Bir WordPress Sitesini Nasıl Güvenli Hale Getirirsiniz?

Yayınlanan: 2020-10-27

Bugünlerde kendi WordPress sitenizi başlatmak oldukça kolay. Ne yazık ki, bilgisayar korsanlarının sitenizi hedeflemeye başlaması uzun sürmeyecektir.

Bir WordPress sitesini güvenli hale getirmenin en iyi yolu, bir WordPress sitesi çalıştırmaktan kaynaklanan her türlü güvenlik açığını anlamaktır. Ardından, bu noktaların her birinde bilgisayar korsanlarını engellemek için uygun güvenliği kurun.

İçindekiler

    Bu makalede, etki alanınızı, WordPress giriş bilgilerinizi ve WordPress sitenizi güvence altına almak için mevcut araçları ve eklentileri nasıl daha iyi güvence altına alacağınızı öğreneceksiniz.

    Özel Etki Alanı Oluşturun

    Bugünlerde uygun bir alan adı bulmak ve onu çok ucuz bir fiyata satın almak çok kolay. Çoğu kişi, alanları için hiçbir zaman alan adı eklentisi satın almaz. Ancak, her zaman göz önünde bulundurmanız gereken bir eklenti Gizlilik Korumasıdır.

    GoDaddy'de üç temel gizlilik koruması düzeyi vardır, ancak bunlar aynı zamanda çoğu alan sağlayıcısının teklifleriyle eşleşir.

    • Temel : Adınızı ve iletişim bilgilerinizi WHOIS dizininden gizleyin. Bu, yalnızca hükümetiniz alan iletişim bilgilerini gizlemenize izin veriyorsa kullanılabilir.
    • Tam : Gerçek kimliğinizi gizlemek için kendi bilgilerinizi alternatif bir e-posta adresi ve iletişim bilgileriyle değiştirin.
    • Nihai : Kötü amaçlı alan taramasını engelleyen ve gerçek siteniz için web sitesi güvenlik izlemesini içeren ek güvenlik.

    Genellikle, alan adınızı bu güvenlik düzeylerinden birine yükseltmek, alan listeleme sayfanızdaki bir açılır menüden yükseltme yapmayı seçmenizi gerektirir.

    Temel alan koruması oldukça ucuzdur (genellikle yılda 9,99 ABD doları civarındadır) ve daha yüksek güvenlik seviyeleri çok daha pahalı değildir.

    Bu, spam gönderenlerin iletişim bilgilerinizi WHOIS veritabanından veya iletişim bilgilerinize erişmek isteyen kötü niyetli diğer kişilerden silmesini engellemenin mükemmel bir yoludur.

    wp-config.php ve .htaccess Dosyalarını Gizle

    WordPress'i ilk kurduğunuzda, wp-config.php dosyasına WordPress SQL veritabanınızın yönetici kimliğini ve parolasını eklemeniz gerekir.

    Bu veriler kurulumdan sonra şifrelenir, ancak bilgisayar korsanlarının bu dosyayı düzenlemesini ve web sitenizi bozmasını da engellemek istersiniz. Bunun için sitenizin kök klasöründeki .htaccess dosyasını bulup düzenleyin ve dosyanın en altına aşağıdaki kodu ekleyin.

     # wpconfig.php'yi koruyun
     <files wp-config.php>
     izin ver, reddet
     herkesten inkar
     </files>

    .htaccess'in kendisinde değişiklik yapılmasını önlemek için dosyanın altına aşağıdakini de ekleyin.

     # .htaccess dosyasını koruyun
     <Dosyalar .htaccess>
     izin ver, reddet
     herkesten inkar
     </Dosyalar>

    Dosyayı kaydedin ve dosya düzenleyiciden çıkın.

    Ayrıca, her dosyaya sağ tıklayıp Yazma erişimini herkes için tamamen kaldırmak için izinleri değiştirmeyi düşünebilirsiniz.

    Bunu wp-config.php dosyasında yapmak herhangi bir soruna neden olmazken, .htaccess üzerinde yapmak sorunlara neden olabilir. Özellikle .htaccess dosyasını sizin için düzenlemesi gerekebilecek herhangi bir güvenlik WordPress eklentisi kullanıyorsanız.

    WordPress'ten herhangi bir hata alırsanız, .htaccess dosyasına yeniden Yazma erişimine izin vermek için izinleri her zaman güncelleyebilirsiniz.

    WordPress Giriş URL'nizi Değiştirin

    Her WordPress sitesi için varsayılan giriş sayfası etkialaniniz/wp-admin.php olduğundan, bilgisayar korsanları sitenize girmeye çalışmak için bu URL'yi kullanır.

    Bunu, birçok kişinin yaygın olarak kullandığı tipik kullanıcı adlarının ve parolaların varyasyonlarını gönderecekleri "kaba kuvvet" saldırıları olarak bilinen yöntemlerle yapacaklardır. Bilgisayar korsanları şanslı olacaklarını ve doğru kombinasyonu elde edeceklerini umuyorlar.

    WordPress giriş URL'nizi standart olmayan bir şeyle değiştirerek bu saldırıları tamamen durdurabilirsiniz.

    Bunu yapmanıza yardımcı olacak birçok WordPress eklentisi var. En yaygın olanlardan biri WPS Girişi Gizle'dir.

    Bu eklenti, WordPress'teki Ayarlar altındaki Genel sekmesine bir bölüm ekler.

    Buraya, istediğiniz herhangi bir giriş URL'sini yazabilir ve etkinleştirmek için Değişiklikleri Kaydet'i seçebilirsiniz. WordPress sitenize bir daha giriş yapmak istediğinizde, bu yeni URL'yi kullanın.

    Biri eski wp-admin URL'nize erişmeye çalışırsa, sitenizin 404 sayfasına yönlendirilir.

    Not : Bir önbellek eklentisi kullanıyorsanız, yeni giriş URL'nizi önbelleğe alınmayacak siteler listesine eklediğinizden emin olun. Ardından, WordPress sitenize tekrar giriş yapmadan önce önbelleği temizlediğinizden emin olun.

    Bir WordPress Güvenlik Eklentisi yükleyin

    Aralarından seçim yapabileceğiniz birçok WordPress güvenlik eklentisi var. Hepsinden, Wordfence, iyi bir sebeple en çok indirilenidir.

    Wordfence'in ücretsiz sürümü, arka kapı tehditlerini, eklentilerinizdeki veya sitenizdeki kötü amaçlı kodları, MySQL enjeksiyon tehditlerini ve daha fazlasını arayan güçlü bir tarama motoru içerir. Ayrıca DDOS saldırıları gibi aktif tehditleri engellemek için bir güvenlik duvarı içerir.

    Ayrıca, oturum açma girişimlerini sınırlayarak ve çok fazla yanlış oturum açma girişiminde bulunan kullanıcıları kilitleyerek kaba kuvvet saldırılarını durdurmanıza da olanak tanır.

    Ücretsiz sürümde pek çok ayar mevcuttur. Küçük ve orta ölçekli web sitelerini çoğu saldırıdan korumak için fazlasıyla yeterli.

    Ayrıca, engellenen son tehditleri ve saldırıları izlemek için gözden geçirebileceğiniz kullanışlı bir pano sayfası da bulunmaktadır.

    WordPress Parola Oluşturucu ve 2FA'yı kullanın

    İstediğiniz son şey, bilgisayar korsanlarının şifrenizi kolayca tahmin etmesidir. Ne yazık ki, çok fazla insan tahmin edilmesi kolay çok basit şifreler kullanıyor. Bazı örnekler, parolanın bir parçası olarak web sitesi adının veya kullanıcının kendi adının kullanılmasını veya herhangi bir özel karakterin kullanılmamasını içerir.

    WordPress'in en son sürümüne yükselttiyseniz, WordPress sitenizin güvenliğini sağlamak için güçlü parola güvenlik araçlarına erişebilirsiniz.

    Parola güvenliğinizi iyileştirmenin ilk adımı, siteniz için her bir kullanıcıya gidip Hesap Yönetimi bölümüne ilerleyip Parola Oluştur düğmesini seçmektir.

    Bu, harfler, sayılar ve özel karakterler içeren uzun, çok güvenli bir şifre oluşturacaktır. Bu parolayı güvenli bir yere, tercihen çevrimiçiyken bilgisayarınızla bağlantısını kesebileceğiniz harici bir sürücüdeki bir belgeye kaydedin.

    Tüm etkin oturumların kapalı olduğundan emin olmak için Başka Her Yerde Oturumu Kapat'ı seçin.

    Son olarak, Wordfence güvenlik eklentisini yüklediyseniz, bir 2FA Etkinleştir düğmesi göreceksiniz. Kullanıcı oturumlarınız için iki faktörlü kimlik doğrulamayı etkinleştirmek için bunu seçin.

    Wordfence kullanmıyorsanız, bu popüler 2FA eklentilerinden herhangi birini yüklemeniz gerekir.

    • Google Kimlik Doğrulayıcı
    • İki Faktörlü Kimlik Doğrulama
    • Rublon İki Faktörlü Kimlik Doğrulama
    • İkili İki Faktörlü Kimlik Doğrulama

    Diğer Önemli Güvenlik Hususları

    WordPress sitenizi tamamen güvenli hale getirmek için yapabileceğiniz birkaç şey daha var.

    Hem WordPress eklentileri hem de WordPress sürümü her zaman güncellenmelidir. Bilgisayar korsanları genellikle sitenizdeki eski kod sürümlerindeki güvenlik açıklarından yararlanmaya çalışır. Her ikisini de güncellemezseniz sitenizi riske atmış olursunuz.

    1. WordPress yönetici panelinizde düzenli olarak Eklentiler ve Yüklü Eklentiler'i seçin. Yeni bir sürümün mevcut olduğunu söyleyen bir durum için tüm eklentileri inceleyin.

    Güncel olmayan bir tane gördüğünüzde, şimdi güncelle öğesini seçin. Eklentileriniz için otomatik güncellemeleri etkinleştir'i seçmeyi de düşünebilirsiniz.

    Ancak, eklenti güncellemeleri bazen sitenizi veya temanızı bozabileceğinden, bazı insanlar bunu yapmaktan çekinir. Bu nedenle, eklenti güncellemelerini canlı sitenizde etkinleştirmeden önce yerel bir WordPress test sitesinde test etmek her zaman iyi bir fikirdir.

    2. WordPress kontrol panelinize giriş yaptığınızda, daha eski bir sürüm kullanıyorsanız WordPress'in güncel olmadığını belirten bir bildirim görürsünüz.

    Yine, siteyi yedekleyin ve canlı web sitenizde güncellemeden önce WordPress güncellemesinin sitenizi bozmadığını test etmek için kendi PC'nizdeki yerel bir test sitesine yükleyin.

    3. Web barındırıcınızın ücretsiz güvenlik özelliklerinden yararlanın. Çoğu web barındırıcısı, orada barındırdığınız siteler için çeşitli ücretsiz güvenlik hizmetleri sunar. Bunu sadece sitenizi korumakla kalmayıp tüm sunucuyu güvende tuttuğu için yaparlar. Bu, özellikle diğer istemcilerin aynı sunucuda web siteleri olduğu paylaşılan bir barındırma hesabındaysanız önemlidir.

    Bunlara genellikle siteniz için ücretsiz SSL güvenlik yüklemeleri, ücretsiz yedeklemeler, kötü amaçlı IP adreslerini engelleme yeteneği ve hatta sitenizi herhangi bir kötü amaçlı kod veya güvenlik açığı için düzenli olarak tarayacak ücretsiz bir site tarayıcısı dahildir.

    Bir web sitesi çalıştırmak, asla WordPress'i kurmak ve sadece içerik yayınlamak kadar basit değildir. WordPress web sitenizi mümkün olduğunca güvenli hale getirmek önemlidir. Yukarıdaki ipuçlarının tümü, çok fazla çaba harcamadan bunu yapmanıza yardımcı olabilir.