Son zamanlarda okuyucularımızdan biri bize WordPress sitelerinin neden saldırıya uğradığını sordu? WordPress sitenizin saldırıya uğradığını öğrenmek sinir bozucu. Bu yazıda, WordPress sitesinin saldırıya uğramasının en önemli nedenlerini paylaşacağız, böylece bu hataları önleyebilir ve sitenizi koruyabilirsiniz.
WordPress Neden Hackerlar Tarafından Hedefleniyor?
Birincisi, sadece WordPress değil. İnternetteki tüm web siteleri bilgisayar korsanlığı girişimlerine açıktır.
WordPress sitelerinin ortak bir hedef olmasının nedeni, WordPress’in dünyanın en popüler web sitesi kurucusu olmasıdır. Tüm web sitelerinin% 31’inden fazlasına güç sağlar, yani dünya çapında yüz milyonlarca web sitesi.
Bu muazzam popülerlik, bilgisayar korsanlarına daha az güvenli olan web sitelerini bulmanın kolay bir yolunu sunar, böylece bundan faydalanabilirler.
Bilgisayar korsanlarının bir web sitesini hacklemek için farklı nedenleri vardır. Bazıları, daha az güvenli sitelerden yararlanmayı yeni yeni öğrenen kişilerdir.
Bazı bilgisayar korsanlarının, kötü amaçlı yazılım dağıtmak, başka web sitelerine saldırmak için bir site kullanmak veya internette spam yapmak gibi kötü niyetli amaçları vardır.
Bununla birlikte, WordPress sitelerinin saldırıya uğramasının en önemli nedenlerinden bazılarına ve web sitenizin saldırıya uğramasını nasıl önleyeceğinize bir göz atalım.
1. Güvenli Olmayan Web Barındırma
Tüm web siteleri gibi, WordPress siteleri bir web sunucusunda barındırılır. Bazı barındırma şirketleri, barındırma platformlarını uygun şekilde güvenli hale getirmez. Bu, sunucularında barındırılan tüm web sitelerini bilgisayar korsanlığı girişimlerine karşı savunmasız hale getirir.
Bu, web siteniz için en iyi WordPress barındırma sağlayıcısını seçerek kolayca önlenebilir. Sitenizin güvenli bir platformda barındırılmasını sağlar. Uygun şekilde güvenli sunucular, WordPress sitelerine yapılan en yaygın saldırıların çoğunu engelleyebilir.
Ekstra önlem almak istiyorsanız, yönetilen bir WordPress barındırma sağlayıcısı kullanmanızı öneririz.
2. Zayıf Parolaları Kullanma
Şifreler, WordPress sitenizin anahtarlarıdır. Aşağıdaki hesapların her biri için güçlü ve benzersiz bir şifre kullandığınızdan emin olmanız gerekir, çünkü bunların tümü web sitenize bir bilgisayar korsanının tam erişimini sağlayabilir.
Tüm bu hesaplar şifrelerle korunmaktadır. Zayıf parolalar kullanmak, bilgisayar korsanlarının bazı temel bilgisayar korsanlığı araçlarını kullanarak parolaları kırmasını kolaylaştırır.
Her hesap için benzersiz ve güçlü parolalar kullanarak bunu kolayca önleyebilirsiniz. Tüm bu güçlü şifreleri nasıl yöneteceğinizi öğrenmek için WordPress’e yeni başlayanlar için şifreleri yönetmenin en iyi yolu hakkındaki kılavuzumuza bakın.
3. WordPress Yöneticisine Korumasız Erişim (wp-admin Dizini)
WordPress yönetici alanı, bir kullanıcıya WordPress sitenizde farklı eylemler gerçekleştirmek için erişim sağlar. Aynı zamanda bir WordPress sitesinin en sık saldırıya uğrayan alanıdır.
Korumasız bırakmak, bilgisayar korsanlarının web sitenizi kırmak için farklı yaklaşımlar denemesine olanak tanır. WordPress yönetici dizininize kimlik doğrulama katmanları ekleyerek işlerini zorlaştırabilirsiniz.
Öncelikle WordPress yönetici alanınızı parola ile korumalısınız. Bu, fazladan bir güvenlik katmanı ekler ve WordPress yöneticisine erişmeye çalışan herkesin fazladan bir şifre sağlaması gerekecektir.
Çok yazarlı veya çok kullanıcılı bir WordPress sitesi çalıştırıyorsanız, sitenizdeki tüm kullanıcılar için güçlü parolalar uygulayabilirsiniz. Bilgisayar korsanlarının WordPress yönetici alanınıza girmesini daha da zorlaştırmak için iki faktörlü kimlik doğrulama da ekleyebilirsiniz.
4. Yanlış Dosya İzinleri
Dosya izinleri, web sunucunuz tarafından kullanılan bir dizi kuraldır. Bu izinler, web sunucunuzun sitenizdeki dosyalara erişimi kontrol etmesine yardımcı olur. Yanlış dosya izinleri, bir bilgisayar korsanının bu dosyaları yazmasına ve değiştirmesine izin verebilir.
Tüm WordPress dosyalarınız dosya izni olarak 644 değerine sahip olmalıdır. WordPress sitenizdeki tüm klasörlerin dosya izni olarak 755 olmalıdır.
Bu dosya izinlerini nasıl uygulayacağınızı öğrenmek için WordPress’te resim yükleme sorununun nasıl çözüleceğine ilişkin kılavuzumuza bakın.
5. WordPress’i Güncellememek
Bazı WordPress kullanıcıları, WordPress sitelerini güncellemekten korkuyor. Bunu yapmanın web sitelerini bozacağından korkuyorlar.
WordPress’in her yeni sürümü, hataları ve güvenlik açıklarını düzeltir. WordPress’i güncellemiyorsanız, sitenizi kasıtlı olarak savunmasız bırakırsınız.
Bir güncellemenin web sitenizi bozacağından korkuyorsanız, bir güncelleme çalıştırmadan önce tam bir WordPress yedeklemesi oluşturabilirsiniz. Bu şekilde, bir şey işe yaramazsa, kolayca önceki sürüme geri dönebilirsiniz.
6. Eklentileri veya Temayı Güncellememe
Tıpkı temel WordPress yazılımı gibi, temanızı ve eklentilerinizi güncellemek de aynı derecede önemlidir. Eski bir eklenti veya tema kullanmak sitenizi savunmasız hale getirebilir.
Güvenlik kusurları ve hataları genellikle WordPress eklentileri ve temalarında keşfedilir. Genellikle, tema ve eklenti yazarları bunları düzeltmek için hızlıdır. Ancak, bir kullanıcı temasını veya eklentisini güncellemezse, bu konuda yapabilecekleri hiçbir şey yoktur.
WordPress temanızı ve eklentilerinizi güncel tuttuğunuzdan emin olun.
7. SFTP / SSH yerine Düz FTP kullanma
FTP hesapları, bir FTP istemcisi kullanarak web sunucunuza dosya yüklemek için kullanılır. Çoğu barındırma sağlayıcısı, farklı protokoller kullanan FTP bağlantılarını destekler. Düz FTP, SFTP veya SSH kullanarak bağlanabilirsiniz.
Sitenize düz FTP kullanarak bağlandığınızda, şifreniz sunucuya şifresiz olarak gönderilir. Casusluk yapılabilir ve kolayca çalınabilir. FTP kullanmak yerine her zaman SFTP veya SSH kullanmalısınız.
FTP istemcinizi değiştirmeniz gerekmez. Çoğu FTP istemcisi, web sitenize SFTP ve SSH üzerinden bağlanabilir. Web sitenize bağlanırken protokolü ‘SFTP – SSH’ olarak değiştirmeniz yeterlidir.
8. Yöneticiyi WordPress Kullanıcı Adı Olarak Kullanma
WordPress kullanıcı adınız olarak ‘admin’i kullanmanız önerilmez. Yönetici kullanıcı adınız admin ise, bunu hemen farklı bir kullanıcı adı ile değiştirmelisiniz.
Ayrıntılı talimatlar için WordPress kullanıcı adınızı nasıl değiştireceğinizle ilgili eğitimimize bakın.
9. Geçersiz Temalar ve Eklentiler
İnternette ücretli WordPress eklentilerini ve temalarını ücretsiz dağıtan birçok web sitesi var. Bazen sitenizdeki bu geçersiz eklentileri ve temaları kullanmak çok kolaydır.
Güvenilir olmayan kaynaklardan WordPress temaları ve eklentileri indirmek çok tehlikelidir. Yalnızca web sitenizin güvenliğini tehlikeye atmakla kalmaz, aynı zamanda hassas bilgileri çalmak için de kullanılabilirler.
Eklenti / tema geliştiricileri web sitesi veya resmi WordPress depoları gibi güvenilir kaynaklardan her zaman WordPress eklentilerini ve temalarını indirmelisiniz.
Premium bir eklenti veya tema satın almaya gücünüz yetmiyorsa veya satın almak istemiyorsanız, bu ürünler için her zaman ücretsiz alternatifler mevcuttur. Bu ücretsiz eklentiler, ücretli meslektaşları kadar iyi olmayabilir, ancak işi halledecek ve en önemlisi web sitenizi güvende tutacaklardır.
Web sitemizdeki fırsatlar bölümünde popüler WordPress ürünlerinin çoğu için indirimler de bulabilirsiniz.
10. WordPress Yapılandırmasının Güvenli Hale Getirilmemesi wp-config.php Dosyası
WordPress yapılandırma dosyası wp-config.php, WordPress veritabanı oturum açma bilgilerinizi içerir. Güvenliği ihlal edilirse, bir bilgisayar korsanının web sitenize tam erişimini sağlayabilecek bilgileri ortaya çıkaracaktır.
.Htaccess kullanarak wp-config dosyasına erişimi reddederek fazladan bir koruma katmanı ekleyebilirsiniz. Bu küçük kodu .htaccess dosyanıza eklemeniz yeterlidir.
<files wp-config.php> order allow,deny deny from all </files>
11. WordPress Tablo Önekini Değiştirmemek
Birçok uzman, varsayılan WordPress tablo önekini değiştirmenizi önerir. Varsayılan olarak, WordPress, veritabanınızda oluşturduğu tablolar için wp_’yi önek olarak kullanır. Kurulum sırasında değiştirme seçeneğiniz vardır.
Biraz daha karmaşık bir önek kullanmanız önerilir. Bu, bilgisayar korsanlarının veritabanı tablo adlarınızı tahmin etmesini zorlaştıracaktır.
Ayrıntılı talimatlar için, güvenliği artırmak için WordPress veritabanı önekinin nasıl değiştirileceğine ilişkin kılavuzumuza bakın.
Saldırıya Uğramış Bir WordPress Sitesini Temizleme
Saldırıya uğramış bir WordPress sitesini temizlemek gerçekten acı verici olabilir. Ancak yapılabilir.
Saldırıya uğramış bir WordPress sitesini temizlemeye başlamanıza yardımcı olacak bazı kaynaklar şunlardır:
Yeni başlayanlar için saldırıya uğramış WordPress sitenizi düzeltme kılavuzuBonus İpucu
Sağlam güvenlik için, tüm WordPress sitelerimizde Sucuri kullanıyoruz. Sucuri, kötü amaçlı yazılım algılama ve kaldırma hizmetlerinin yanı sıra web sitenizi en yaygın tehditlere karşı koruyacak bir web sitesi güvenlik duvarı sağlar.
Sucuri’nin 3 ayda 450.000 WordPress saldırısını engellememize nasıl yardımcı olduğunu görün
Bu makalenin, WordPress sitesinin saldırıya uğramasının en önemli nedenlerini öğrenmenize yardımcı olacağını umuyoruz. WordPress sitenizi korumak için nihai WordPress güvenlik kılavuzumuzu da görmek isteyebilirsiniz.
