10 Adımda WordPress Güvenliği Nasıl Sağlanır?

10 Adımda WordPress Güvenliği Nasıl Sağlanır?

Atakan Yıldırım tarafından paylaşıldı.

WordPress sitenizin güvenliğinden hiç anlamasanız bile bu konu hakkında bir şeyler duymuşsunuzdur. Bu duyduklarınız genellikle şifre ve dosya güvenliği hakkında olmuştur. Şimdi de yazımızda tam olarak “wordpress güvenliği nasıl sağlanır” konusuna değineceğim.

WordPress kullanan popüler sitelerin %73’ünün “savunmasız” olduğunu biliyor muydunuz? Bunun en büyük kanıtı, son 1 yıl içinde yapılan hacker saldırılarında 500.000’e yakın WordPress sitesi hacklenmesi olmuştur. Bu hacklenmeler sonucunda Google, WordPress kullanıcılarına bir e-posta atarak “sitelerinizi güncelleyin” demiştir.

Hepsi bu değil, en çok kullanılan 10 WordPress eklentisinden beşi güvenlik açığı ile dolu ve bu beş eklenti arasında en çok kullanılan bir de güvenlik eklentisi bulunuyor.

WordPress’in kurulumunun kolay ve nispeten güvenli olmasına rağmen; eklentileri, temaları ve eklenen özel kodları ile bir çok saldırıya davetiye çıkartıyor. Bu nedenle ne kadar çok eklenti o kadar yüksek hacklenme olasılığı demek oluyor.

Tüm bunların bir sorun olduğunu düşünürsek, nasıl çözeceğiniz hakkında 10 ipucu vereceğim.

1. WordPress Güncellemeleri ve Otomatik Güncelleme

WordPress’i mutlaka güncel tutun. Bu basit bir iş olsa da, site güvenliği üzerinde büyük bir etkiye sahiptir. Kontrol panelinize giriş yaptığınızda “WordPress Güncellemesi Mevcut” butonu çıktığında tıklayın ve hızlıca güncellemeyi yapın. Eğer yeni çıkmış bir WordPress sürümünün siteniz ile uyumlu olmadığını düşünüyorsanız, güncelleme öncesi sitenizi yedekleyin ve öyle güncelleme yapın. Önemli olan bunu sürekli ve düzenli olarak yapmanızdır. Önceki sürümde olan güvenlik açıkları, güncellenmemiş bir site için baş belasıdır. Bu yüzden eski sürümde bulunan siteniz kolaylıkla hacklenebilir.

Yok kardeşim ben uğraşamam diyorsanız, WordPress’in otomatik güncellemesini de devreye sokabilirsiniz. İşiniz çıkabilir ve birkaç ay sitenize giremeyebilirsiniz. Bırakın WordPress kendi kendine güncelleme yapsın. Ama bu mümkün mü?

Tabii ki mümkün. WordPress’in ana dizinine girin ve wp-config.php‘yi açın. Uygun bir yerine aşağıdaki kodu ekleyin.

# Tüm WordPress güncellemesini aktif et.
define( 'WP_AUTO_UPDATE_CORE', true );

Uyarıyorum, bazen güncellemeler sorun çıkartabilir. Hele ki 4’den fazla eklentiniz varsa bu ihtimal daha da yükselebilir. Bu yüzden dikkatli olun. Tüm eklenti ve temalarınızı otomatik olarak güncellemeye koyun. Bunu nasıl yapacağınızı eklenti ve tema otomatik güncelleme yazımda anlattım.

2. WordPress eklenti ve temaları otomatik güncelleme

Eklentileri ve temaları her zaman güncel tutun. Tıpkı WordPress’i düzenli olarak güncellediğiniz gibi eklentileri ve temaları da sık sık güncellemelisiniz. Sitenizde kurulu olan her eklenti ve tema bir açık demektir. Bu açıkları da sık sık kapatmanız gerekir. Bu yüzden tema ve eklenti güncellemeleri çok önemlidir.

Eğer tema ve eklentilerinizi aynı WordPress’in kendini otomatik güncellemesinde olduğu gibi otomatik olarak güncellemek istiyorsanız, aşağıdaki kodları temanızda bulunan functions.php dosyasına ekleyin.

Aşağıdaki kod eklentilerin otomatik olarak güncellenmesi içindir.

add_filter( 'auto_update_plugin', '__return_true' );

Temalarınızın otomatik güncellenmesini istiyorsanız aşağıdaki kodu da eklemeyi unutmayın.

add_filter( 'auto_update_theme', '__return_true' );

3. Temizlik ve Güvenlik

Kullanmadığınız eklentileri veya temaları silmeyi unutmayı . Sitenizde gereksiz tema ve eklenti mi var? Bunlar bir işe yaramıyor mu? O halde hiç durmayın, WordPress paneline girin ve gereksiz olan eklenti ve temayı silin. Bunu yapmak sitenizi açıklardan koruyacağı gibi hızlandıracaktır da.

Dosya izinlerini kontrol edin, değiştirin ve güvenliği sağlayın. FTP ile sitenizin ana dizinine erişin ve izinlere göz atın. 777 olan izinler varsa kesinlikle değiştirin. 777 olan dosya iznini, 755 veya 750 olarak değiştirebilirsiniz. WordPress .php uzantılı dosyaların izinlerini 640 veya 644 olarak ayarlarken, wp-config.php‘yi 600 olarak ayarlayın.

Kullanıcı adınızı da asla “admin” yapmayın. WordPress’i “admin” kullanıcı adı ile kurduysanız, PHPMyAdmin aracılığı ile kullanıcı adınızı değiştirin.

Ayrıca web üzerinden dosya düzenlemeyi engelleyebilirsiniz. Yani WordPress paneli üzerinden tema dosyalarınızın düzenlenmesini kapatabilir, şifrenizi bulan olsa bile virüs yazılımını sitenize sokmasını engelleyebilirsiniz. Aşağıdaki kodu da wp-config.php‘ye ekleyin.

define( 'DISALLOW_FILE_EDIT', true );

wp-config.php sitenizin beynidir. Buranın düzenlenebilir olması ve saldırı alması, sitenizin kolaylıkla hacklenebilmesi demektir.Şimdi hızlıca sitenizin dizinini FTP yolu ile açın ve .htaccess dosyasına aşağıdaki kodu ekleyerek wp-config.php‘yi korumaya başlayın.

<files wp-config.php>
order allow,deny
deny from all
</files>

Ayrıca listelemeyi kapatırsanız sitenizin dosyalarında index.php veya index.html olmasa bile dosyalarınızın içi başkaları tarafından görülemez. Örnek: siteadresi.com/wp-content/ gibi.

Bunu da yapabilmek için .htaccess dosyanıza aşağıda bulunan kodu ekleyin.

Options All -Indexes

4. Kullanıcılar ve Güvenlik

Şifrenizi sık sık değiştirin (mümkünse zor yapın). Rastgele harfler ve rakamlar şifre olarak iyi bir seçimdir. Eğer kendiniz iyi bir şifre oluşturamıyorsanız, Norton Password Generator ile sağlam bir şifre oluşturabilirsiniz.

Kullanıcılarınızın güçlü kullanıcı adı ve şifreleri oluşturduğundan emin olun. İyi bir kullanıcı adı ve şifre oluşturmanız faydalı olur, ama kullanıcılarınızın da buna dikkat etmesi daha faydalıdır. Bu yüzden sık sık üyelerinize şifrelerinin iyi olmasını ve sık sık değiştirmelerini söyleyin.

İki adımlı kimlik doğrulama ekleyin. Brute force saldırılarını önlemenin iyi bir yolu da iki adımlı kimlik doğrulamayı kurmaktır. Sitenize giriş yaparken aynı zamanda telefonunuza da onay kodu gönderilir. Gelen onay kodunu sitenize girerek admin bilgilerinize erişebilirsiniz. Bunun için önerim Google Authenticator eklentisi olacaktır.

5. Kendi Bilgisayarınızı Koruyun

Bilgisayarınıza bir güvenlik duvarı veya antivirüs kurun. Bunu yapmak oldukça kolaydır. Herhangi bir güvenlik duvarı veya antivirüs programı bilgisayarınızı korumaya yetecektir. Bilgisayarınız korunurken sitenizin hacklenme olasılığı elbette ki daha da düşecektir. Sizin için bazı öneriler sunacak olursam, güvenlik duvarı olarak ComodoNorton Internet Security, ve ZoneAlarm Free Firewal programlarını önerebilirim. Antivirüs programı olarak da piyasada bulunan herhangi bir antivirüs programını tercih edebilirsiniz.

6. Giriş Korumasını Aktifleştirin

WordPress giriş ekranını koruyun. Brute force saldırısı, hackerlar için en iyi yoldur. Onlara izin verirseniz, şifrenizi çözene kadar sitenize sık sık giriş yapmaya çalışacaklardır. Belli bir IP’den sık sık giriş yapmaya çalışan kişileri yasaklayan bazı eklentiler vardır. Eğer bir kişi sık sık giriş yapmaya çalışıyorsa o kişi engellenir ve böylece güvenlik sağlanmış olur. Login LockDown bu özelliği sunan bir eklentidir, ancak bazı eklentiler sitenizi tam olarak korurken brute force koruması özelliğini yanında taşır. Bunlara örnek iThemes Security ve Sucuri Security eklentileri verilebilir.

7. Erişebilirlik

Kullanıcıların erişebildiği yerleri kısıtlamanızda fayda var. Kullanıcılarınız sadece yorum yapmak için sitenize üye olacaksa (veya herhangi bir eklentiyi kulanmak için ise), admin paneli ile işi olmayacaktır. Admin paneline girişi engellemek iyi bir yöntem olacaktır.

Temanızın functions.php dosyasını açın ve en altına aşağıdaki kodları ekleyin. (Unutmayın, artık panele adminler giriş yapabilecektir, üyeler ise girmek istediğinde sitenize geri yönlendirilecektir.)

8. Orijinallik ve Güvenlik Eklentileri

Tema orijinalliğini kontrol edin ve güvenlik taramalarını yapın. Tıpkı bilgisayarınızda bulunan virüsleri kontrol etmek için yüklediğiniz antivirüsler gibi, WordPress’e de bir virüs tarayıcı eklenti kurun. Size vereceğim eklentiler, temanızda veya eklentinizde, veya barındırdığınız hosting hizmetinde bulunan virüslü dosyaları bulacak ve size bildirecektir. Size yardımcı olabilecek bazı eklentiler: Sucuri SitecheckCodeGuardTheme Authenticity Checker, ve AntiVirus.

9. Bilinen Kaynaklar

Yalnızca bilinen kaynaklardan eklentileri ve temaları indirin. Ücretsiz temalar aslında bir çok açık barındırır. Özellikle WordPress.org‘da bulunan temalar her ne kadar kontrol edilse bile, ara sıra sorun çıkartan temalar da olabiliyor. Size önerimiz, güvendiğiniz yerlerden tema ve eklenti satın alın. Ücretsiz dağıtılan temalar (özellikle warez ve çalıntı) büyük güvenlik açıkları taşır. Bu tarz açıklardan korunmak için ilk başta sitemiz DivCoder.com olmak üzere Themeforest ve Codecanyon gibi siteleri tercih etmenizi öneririm.

10. Child Tema Oluşturun

Sizin için faydalı olabilecek bir şey daha var, o da WordPress Child tema oluşturmaktır. Sitenize yeni özellikler kazandırmak isteyebilirsiniz, fakat biliyorsunuz ki bu özellikler functions.php ile kazandırılabiliyor. Eğer child tema oluşturmazsanız muhtemelen kodları normal temanızın function.php dosyasına eklemek zorunda kalacaksınız. Buraya eklenen özellikler güncelleme sonrası silinir.

Fakat Child Tema özelliği ile temanıza güncelleme yapsanız bile bu özellikleri kaybetmezsiniz.

10 adımda WordPress sitenizi koruduktan sonra bile tam olarak güvende olamazsınız. Sitenizi barındırdığınız yer de tüm bu önlemler kadar önemlidir. Lütfen bilinmeyen yerlerden hosting ve sunucu hizmeti almayın.

Bu yazıyı beğendiniz mi? Diğerlerine de göz atın.

  1. ayildirimact

    Güvenlik bir yana, WordPress sitemde sürekli spam botları beni rahatsız ediyor. Bu durumda ne yapmamı önerirsiniz? Trafik kotam bitiyor, sitem bu spam botları yüzünden yavaşlıyor. Sürekli siteme üye oluyorlar. Bunun çözümü var mı?