WordPress güvenliği, her web sitesi sahibi için çok önemli bir konudur. Google, kötü amaçlı yazılımlar için her gün yaklaşık 10.000’den fazla web sitesini ve her hafta kimlik avı için yaklaşık 50.000 web sitesini kara listeye alır.
Web siteniz konusunda ciddiyseniz, WordPress güvenliği en iyi uygulamalarına dikkat etmeniz gerekir. Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olacak en iyi WordPress güvenlik ipuçlarını paylaşacağız.
WordPress çekirdek yazılımı çok güvenli olmasına ve yüzlerce geliştirici tarafından düzenli olarak denetlenmesine rağmen, sitenizi güvende tutmak için yapılabilecek çok şey vardır.
WPBeginner’da, güvenliğin sadece risklerin ortadan kaldırılması olmadığına inanıyoruz. Aynı zamanda risk azaltma ile ilgilidir. Bir web sitesi sahibi olarak, WordPress güvenliğinizi iyileştirmek için yapabileceğiniz çok şey var (teknoloji meraklısı olmasanız bile).
Web sitenizi güvenlik açıklarına karşı korumak için uygulayabileceğiniz bir dizi uygulanabilir adımımız var.
İşinizi kolaylaştırmak için, nihai WordPress güvenlik kılavuzumuzda kolayca gezinmenize yardımcı olacak bir içerik tablosu oluşturduk.
Web Sitesi Güvenliği Neden Önemlidir?
Saldırıya uğramış bir WordPress sitesi, işletmenizin gelirine ve itibarına ciddi zararlar verebilir. Bilgisayar korsanları kullanıcı bilgilerini, şifreleri çalabilir, kötü amaçlı yazılımlar yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.
En kötüsü, web sitenize yeniden erişim kazanmak için kendinizi bilgisayar korsanlarına fidye yazılımı ödediğini fark edebilirsiniz.
Mart 2016’da Google, 50 milyondan fazla web sitesi kullanıcısının, ziyaret ettikleri bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıldığını bildirdi.
Ayrıca, Google her hafta kötü amaçlı yazılım için yaklaşık 20.000 web sitesini ve kimlik avı için yaklaşık 50.000 web sitesini kara listeye almaktadır.
Web siteniz bir işletme ise, WordPress güvenliğinize daha fazla dikkat etmeniz gerekir.
Fiziksel mağaza binalarını korumanın işletme sahiplerinin sorumluluğuna benzer şekilde, çevrimiçi bir işletme sahibi olarak işletmenizin web sitesini korumak sizin sorumluluğunuzdadır.
WordPress’i Güncel Tutmak
WordPress, düzenli olarak bakımı yapılan ve güncellenen açık kaynaklı bir yazılımdır. Varsayılan olarak, WordPress küçük güncellemeleri otomatik olarak yükler. Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.
WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve temayla birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeler yayınlayan üçüncü taraf geliştiriciler tarafından korunur.
Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve istikrarı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.
Güçlü Parolalar ve Kullanıcı İzinleri
En yaygın WordPress hackleme girişimleri çalınan şifreleri kullanır. Web siteniz için benzersiz olan daha güçlü şifreler kullanarak bunu zorlaştırabilirsiniz. Sadece WordPress yönetici alanı için değil, aynı zamanda FTP hesapları, veritabanı, WordPress barındırma hesabı ve sitenizin alan adını kullanan özel e-posta adresleriniz için.
Yeni başlayanların çoğu, hatırlaması zor olduğu için güçlü parolalar kullanmayı sevmez. İşin iyi yanı, artık şifreleri hatırlamanıza gerek kalmamasıdır. Bir şifre yöneticisi kullanabilirsiniz. WordPress şifrelerini nasıl yöneteceğinizle ilgili kılavuzumuza bakın .
Riski azaltmanın bir başka yolu, kesinlikle mecbur kalmadıkça kimsenin WordPress yönetici hesabınıza erişmesine izin vermemektir . Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress’teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun .
WordPress Barındırmanın Rolü
Kişisel WordPress barındırma hizmeti WordPress sitenizin güvenliğinde en önemli rol oynar. Bluehost veya Siteground gibi iyi bir paylaşılan barındırma sağlayıcısı , sunucularını yaygın tehditlere karşı korumak için ekstra önlemler alır.
İşte iyi bir web barındırma şirketinin web sitelerinizi ve verilerinizi korumak için arka planda nasıl çalıştığı.
- Şüpheli etkinlik için ağlarını sürekli izlerler.
- Tüm iyi barındırma şirketlerinin büyük ölçekli DDOS saldırılarını önlemek için araçları vardır
- Bilgisayar korsanlarının eski bir sürümdeki bilinen bir güvenlik açığından yararlanmasını önlemek için sunucu yazılımlarını, php sürümlerini ve donanımlarını güncel tutarlar.
- Büyük kaza durumunda verilerinizi korumalarına olanak tanıyan olağanüstü durum kurtarma ve kaza planlarını uygulamaya hazırlar.
Paylaşılan bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bu, bir bilgisayar korsanının web sitenize saldırmak için komşu bir siteyi kullanabileceği siteler arası kirlenme riskini açar.
Yönetilen bir WordPress barındırma hizmetini kullanmak , web siteniz için daha güvenli bir platform sağlar. Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar
WP Engine için iyi bir alternatif olan Liquid Web’i de deneyebilirsiniz .
Kolay Adımlarda WordPress Güvenliği (Kodlama Yok)
WordPress güvenliğini iyileştirmenin yeni başlayanlar için korkunç bir düşünce olabileceğini biliyoruz. Özellikle teknoloji konusunda bilgili değilseniz. Bil bakalım ne oldu – yalnız değilsin.
Binlerce WordPress kullanıcısına WordPress güvenliğini sağlamlaştırmada yardımcı olduk.
WordPress güvenliğinizi sadece birkaç tıklama ile nasıl geliştirebileceğinizi göstereceğiz (kodlama gerekmez).
İşaretleyip tıklayabiliyorsanız, bunu yapabilirsiniz!
Bir WordPress Yedekleme Çözümü Kurun
Yedeklemeler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey% 100 güvenli değildir. Devlet web siteleri saldırıya uğrayabiliyorsa, sizinki de saldırıya uğrayabilir.
Yedeklemeler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.
Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedeklemeler söz konusu olduğunda bilmeniz gereken en önemli şey, tam site yedeklerini düzenli olarak uzak bir konuma (barındırma hesabınıza değil) kaydetmeniz gerektiğidir.
Amazon, Dropbox gibi bir bulut hizmetinde veya Stash gibi özel bulutlarda depolamanızı öneririz.
Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar ya günde bir kez ya da gerçek zamanlı yedeklemeler olabilir.
Neyse ki bu, UpdraftPlus veya BlogVault gibi eklentiler kullanılarak kolayca yapılabilir . Hem güvenilirdir hem de en önemlisi kullanımı kolaydır (kodlamaya gerek yoktur).
En İyi WordPress Güvenlik Eklentisi
Yedeklemelerden sonra yapmamız gereken bir sonraki şey, web sitenizde olan her şeyi takip eden bir denetim ve izleme sistemi kurmaktır.
Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması vb. Dahildir.
Neyse ki, tüm bunlar en iyi ücretsiz WordPress güvenlik eklentisi Sucuri Tarayıcı tarafından halledilebilir .
Ücretsiz Sucuri Security eklentisini kurmanız ve etkinleştirmeniz gerekir . Daha fazla ayrıntı için lütfen bir WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın .
Etkinleştirdikten sonra, WordPress yöneticinizdeki Sucuri menüsüne gitmeniz gerekir. Yapmanız istenecek ilk şey, ücretsiz bir API anahtarı oluşturmaktır. Bu, denetim günlüğü, bütünlük denetimi, e-posta uyarıları ve diğer önemli özellikleri etkinleştirir.
Yapmanız gereken bir sonraki şey, ayarlar menüsünden ‘Sertleştirme’ sekmesine tıklamak. Her seçeneği gözden geçirin ve “Sertleştirmeyi Uygula” düğmesine tıklayın.
Bu seçenekler, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları temel alanları kilitlemenize yardımcı olur. Ücretli bir yükseltme olan tek sağlamlaştırma seçeneği, bir sonraki adımda açıklayacağımız Web Uygulaması Güvenlik Duvarıdır, bu yüzden şimdilik atlayın.
Eklenti kullanmadan yapmak isteyenler veya “Veritabanı Öneki değişikliği” veya “Yönetici Kullanıcı Adını Değiştirme” gibi ek adımlar gerektirenler için bu makalenin ilerleyen kısımlarında bu “Güçlendirme” seçeneklerinin çoğunu ele aldık.
Sertleştirme kısmından sonra, varsayılan eklenti ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişiklik gerektirmez. Özelleştirmenizi önerdiğimiz tek şey ‘E-posta Uyarıları’dır.
Varsayılan uyarı ayarları, gelen kutunuzu e-postalarla karıştırabilir. Eklentilerdeki değişiklikler, yeni kullanıcı kaydı vb. Gibi önemli eylemler için uyarılar almanızı öneririz. Sucuri Ayarları »Uyarılar’a giderek uyarıları yapılandırabilirsiniz.
Bu WordPress güvenlik eklentisi çok güçlüdür, bu nedenle Kötü Amaçlı Yazılım taraması, Denetim günlükleri, Başarısız Oturum Açma Girişimi takibi vb. Gibi yaptıklarını görmek için tüm sekmelere ve ayarlara göz atın.
Web Uygulaması Güvenlik Duvarını (WAF) etkinleştirin
Sitenizi korumanın ve WordPress güvenliğinizden emin olmanın en kolay yolu bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.
Bir web sitesi güvenlik duvarı, web sitenize ulaşmadan önce tüm kötü amaçlı trafiği engeller.
DNS Seviyesi Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı, web sitenizin trafiğini bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca gerçek trafik göndermelerine olanak tanır.
Uygulama Seviyesi Güvenlik Duvarı – Bu güvenlik duvarı eklentileri, trafiği sunucunuza ulaştığında, ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS seviyesi güvenlik duvarı kadar verimli değildir.
Daha fazla bilgi edinmek için en iyi WordPress güvenlik duvarı eklentileri listemize bakın .
Biz kullanmak ve tavsiye Sucuri WordPress için en iyi web uygulama güvenlik duvarı. Sucuri’nin bir ayda 450.000 WordPress saldırısını engellememize nasıl yardımcı olduğunu okuyabilirsiniz .
Sucuri’nin güvenlik duvarının en iyi yanı, kötü amaçlı yazılım temizleme ve kara liste kaldırma garantisiyle birlikte gelmesidir. Temel olarak, onların gözetimi altında saldırıya uğramanız durumunda, web sitenizi düzelteceklerini garanti ederler (kaç sayfanız olursa olsun).
Bu oldukça güçlü bir garantidir çünkü saldırıya uğramış web sitelerini onarmak pahalıdır. Güvenlik uzmanları normalde saatte 250 ABD doları ücret alır. Oysa tüm Sucuri güvenlik yığınını yıllık 199 $ ‘a alabilirsiniz.
Sucuri Güvenlik Duvarı ile WordPress Güvenliğinizi Geliştirin »
Sucuri, oradaki tek DNS seviyesi güvenlik duvarı sağlayıcısı değil. Diğer popüler rakip ise Cloudflare. Sucuri ve Cloudflare karşılaştırmamıza bakın (Artılar ve Eksiler) .
WordPress Sitenizi SSL / HTTPS’ye Taşıyın
SSL (Güvenli Yuva Katmanı), web siteniz ile kullanıcı tarayıcısı arasındaki veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birinin etrafta dolaşmasını ve bilgi çalmasını zorlaştırır.
SSL’yi etkinleştirdiğinizde, web siteniz HTTP yerine HTTPS kullanacak, ayrıca tarayıcıda web sitesi adresinizin yanında bir asma kilit işareti göreceksiniz.
SSL sertifikaları genellikle sertifika yetkilileri tarafından verilir ve fiyatları her yıl 80 dolardan yüzlerce dolara başlar. Ek maliyet nedeniyle, çoğu web sitesi sahibi güvenli olmayan protokolü kullanmaya devam etmeyi seçti.
Bunu düzeltmek için, Let’s Encrypt adlı kar amacı gütmeyen bir kuruluş, web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından destekleniyor.
Artık tüm WordPress web siteleriniz için SSL kullanmaya başlamak her zamankinden daha kolay. Birçok barındırma şirketi artık WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor .
Hosting şirketiniz bir teklif sunmuyorsa, Domain.com’dan bir tane satın alabilirsiniz . Piyasadaki en iyi ve en güvenilir SSL anlaşmasına sahipler. 10.000 $ ‘lık bir güvenlik garantisi ve TrustLogo güvenlik mührü ile birlikte gelir.
DIY Kullanıcıları için WordPress Güvenliği
Şimdiye kadar bahsettiğimiz her şeyi yaparsanız, oldukça iyi bir durumdasınız demektir.
Ancak her zaman olduğu gibi, WordPress güvenliğinizi güçlendirmek için yapabileceğiniz daha çok şey var.
Bu adımlardan bazıları kodlama bilgisi gerektirebilir.
Varsayılan “admin” kullanıcı adını değiştirin
Eski günlerde, varsayılan WordPress yönetici kullanıcı adı “admin” idi. Kullanıcı adları, oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bu, bilgisayar korsanlarının kaba kuvvet saldırıları yapmasını kolaylaştırdı.
Neyse ki, WordPress o zamandan beri bunu değiştirdi ve şimdi WordPress’i yüklerken özel bir kullanıcı adı seçmenizi gerektiriyor .
Bununla birlikte, bazı 1-tıklama WordPress yükleyicileri, yine de varsayılan yönetici kullanıcı adını “admin” olarak ayarlar. Durumun böyle olduğunu fark ederseniz , web barındırma hizmetinizi değiştirmek muhtemelen iyi bir fikirdir .
WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.
- Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
- Username Changer eklentisini kullanın
- PhpMyAdmin’den kullanıcı adını güncelleyin
Bunların üçünü de WordPress kullanıcı adınızı nasıl doğru bir şekilde değiştireceğinize dair ayrıntılı kılavuzumuzda ele aldık (adım adım) .
Not: Yönetici rolünden değil, “admin” adlı kullanıcı adından bahsediyoruz.
Dosya Düzenlemeyi Devre Dışı Bırak
WordPress, temanızı ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenizi sağlayan yerleşik bir kod düzenleyiciyle birlikte gelir. Yanlış ellerde, bu özellik bir güvenlik riski oluşturabilir, bu yüzden onu kapatmanızı öneririz.
Aşağıdaki kodu wp-config.php dosyanıza ekleyerek bunu kolayca yapabilirsiniz .
12 | // Disallow file edit define( 'DISALLOW_FILE_EDIT' , true ); |
Alternatif olarak, bunu yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak 1 tıklama ile yapabilirsiniz.
Belirli WordPress Dizinlerinde PHP Dosya Yürütmeyi Devre Dışı Bırakın
WordPress güvenliğinizi sağlamanın bir başka yolu da / wp-content / uploads / gibi gerekli olmayan dizinlerde PHP dosyası yürütmeyi devre dışı bırakmaktır.
Bunu, Not Defteri gibi bir metin düzenleyicisi açıp bu kodu yapıştırarak yapabilirsiniz:
123 | <Files *.php> deny from all </Files> |
Sonra, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki / wp-content / uploads / klasörlerine yüklemeniz gerekir .
Daha ayrıntılı açıklama için, belirli WordPress dizinlerinde PHP çalıştırmasının nasıl devre dışı bırakılacağına ilişkin kılavuzumuza bakın.
Alternatif olarak, bunu yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak 1 tıklama ile yapabilirsiniz .
Oturum Açma Girişimlerini Sınırla
Varsayılan olarak WordPress, kullanıcıların istedikleri kadar oturum açmaya çalışmasına izin verir. Bu, WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Bilgisayar korsanları, farklı kombinasyonlarla giriş yapmaya çalışarak şifreleri kırmaya çalışır.
Bu, bir kullanıcının yapabileceği başarısız oturum açma girişimlerini sınırlayarak kolayca düzeltilebilir. Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.
Ancak, güvenlik duvarı kurulumunuz yoksa, aşağıdaki adımlarla devam edin.
Öncelikle, Login LockDown eklentisini kurmanız ve etkinleştirmeniz gerekir . Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın .
Etkinleştirmenin ardından , eklentiyi kurmak için Ayarlar »Oturum Açma Kilitleme sayfasını ziyaret edin .
Ayrıntılı talimatlar için, WordPress’te oturum açma girişimlerini nasıl ve neden sınırlandırmanız gerektiğine ilişkin kılavuzumuza bir göz atın .
İki Faktörlü Kimlik Doğrulama Ekleme
İki faktörlü kimlik doğrulama tekniği, kullanıcıların iki aşamalı bir kimlik doğrulama yöntemi kullanarak oturum açmasını gerektirir. İlki kullanıcı adı ve şifredir ve ikinci adım, ayrı bir cihaz veya uygulama kullanarak kimlik doğrulamanızı gerektirir.
Google, Facebook, Twitter gibi en iyi çevrimiçi web sitelerinin çoğu, bunu hesaplarınız için etkinleştirmenize izin verir. Aynı işlevselliği WordPress sitenize de ekleyebilirsiniz.
Öncelikle, Two Factor Authentication eklentisini kurmanız ve etkinleştirmeniz gerekir . Etkinleştirdikten sonra, WordPress yönetici kenar çubuğundaki ‘Two Factor Auth’ bağlantısını tıklamanız gerekir.
Ardından, telefonunuza bir kimlik doğrulama uygulaması yüklemeniz ve açmanız gerekir. Google Authenticator, Authy ve LastPass Authenticator gibi birkaç tane var.
LastPass Authenticator veya Authy’yi kullanmanızı öneririz çünkü ikisi de hesaplarınızı buluta yedeklemenize izin verir. Bu, telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon satın almanız durumunda çok kullanışlıdır. Tüm hesap girişleriniz kolayca geri yüklenecektir.
Eğitim için LastPass Authenticator’ı kullanacağız. Ancak talimatlar tüm kimlik doğrulama uygulamaları için benzerdir. Kimlik doğrulayıcı uygulamanızı açın ve ardından Ekle düğmesine tıklayın.
Bir siteyi manuel olarak taramak veya barkodu taramak isteyip istemediğiniz sorulacaktır. Tarama barkodu seçeneğini seçin ve ardından telefonunuzun kamerasını eklentinin ayarlar sayfasında gösterilen QRcode’a doğrultun.
Hepsi bu, kimlik doğrulama uygulamanız şimdi onu kaydedecek. Web sitenizde bir sonraki oturum açışınızda, parolanızı girdikten sonra iki faktörlü kimlik doğrulama kodunu girmeniz istenecektir.
Telefonunuzdaki kimlik doğrulama uygulamasını açın ve üzerinde gördüğünüz kodu girin.
WordPress Veritabanı Önekini Değiştirin
Varsayılan olarak, WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_ kullanır . WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden onu değiştirmenizi tavsiye ediyoruz.
Güvenliği artırmak için WordPress veritabanı önekinin nasıl değiştirileceğine dair adım adım eğitimimizi izleyerek veritabanı önekinizi değiştirebilirsiniz .
Not: Bu, düzgün yapılmazsa sitenizi bozabilir. Yalnızca kodlama becerileriniz konusunda kendinizi rahat hissediyorsanız devam edin.
Şifre Korumalı WordPress Yönetici ve Giriş Sayfası
Normalde, bilgisayar korsanları herhangi bir kısıtlama olmaksızın wp-admin klasörünüzü ve oturum açma sayfanızı talep edebilir. Bu, bilgisayar korsanlığı hilelerini denemelerine veya DDoS saldırıları gerçekleştirmelerine olanak tanır.
Sunucu tarafı düzeyinde, bu istekleri etkili bir şekilde engelleyecek ek parola koruması ekleyebilirsiniz.
WordPress yönetici (wp-admin) dizininizi nasıl parola ile koruyacağınıza dair adım adım talimatlarımızı izleyin .
Dizin İndekslemeyi ve Taramayı Devre Dışı Bırak
Dizine göz atma, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip dosyalarınız olup olmadığını öğrenmek için kullanılabilir, böylece erişim sağlamak için bu dosyalardan faydalanabilirler.
Dizine gözatma, başkaları tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı ve diğer bilgileri bulmak için de kullanılabilir. Bu nedenle, dizin indekslemeyi ve taramayı kapatmanız şiddetle tavsiye edilir.
FTP veya cPanel’in dosya yöneticisini kullanarak web sitenize bağlanmanız gerekir. Ardından, web sitenizin kök dizininde .htaccess dosyasını bulun. Orada göremiyorsanız, WordPress’te .htaccess dosyasını neden göremediğiniz konusunda kılavuzumuza bakın .
Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:
Options -Indexes
.Htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın. Bu konu hakkında daha fazla bilgi için , WordPress’te dizin taramasının nasıl devre dışı bırakılacağı hakkındaki makalemize bakın .
WordPress’te XML-RPC’yi devre dışı bırakın
XML-RPC, WordPress sitenizi web ve mobil uygulamalara bağlamanıza yardımcı olduğu için WordPress 3.5’te varsayılan olarak etkinleştirilmiştir.
Güçlü yapısı nedeniyle XML-RPC, kaba kuvvet saldırılarını önemli ölçüde artırabilir.
Örneğin, geleneksel olarak bir bilgisayar korsanı web sitenizde 500 farklı şifre denemek isterse, 500 ayrı oturum açma denemesi yapmak zorunda kalacak ve bu giriş kilitleme eklentisi tarafından yakalanacak ve engellenecektir.
Ancak XML-RPC ile, bir bilgisayar korsanı system.multicall işlevini kullanarak binlerce şifreyi 20 veya 50 istekle denemek için kullanabilir .
Bu nedenle XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.
WordPress’te XML-RPC’yi devre dışı bırakmanın 3 yolu vardır ve bunların hepsini , WordPress’te XML-RPC’yi nasıl devre dışı bırakacağımızla ilgili adım adım eğitimimizde ele aldık .
İpucu: .htaccess yöntemi en iyisidir çünkü en az kaynak yoğun yöntemdir.
Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu güvenlik duvarı tarafından halledilebilir.
WordPress’teki Boştaki Kullanıcıları otomatik olarak kapatın
Oturum açmış kullanıcılar bazen ekrandan uzaklaşabilir ve bu bir güvenlik riski oluşturur. Birisi oturumunu ele geçirebilir, şifrelerini değiştirebilir veya hesabında değişiklik yapabilir.
Bu nedenle birçok bankacılık ve finans sitesi, etkin olmayan bir kullanıcının oturumunu otomatik olarak kapatır. WordPress sitenizde de benzer işlevleri uygulayabilirsiniz.
Inactive Logout eklentisini kurmanız ve etkinleştirmeniz gerekecektir . Etkinleştirmenin ardından, eklenti ayarlarını yapılandırmak için Ayarlar »Etkin Olmayan Çıkış sayfasını ziyaret edin .
Basitçe süreyi ayarlayın ve bir çıkış mesajı ekleyin. Ayarlarınızı kaydetmek için değişiklikleri kaydet düğmesine tıklamayı unutmayın.
WordPress Giriş Ekranına Güvenlik Soruları Ekleyin
WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birisinin yetkisiz erişime sahip olmasını daha da zorlaştırır.
WP Security Questions eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz . Etkinleştirdikten sonra, eklenti ayarlarını yapılandırmak için Ayarlar »Güvenlik Soruları sayfasını ziyaret etmeniz gerekir.
Daha ayrıntılı talimatlar için, WordPress giriş ekranına güvenlik sorularının nasıl ekleneceği ile ilgili eğitimimize bakın .
Kötü Amaçlı Yazılım ve Güvenlik Açığı için WordPress Tarama
Yüklü bir WordPress güvenlik eklentiniz varsa, bu eklentiler düzenli olarak kötü amaçlı yazılım ve güvenlik ihlali belirtilerini kontrol edecektir.
Bununla birlikte, web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz, manuel olarak bir tarama yapmak isteyebilirsiniz. WordPress güvenlik eklentinizi kullanabilir veya bu kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanabilirsiniz .
Bu çevrimiçi taramaları çalıştırmak oldukça basittir, sadece web sitenizin URL’lerini girersiniz ve tarayıcıları bilinen kötü amaçlı yazılımları ve kötü amaçlı kodları aramak için web sitenizi kullanır.
Şimdi, çoğu WordPress güvenlik tarayıcısının web sitenizi tarayabileceğini unutmayın. Kötü amaçlı yazılımı kaldıramazlar veya saldırıya uğramış bir WordPress sitesini temizleyemezler.
Bu bizi bir sonraki bölüme getiriyor, kötü amaçlı yazılımları ve saldırıya uğramış WordPress sitelerini temizliyor.
Saldırıya Uğramış Bir WordPress Sitesini Düzeltme
Birçok WordPress kullanıcısı, web siteleri saldırıya uğrayana kadar yedeklemelerin ve web sitesi güvenliğinin önemini anlamıyor.
Bir WordPress sitesini temizlemek çok zor ve zaman alıcı olabilir. İlk tavsiyemiz, bir profesyonelin ilgilenmesine izin vermek olacaktır.
Bilgisayar korsanları , etkilenen sitelere arka kapılar kurar ve bu arka kapılar düzgün bir şekilde düzeltilmezse, web siteniz muhtemelen tekrar saldırıya uğrayacaktır.
Sucuri gibi profesyonel bir güvenlik şirketinin web sitenizi düzeltmesine izin vermek , sitenizin tekrar güvenli olmasını sağlayacaktır. Ayrıca sizi gelecekteki saldırılara karşı koruyacaktır.
Maceracı ve DIY kullanıcıları için, saldırıya uğramış bir WordPress sitesini düzeltmek için adım adım bir kılavuz derledik .
Hepsi bu, umarız bu makale en iyi WordPress güvenlik en iyi uygulamalarını öğrenmenize ve web siteniz için en iyi WordPress güvenlik eklentilerini keşfetmenize yardımcı olur.