncelleme notları yer almaktadır. Bu sebepten dolayı hemen eklentileri güncelleme yapmanız, güvenlik önlemi konusunda en yararlı adımlardan birisi olacaktır.
Giriş Deneme Sayılarını Sınırlayın
Birçok zaman kullandığımız eklentiler, günlük olarak yapılan admin paneli giriş denemelerini bizlere aktarmaktadır. Bu durum bazen hiç yokken bazen 100 bazen de 1000 olabiliyor. Bu sebepten dolayı da giriş deneme sayısını sınırlamanız, en doğru adımlardan birisi olacaktır. Saldırılara karşı genel olarak en iyi savunma türlerinden birisi bu yöntemdir. Yaygın olarak da kullanılan bir site güvenlik durumudur. Bu sayede belirli IP adresinden oturum açma deneme sayılarına kadar birçok farklı istatistiğe ulaşım sağlayabilirsiniz.
WordPress Versiyon Bilginizi Kapatın
Sitenizin wordpress versiyonları, öncelikle en son sürümde olması gerekmektedir. Bu sayede eski sürümlerde yer alan yaygın wordpress güvenlik açıkları, sizleri olumsuz olarak etkilemeyecektir. Sitenizin header.php bölümünde wordpress versiyonunuz ile alakalı bilgiler yer almaktadır. Burada yer alan versiyonu gizlemeniz gerekmektedir.
WordPress versiyonu gizlemeniz için, “functions.php” dosyanıza aşağıda yer alan kodu eklemeniz yeterli olacaktır.
function wp_version_remove_version() {
return ”;
}
add_filter(‘the_generator’, ‘wp_version_remove_version’) Burada yer alan başlıkları incelediğimizde, WordPress güvenlik ipuçları ile alakalı temel konuları ele aldığımızı görmekteyiz. Sizlerde burada yer alan adımları takip edebilir ve sitenizin güvenliğini çok daha iyi bir hale getirebilirsiniz. Aynı zamanda WordPress ve site işlemleri ile alakalı birçok bilgiye, sitemiz ve blog üzerinden ulaşım sağlayabilirsiniz.
