WordPress Güvenlik Ayarları ve Güvenlik Tavsiyeleri

Webmaster İpuçları
wordpress güvenliği

WordPress, dünya genelinde gerek normal web sitesi, gerekse blog hazırlamak için en yaygın olarak kullanılan CMS’dir. Hatta bazı eklentiler ile bir online alışveriş sitesi olarak bile kullanmak mümkündür. En yaygın kullanılan site hazırlama aracı olması, onu elbette ki en çok saldırı alan hedef CMS haline getirdi ve ufak bir açığı keşfedildiğinde en hızlı şekilde bilgisinin yayıldığı yazılım durumunda bulunuyor. Bu nedenle WordPress ile hazırladığınız web sitenizin güvenlik önlemlerini almanız kesinlikle ihmal etmemeniz gereken bir konudur. WordPress güvenlik ayarları aşağıda maddeler halinde sıralanmıştır.

WordPress Güvenlik Ayarları

Aşağıda anlatacağımız yöntemler ile web sitenizin güvenliğini önemli ölçüde artırmış olacaksınız. Ancak unutmayın ki, sitenizin güvenliği için hosting hizmetinizin bulunduğu sunucunun da güvenliği çok önemli bir konudur.

WordPress Sürümünüzü Her Zaman Güncel Tutun

Herhangi bir yeni sürümle, WordPress’te geliştirmeler yapılır ve güvenliği de iyileştirilir. Her yeni sürüm çıktığında birçok hata ve güvenlik açığı giderilir. Ayrıca, özellikle bir açık keşfedilirse, WordPress yazılımcıları bununla hemen ilgilenecek ve hemen yeni bir güvenli sürümü zorlayacaktır. Güncelleme yapmazsanız risk altında olacaksınız.

WordPress artık otomatik güncelleniyor ama bazı sunucular buna izin vermeyecek ayarları yaparak sunucuya binenyükü azaltmaya çalışıyorlar. O yüzden sitenizi çok sık güncellemiyor olsanız bile admin panelinize arada bir giriş yaparak güncellemeyi kontrol etmelisiniz.

Temalarınızı ve eklentilerinizi güncelleyin

Aynı şey WordPress eklentileri ve temaları için de geçerli. Mevcut temanızı ve sitenize yüklediğiniz eklentileri güncellemelisiniz. Bu, güvenlik açıklarından, hatalardan ve olası güvenlik ihlal noktalarından korunmanıza yardımcı olur.

Çoğu yazılım ürününde olduğu gibi, arada bir belirli eklentiler ihlal edilebilir veya bunlarda güvenlik açıkları keşfedilebilir. Örneğin, geçmişte Ninja Forms ve WooCommerce gibi eklentiler oldukça çirkin sorunlarla karşılaştı.

Warez WordPress tema ve eklentilerini kesinlikle kullanmayın

WordPress güvenlik ayarları ne kadar sağlam olursa olsun, içine zararlı kodlar gizlenmiş kırılmış temalar tehlike saçmaktadır. WordPress güvenlik ayarları eksiksiz olarak yapılmış olsa bile, zararlı bir tema ile bu ayarlar veya bir kısmı devre dışı kalabilir. Bu nedenle mutlaka WordPress üzerinden ücretsiz veya ücretli temalar ile eklentileri, veya yaygın olarak bilinen güvenilir kaynaklardan ücretini ödeyerek profesyonel tema ve eklentileri satın almalısınız.

Sitenizi düzenli olarak yedekleyin

Sitenizi yedeklemek, tüm site verilerinin bir kopyasını oluşturmak ve bunları güvenli bir yerde saklamaktır. Bu şekilde, kötü bir şey olması durumunda siteyi elinizdeki yedekten geri yükleyebilirsiniz.

WordPress oturum açma girişimlerini sınırlayın ve parolanızı sık sık değiştirin

Giriş formunuzun sınırsız kullanıcı adı ve şifre denemelerine izin vermesine izin vermeyin, çünkü bu tam olarak bir bilgisayar korsanının başarılı olmasına yardımcı olur. Sonsuz sayıda denemelerine izin verirseniz, sonunda giriş verilerinizi keşfedeceklerdir. Mevcut girişimleri sınırlamak, bunu önlemek için yapmanız gereken ilk şeydir. Limit Login Attemps gibi eklentiler peşpeşe yapılan giriş denemeleri bloke etmektedir.

Bilgisayar ve siteye güvenlik duvarı

Bilgisayarınıza bir güvenlik duvarı kurmanın yanı sıra, güvenlik araçlarını doğrudan WordPress web sitenize de yükleyebilirsiniz. Bu tür bir güvenlik duvarı, sitenizi virüslerden, kötü amaçlı yazılımlardan, korsan saldırılarından vb. korur. WordPress eklenti ekleme sayfanızda Firewall yazarak bir çok ücretli ve ücretsiz eklenti bulabilirsiniz.

Sitenize kullanıcı erişimini sınırlayın

Sitenize erişimi olan tek kullanıcı siz değilseniz, yeni kullanıcı hesapları oluştururken de dikkatli olun. Her şeyi kontrol altında tutmalı ve her türden erişimi, ihtiyaç duymayan kullanıcılarla sınırlandırmaya çalışmalısınız. Çok sayıda kullanıcınız varsa, işlevlerini ve izinlerini sınırlayabilirsiniz. Yalnızca işlerini yapmaları için gerekli olan işlevlere erişmeleri gerekir.

Admin URL’nizi yeniden adlandırın

Bir başka deyişle, admin yolunuzu değiştirin. Varsayılan olarak, gösterge tablonuzda oturum açmak için kullandığınız URL, sitenizin ana URL’sinden sonra eklenen /admin, /wp-login.php veya /wp-admin’dir. Örneğin, siteniz.com/wp-login.php. Bu URL’yi değiştirirseniz, başınızın belaya girme şansını azaltırsınız. Özel bir giriş URL’sini tahmin etmek bilgisayar korsanları için çok daha zordur. Bunu yapacak eklentileri de eklenti sayfanızda Change Admin Url yazarak bulabilirsiniz.

Güvenlik taramalarını kurun

Güvenlik taramaları, şüpheli herhangi bir şeyi aramak için tüm web sitenizde dolaşan özel yazılımlar / eklentiler tarafından yapılan bir şeydir. Bir şey bulunursa, hemen kaldırılır. Bu tarayıcılar, anti-virüsler gibi çalışır.

htaccess Güvenlik Ayarlarını Yapın

WordPress güvenlik ayarları yaparken htaccess dosyanıza WordPress sitenizin bazı dosyalarına erişimi engelleyin Bunun nasıl yapılacağı ayrıca aşağıdaki sayfamızda daha önce anlatılmıştır:

WordPress htaccess Güvenlik Ayarları (Yeni sekmede açılır, tıklayınız)

Güvenli sertifikası (SSL) kullanın

SSL (Güvenli Yuva Katmanı), yönetici verilerinizi şifreleyebileceğiniz harika bir stratejidir. SSL, kullanıcı tarayıcısı ile sunucu arasındaki veri aktarımını güvenli hale getirir. SSL sertifikası almanın iki yolu vardır:

a) RapidSSL gibi üçüncü taraf bir şirketten bir tane satın alın.
b) Barındırma sağlayıcınızdan bir tane isteyin. Bazen bu, bazı barındırma planlarında bir özellik olarak gelir. Hosting firmanıza bağlı olarak, ek ücret ödemeden bir tane almanız mümkündür.

Wp-config.php dosyanızı koruyun

Veritabanı kullanıcı adı ve şifresinin bulunduğu Wp-config.php dosyası, sitenizdeki en önemli, dolayısıyla savunmasız dosyalardan biridir. Tüm WordPress kurulumunuz hakkında çok önemli bilgileri ve verileri barındırır. Teknik olarak WordPress sitenizin özüdür. Başınıza kötü bir şey gelirse blogunuzu normal şekilde kullanamazsınız.

Yapabileceğiniz basit bir şey, o wp-config.php dosyasını alıp WordPress kök dizininizin bir adım üstüne taşımaktır. WordPress siteniz bu hareketten hiç etkilenmeyecek, ancak bilgisayar korsanları artık sitenizi bulamayacak. Bunu nasıl yapacağınızı Google’da bir arama yaparak hemen bulabilirsiniz.