WordPress Güvenliği için Pratik Bir Kılavuz

Web güvenliğindeki ihlallerin artmasıyla, web sitenizi davetsiz misafirlere karşı güvende tutmak için önleyici adımlar atmak çok önemlidir. Bir WordPress siteniz varsa okumaya devam edin. WordPress web sitenizi güvenli ve güvenli hale getirmek için kullanabileceğiniz birkaç ipucu ve araç sunacağız.


“Bu siteme gelemez!” Bu, bir bilgisayar korsanının bir sitenin güvenliğini ihlal ettiğini duyduğumuzda çoğumuzun sahip olduğu genel düşünce.

Saldırıya uğramış web sitesine sahip olan kişi, hayati bilgileri sızdırmak için çok yanlış bir şey yapmış olması gerektiğine inanıyor olabilir. Belki de kişi web sitesinin güvenliğini kabul etmek için korkunç bir hata yaptı..

Siteniz için çok popüler bir CMS ve WordPress gibi bir blog platformu kullanarak kendinizi güvende hissedebilirsiniz. Ancak, WordPress’in muazzam küresel popülaritesinin, bilgisayar korsanlarının bu platforma dayalı siteleri hedeflemesinin başlıca nedenlerinden biri olduğunu belirtmek için iyi yapacaksınız..

WordPress son derece kullanıcı dostu bir platformdur ve bu, korsanların ve spam göndericilerin saldırılarına karşı daha savunmasız hale getirir. En başından itibaren, barındırma ve Web tasarımı ile birlikte güvenliği web siteniz için en öncelikli hale getirmelisiniz.

İşte WordPress sitenizin güvenliğini artırmak için almanız gereken çeşitli önlemler hakkında derinlemesine bir çalışma. Ayrıca bir WordPress sitesini korumak için en iyi ipuçlarına, en iyi WordPress güvenlik eklentilerine ve test araçlarına bakacağız.

Hiçbir web sitesinin yüzde 100 güvenli olamayacağını ve burada paylaşılan bilgilerin bile sitenizi tamamen güvenli hale getirmeyeceğini bilmeniz gerekir. Nihai amaç, WordPress web sitenizi saldırıların çoğundan korumak için gerekli tüm önlemleri almanıza yardımcı olmaktır..

Web Güvenliği Temel Bilgileri

Geçmişte kötü amaçlı yazılım, kötü amaçlı kod ve hatta spam yorumları ile ilgili olarak herhangi bir güvenlik sorunuyla karşılaşmadığından, sitenizin gelecekte saldırıya uğramasının pek olası olmadığını düşünebilirsiniz..

Ancak, Web güvenliği hakkında hatırlanması gereken en temel şeylerden biri, aktif kalmanız ve reaktif olmamanızdır. Bu, birisinin sitenizi hackleyemeyeceğine ve güvenliğini artırmaya çalışmak yerine, en baştan bazı önlemleri almanız gerektiği anlamına gelir..

Ayrıca, WordPress güvenliği adımlarına geçmeden önce, bu güvenliğin yerinde olmasının önemini fark etmeniz gerekir..

Birçok kişi web sitenizi ziyaret ediyor. Bazıları sitenizin bültenlerine abone olabilir, bazıları da sitenizin forumlarına üye olabilir. Ziyaretçileriniz tarafından paylaşılan veriler, siteniz saldırıya uğradığında saldırılara karşı da savunmasızdır. Dolayısıyla, web sitenizin verilerinin güvenliğini sağlamak sizin sorumluluğunuzdadır ve bu da ziyaretçilerinizin verilerini koruyacaktır..

WordPress siteniz çok az trafik çekiyorsa, çevrimiçi olarak başka binlerce popüler web sitesi olduğunda bir bilgisayar korsanının sitenize saldırmasının bir nedeni olmadığını iddia edebilirsiniz. Bu durumda, muhtemelen bir bilgisayar korsanının web sitenizi ihlal etmeye çalışmasının nedenlerini anlamanın zamanı gelmiştir..

Bilgisayar korsanları, sitenize yalnızca birkaç ziyaretçi çekip çekmediğinden endişe etmez, çünkü sitenize eriştikten sonra spam e-posta göndermek için sunucunuzu kullanabilirler. Hizmetlerini, ürünlerini veya sitelerini pazarlamalarına yardımcı olmak için bunu yaparlar.
Saldırıya uğramış sunucunuzdan gelen bu tür spam etkinliklerinin artmasıyla IP adresinizin kara listeye alınma olasılığı büyük ölçüde artar. Alternatif olarak, bilgisayar korsanları IP adresleri zaten kara listeye alındığı için sunucunuzu kendi web sitesi etkinlikleri için kullanmayı tercih edebilir.

Bilgisayar korsanlığının nedenlerini anlamanın yanı sıra, bir bilgisayar korsanının veya spam göndericinin web sitenize saldırabileceği farklı yolları da anlamanız gerekir. Bu, sitenizin etkinliklerini, siteniz daha az olacak şekilde planlamanıza yardımcı olur. güvenlik tehditlerine karşı savunmasız.

Herhangi bir WordPress eklentisi veya teması aracılığıyla saldırabilirler. Aslında, bir güvenlik eklentisi ile ilgili sorunların bilgisayar korsanlarının eklentiyi kullanan bir web sitesine saldırmasını sağladığı durumlar vardır. Ayrıca, bilgisayar korsanları barındırma platformunuzdaki güvenlik açıklarından yararlanabilir ve veritabanınıza erişmek için herhangi bir URL parametresini kullanabilir.

Bu şekilde verilerinizi değiştirebilir, şifrenizi değiştirebilir ve hatta verileri silebilirler. WordPress yönetici paneline erişmek veya hatta barındırma kontrol paneline erişmek için zayıf bir şifre nedeniyle bile birçok saldırının gerçekleştiğini bilmek şaşırtıcıdır..

WordPress sitenizi güvenli hale getirme gereksinimi hakkında temel bir anlayış geliştirdikten sonra, web sitenizin güvenliğini artırma yollarını öğrenmek için daha fazla bilgi edinebilirsiniz..

WordPress Sitenizi Hackerlardan Korumak için 9 Güvenlik İpucu

WordPress Sitenizi Güncel Tutun

Yanlış bir güncelleme nedeniyle veri kaybedeceğinizden korktuğunuz için WordPress sitenizi güncellemeyi geciktirirseniz, derhal yedeklemeye başlamanız gerekir. Sitenizi yedekledikten sonra, kolayca devam edebilir ve WordPress sürümünüzü en son sürüme güncelleyebilirsiniz. WP, önceki sürümün güvenlik hatalarını kullanılabilir hale gelen her yeni sürümle düzelttiği için bunu yapmanız gerekir.

Ayrıca, WordPress bilgileri bu güncellemeler hakkında halkı bilgilendirir, bu da eski sitenizi daha da savunmasız hale getirir. Bu nedenle, WordPress yönetici kontrol panelinize giriş yaptıktan sonra düzenli olarak “Güncelleme Mevcut” seçeneğini kullanmayı alışkanlık haline getirin.

Kullandığınız Temaları ve Eklentileri Güncelleyin ve Kullanılmayanları Silin

Tutman gerek WordPress eklentileri ve temalar, genel WordPress sürümünü güncellemeniz için aynı nedenlerle güncellendi. Bir bilgisayar korsanı, web sitenizin yöneticisine erişmek için eski bir eklentiyi veya temayı (güvenlik açıklarından) kolayca değiştirebilir.

Bu nedenle, eklentinizin mevcut temanızla uyumluluğu konusunda endişelenmeyin, ancak her ikisinin de en son sürümlerini kullandığınızdan emin olmalısınız..

Benzer satırlarda, WordPress yönetici kontrol panelindeki eklenti bölümünüzün yalnızca kullandığınız eklentileri içerdiğinden emin olun. Kullanılmayanları silin, çünkü bu tür eklentileri güncelleme olasılığınız daha düşüktür ve bu da güvenlik saldırılarına karşı güvenlik açıklarını artırır.

Lütfen kullanılmayan eklentilerinizi “silmenin” ve yalnızca “devre dışı bırakmanın” önemli olduğunu unutmayın..

Bilinmeyen Kaynaklardan Tema veya Eklenti İndirmekten Kaçının

Bilinmeyen kaynaklardan gelseler bile birkaç premium eklentiyi veya temayı ücretsiz indirmeye cazip gelebilirsiniz.

Gelişmiş özellikleri ücretsiz olarak almaktan heyecan duyabilirsiniz, ancak bu özelliklerin getirebileceği güvenlik tehdidine dikkat etmeyi unutabilirsiniz. Bilinmeyen bir kaynaktan gelen bir eklenti, sitenize kötü amaçlı yazılım ekleyebilir veya kötü amaçlı kod ekleyebilir. Böyle büyük bir risk almak yerine, her zaman sadece iyi bilinen kaynaklardan tema ve eklenti indirmeniz önerilir.

Eklentilerinizin ve temalarınızın kodunu sırasıyla kontrol etmek için Plugin-Check veya Theme-Check kullanabilirsiniz. Kötü yazılmış bir kod, bilgisayar korsanlarının web sitenize erişmesini kolaylaştırabilir.

Kaynak hakkında tam olarak emin değilseniz ve kodun kalitesini nasıl kontrol edeceğinizi bilmiyorsanız, WordPress.org platformundan ücretsiz WordPress tasarımlarını tercih edebilirsiniz..

Güçlü bir WordPress Yönetici Kullanıcı Adınız ve Parolanız Var

WordPress platformunu kullanarak sitenizi oluşturmak için arka uç gösterge tablosuna erişebilirsiniz. Varsayılan olarak, WP, WordPress yüklemesi sırasında bu yönetici panosuna giriş yapmanız için bir kullanıcı adı (admin) ve güçlü bir parola oluşturur. Ancak, yüklemeden sonra WordPress yönetici kullanıcı adınızı size özel bir adla değiştirmeniz gerekir.

Bununla birlikte, şifreyi çevrenizdeki kişiler tarafından veya web sitesi ziyaretçileriniz tarafından bilinmeyen bir şeyle değiştirmeyi unutmayın. Örneğin, siteniz doğum tarihinizi veya eşinizin adını açıklıyorsa, şifrenizin de içermediğinden emin olun. Bu, herhangi bir hacker’ın şifrenizi tahmin etmesini zorlaştırır. Ayrıca, kontrol paneli hesabınız için güvenli bir şifre tutmalısınız.

Ayrıca, sitenizin güvenliğini daha da artırmak için WordPress giriş sayfanıza bir CAPTCHA eklemeyi deneyebilirsiniz. Bu, bir bot veya komut dosyasının kaba kuvvet saldırısı yoluyla web sitenize erişememesini sağlar.

İki Adımlı WordPress Güvenlik Kimlik Doğrulaması Ekleme

Düzenli olarak kaç şifre koruyacağım ve güncellemeye devam edeceğim? WordPress panelinize veya kontrol panelinize çeşitli giriş noktaları için güçlü parolaların korunmasıyla ilgili bu soruya sahip olabilirsiniz..

Peki, WordPress panelinize parola içermeyen bir girişin tadını çıkarabilirsiniz. Clef iki faktörlü kimlik doğrulama eklentisi. Bu eklenti ile, cep telefonunuzu bir PIN veya parmak izi ile birlikte WordPress yönetici kontrol paneline güvenli girişinizi doğrulamak için kullanabilirsiniz. Böylece, telefonunuz kaybolsa bile Clef hesap bilgileriniz güvende kalır.

Veya, Google Şifrematik iki adımlı bir kimlik doğrulaması sağlamak için. Bununla, şifrenizi kullanmanız ve telefonunuza SMS olarak gelen benzersiz oluşturulmuş bir giriş kodu girmeniz gerekir.

Güvenli Barındırma Şirketi Arayın

En son WordPress site sürümüne sahip olmak, bilgisayar korsanının sitenizi barındıran platformun eski PHP sürümünü kırıp kıramayacağı önemli değildir. Yani, son derece güvenilir bir web barındırma sağlayıcı barındırma hizmetlerini kullanmanız gerekir.

Ana makineniz en son MySQL sürümleri ve PHP sürümleri için desteği genişletebilmelidir. Ayrıca, zamanında saldırıları tanımlamak için etkili bir saldırı tespit sistemine sahip olmalı ve sitenize gelişmiş güvenlik için bir Web uygulaması güvenlik duvarı sunmalıdır..

Oturum Açma Denemesi Sayısını Kısıtla

Bilgisayar korsanları, WordPress panelinize giriş yapmak için kullandığınız şifreyi kırmak için kaba kuvvet saldırıları kullanır. Başarılı olana kadar sürekli olarak rastgele giriş denemeleri yaparlar.

Parolanız güçlü olsa bile, bu tür makul olmayan giriş denemelerinin belirlenmesine ve bu denemeleri yapan IP adreslerinin kısıtlanmasına yardımcı olur. Daha sonra bu tür IP adreslerini belirli bir süre için yasaklayabilirsiniz. Gibi eklentileri kullanarak yapabilirsiniz Giriş Kilidi veya Giriş Güvenliği Çözümü.

Web Sitenizin Sık Yedeklerini Zamanlayın

Birisi sitenizi hacklediğinde veya sitenizi tehlikeye attığında size yardımcı olduğu için bu önemli bir adımdır. Birisi sitenizi hacklediğinde, web sitenizin güvenliği ihlal edilmemiş önceki sürümüne kolayca geri dönebilirsiniz. Ayrıca yedekleme için otomatik çözümlerden herhangi birini kullanabilirsiniz. VaultPress veya backupbuddy.

WordPress Yönetici Alanınızı İyi Koruyun

Yönetici panonuza yalnızca belirli sayıda kişinin erişmesi gerekir. Ayrıca, mümkün olan her yerde, kontrol panelinize erişenlerle izin sınırlandırmayı deneyin. Bu, bilinmeyen kaynaklardan gelen saldırı tehdidini azaltmanıza yardımcı olacaktır.
Ayrıca, başkalarının WordPress / wp-admin / klasörüne veya wp-login.php dosyasına sınırlı erişimleri olduğundan veya erişimleri olmadığından emin olmanız gerekir. .Htaccess dosyasına aşağıdaki kod parçasını ekleyerek kendi IP adresinize erişime izin verebilirsiniz:

siparişi reddet, izin ver
Hepsinden reddet
Zz.zz.zz.zz sitesinden izin ver

Yukarıdaki kodda, “zz.zz.zz.zz” dosyasını farklı konumlar veya cihazlar için kendi IP adres grubunuzla değiştirmeniz yeterlidir..

Statik IP adresleriyle ilgilenmiyorsanız, bu yöntem sizin için çalışmayabilir. Bu gibi durumlarda, giriş denemelerini sınırlandırmak için yukarıda tartışılan eklentileri kullanabilirsiniz.

Sitenizdeki Kötü Amaçlı Kodu Algılamak için WordPress Güvenlik Eklentileri

Bir bilgisayar korsanı sitenize saldırırsa, hasarı sınırlamanıza veya hemen öğrenirseniz zamanında harekete geçmenize yardımcı olur. Bu yüzden, web sitenize eklenen kötü amaçlı kodu algılayabilen en iyi WordPress güvenlik eklentilerinden bazılarına bakalım.

WP AntiVirus Site Koruması

SiteGuarding.com tarafından sunulan bu popüler eklenti, WordPress sitenizde bulunan kötü amaçlı virüsleri veya kodları algılamaya ve kaldırmaya yardımcı olur. Arka kapı, reklam yazılımı, casus yazılım, kök setleri, solucanlar, Truva atları ve sahtekarlık araçları da dahil olmak üzere güvenlik tehditlerini hızlı bir şekilde tespit etmek için eklenti dosyaları, tema dosyaları ve tüm yüklemeler gibi öğeleri tarar..

Torrent sitelerinden temalar ve eklentiler indirmeye devam ediyorsanız (geliştiricilerin orijinal kopyalarını satın almak yerine), daha iyi güvenlik için bu tür bir eklentiye sahip olmanız gerekir.

Wordfence Güvenliği

Bu eklenti, sitenizi kötü amaçlı yazılımların yanı sıra potansiyel saldırılara karşı koruyarak kurumsal düzeyde ücretsiz güvenlik sunar. Sitenizde zaten bir virüs olup olmadığını kontrol eder ve sitenizin kaynak kodunun sunucu tarafında derinlemesine bir tarama yapar.
Eklentiler, çekirdekler ve temalar için kodu Resmi WordPress Deposu ile karşılaştırır. Web sitenizi yalnızca birçok tehdide karşı korumakla kalmaz, aynı zamanda web sitenizi eskisinden 50 kat daha hızlı hale getirir.

Wordfence ayrıca bilinen saldırganların gerçek zamanlı olarak engellenmesini sağlar. Bu, bir bilgisayar korsanı başka bir sitede bu eklentiye saldırırsa, bilgisayar korsanının sitenizden de otomatik olarak engelleneceği anlamına gelir.

Sitenize kötü amaçlı kod girme tehdidi varsa, tüm kötü amaçlı IP adresleri ağını engelleyebilir. Ayrıca güvenlik taramaları sırasında belirlenen sıyırıcılar, tarayıcılar ve botlar biçimindeki tehditlerin engellenmesine yardımcı olur. Ayrıca Truva atları, şüpheli kod, arka kapılar, kimlik avı URL’leri, kötü amaçlı yazılım, HeartBleed güvenlik açığı vb..

Premium kullanıcıysanız ülkeleri de engelleyebilirsiniz ve taramaları belirli dönemler için sık sık planlayabilirsiniz.

Exploit Tarayıcı

Exploit Tarayıcı, WordPress sitenizin dosyalarında ve veritabanında, yayınlar ve yorum tabloları da dahil olmak üzere şüpheli bir şey arar..

Ayrıca, yanıltıcı veya olağandışı dosya adları için kullandığınız eklentileri tarar. Herhangi bir kötü amaçlı kod veya dosya bulursa, bu eklenti site yöneticisine ayrıntılı bir rapor sağlar ve kötü amaçlı kodun kaldırılması için ona bırakır..

Sucuri Güvenliği

Bu, kötü amaçlı yazılım algılama, güvenlik sertleştirme ve güvenlik bütünlüğü izleme için kullanılan kapsamlı bir güvenlik araç takımıdır. Mevcut sitenizin güvenlik özellikleri için büyük bir destek.

Bu eklentinin bazı temel işlevleri arasında dosya bütünlüğü izleme, kara liste izleme, güvenlik etkinliği denetimi, uzaktan kötü amaçlı yazılım taraması, güvenlik sertleştirme ve bilgisayar korsanları sonrası gerçekleştirilen güvenlik eylemleri, güvenlik bildirimleri ve web sitesi güvenlik duvarı bulunur.

WordPress Sitenizi Gizli Kötü Amaçlı Yazılım için Tarama?

WordPress açık kaynaklı bir platform olduğundan, kötü amaçlı yazılım bulaşmalarına veya bilgisayar korsanlarının enjeksiyonlarına kolayca yatkındır. Bilgisayar korsanlarının sitenize kötü amaçlı yazılım enjekte etmesinin yaygın yollarından bazıları şunlardır:

  • Pharma Hacks (veritabanınızdaki veya dosyalarınızdaki spam enjeksiyonları)
  • Kimlik avı (e-posta adresleri, şifreler ve kullanıcı adları gibi hassas bilgileri edinme)
  • Kötü Amaçlı Yönlendirmeler (sitenizin ziyaretçilerini, indirilmiş virüslü dosya veya kötü amaçlı kod bulunan başka bir site sayfasına yönlendiriyor)
  • Dosya ve Veritabanı Enjeksiyonları (sitenizin veritabanına veya dosyalarına kötü amaçlı kod ekleme)
  • Arka kapılar (yönetici alanınıza veya FTP hesabınıza erişme)
  • Tüm bilgisayar korsanları, site sahibinin sitesini hacklediğini öğrenmediğinden emin olmak ister. Bu, bilgisayar korsanlarının daha uzun bir süre sürekli spam göndererek sitenin ziyaretçilerine bulaşmalarını sağlar.

Bu nedenle amacınız, sitenizde bilmediğiniz gizli kötü amaçlı yazılımları aramaya devam etmek ve virüslü dosyalardan veya klasörlerden kurtulmaktır.

Bunu, aşağıda listelenenler gibi popüler kötü amaçlı yazılım tarama WordPress eklentilerini kullanarak yapabilirsiniz:

Kullan Sucuri SiteKontrol Tarayıcı potansiyel kötü amaçlı yazılım taraması yapmak için. Sadece siteye gidin buraya ve web sitenizin URL’sini girin. Bu ücretsiz tarayıcı, kötü amaçlı yazılım, web sitesi hataları, kara listeye alma durumu ve güncel olmayan yazılımlar için sitenizi kapsamlı bir şekilde tarar..

Tek dezavantajı, bu taramayı ücretsiz sürümle manuel olarak yapmanız gerektiğidir. Premium planlara geçebilir ve kötü amaçlı yazılım tespit ettiğinde Twitter, e-posta veya RSS yoluyla uyarı alabilirsiniz..

Bir bilgisayar korsanı sunucunuzu uzun süre spam yapmak için kullandıysa, web sitenizi kara listelerden kaldırın. Premium hizmetler, kötü amaçlı yazılımların kaldırılmasına da yardımcı olur. Gelişmiş kötü amaçlı yazılım koruması için daha önce tartışılan Sucuri güvenlik eklentisini bile deneyebilirsiniz.

Kullan Kötü Amaçlı Yazılımdan Koruma Tarayıcısı kötü amaçlı yazılımları, virüsleri, arka kapıları ve benzer bilinen tehditleri aramak ve bunları otomatik olarak kaldırmak için. Bu eklentinin temel özelliklerinden biri, kaba kuvvet saldırılarını durdurmak için wp-login.php sayfanızı düzeltmektir..

Ayrıca, kötü amaçlı kod tanımlamak için yukarıda açıklanan WordPress güvenlik eklentilerinden herhangi birini kullanabilirsiniz.

Web Sitesi Güvenlik Test Araçları

Web sitenizi saldırılara karşı korumak için aşağıdaki gibi belirli test araçlarını kullanarak sitenizin güvenlik düzeyini sürekli olarak test etmeniz gerekir:

Wapiti web sitenizdeki güvenlik açıklarını (dosya açıklaması, veritabanı yerleştirme, siteler arası komut dosyası yerleştirme, zayıf .htaccess yapılandırmaları ve daha fazlası) tespit eder. Bu araç kara kutu tarama yaklaşımını kullanır.

Bu, uygulama kaynak kodunu incelemediği, ancak web sayfalarını veri enjekte edebileceği formlar ve komut dosyaları için kontrol ettiği anlamına gelir. Savunmasız olan komut dosyalarını tanımlamak için yükler enjekte eder. HTML, XML, Metin ve JSON gibi çeşitli biçimlerde raporlar sunar.

Google Nogotofail zayıf TLS veya SSL bağlantılarını ve çeşitli düzeneklerdeki hassas açık metin trafiğini tespit etmek ve düzeltmek için bir sitenin ağ trafiğini test eder. Bir VPN sunucusu veya proxy sunucusu veya hatta bir yönlendirici olarak da ayarlayabilirsiniz..

Adlı açık kaynaklı tarayıcıyı ve test cihazını deneyebilirsiniz Vega. Bu GUI tabanlı platform Java’dadır ve OS X, Windows ve Linux platformlarıyla çalışır. Taktik denetim yapmak için bir durdurma proxy’si ve hızlı testler yapmak için otomatik bir tarayıcıdan oluşur.

Bu araç, siteler arası komut dosyası oluşturma (XSS), SQL yerleştirme ve benzeri güvenlik açıklarını tanımlamak için kullanılabilir.
WordPress güvenliği ile ilgili bu ipuçlarının ve bilgilerin, sitenizin güvenliğini büyük ölçüde artırmanıza yardımcı olacağını umuyoruz.

WordPress web sitenizin güvenliğini önemli ölçüde artıran bazı eklentileri veya yöntemleri denediniz mi? Lütfen deneyiminizi paylaşın ve ağınız arasında web sitesi güvenliğinin önemi hakkında farkındalık yaratmaya devam edin.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map