WordPress dünya genelinde en yaygın CMS yani içerik yönetim sistemlerinden biridir. Fakat ne yazık ki bazı güvenlik açıkları vardır. Global ölçekte tüm web sitelerinin önemli bir bölümü WordPress temellidir. Buna karşın WordPress dünyada en fazla hack’lenen CMS’ler arasında ilk sıradadır. Bu nedenle WordPress güvenliğini sağlamak için bazı konulara dikkat etmek gerekir. Bu yazımızda, WordPress site güvenliği konusunda faydalı bilgiler paylaşacağız. 

İçindekiler

WordPress’i Güncel Tutun

Herhangi bir zararlı yazılıma yer vermeyen WordPress temelli web siteleri için en önemli konulardan biri WordPress’i güncel tutmaktır. Sistemde zaten otomatik güncelleme özelliği vardır. Bu güncellemeleri engellemezseniz sitenizin güvenliği artar. Fakat bu özellik, daha çok küçük çaplı güncellemelerde etkilidir. Başlıca core güncellemelerini ise manuel yapmanız gerekir. WordPress site güvenliği konusunda core güncellemelerinin çok faydasını görürsünüz. Bunun yanı sıra olası saldırılara karşı önlem için functions.php dosyası ile WordPress sürümünü gizlemenizde de yarar var.

Yaygın Giriş Bilgilerinden Uzak Durun

Pek çok WordPress site yöneticisinin kullanıcı adı olarak “Admin” adını kullandığını biliyor muydunuz? Bu durum aslında siber saldırganların yönetici paneline daha kolay erişmesine zemin hazırlar. Bu nedenle yönetici kullanıcı adınızı mutlaka değiştirmelisiniz. Farklı bir yönetici hesabı oluşturduktan sonra eskisini silmenizde de yarar var.
WordPress site güvenliği açısından bu bağlamda önemli bir diğer nokta da şifredir. Rakamlar, özel karakterler, küçük ve büyük harflerden oluşan şifrelerin ele geçmesi daha zordur. Şifre yönetiminde 1Password ve Lastpass gibi bulut tabanlı servisler de faydalıdır. Fakat ağ güvenliğine de dikkat etmek gerekir. Nitekim kontrol paneline girdiğiniz ağın güvenliği yetersizse şifrenizle ilgili risk oluşur. Giriş bilgilerinizi korumak için mutlaka güvenli bir VPN kullanmalısınız. 

2 Faktörlü Kimlik Doğrulaması

WordPress giriş sayfasında etkili bir güvenlik katmanı oluşturmanın yollarından biri 2 faktörlü kimlik doğrulamasıdır. Bunu Google Authenticator eklentisiyle kolayca sağlarsınız. WordPress site güvenliği bu sayede daha üst düzeye ulaşır. 

PHP Hata Raporlamayı Devre Dışı Bırakma

Web sitesi geliştirme ve düzgün çalışmasını sağlama noktasında PHP hata raporlama önemli bir yardımcıdır. Fakat hataların web kullanıcıları tarafından erişime açık olması ciddi bir güvenlik açığıdır. WordPress’te PHP hata raporlamayı kapatmak için kod bilgisine ihtiyaç yoktur. Pek çok hosting hizmet sağlayıcı kontrol paneli içinden hata raporlama özelliğini kapatmaya imkan verir. 

Nulled WordPress Temalarını Kullanmayın

WordPress’in sayısız ücretsiz teması ve eklentisi vardır. Üstelik bunları farklı sitelerden ücretsiz olarak kullanmak mümkündür. Ne var ki bunların birçoğunda siyah şapka SEO bağlantıları ve zararlı yazılımlar vardır. Ayrıca lisanssız (nulled) temalar ve eklentiler, spam reklamlar ve bağlantılar içerir. Ve kolaylıkla hacklenebilir. Lisanslı tema ve eklenti satın aldığınızda, özel lisans anahtarına sahip olursunuz. Böylelikle hem tema hem de sürüm güncelleme bağlamında güvenlik kalitesi artar. WordPress site güvenliği konusunda lisanslı ürünler her zaman için çok daha faydalıdır. 

Zararlı Yazılım Taraması Yapmayı İhmal Etmeyin

WordPress’e zararlı yazılımlar genellikle eklentilerdeki ya da temalardaki açıklardan gelir. Bu nedenle WordPress siteleri düzenli olarak taramak gerekir. Bu taramayı WordFence gibi eklentilerle manuel veya otomatik olarak yapmak mümkündür. Bu sayede zararlı dosyalar birkaç tıklamayla kolayca ortaya çıkar. Ayrıca BulletProof Security ve Sucuri Security gibi WordPress güvenlik eklentileri de bu bağlamda faydalıdır. 

Güvenilir Bir Hosting Şirketi Seçin

WordPress sitelerinin yaklaşık %40’ı hosting hesaplarındaki açıklar üzerinden ele geçmekte. Bu durum, hosting şirketi seçiminin önemini açıkça gösteriyor. Hosting şirketi seçerken firmanın güvenlik çözümlerine özellikle dikkat etmek gerekir. Örneğin paylaşımlı hosting varsa her hesap mutlaka diğer hesaplardan izole olmalıdır. Böylelikle aynı sunucudaki bir sitede oluşan güvenlik açığı diğer sitelere zarar vermez. Aynı şekilde sunucu bazlı güvenlik duvarı, virüs tarama aracı ve otomatik yedekleme özelliği konusunda da farkındalıkları yüksek tutmak gerekir. 

Yedeklemenin Önemini Göz Ardı Etmeyin

Öncelikle şunu hatırlatmak isteriz. Büyük küçük fark etmeksizin her web sitesi hacklenebilir! Hiçbir WordPress site güvenliği yöntemi kusursuz değildir. Sitenin hacklenme riski hep vardır. Bu nedenle uygun güvenlik önlemleri almak hiçbir zaman yeterli değildir. WordPress sitesinin yedeklerini de almak gerekir. Yedekleme için WordPress dosyalarını manuel olarak indirmeniz mümkün. Veya veritabanı yükleme ya da hosting hizmet sağlayıcının yedekleme aracını da kullanabilirsiniz. VaulltPress, BackUp WordPress, BackUp Guard en popüler WordPress yedekleme eklentileridir. 

Dosya Düzenlemeyi Kapatın

WordPress’te yer alan dahili dosya düzenleme aracıyla PHP dosyalarını değiştirmek mümkündür. Bu her ne kadar kullanışlı bir özellik olsa da WordPress site güvenliği konusunda risk yaratır. Siber saldırganlar WordPress admin panelini ele geçirdikleri takdirde öncelikle dosya editörlerini kontrol eder. Bu nedenle bu özelliği devre dışı bırakmak faydalıdır.
Tüm bunların yanı sıra DDoS saldırılarından korunmak ve WordPress site hızını artırmak için CloudFlare kurulumu yapmak da çok faydalıdır. Aynı şekilde .htaccess dosyasına gerekli kodları yazmak da zararlı botlar ve spam siteleri engeller. Şifre, kimlik ve ödeme bilgileri gibi hassas bilgilerin üçüncü kişilerin eline geçmesini önlemek için SSL sertifikası almak gerekir. SSL sertifikası aynı zamanda da Google SERP sıralamalarını etkileyen önemli faktörlerden biridir. 

Türkiye’de hosting artık daha.net!

Bu yazıyı yararlı buldunuz mu ? 11