WordPress Site Güvenliği

WordPress Site Güvenliği

    WordPress dünya üzerinde kullanılan en popüler CMS yani içerik yönetim sistemlerinden biri olmasına karşın ne yazık ki bazı güvenlik açıkları vardır. Global ölçekte tüm web sitelerinin yaklaşık %20’si WordPress’te kurulmuştur. Buna karşın WordPress dünyada en fazla hack’lenen CMS olarak bilinir. Bu nedenle WordPress güvenliğinin sağlanması konusunda bazı noktaların gözden kaçırılmaması çok önemlidir.

    WordPress’i Güncel Tutun

    Temiz ve herhangi bir zararlı yazılımın yer almadığı bir web sitesi için dikkat edilmesi gereken en önemli nokta WordPress’in güncel tutulmasıdır. Güvenlik güncellemelerini içeren WordPress sürümünün kullanılmasının yanı sıra olası saldırılara karşı önlem almak için functions.php dosyasıyla WordPress sürümünün gizlenmesi önerilir. WordPress’in 3.7 sürümünde eklediği otomatik güncelleme özelliği yalnızca küçük çaplı güvenlik güncellemeleri için çalıştığından başlıca core güncellemelerinin manuel olarak yapılması gerektiği unutulmamalıdır.

    Yaygın Giriş Bilgilerinden Uzak Durun

    Pek çok WordPress kullanıcısının hala daha kullanıcı adı olarak “Admin” kullandığını biliyor muydunuz? Bu yaygın durum aslında siber saldırganların yönetici panelinize çok daha kolay girmesini sağlayan kritik bir noktadır. Bu nedenle yönetici kullanıcı adının değiştirilmesi ya da farklı bir yönetici hesabı oluşturulduktan sonra eskisinin silinmesi tavsiye edilir.
    WordPress güvenliği açısından önemli olan diğer nokta şifredir. Rakamlar, özel karakterler, küçük ve büyük harflerden oluşan şifrelerin brute force yöntemiyle ele geçirilmesi son derece zor bir durumdur. Şifrelerin yönetilmesi noktasında 1Password ve Lastpass gibi bulut tabanlı şifre yönetim servislerinden hizmet alınabilir. Eğer WordPress kontrol paneline bağlanılan ağın güvenliğinden emin olunmadığı durumlarda giriş bilgilerinin korunması için güvenli bir VPN kullanılmalıdır.

    2 Faktörlü Kimlik Doğrulaması

    WordPress giriş sayfasında etkili bir güvenli katmanı oluşturmanın yollarından biri 2 faktörlü kimlik doğrulaması kullanmaktır. Bunun için 2 faktörlü kimlik doğrulaması uygulaması  (Google Authenticator eklentisi) yüklenerek gerekli WordPress ayarlamaları yapılmalıdır. 

    PHP Hata Raporlamayı Devre Dışı Bırakma

    Web sitesi geliştirme ve düzgün çalışmasını sağlama noktasında PHP hata raporlama önemli bir yardımcı olabilse de hataların web kullanıcıları tarafından görülebilmesi ciddi bir güvenlik açığı olarak düşünülmelidir. WordPress’te PHP hata raporlamanın kapatılabilmesi için kod bilgisine gerek duyulmaz. Pek çok hosting hizmet sağlayıcı kontrol paneli içinden hata raporlama özelliğini kapatma imkanı verir. 

    Nulled WordPress Temalarını Kullanmayın

    WordPress’in sayısız ücretsiz teması ve eklentisi vardır. Bunlar farklı sitelerden ücretsiz bir şekilde indirilebilmektedir. Ancak bunların birçoğunda siyah şapka SEO bağlantıları ve zararlı yazılımlar vardır. Lisanssız (nulled) temalar ve eklentiler spam reklamlar ve bağlantılar içerebilmelerinin yanı sıra kolaylıkla hacklenebilirler. Lisanslı tema ve eklenti satın alındığında özel lisans anahtarına sahip olunduğundan geliştirici tarafından sunulan sürüm güncellemeleriyle WordPress sitesinin performansını iyileştirecek çalışmalar yapılması imkanı elde edilebilir.

    Zararlı Yazılım Taraması Yapmayı İhmal Etmeyin

    WordPress’e zararlı yazılım bulaştırmak için genellikle eklentilerdeki ya da temalardaki açıklar kullanılır. Bu nedenle WordPress siteleri düzenli olarak taranmalıdır. WordFence gibi eklentiler kullanılarak manuel ve otomatik tarama yapılabilir. Üstelik değiştirilmiş/zararlı dosyalar yalnızca birkaç tıklamayla kurtarılabilir. Ayrıca BulletProof Security ve Sucuri Security gibi WordPress güvenlik eklentilerinden de faydalanılabilir.

    Güvenilir Bir Hosting Şirketi Seçin

    WordPress sitelerinin yaklaşık %40’ının hosting hesaplarındaki açıklardan yararlanılarak ele geçirildiğini söylediğimizde hosting şirketi seçiminin ne kadar önemli olduğu daha açık bir şekilde anlaşılacaktır. Hosting şirketi seçilirken güvenilir hizmetler sunulduğundan emin olunması gerekir. Paylaşımlı hosting kullanılıyorsa hesap mutlaka diğer kullanıcıların hesaplarından izole olması ve herhangi bir sitenin sunucudaki diğer sitelere zarar vermesi olasılığını sıfıra indirilmesi zorunludur. Aynı şekilde sunucu bazlı güvenlik duvarı, virüs tarama aracı ve otomatik yedekleme özelliği bulunduğundan emin olunmalıdır.

    Yedeklemenin Önemini Göz Ardı Etmeyin

    Öncelikle şunu hatırlatmak istiyoruz büyük küçük fark etmeksizin her web sitesi hacklenebilir! Uygun güvenlik önlemleri alınmasının yanı sıra WordPress sitesinin yedeklerini sık sık almak da bu tür sorunlarla karşılaşıldığında önemli bir avantaj haline gelebilmektedir. Yedekleme için WordPress dosyalarının manuel olarak indirilmesi tercih edilebileceği gibi veritabanı yükleme ya da hosting hizmet sağlayıcının yedekleme aracını kullanma imkanları değerlendirilebilir. VaulltPress, BackUp WordPress, BackUp Guard popüler WordPress yedekleme eklentileri arasında sayılabilir.

    Dosya Düzenlemeyi Kapatın

    Dosya Düzenlemeyi Kapatın
    WordPress’te yer alan dahili dosya düzenleme aracı kullanılarak PHP dosyalarının değiştirilmesi mümkündür. Bu her ne kadar kullanışlı bir özellik olsa da bir takım sakıncalı durumlara da neden olabilir. Siber saldırganlar WordPress admin panelini ele geçirdikleri takdirde öncelikle dosya editörlerini kontrol derler. Bu nedenle bu özelliğin devre dışı bırakılması faydalıdır.
    Tüm bunların yanı sıra DDos saldırılarından korunmak ve WordPress site hızını artırmak için CloudFlare kurulumu yapılması önemlidir. Aynı şekilde .htaccess dosyasına gerekli kodların yazılması yoluyla zararlı botlar ve spam siteleri engellenebilir. Şifre, kimlik ve ödeme bilgileri gibi hassas bilgilerin üçüncü kişilerin eline geçmesini önlemek için SSL sertifikası mutlaka kullanılmalıdır. SSL sertifikası aynı zamanda Google SERP sıralamalarını da etkileyen faktörlerden biridir.

    Yazıyı Paylaşın:
    Bu yazıyı yararlı buldunuz mu?

    Bu yazı için 0 yorum yazılmıştır.

    E-Posta hesabınız yayınlanmayacaktır. Gerekli alanlar * ile işaretlenmiştir.