WordPress Güvenlik İpuçları Sitenizi Nasıl Güvenli Hale Getirirsiniz

0
17

Web sitenizi nasıl güvenli hale getirirsiniz? WordPress Güvenlik İpuçlarını sizlerle paylaştık. Firmalar her yıl bilgisayar korsanları yüzünden (Hacker) milyonlarca dolar kaybetmektedir. Ülkeler Siber saldırılara karşı güvenlik önlemleri çerçevesinde 170 milyar dolar sadece ABD ise 13 Milyar dolar para harcamaktadır.

Bu saldırılardan web sitesi sahipleri’de etkilenmektedir. securi.net internet sitesinin 2018 raporuna göre bu saldırılardan en çok etkilenen içerik yönetim sistemi (İYS) WordPress’dir. Bunun en büyük sebebi dünyada en çok kullanılan içerik yönetim sistemi olmasıdır. İçeriğiniz ne olursa olsun siteniz bilgisayar korsanlarının saldırılarına maruz kalabilir, çünkü bir istisna değilsiniz. Web sitenizi nasıl güvende tutacağınızı öğrenerek sitenizi ve müşterilerinizi bilgisayar korsanlarına karşı koruyabilirsiniz.

Eğer sizde web sitenizde içerik yönetim sistemi olarak WordPress kullanıyorsanız sizin için hazırladığımız 10 temel WordPress güvenlik ipuçlarını uygulayarak web sitenizin güvenliğini arttırabilirsiniz! Bu makale web sitenizin güvenliğini %100 garanti etmez. Ancak burada anlatılanları uygulamanız halinde bilgisayar korsanlarına karşı bir nebze de olsa tedbir almış olursunuz.

Konu Başlıkları

1) http’den https’ye geçiş SSL Sertifikası Kullanın

HTTPS, ziyaretçinizin bilgisayarı ile web siteniz arasındaki veri gizliliğini sağlayan bir internet protokolüdür. İnternet sitenizi güvenli hale getirmenin ilk adımı HTTP’den HTTPS’ye geçmektir. HTTPS’ye geçiş yapabilmeniz için öncelikle bir güvenlik sertifikası satın almanız gerekir.

Sertifikanızın olup olmadığını görmek için tarayıcınızın adres satırına bir gözatın. URL’nin hemen önünde bir kilit görünüyor mu? Bu kilit güvenli bir SSL sertifikasına sahip olduğunuz anlamına gelmektedir.

SSL Sertifikası
SSL Sertifikası

HTTPS’ler ziyaretçilerinize bu sitenin güvenli olduğunu söyler. SSL sertifikası verilerin ziyaretçinin bilgisayarından web sitesine güvenli bir şekilde aktarılmasını sağlar. Aksi taktirde bu verileri bilgisayar korsanlarına karşı savunmasız bırakıyorsunuz demektir. Bilgisayar korsanları bu özel bilgilere erişmek için tarayıcı ve sunucu arasındaki bağlantıyı ihlal edebilir. HTTP’den HTTPS’ye geçmek google gibi arama motorlarındaki sıralamanızı da arttıracaktır.

WordPress kullanan bir internet sitesinin kullanacağı SSL sertifikasının ortalama 1 yıllık maliyeti 140 TL civarındadır. Eğer internet sitenizde hassas bilgiler içermiyorsa SSL sertifikası kullanmak istemiyorsanız hemen hemen tüm hosting firmaları sitenizde kullanabileceğiniz ücretsiz bir SSL sertifikası sunmaktadır.

2) WordPress Veritabanı Tablo Önekini Değiştir

WordPress kurulumu yaparken tablo öneki, varsayılan olarak wp_ şeklinde gelmektedir. Bunu bilgisayar korsanları da dahil WordPress kurulumu yapan herkes tarafından bilinmektedir. Eğer daha önce WordPress kurulumu yaptıysanız ve tablo önek’ini değiştirmeye üşendiyseniz web sitenizi SQL saldırılarına karşı korumasız bıraktınız demektir. Ama yeni bir kurulum yapacaksanız wp_ önek’ini benzersiz bir şeyle değiştirmenizi tavsiye ederim. Örneğin mywp_ veya wpnew_ şeklinde değiştirebilirsiniz.

WordPress sitenizi zaten varsayılan önek’le yüklediyseniz değiştirmek için birkaç eklenti kullanabilirsiniz. WP-DBManager veya iThemes Security gibi eklentiler işinizi tek bir tıklamayla yapmanıza yardımcı olabilir.

( Veritabanı üzerinde herhangi bir değişiklik yapmadan önce lütfen yedekleyiniz )

Değişiklikleri manuel yapmak için aşağıdaki adımları uygulayınız.

ADIM 1- wp-config Dosyasındaki Tablo Öneki’ni Değiştir
WordPress’in kurulu olduğu dizine gidin wp-config dosyasını açın. wp-config dosyasını açmak için FTP istemcisi veya hosting firmanızın size sunduğu kontrol panelindeki dosya yöneticisini kullanın ve $table_prefix = ‘wp_‘; satırını bulun. Kırmızıyla gösterilen yeri wpnew_ veya mywp_ yada kendinize göre düzenleyip kaydedin. Her ne kullanırsanız kullanın tablo öneki’nin sonu ”_” alt tire şeklinde bitmelidir.

wp-config Tablo Öneki Değiştirme
wp-config Tablo Öneki Değiştirme

ADIM 2- Tüm Veritabanındaki Tablo Önek’lerini Değiştir
Bu adımda phpMyAdminde bulunan WordPress veritabanındaki tüm tablo önek’lerini güncellemeniz gerekiyor. Herhangi bir eklenti yüklenmemişse WordPress’de standart 12 tablo bulunmaktadır. Şimdi phpMyAdmin‘e giriş yapın.

phpMyAdmin Giriş
phpMyAdmin Giriş

Tüm önekleri değiştirmek için wordpress veritabanındaki tabloların hepsini seçin.

WordPress Veritabanı Tablo Önek Değiştirme
WordPress Veritabanı Tablo Önek Değiştirme

Seçimi yaptıktan sonra Seçilileri: Butonundan Tablo Ön Ekini Değiştir linkine tıklayın.

WordPress Veritabanı Tablo Öneki Değiştir
WordPress Veritabanı Tablo Öneki Değiştir

Açılan Pencerede 1. Kutuya mevcut tablo ön ekini, 2. Kutuya Yeni tablo ön ekini yazın ve Devam butonuna tıklayarak tüm tablo öneklerini değiştirin.

WordPress Veritabanı Tablo Önekini Değiştir
WordPress Veritabanı Tablo Önekini Değiştir

3) WordPress Sürümünü Güncel Tutun

WordPress sitenizi güvenli hale getirmek için gereken önemli adımlardan birtanesi de web sitenizin güncel olduğundan emin olmanızdır. WordPress ekibi, güvenlik açıklarını düzeltmeye yardımcı olan güvenlik yamaları oluşturmaktadır. Ancak WordPress ekibi her zaman bilgisayar korsanlarından bir adım önde olabilir mi? Bu sorunun cevabına kesin olarak evet denilemez ama web sitenizi güncel tutmak herzaman sizin elinizde.

Hangi WordPress sürümünü kullandığınızı bilmek, bilgisayar korsanlarının özelleştirilmiş bir saldırı oluşturmasını kolaylaştırabilir. WordPress sürüm numarasını gizlemek bilgisayar korsanlarının işini zorlaştıracaktır.

WordPress Sürüm Numarasını Gizlemek

İnternet sitenizin kaynak kodlarını görüntülemek için web sitenizde herhangi bir sayfayı açın farenizin sağ tuşuna tıklayıp açılan pencerede Sayfa Kaynağını Göster bağlantısına tıkladığınızda aşağıda gösterilen WordPress sürüm numaranızın kodlarını görebilirsiniz.

WordPress Sürün Numarası
WordPress Sürün Numarası

WordPress Sürüm numarasının gösterildiği bu kodu gizlemek için wp-admin panelinize giriş yapın. Görünüm >> Tema Düzenleyici linkine tıklayın. Ardından functions.php dosyasını açın.

WordPress Sürüm Numarasını Kaldırma
WordPress Sürüm Numarasını Kaldırma

Açtığınız functions.php dosyasının içine aşağıdaki kodları ekleyip Dosyayı Güncelle butonuna tıklayıp kaydedin. Tekrar farenize sağ tıkladığınızda WordPress sürüm numarasının gizlendiğini göreceksiniz.

// quckan.com wordpress sürüm numarası kaldırma kodu başlangıç
function complete_version_removal() {return '';} add_filter('the_generator', 'complete_version_removal');
// quckan.com wordpress sürüm numarası kaldırma kodu sonu

4) Dosya İzinlerinizi Değiştirin

WordPress web sitelerinde dosya izinleri (chmod), üç basamaklı sayılarla temsil edilir. Bu sayılar; 644, 777, 755‘dir. Her sayının kendine has bir anlamı vardır. Bu dosya izin numaraları, dosyalarınızı kimlerin okuma ve yazma iznine sahip olduğunu belirtir.

WordPress genellikle klasörlerinizi 755 dosyalarınızı 644 izin düzeyine ayarlamanızı önerir. Ancak, dosyalarınıza kimlerin erişebileceğini belirlemek için izin düzeylerini değiştirebilirsiniz.

Dosya izinlerinizi değiştirmek, olası bilgisayar korsanlarından korunmanıza yardımcı olabilir. Ancak, hangi dosyaların kimler tarafından erişilebilir olmasını istediğinizi bilmek önemlidir. Aksi takdirde, sitenizin tamamını tüm ziyaretçilere erişilemez hale getirebilirsiniz.

Dosya İzinleri (CHMOD) Değeri ve Anlamları

777: Bu değere sahip tüm dosya ve klasörleri herkes okuyabilir ve yazabilir.
755: Bu değere sahip tüm dosya ve klasörler herkes tarafından okunabilir.
644: Site sahibine okuma ve yazma izni verirken ziyaretçilere sadece okuma izni verir.

Konuyla ilgili daha fazla bilgiye WordPress’in Changing File Permissions sayfasından ulaşabilirsiniz.

5) Güçlü Şifreler Kullanın

WordPress’inizin güvenliği güçlü bir parola ile başlar. Güçlü bir şifre karmaşık ve özenlidir. Tanınan kelimeler, adlar, tarihler veya sayılar içermediğinden tahmin etmek kolay değildir. Web sitenizin şifresini düzenli olarak değiştirdiğinizden emin olun. Birçok kişi hâlâ şifre olarak “123456” ya da sevilen birinin doğum gününü kullanmaktadır. Ancak, bu kolay tahmin edilebilir şifreler web sitenizi bilgisayar korsanlarının saldırılarına karşı savunmasız bırakmaktadır.

Bu yüzden güçlü bir şifre oluştururken, en az 20 karakter (Tercihen daha fazla) büyük ve küçük harfler, sayılar ve ünlem soru işareti gibi özel karakterler ekleyerek şifrenizin gücünü arttırabilirsiniz. Örnek olarak bahsettiğimiz yönergelere uygun “ Br89?Hek16!!@gck??K0l “ şeklinde şifreler kullanabilirsiniz. Daha güçlü bir parola oluşturmanıza yardımcı olması için bir parola oluşturma aracı da kullanabilirsiniz. Kullanıyorsanız güvenli bir araç kullandığınızdan emin olun!

Çeşitli siteler için çok sayıda şifreniz varsa, girişlerinizi güvenli bir şekilde saklamak için 1Password veya LastPass gibi araçlar kullanabilirsiniz.

6) Herşeyinizi Güncel Tutun

Web sitenizi nasıl koruyacağınızı öğrenirken, WordPress platformunuzu, temanızı ve tüm eklentilerinizi güncel tutmanız çok önemlidir. Yüksek kaliteli temalar ve eklentiler kullandığınızdan emin olmak için kullanıcı derecelendirmelerini ve incelemelerini kontrol edin. Eklentinin veya temanın en son ne zaman güncellendiğini de kontrol etmelisiniz. Ayrıca WordPress sitenizi güvende tutmak için Warez tema kullanmaktan da kaçınmalısınız.

Bu şekilde, internet sitenizi güvende tutabilir ve bilgisayar korsanlarının olası saldırılarını önleyebilirsiniz.

Warez (Nulled) Tema Kullanmaktan Kaçının

Warez Nedir?: Varez dijital bir ürünün belirli ve illegal yöntemlerle “Kırılıp” üretici izni olmadan ücretsiz dağıtılmasıdır.

Warez tema dağıtımı yapan kişiler kötü niyetli bilgisayar korsanları olabilir ve kullanacağınız bu temaların içine web sitenizi ve veritabanınızı yok edebilecek veya yönetici kimlik bilgilerinizi ele geçirecek gizli ve kötü amaçlı kodlar yerleştirerek ele geçirdikleri bu bilgilerle internet sitenize geri dönüşü olmayan büyük zarar veren saldırılar yapabilirler.

7) Güvenli Bir Hosting Firması Seçin

Sitenizi güvende tutmanın en basit yolu, birden fazla güvenlik seçeneği sağlayan bir barındırma hizmeti kullanmaktır. Genellikle web sitesi barındırma hizmetinden para tasarrufu sağlamak için ucuz hosting kullanılmaktadır. Ucuz hosting kullanmak iyi bir seçenek gibi görünebilir ancak ilerde geri dönülemez hatalara ve siteniz için kâbuslara yol açabilir.

Ek bir avantaj sağlamak için WordPress barındırma hizmeti sağlayan hosting firması kullanarak web sitenizi önemli ölçüde hızlandırabilirsiniz. WordPress siteniz için pek çok hosting firması kullanabilirsiniz ancak ben size Turhost firmasını öneririm

8) Kullanmadığınız tema ve eklentileri kaldırın

WordPress sitenizi güvende tutmak için kullanılmayan tema ve eklentileri mutlaka kaldırın. WordPress ekibi sistemlerini sürekli güncellediği için kullanmadığınız tema ve eklentiler güncelliğini yitirmiş olabilir. Bu durum web sitenizde güvenlik açığı oluşturur ve bilgisayar korsanları tarafından taranarak farkedilebilir. Korsanlar bu açıkları kullanarak internet sitenize saldırılar düzenleyebilir. Admin panelinize erişim sağlayarak sunucunuza zararlı dosyalar yüklemeyi denerler.

Temiz bir WordPress için sildiğiniz tema ve eklentilere ait ve veritabanında bulunan tablolarıda silmelisiniz. Bu işlem aynı zamanda web sitenizin hızlanmasına olumlu katkı sağlayacaktır.

9) wp-admin Sayfasını Güvende Tutun

wp-admin dizini herhangi bir WordPress sitesinin kalbidir. Bu nedenle, sitenizin bu kısmına erişilirse, tüm site zarar görebilir. Bunu önlemenin olası yolu, wp-admin dizinini parola ile korumaktır. Böyle bir WordPress güvenlik önlemi ile web sitesi sahibi, iki şifre göndererek kontrol paneline erişebilir. Biri giriş sayfasını korurken, diğeri ise WordPress yönetici alanını korur.

WordPress kurulumunu yaparken wp-admin paneline erişmek için zaten bir kullanıcı adı ve şifre belirtmiştiniz eğer parolanızıGüçlü Şifreler Kullanın yönergemize uygun olarak oluşturduysanız bu işlem giriş sayfasını koruma altına alacaktır. WodPress yönetici alanını güvence altına almanın bir diğer yolu Hosting firmanızın size sunduğu kontrol paneli üzerinden wp-admin dizinini şifrelemektir. Ben size Cpanel üzerinden WordPress yönetici panelini nasıl şifreleyeceğinizi anlatacağım.

Cpanel Üzerinden WordPress Yönetici Panelini Şifrelemek

Öncelikle hosting firmanızın size sağlamış olduğu Cpanel’e giriş yapın. Bunu nasıl yapacağınızı bilmiyorsanız lütfen hosting firmanıza başvurun.

Daha sonra Dizin Gizliliği bağlantısına tıklayın.

Cpanel wp-admin Dizin Şifreleme
Cpanel wp-admin Dizin Şifreleme

Cpanel üzerinden şifrelemek istediğiniz dizini açmak için public_html klasörünün sol tarafında bulunan dizin ikonu‘na tıklayın.

Cpanel wp-admin Dizin Şifreleme
Cpanel wp-admin Dizin Şifreleme

Şifrelemek istediğiniz wp-admin dizinini açın.

Cpanel wp-admin Dizin Şifreleme
Cpanel wp-admin Dizin Şifreleme

Şifrelemek istediğiniz wp-admin dizini için bir kullanıcı adı ve şifre belirleyin. Lütfen parolanızı Güçlü Şifreler Kullanın yönergemize uygun belirleyin.

cPanel wp-admin Dizin Şifrele
cPanel wp-admin Dizin Şifrele

İki Faktörlü Kimlik Doğrulama

wp-admin panelini şifrelemek için kullanılan bir diğer yöntemde iki faktörlü kimlik doğrulamadır. Bu işlemi gerçekşeltirmek için WordPress Sitemize Google Authenticator eklentisini ve Android Telefonumuza Google Authentication Uygulamasını yükleyeceğiz. Eklentiyi WordPress.org sitesinden indirin yada Admin Panel >> Eklentiler >> Yeni Ekle kısmından aratarak kurulumu gerçekleştirin.

Uygulamayı Play Store‘den Aratarak Telefonunuza yükleyin. Daha sonra aşağıdaki adımları sırasıyla takip edin

1. ADIM: Ayarlar >> Google Authenticator linkine tıklayın.

Google Authentication
Google Authentication

2. ADIM : Android Telefonuna Google Authentication uygulamasını yükleyin.

Android Google Authentication Yükle
Android Google Authentication Uygulama Yükle

3. ADIM:  Yüklediğiniz uygulamayı açın.

Android Google Authentication Uygulama Aç
Android Google Authentication Uygulama Aç

4. ADIM: Başla Butonuna tıklayın.

Android Google Authentication Uygulama Başla
Android Google Authentication Uygulama Başla

5. ADIM: Hesap Ekleme kısmından Sağlanan bir Anahtar Girin linkine tıklayın.

Android Google Authentication Uygulama Anahtar Gir
Android Google Authentication Uygulama Anahtar Gir

6. ADIM: Anahtarınız WordPress  sitenizin Google Authentication Settings Kısmının Secret alanında bulunmaktadır.

Android Google Authentication Uygulama secret
Android Google Authentication Uygulama secret

7. ADIM: Hesap bilgileri oluşturma kısmında bir Hesap adı  ve Anahtarınızı girin ve ardından Ekle butonuna tıklayın.

Android Google Authentication Uygulama Hesap Bilgileri
Android Google Authentication Uygulama Hesap Bilgileri

8.ADIM: Hesap eklendikten sonra size 6 haneli bir kod verilecektir.

Android Google Authentication Uygulama Hesap Eklendi
Android Google Authentication Uygulama Hesap Eklendi

9. ADIM: Size verilen bu kodu WordPress Google Authentication Settings Kısmında bulunan Authenticator Code Kısmına Ekleyin.

Android Google Authentication Uygulama Kodu
Android Google Authentication Uygulama Kodu

10. ADIM: Tekrar Ayarlar >> Google Authenticator linkine tıklayın. Google AuthenticationSettings kısmındaki  giriş ayarlarını aşağıdaki gibi aktif hale getirin ve değişikliklerinizi  kaydedin.

Google Authentication Ayarları
Google Authentication Ayarları

10) WordPress Güvenlik Eklentileri Yükleyin

Web sitenizin güvenliğini sağlamak için düzenli olarak kötü amaçlı yazılımları kontrol etmelisiniz. Ancak bu işlem zaman alan bir iştir. Eğer kodlama bilginiz yoksa muhtemelen web sitenize yüklenen kötü amaçlı kod parçacıklarını farketmezsiniz. Neyseki geliştiriciler bunu farkederek ve yardımcı olmak amacıyla web sitenizin güvenliğini sağlamak, kötü amaçlı yazılımları taramak ve sitenizde olup bitenleri düzenli olarak 7/24 kontrol etmek için WordPress güvenlik eklentileri geliştirmektedirler.

Sucuri.net tarafından geliştirilen WordPress Sucuri Scanner eklentisi‘de bunlardan bir tanesidir ve harika bir eklentidir. Sucuri Scanner güvenlik eklentisi tüm WordPress kullanıcıları için ücretsizdir. Mevcut güvenliğinizi sağlayan bir güvenlik paketidir.

Kullanıcılarına web sitelerinin güvenliğiyle ilgili olumlu bir etki oluşturmak için tasarlanmış bir dizi güvenlik özelliği sunmaktadır.

Sucuri Scanner Özellikleri

Güvenlik Etkinliği Denetimi
Dosya Bütünlüğü İzleme
Uzaktan Kötü Amaçlı Yazılım Taraması
Kara Liste İzleme
Etkili Güvenlik Sağlamlaştırması
Saldırı Sonrası Güvenlik Eylemleri
Güvenlik Bildirimleri

Sucuri Scanner Kurulumu

WordPress admin paneline gidin Eklentiler >> Yeni Ekle bağlantısına tıklayın. Ardından Açılan sayfada arama kutusuna sucuri scanner yazın. Önce eklentiyi yükleyin ardındanda aktif hale getirin.

11) WordPress Klasörlerinin Arama Motoru Tarafından Dizine Eklenmesini Englleyin

Arama motoru örümcekleri bloğunuzun tamamını tarar ve yapmamaları istenmedikçe her içeriği dizine ekler. Tüm hassas bilgileri içerdiği için WordPress sitemizin yönetici bölümünü dizine eklemek istemeyiz. Arama motorlarının yönetici sayfanızı dizinlerine eklemelerini engellemenin en kolay yolu WordPress’in bulunduğu kök dizine bir robots.txt dosyası yerleştirmektir. Bir robots.txt dosyası oluşturup aşağıdaki kodu içine ekleyin ve kaydedin.

User-agent: *
Disallow: /wp-admin/
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

12) Sürekli Sitenizin Yedeğini Alın

Web sitenizi nasıl güvende tutacağınıza ilişkin anlattığımız bu ipuçları sizin için yeterli değilse düzenli olarak sitenizin yedeğini almayı unutmayın. Düzenli yedekleme bilgisayar korsanlığı veya bir felaket durumunda bilgilerinizi geri yüklemenize yardımcı olur. Bu şekilde web sitenizin durumunu düzeltebilir ve yolunuza kaldığınız yerden devam edebilirsiniz.

Sonuç

WordPress güvenliği, bir web sitesinin önemli parçalarından birisidir. WordPress güvenliğinizi sağlamadığınız taktirde, bilgisayar korsanları sitenize kolayca saldırabilir ve geri dönülemez zararlar verebilir. Sitenizin güvenliğini sağlamak hiçde zor değildir ve bir kuruş para harcamadan gerçekleştirilebilir. Bu çözümlerden bazıları ileri düzey kullanıcılar içindir, ancak herhangi bir sorunuz varsa sormaktan çekinmeyin.

WordPress web sitenizi daha da geliştirmek mi istiyorsunuz? Daha fazla bilgi sahibi olmak için WordPress’le ilgili yayınladığımız makaleleri keşfedin!

Unutmayın yorum yazarsanız okurum, soru sorarsanız cevaplarım.

YORUM EKLE

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz