İİnternet

WordPress Güvenliği Nasıl İyileştirilir: Web Sitenizi Korumak İçin En Etkili Yöntemler

0
Shares
0
0
0
0

WordPress, tüm web sitelerinin %43,2’sinin yazılımında çalıştığı en popüler içerik yönetim sistemidir (CMS). Ne yazık ki, popülerliği platformun güvenlik açıklarını suistimal eden her türlü siber suçluyu cezbetmektedir.

Bu, WordPress’in korkunç bir güvenlik sistemine sahip olduğu anlamına gelmez, çünkü kullanıcıların güvenlik farkındalığının olmaması nedeniyle de güvenlik ihlalleri meydana gelebilir. Bu nedenle, web siteniz bir hacker hedefi haline gelmeden önce önleyici güvenlik önlemlerini uygulamak en iyisidir.

WordPress güvenliğini iyileştirmek ve sitenizi çeşitli siber saldırılardan korumak için 22 yöntemi ele alacağız. Makale, WordPress eklentileriyle veya eklentisiz en iyi uygulamaları ve ipuçlarını içerecektir. Bazı yöntemler WordPress dışındaki diğer platformlar için de geçerlidir.

WordPress Sitenizi Nasıl Güvende Tutabilirsiniz?

1. Sitenizi güncel tutun.
2. Güvenli wp-admin giriş kimlik bilgilerini kullanın.
3. Yönetici sayfası için güvenli liste ve engelleme listesi ayarlayın.
4. Güvenilir bir WordPress teması kullanın.
5. Güvenli veri aktarımı için bir SSL sertifikası yükleyin.
6. Kullanılmayan WordPress temalarını ve eklentilerini kaldırın.
7. İki faktörlü kimlik doğrulamayı etkinleştirin.
8. Düzenli olarak yedeklemeler oluşturun. 9.
Başarısız giriş denemelerinin sayısını sınırlayın.
10. WordPress giriş sayfanızın URL’sini değiştirin.
11. Boşta olan kullanıcıların oturumunu otomatik olarak kapatın.
12. Kullanıcı etkinliğini izleyin.
13. Sitenizi düzenli olarak kötü amaçlı yazılımlara karşı tarayın.
14. PHP hata bildirim özelliğini devre dışı bırakın.
15. Daha güvenli bir web barındırıcısına geçin.
16. Dosya düzenlemeyi devre dışı bırakın.
17. PHP dosya yürütmesini devre dışı bırakmak ve wp-config.php dosyasını korumak için .htaccess kullanın.
18. Varsayılan WordPress veritabanı önekini değiştirin.
19. XML-RPC özelliğini devre dışı bırakın.
20. WordPress sürümünüzü gizleyin.
21. Diğer web sitelerinden gelen sıcak bağlantıları engelleyin.
22. Dosya ve klasör izinlerini yönetin.

Web Sitesi Güvenliğini İyileştirmek İçin En İyi Uygulamalar

Bu bölümde, gelişmiş teknik bilgi ve yüksek riskli yatırımlar gerektirmeyen altı genel WordPress güvenlik ipucunu ele alacağız. Yeni başlayan biri bile WordPress yazılımını güncellemek ve kullanılmayan temaları kaldırmak gibi bu basit görevleri yapabilir.

1. WordPress Sürümünü Düzenli Olarak Güncelleyin

WordPress, sitenizi siber tehditlerden korumak için performansı ve güvenliği artırmak amacıyla düzenli olarak yazılım güncellemeleri yayınlar.

WordPress sürümünüzü güncellemek, WordPress güvenliğini iyileştirmenin en basit yollarından biridir. Ancak, WordPress sitelerinin %35,3’ü daha eski bir WordPress sürümünde çalışıyor ve bu da onları daha savunmasız hale getiriyor.

En son WordPress sürümüne sahip olup olmadığınızı kontrol etmek için WordPress yönetici alanınıza giriş yapın ve sol menü panelindeki Dashboard → Updates’e gidin . Sürümünüzün güncel olmadığını gösteriyorsa, mümkün olan en kısa sürede güncellemenizi öneririz.

Ayrıca WordPress sitenize yüklenen temaları ve eklentileri güncellemenizi öneririz . Güncel olmayan temalar ve eklentiler yeni güncellenen WordPress çekirdek yazılımıyla çakışabilir, hatalara neden olabilir ve sitenizi güvenlik tehditlerine karşı savunmasız hale getirebilir.

Güncel olmayan yazılımlarda web sitenizin çalışmasını önlemek için güncellemeleri otomatikleştirin.

2. Güvenli WP-Admin Giriş Kimlik Bilgilerini Kullanın

Kullanıcıların yaptığı en yaygın hatalardan biri, “admin”, “administrator” veya “test” gibi tahmin edilmesi kolay kullanıcı adları kullanmaktır. Bu, sitenizi kaba kuvvet saldırılarına karşı daha yüksek riske sokar . Dahası, saldırganlar bu tür saldırıları güçlü parolaları olmayan WordPress sitelerini hedeflemek için de kullanırlar.

Bu nedenle kullanıcı adınızı ve şifrenizi benzersiz ve daha karmaşık hale getirmenizi öneririz.

Alternatif olarak, yeni bir kullanıcı adıyla yeni bir WordPress yönetici hesabı oluşturmak için şu adımları izleyin:

  1. WordPress Kontrol Panelinizden Kullanıcılar → Yeni Ekle’ye gidin.
  2. Yeni bir kullanıcı oluşturun ve ona Yönetici rolünü atayın. Bir parola ekleyin ve işiniz bittiğinde Yeni Kullanıcı Ekle düğmesine basın.

Şifrenize sayılar, semboller ve büyük ve küçük harfler ekleyin. Ayrıca, daha uzun şifrelerin kırılması çok daha zor olduğundan 12 karakterden fazlasını kullanmanızı öneririz.

Güçlü bir parola oluşturmada yardıma ihtiyacınız varsa, 1Password gibi çevrimiçi araçları kullanın . Ayrıca güçlü parolaları güvenli bir şekilde saklamak için parola yönetim hizmetlerini de kullanabilirsiniz. Bu şekilde, onları ezberlemeniz gerekmez.

Yeni bir WordPress yönetici kullanıcı adı oluşturduktan sonra eski yönetici kullanıcı adınızı silmeniz gerekecektir. Bunu yapmak için adımlar şunlardır:

  1. Yeni oluşturduğunuz WordPress kullanıcı bilgilerinizle giriş yapın.
  2. Kullanıcılar → Tüm Kullanıcılar’a gidin .
  3. Silmek istediğiniz eski yönetici hesabını seçin. Toplu Eylemler açılır menüsünü Sil olarak değiştirin ve Uygula’ya tıklayın .

Sitenizi güvende tutmak için, oturum açmadan önce ağı kontrol etmek de önemlidir. Bilmeden bir Hotspot Honeypot’a , yani bilgisayar korsanları tarafından işletilen bir ağa bağlanırsanız , operatörlere oturum açma kimlik bilgilerinizi sızdırma riskiyle karşı karşıya kalırsınız.

Bir okul kütüphanesinin WiFi’ı gibi halka açık ağlar bile göründüğü kadar güvenli olmayabilir. Bilgisayar korsanları bağlantınızı kesebilir ve oturum açma kimlik bilgileri de dahil olmak üzere şifrelenmemiş verileri çalabilir.

Bu nedenle, genel bir ağa bağlandığınızda bir VPN kullanmanızı öneririz . Bağlantıya bir şifreleme katmanı sağlayarak, verileri ele geçirmeyi zorlaştırır ve çevrimiçi etkinliklerinizi korur.

3. Yönetici Sayfası için Güvenli Liste ve Engelleme Listesi Ayarlayın

URL kilitlemeyi etkinleştirmek, oturum açma sayfanızı yetkisiz IP adreslerinden ve kaba kuvvet saldırılarından korur. Bunu yapmak için, Cloudflare veya Sucuri gibi WordPress için bir web uygulaması güvenlik duvarı (WAF) hizmetine ihtiyacınız vardır.

Cloudflare kullanarak bir bölge kilitleme kuralı yapılandırmak mümkündür . Kilitlemek istediğiniz URL’leri ve bu URL’lere erişime izin verilen IP aralığını belirtir. Belirtilen IP aralığının dışındaki hiç kimse bunlara erişemez.

Sucuri’nin URL yolu kara listesi adı verilen benzer bir özelliği vardır . İlk olarak, hiç kimsenin erişememesi için giriş sayfası URL’sini engelleme listesine eklersiniz. Ardından, giriş sayfasına erişmek için yetkili IP adreslerini güvenli listeye alırsınız.

Alternatif olarak, sitenizin .htaccess dosyasını yapılandırarak oturum açma sayfanıza erişimi kısıtlayın. Dosyaya erişmek için kök dizininize gidin.

Herhangi bir değişiklik yapmadan önce eski .htaccess dosyasını yedeklemenizi şiddetle tavsiye ederiz . Herhangi bir şey ters giderse sitenizi kolayca geri yükleyebilirsiniz.

Bu kuralı .htaccess’inize eklemek wp -login.php’nize erişimi yalnızca bir IP ile sınırlayacaktır . Böylece saldırganlar diğer konumlardan giriş sayfanıza erişemeyecektir.

Bu kural aşağıda gösterildiği gibi # BEGIN WordPress ve # END WordPress ifadelerinden sonra yerleştirilmelidir .

Bu kural, statik IP’niz olmasa bile geçerlidir, çünkü İSS’nizin ortak aralığına yapılan girişleri kısıtlayabilirsiniz.

Bu kuralı, /wp-admin gibi diğer kimliği doğrulanmış URL’leri kısıtlamak için de kullanabilirsiniz .

4. Güvenilir WordPress Temaları Kullanın

Nulled WordPress temaları, premium temaların yetkisiz kopyalarıdır. Ucuz görünebilirler, ancak birçok güvenlik sorunları vardır.

Çoğu geçersiz tema, orijinal temaların hacklenmiş sürümleridir. Hacker’lar kötü amaçlı yazılım ve spam bağlantıları gibi zararlı kodlar ekler. Bu temalar ayrıca WordPress sitenize daha fazla saldırı için arka kapılar oluşturabilir.

Nulled temalar yasadışı olduğundan, geliştiricilerden herhangi bir destek alamazsınız. Bir şeyler ters giderse, bunu kendiniz düzeltmeniz gerekir.

Güvende kalmak için resmi WordPress deposundan veya güvenilir geliştiricilerden temalar kullanın. Ayrıca ThemeForest ve Envato gibi saygın tema pazarlarında birçok premium tema bulabilirsiniz .

5. SSL Sertifikasını yükleyin

Güvenli Yuva Katmanı (SSL), web siteleri ve ziyaretçiler arasında paylaşılan verileri şifreleyerek saldırganlar tarafından veri hırsızlığına karşı güvenliği artırır. SSL sertifikasına sahip web siteleri HTTP yerine HTTPS protokolünü kullanır ve bu da onları tanımlamayı kolaylaştırır.

Çoğu barındırma şirketi planlarına SSL ekler. Örneğin Hostinger, tüm WordPress barındırma planlarında ücretsiz ömür boyu Let’s Encrypt SSL sertifikaları sağlar. Kullanıcılarımız SSL durumlarını hPanel panosundaki Web Siteleri → Güvenlik → SSL üzerinden kontrol edebilirler.

Bittiğinde, sitenizin URL’sini HTTP’den HTTPS’ye değiştirin. Bunu yapmak için Ayarlar → Genel’e gidin ve WordPress Adresi ve Site Adresi alanlarındaki URL’leri güncelleyin.

6. Kullanılmayan WordPress Eklentilerini ve Temalarını Kaldırın

Kullanılmayan eklentileri ve temaları sitede tutmak zararlı olabilir, özellikle de eklentiler ve temalar güncellenmemişse. Güncel olmayan eklentiler ve temalar, bilgisayar korsanlarının sitenize erişmek için bunları kullanabilmesi nedeniyle siber saldırı riskini artırır.

Kullanılmayan bir WordPress eklentisini silmek için şu adımları izleyin:

  1. Eklentiler → Yüklü Eklentiler’e gidin .
  2. Yüklü tüm eklentilerin listesini göreceksiniz. Eklentinin adının altında Sil’e tıklayın.

Silme butonunun yalnızca eklentiyi devre dışı bıraktıktan sonra kullanılabileceğini unutmayın.

Bu arada kullanılmayan bir temayı silmek için aşağıdaki adımları izleyin :

  1. WordPress yönetici panelinizden Görünüm → Temalar bölümüne gidin .
  2. Silmek istediğiniz temanın üzerine tıklayın.
  3. Tema ayrıntılarını gösteren bir açılır pencere görünecektir. Sağ alt köşedeki Sil düğmesine tıklayın.

WordPress Güvenlik Eklentileri Nasıl Kullanılır ?

WordPress güvenliğini artırmanın bir diğer yöntemi ise WordPress eklentilerini kullanmaktır.

Bu, web sitenizi korumak için kullanışlı bir yoldur; ancak tüm bu eklentileri aynı anda yüklememeye dikkat edin; çünkü çok fazla eklenti sitenizi yavaşlatabilir.

Öncelikle ihtiyaçlarınızı belirleyip web siteniz için en etkili eklentileri seçin.

1. WP-Admin için İki Faktörlü Kimlik Doğrulamayı Etkinleştirin

WordPress web sitenizdeki oturum açma sürecini güçlendirmek için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin . Bu kimlik doğrulama yöntemi, oturum açma sürecini tamamlamak için benzersiz bir kod girmenizi gerektirdiğinden, oturum açma sayfasına ikinci bir WordPress güvenliği katmanı ekler.

Kod yalnızca size kısa mesaj veya üçüncü taraf kimlik doğrulama uygulaması aracılığıyla sunulur.

WordPress sitenize 2FA uygulamak için Wordfence Login Security gibi bir giriş güvenliği eklentisi yükleyin. Ayrıca, mobil telefonunuza Google Authenticator gibi üçüncü taraf bir kimlik doğrulama uygulaması yüklemeniz gerekecektir .

Eklentiyi ve kimlik doğrulama uygulamasını yükledikten sonra iki faktörlü kimlik doğrulamayı etkinleştirmek için şu adımları izleyin:

  1. WordPress yönetici panelinizdeki eklenti sayfasına gidin. Wordfence Giriş Güvenliği kullanıyorsanız, sol menü panelindeki Giriş Güvenliği menüsüne gidin.
  2. İki Faktörlü Kimlik Doğrulama sekmesini açın.
  3. Mobil telefonunuzdaki uygulamayı kullanarak QR kodunu tarayın veya aktivasyon anahtarını girin.
  4. Cep telefonu uygulamanızda oluşturulan kodu, kurtarma kodları bölümünün altında bulunan kullanılabilir alana girin.
  5. Kurulumu tamamlamak için ETKİNLEŞTİR butonuna tıklayın .

Ayrıca kimlik doğrulama uygulamasının bulunduğu cihaza erişiminizi kaybetmeniz durumunda sağlanan kurtarma kodlarını indirin.

2. WordPress’i Düzenli Olarak Yedekleyin

WordPress sitenizin yedeğini düzenli olarak oluşturmak önemli bir koruma görevidir çünkü siber saldırılar veya veri merkezinde fiziksel hasar gibi olaylardan sonra sitenizi kurtarmanıza yardımcı olacaktır. Yedekleme dosyası, veritabanınız ve WordPress çekirdek dosyaları gibi tüm WordPress kurulum dosyalarınızı içermelidir.

WordPress ile bir sitenin yedeklenmesi All-in-One WP Migration gibi bir eklenti kullanılarak yapılabilir . Bu eklenti ile bir yedek dosyası oluşturmak için şu adımları izleyin:

  1. Eklentiyi kurun ve etkinleştirin.
  2. Sol menü panelinden  All-in-One WP Migration menüsüne gidin .
  3. Yedeklemeleri seçin .
  4. Yedekleme Oluştur’a tıklayın .
  5. Yedekleme oluşturulduktan sonra Yedeklemeler sayfasındaki listede görünecektir.
  6. Yedeklemeyi indirin ve depolamaya kaydedin. Bunu yapmak için All-in-One WP Migration → Export’a gidin.
  7. EXPORT TO açılır menüsüne tıklayın , File’ı seçin . Bu siteniz için bir yedek oluşturacaktır.
  8. İşlem tamamlandıktan sonra indirme bağlantısına tıklayın ve sitenizin yedeğini belirlenen güvenli depolama alanına kaydedin, tercihen web sitenizle aynı sunucuda olmayan bir yere. Bunun nedeni, web sunucunuzda depolanan yedeklerin herkese açık olması ve bu nedenle siber saldırılara karşı savunmasız olmasıdır.

Herhangi bir olay durumunda All-in-One WP Migration’ın içe aktarma aracını kullanarak WordPress sitenizi geri yükleyebilirsiniz.

3. Giriş Denemelerini Sınırlayın

WordPress kullanıcılarının sitede sınırsız sayıda oturum açma denemesi yapmasına izin verir. Ne yazık ki, bilgisayar korsanları doğru olanı bulana kadar çeşitli parola kombinasyonları kullanarak WordPress yönetici alanınıza kaba kuvvetle girebilirler.

Bu nedenle, web sitesinde bu tür saldırıları önlemek için oturum açma girişimlerini sınırlamalısınız. Başarısız girişimleri sınırlamak, sitenizdeki şüpheli etkinlikleri izlemenize de yardımcı olur.

Çoğu kullanıcı yalnızca tek bir denemeye veya birkaç başarısız denemeye ihtiyaç duyar, bu nedenle deneme sınırına ulaşan şüpheli IP adreslerinden şüphelenmelisiniz.

WordPress güvenliğini artırmak için oturum açma girişimlerini sınırlamanın bir yolu eklenti kullanmaktır. Kullanılabilir birçok harika seçenek vardır, örneğin:

  • Giriş Girişimlerini Yeniden Yükleme Sınırı – belirli IP adresleri için başarısız girişim sayısını yapılandırır, kullanıcıları güvenli listeye ekler veya tamamen engeller ve web sitesi kullanıcılarını kalan kilitlenme süresi hakkında bilgilendirir.
  • Loginizer – 2FA, reCAPTCHA ve giriş zorluk soruları gibi giriş güvenliği özellikleri sunar .
  • BestWebSoft’un Denemeleri Sınırla özelliği – oturum açma denemesi sınırına ulaşan IP adreslerini otomatik olarak engeller ve bunları reddetme listesine ekler.

Bu WordPress güvenlik önlemini uygulamanın risklerinden biri, meşru bir kullanıcının WordPress yönetici alanından kilitlenmesidir. Ancak, kilitlenen WordPress hesaplarını kurtarmanın birçok yolu olduğu için bu konuda endişelenmemelisiniz.

4. WordPress Giriş Sayfası URL’sini değiştirin

Web sitenizi kaba kuvvet saldırılarından korumak için bir adım daha ileri gitmek istiyorsanız, giriş sayfasının URL’sini değiştirmeyi düşünebilirsiniz.

Tüm WordPress web sitelerinin aynı varsayılan giriş URL’si vardır – yourdomain.com/wp-admin . Varsayılan giriş URL’sini kullanmak, bilgisayar korsanlarının giriş sayfanızı hedeflemesini kolaylaştırır.

WPS Hide Login ve Change wp-admin Login gibi eklentiler özel oturum açma URL ayarlarını etkinleştirir.

WPS Hide Login eklentisini kullanıyorsanız, WordPress giriş sayfanızın URL’sini değiştirmek için aşağıdaki adımları izleyin:

  1. Kontrol panelinizde Ayarlar → WPS Girişi Gizle bölümüne gidin.
  2. Giriş URL alanını özel giriş URL’nizle doldurun.
  3. İşlemi tamamlamak için Değişiklikleri Kaydet butonuna tıklayın .

5. Boşta Olan Kullanıcıları Otomatik Olarak Çıkış Yap

Birçok kullanıcı web sitesinden çıkış yapmayı unutur ve oturumlarını çalışır halde bırakır. Bu nedenle, aynı cihazı kullanacak başka birinin kullanıcı hesaplarına erişmesine ve potansiyel olarak gizli verileri kullanmasına izin verir. Bu özellikle internet kafelerde veya halka açık kütüphanelerde halka açık bilgisayarları kullanan kullanıcılar için geçerlidir.

Bu nedenle, WordPress web sitenizi etkin olmayan kullanıcıların otomatik olarak oturumunu kapatacak şekilde yapılandırmak çok önemlidir. Çoğu bankacılık sitesi, yetkisiz ziyaretçilerin sitelerine erişmesini önlemek ve müşterilerinin verilerinin güvende olduğundan emin olmak için bu tekniği kullanır.

Inactive Logout gibi bir WordPress güvenlik eklentisi kullanmak, boşta kalan kullanıcı hesaplarından otomatik olarak çıkış yapmanın en kolay yollarından biridir. Boşta kalan kullanıcıları sonlandırmanın yanı sıra, bu eklenti boşta kalan kullanıcılara web sitesi oturumlarının yakında sona ereceği konusunda özel bir mesaj da gönderebilir.

6. Kullanıcı Etkinliğini İzleyin

Yönetici alanınızdaki aktiviteleri izleyerek web sitenizi tehlikeye atan istenmeyen veya kötü niyetli eylemleri tespit edin.

Bu yöntemi, WordPress web sitelerine birden fazla kullanıcı veya yazar erişenlere öneriyoruz. Bunun nedeni, kullanıcıların temaları değiştirmek veya eklentileri yapılandırmak gibi yapmamaları gereken ayarları değiştirebilmeleridir.

Faaliyetlerini izleyerek, istenmeyen değişikliklerden kimin sorumlu olduğunu ve yetkisiz bir kişinin WordPress sitenize girip girmediğini bileceksiniz.

Kullanıcı etkinliğini takip etmenin en kolay yolu, aşağıdaki gibi bir WordPress eklentisi kullanmaktır:

  • WP Activity Log – gönderiler, sayfalar, temalar ve eklentiler dahil olmak üzere birden fazla web sitesi alanındaki değişiklikleri izler. Ayrıca yeni eklenen dosyaları, silinen dosyaları ve herhangi bir dosyadaki değişiklikleri kaydeder.
  • Etkinlik Günlüğü – WordPress yönetici panelinizdeki çeşitli etkinlikleri izler ve e-posta bildirimleri için kurallar belirlemenize olanak tanır.
  • Basit Geçmiş – WordPress yönetim panelinde etkinlik günlüğünü kaydetmenin yanı sıra, Jetpack , WP Crontrol ve Beaver Builder gibi birden fazla üçüncü taraf eklentisini destekler ve bunlarla ilgili tüm etkinlikleri kaydeder.

7. Kötü Amaçlı Yazılımları Kontrol Edin

AV-TEST Enstitüsü her gün 450.000’den fazla yeni kötü amaçlı yazılım ve potansiyel olarak istenmeyen uygulama (PUA) kaydeder. Bazı kötü amaçlı yazılımların polimorfik bir yapısı bile vardır, yani güvenlik tespitinden kaçınmak için kendilerini değiştirebilirler.

Bu nedenle, saldırganlar sürekli yeni türde tehditler geliştirdiğinden, WordPress sitenizi kötü amaçlı yazılımlara karşı düzenli olarak taramanız hayati önem taşır .

Neyse ki, birçok harika WordPress kötü amaçlı yazılım tarayıcı eklentisi kötü amaçlı yazılımları kontrol edebilir ve WordPress güvenliğini artırabilir.

Eklenti Kullanmadan WordPress Nasıl Güvenli Hale Getirilir ?

Eklentiler kullanmadan web sitenizin güvenliğini artırmak da mümkündür. Bu görevlerin çoğu sitenizin kodunu düzenlemeyi içerecektir, ancak endişelenmenize gerek yok – bunu adım adım nasıl yapacağınızı göstereceğiz.

1. PHP Hata Bildirimini Devre Dışı Bırakın

PHP hata raporlaması, web sitenizin yolları ve dosya yapısı hakkında tam bilgileri görüntüler ve bu da onu sitenizin PHP betiklerini izlemek için harika bir özellik haline getirir.

Ancak web sitenizin açıklarını arka planda göstermek ciddi bir WordPress güvenlik açığıdır.

Örneğin, hata mesajının göründüğü belirli bir eklenti görüntüleniyorsa, siber suçlular bu eklentinin güvenlik açıklarını kullanabilir.

PHP hata raporlamasını devre dışı bırakmanın iki yolu vardır: PHP dosyası veya barındırma hesabınızın kontrol paneli aracılığıyla.

PHP Dosyasını Değiştirme

PHP dosyanızı değiştirmek için şu adımları izleyin:

  1. Sitenizin wp-config.php dosyasını FileZilla gibi bir FTP istemcisi veya barındırma sağlayıcınızın Dosya Yöneticisi’ni kullanarak açın .
  2. Aşağıdaki kod parçasını dosyaya ekleyin. Bunu herhangi bir PHP yönergesinden önce eklediğinizden emin olun.
  3. Değişikliği uygulamak için Kaydet’e tıklayın .
    hata_bildirimi ( 0 ) ;
    @ini_set ( ‘görüntüleme_hataları’ , 0 ) ;

Kontrol Panelini Kullanarak PHP Ayarlarını Değiştirme

Kod yazmak istemiyorsanız, barındırma sağlayıcınızın kontrol paneli üzerinden PHP hata raporlamasını devre dışı bırakın.

2. Daha Güvenli Bir Web Barındırıcısına Geçiş Yapın

Barındırma ortamı siber saldırılara açıksa birden fazla WordPress güvenlik önlemi çok önemli olmayacaktır. Barındırma sağlayıcınız sunucularında tüm web sitesi verileriniz ve dosyalarınız için güvenli bir alan garanti etmelidir, bu nedenle mükemmel bir güvenlik seviyesine sahip olanı seçmek kritik önem taşır.

Mevcut web barındırma şirketinizin yeterince güvenli olmadığını düşünüyorsanız, WordPress web sitenizi yeni bir barındırma platformuna taşımanın zamanı geldi. Güvenli bir web barındırıcısı ararken göz önünde bulundurmanız gerekenler şunlardır:

  • Web barındırma türü – paylaşımlı ve WordPress barındırma türleri, kaynak paylaşımı nedeniyle diğer barındırma türlerine göre siber saldırılara karşı daha savunmasız olma eğilimindedir. Kaynaklarınızı izole etmek için VPS hizmetleri veya özel barındırma da sunan bir web barındırıcısı seçin.
  • Güvenlik – İyi bir barındırma sağlayıcısı, şüpheli etkinliklere karşı ağını izler ve sunucu yazılımını ve donanımını periyodik olarak günceller. Ayrıca, her türlü siber saldırıya karşı sunucu güvenliğine ve korumasına sahip olmaları gerekir.
  • Özellikler – barındırma türünden bağımsız olarak, kötü amaçlı yazılımları önlemek için otomatik yedeklemeler ve güvenlik araçlarına sahip olmak, WordPress sitenizi korumak için olmazsa olmaz bir özelliktir. En kötü senaryoda, tehlikeye atılmış bir web sitesini geri yüklemek için kullanabileceksiniz.
  • Destek – 7/24 destek ekibi ve mükemmel teknik bilgisi olan bir barındırma şirketi seçmek esastır. Verilerinizi korumanıza ve oluşabilecek herhangi bir teknik ve güvenlik sorunuyla başa çıkmanıza yardımcı olacaklardır.

3. Dosya Düzenlemeyi Kapatın

WordPress, WordPress PHP dosyalarını düzenlemeyi kolaylaştıran yerleşik bir dosya düzenleyicisine sahiptir. Ancak, bu özellik, bilgisayar korsanları bunun kontrolünü ele geçirirse bir sorun haline gelebilir.

Bu nedenle bazı WordPress kullanıcıları bu özelliği devre dışı bırakmayı tercih eder. Dosya düzenlemeyi devre dışı bırakmak için wp-config.php dosyasına aşağıdaki kod satırını ekleyin:

define ( ‘DISALLOW_FILE_EDIT’ , doğru ) ;

Bu özelliği WordPress sitenizde tekrar etkinleştirmek istiyorsanız, bir FTP istemcisi veya barındırma sağlayıcınızın Dosya Yöneticisi’ni kullanarak wp-config.php dosyasındaki önceki kodu kaldırmanız yeterlidir.

4. .htaccess Dosyasını Kullanarak Erişimi Kısıtlayın

.htaccess dosyası WordPress bağlantılarının düzgün çalışmasını sağlar. Bu dosya doğru kuralları bildirmezse, sitenizde birçok 404 Bulunamadı hatası alırsınız .

Ayrıca, .htaccess belirli IP’lerden erişimi engelleyebilir, erişimi yalnızca bir IP ile sınırlayabilir ve belirli klasörlerde PHP yürütmeyi devre dışı bırakabilir. Aşağıda , WordPress güvenliğinizi güçlendirmek için .htaccess’i nasıl kullanacağınızı göstereceğiz.

Belirli Klasörlerde PHP Çalıştırmayı Devre Dışı Bırakma

Hacker’lar genellikle arka kapı komut dosyalarını Yüklemeler klasörüne yükler . Varsayılan olarak, bu klasör yalnızca yüklenen medya dosyalarını barındırır, bu nedenle herhangi bir PHP dosyası içermemelidir.

WordPress sitenizi güvenli hale getirmek için, /wp-content/uploads/ dizininde şu kuralları içeren yeni bir .htaccess dosyası oluşturarak klasördeki PHP yürütmesini devre dışı bırakın :

< Dosyalar *.php >
her şeyden reddetmek
< /Dosyalar >

wp-config.php Dosyasını Koruma

Kök dizindeki wp-config.php dosyası WordPress çekirdek ayarlarını ve MySQL veritabanı ayrıntılarını içerir. Bu nedenle, dosya genellikle bir hacker’ın birincil hedefidir.

Bu dosyayı koruyun ve WordPress’i güvenli tutmak için şu .htaccess kurallarını uygulayın :

< wp-config.php dosyaları >
emir ver, reddet
her şeyden reddetmek
< /dosyalar >

5. Varsayılan WordPress Veritabanı Önekini Değiştirin

WordPress veritabanı, sitenizin çalışması için gereken tüm önemli bilgileri tutar ve depolar. Bu nedenle, bilgisayar korsanları genellikle SQL enjeksiyon saldırılarıyla veritabanını hedef alır. Bu teknik, veritabanına zararlı kod enjekte eder ve WordPress güvenlik önlemlerini atlatıp veritabanı içeriğini alabilir.

Siber saldırıların %50’sinden fazlası SQL enjeksiyonundan oluşur ve bu onu en büyük tehditlerden biri yapar. Bilgisayar korsanları bu saldırıyı gerçekleştirir çünkü birçok kullanıcı varsayılan veritabanı öneki wp_’yi değiştirmeyi unutur .

WordPress veritabanınızı SQL enjeksiyon saldırılarından korumak için uygulayabileceğiniz iki yönteme bir göz atalım.

Değişen Tablo Öneki

  • Panelinizden Dosya Yöneticisi’ne gidin ve wp-config.php dosyasını açın. Alternatif olarak, dosyaya erişmek için bir FTP istemcisi kullanın.
  • Kod içerisinde $table_prefix değerini arayın.
  • Kod içindeki $table_prefix değerini gösteren ekran görüntüsü
  • Varsayılan WordPress veritabanı öneki wp_’yi yenisiyle değiştirin. Web sitesi için benzersiz bir önek oluşturmak için harf ve rakamların bir kombinasyonunu kullanın.
  • Değiştirilmiş bir $table_prefix değerini gösteren ekran görüntüsü
  • Kaydet ve Kapat’a tıklayın .
  • Panele geri dönerek , Veritabanları bölümüne gidin ve phpMyAdmin’e tıklayın. Ardından, phpMyAdmin’e girerek sitenin veritabanını açın .
  • Birden fazla veritabanınız varsa, veritabanının adını wp-config.php dosyasında bulun. Aşağıdaki kod bloğunu arayın:
    // ** MySQL ayarları – Bu bilgiyi web barındırıcınızdan alabilirsiniz ** //
    /** WordPress için veritabanının adı */
    ( ‘VT_ADI’ , ‘MySQL Veritabanı’ ) tanımla ;
  • Sayfanın en altına gidin ve Tümünü işaretle butonuna tıklayın.
  • Seçili olarak: açılır menüsüne tıklayın ve Tablo önekini değiştir seçeneğini belirleyin.
  • Mevcut öneki ve yeni öneki girin ve Devam’ı seçin .

Tablolardaki Önek Değerlerinin Güncellenmesi

Sitenize yüklenen WordPress eklentilerinin sayısına bağlı olarak, veritabanındaki bazı değerleri manuel olarak güncellemeniz gerekebilir. Bunu, wp_ önekine sahip değerlere sahip olma olasılığı yüksek tablolarda ayrı SQL sorguları çalıştırarak yapın ; bunlara seçenekler ve usermeta tabloları dahildir.

Aşağıdaki kodu kullanarak aşağıdaki öneki içeren tüm değerleri filtreleyebilirsiniz:

SELECT * FROM `wp_1secure1_tablename` WHERE `alan_adı` LIKE ‘%wp_%’

wp_1secure1_tablename sorguyu gerçekleştirmek istediğiniz tablo adını içerir. Bu arada, field_name wp_ önekine sahip değerlerin büyük olasılıkla göründüğü alan/sütunun adını temsil eder.

6. XML-RPC’yi devre dışı bırakın

XML-RPC, WordPress’te mobil cihazlar üzerinden içeriklere erişim ve yayınlama, geri izleme ve pingback’leri etkinleştirme ve WordPress sitenizde Jetpack eklentisini kullanma özelliğidir .

Ancak XML-RPC’nin, bilgisayar korsanlarının istismar edebileceği bazı zayıflıkları vardır. Bu özellik, güvenlik yazılımı tarafından tespit edilmeden birden fazla oturum açma girişimi yapmalarına olanak tanır ve sitenizi kaba kuvvet saldırılarına karşı savunmasız hale getirir.

Hackerlar ayrıca DDoS saldırıları gerçekleştirmek için XML-RPC pingback işlevinden de yararlanabilir. Saldırganların aynı anda binlerce web sitesine pingback göndermesine olanak tanır ve bu da hedeflenen siteleri çökertebilir.

XML-RPC’nin etkin olup olmadığını belirlemek için sitenizi bir XML-RPC doğrulama hizmeti aracılığıyla çalıştırın ve bir başarı mesajı alıp almadığınızı görün. Bu, XML-RPC işlevinin çalıştığı anlamına gelir.

XML-RPC fonksiyonunu eklenti kullanarak veya manuel olarak devre dışı bırakabilirsiniz.

Bir Eklenti Kullanarak XML-RPC’yi Devre Dışı Bırakma

Bir eklenti kullanmak, web sitenizdeki XML-RPC özelliğini engellemenin daha hızlı ve daha basit yoludur. XML-RPC Pingback’i Devre Dışı Bırak eklentisini kullanmanızı öneririz. Bu, XML-RPC işlevlerinden bazılarını otomatik olarak kapatacak ve bilgisayar korsanlarının bu WordPress güvenlik açığını kullanarak saldırılar gerçekleştirmesini önleyecektir.

7. WordPress Sürümünü Gizle

Hacker’lar, hangi WordPress sürümünü kullandığınızı bilirlerse sitenize daha kolay girebilirler. Özellikle eski bir WordPress sürümüyse, sitenize saldırmak için o sürümün güvenlik açıklarını kullanabilirler.

Neyse ki, WordPress Tema Düzenleyicisi’ni kullanarak sitenizdeki bilgileri gizlemek mümkündür. Bunu yapmak için adımları izleyin:

  1. WordPress kontrol panelinizden Görünüm → Tema Düzenleyicisi’ne gidin .
  2. Mevcut temanızı seçin ve functions.php dosyasını seçin.
  3. Başlıktan ve RSS beslemelerinden sürüm numarasını kaldırmak için aşağıdaki kodu functions.php dosyasına yapıştırın:
  4. WordPress generator meta etiketi ayrıca WordPress sürüm numarasını da görüntüler. Bundan kurtulmak için şu satırı ekleyin:
  5. Değişiklikleri kaydetmek için Dosyayı Güncelle’ye tıklayın .

8. Sıcak Bağlantıyı Engelle

otlinking, birisinin web sitenizin varlığını, genellikle bir resmi, kendi web sitesinde görüntülemesi durumunda kullanılan terimdir. İnsanlar içeriğinize hotlink’ler içeren bir web sitesini her ziyaret ettiğinde, web sunucunuzun kaynaklarını kullanır ve sitenizi yavaşlatır.

İçeriğinizin sıcak bağlantılı olup olmadığını görmek için Google Görseller’e aşağıdaki sorguyu yazın ve yourwebsite.com ifadesini alan adınızla değiştirin :

inurl:websiteniz.com -site:websiteniz.com

Hotlinking’i engellemek için bir FTP istemcisi, bir WordPress güvenlik eklentisi, bir CDN kullanın veya kontrol panelinin ayarlarını düzenleyin.

9. Dosya İzinlerini Yönetin

Hangi kullanıcıların WordPress dosyalarınızı veya klasörlerinizi okuyabileceğini, yazabileceğini veya çalıştırabileceğini belirleyerek, bilgisayar korsanlarının yönetici hesabınıza erişmesini önleyin.

Dosya ve klasör izinlerini yönetmek için web barındırıcınızın Dosya Yöneticisini, FTP istemcisini veya komut satırını kullanabilirsiniz .

Genellikle izinler varsayılan olarak ayarlanır ve bu farklı dosyalara veya klasörlere bağlı olarak değişebilir. Özellikle wp-admin klasörü ve wp-config dosyası için yalnızca Sahibinin yazmasına izin verdiğinizden emin olun .

Kaynak: Hostinger

0 Shares:
Share 0
Tweet 0
Pin it 0

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

You May Also Like
İİnternet

PR’li Düşmüş Net Domain Listesi

  • Şubat 3, 2014
Pagerank'lı olarak düşmüş net uzantılı domain listesi aşağıda listelenmiştir. Domainler tek tek kontrol edilmediği için aralarında kayıt edilmiş ya da pagerank değerini kaybetmiş domainlerin bulunma ihtimali vardır. Bunu dikkate alırsanız iyi olur.