Eklentisiz WordPress güvenliği için 15 etkili ipucu
WordPress güvenliğini artırmak için birçok güvenlik eklentisi kullanabilirsiniz, ancak herhangi bir üçüncü taraf eklenti gerektirmeyen ve WordPress sitenizdeki güvenliği önemli ölçüde artırabilecek birkaç kullanışlı ipucu da vardır. Bu makalede, bir eklentinin yüklenmesini gerektirmeyen 15 WordPress güvenlik ipucunu bulacaksınız.
WordPress, dünya çapında en yaygın kullanılan içerik yönetim sistemlerinden biridir. Ancak, çevrimiçi varlığına zarar vermek isteyen kötü niyetli kişiler tarafından hedef alınabileceği için güvenlik açısından önemli bir sorun teşkil edebilir. Eklenti kullanmadan da WordPress güvenliğini artırmak için izlenebilecek bazı ipuçları şunlardır:
-
Güçlü bir şifre kullanın: WordPress giriş şifreniz karmaşık ve güçlü olmalıdır. Şifrenizi düzenli olarak değiştirin ve aynı şifreyi farklı hesaplarınızda kullanmayın.
-
Güncellemeleri takip edin: WordPress, sık sık güncellemeler yayınlar. Güncellemeleri takip ederek sitenizin güvenliğini artırabilirsiniz.
-
İki faktörlü kimlik doğrulama kullanın: İki faktörlü kimlik doğrulama, bir şifreye ek olarak kullanıcı adı ve şifrenizden farklı bir kimlik doğrulama yöntemi kullanır. Bu, hesabınızın daha güvende olmasını sağlar.
-
Sık yedekleme yapın: Sitenizdeki tüm verileri düzenli olarak yedekleyin. Bu, olası bir saldırı veya veri kaybı durumunda verilerinizi korumanıza yardımcı olur.
-
Güvenilir bir hosting şirketi kullanın: Güvenilir bir hosting şirketi seçerek, sitenizin performansını ve güvenliğini artırabilirsiniz.
-
Güvenilir temalar kullanın: Temalar, WordPress sitenizin görünümünü belirler. Güvenilir bir tema kullanarak sitenizin güvenliğini artırabilirsiniz.
-
Gereksiz eklentileri silin: WordPress sitenize yüklediğiniz eklentiler, site performansınızı etkileyebilir. Gereksiz eklentileri silerek sitenizin performansını artırabilirsiniz.
-
Dosya izinlerini kontrol edin: WordPress dosya izinleri, sitenizin güvenliği açısından önemlidir. Gereksiz dosya izinlerini kapatın.
-
Şifre korumalı dosyalar kullanın: Şifre korumalı dosyalar, sitenizdeki özel bilgileri korumanıza yardımcı olabilir.
-
Spam yorumları engelleyin: Spam yorumları, sitenizin performansını etkileyebilir. Spam yorumları engelleyerek sitenizin performansını artırabilirsiniz.
-
SSL sertifikası kullanın: SSL sertifikası, sitenizin güvenliğini artırır ve ziyaretçilerinizin bilgilerinin korunmasına yardımcı olur.
-
Htaccess dosyasını güncelleyin: Htaccess dosyası, sitenizin performansını etkileyen bir dosyadır. Bu dosya üzerinde yapılan güncellemeler, sitenizin güvenliğini artırabilir.
-
Robots.txt dosyasını kontrol edin: Robots.txt dosyası, arama motorlarının sitenizi taramasını kontrol eder. Bu dosya üzerinde yapılan güncellemeler, sitenizin güvenliğini artırabilir.
-
WordPress varsayılan ayarlarını değiştirin: WordPress'in varsayılan ayarları, sitenizin güvenliği açısından yeterli olmayabilir. Bu ayarları değiştirerek sitenizin güvenliğini artırabilirsiniz.
-
Sık sık denetim yapın: WordPress sitenizi düzenli olarak kontrol ederek güvenliğini artırabilirsiniz. Güncellemeleri takip edin, yedekleme yapın, dosya izinlerini kontrol edin ve gereksiz eklentileri silin.
Bu ipuçları, WordPress sitenizin güvenliğini artırmak için eklenti kullanmadan izleyebileceğiniz bazı yöntemlerdir. Ancak, güvenlik açısından en iyi yöntemlerden biri, güvenilir bir güvenlik eklentisi kullanmaktır. WordPress için birçok güvenlik eklentisi bulunmaktadır ve bunları kullanarak sitenizin güvenliğini daha da artırabilirsiniz.
1. Sistem Güncellemelerini Düzenli Olarak Yapın
WordPress Core ekibi güvenlik sorunlarını düzenli olarak izler ve yeni bir güvenlik açığı olduğunda sorunu çözer. Hata düzeltmeleri ve güvenlik düzeltme ekleri WordPress yönetimindeki Pano> Güncellemeler menüsünden güncelleme olarak edinilebilir.
Sitenizi düzenli olarak güncellemeye her zaman dikkat edin. Eklenti ve tema yapımcıları gerektiğinde kendi güvenlik güncellemelerini yayınladığından, yalnızca WordPress çekirdek güncellemeleri değil, eklentilerinizi ve temalarınızı da güncelleyin.
2. En Az Ayrıcalık İlkesini Kullanın
Kullanıcılara çok yüksek ayrıcalıklar tanıyan site sahipleri, sık karşılaşılan bir WordPress güvenlik sorunu ile karşılaşırlar. En Az Ayrıcalık İlkesine göre, kullanıcılar sitedeki işlerini düzgün bir şekilde yapmak için gereken sayıda izne sahip olmalıdır. WordPress, beş farklı kullanıcı rolüne sahip mükemmel bir kullanıcı yönetim sistemine sahiptir.
Yalnızca eklentileri güncelleme, ayarları değiştirme veya tema yükleme gibi yönetici görevleri gerçekleştiren kullanıcılara yönetici ayrıcalıkları verin. Yeni bir kullanıcı eklediğinizde, açılır listeden kullanıcı rollerini kolayca seçebilirsiniz. Ayrıca, Kullanıcılar yönetici sayfasındaki mevcut kullanıcıların kullanıcı rollerini değiştirmek de kolaydır.
Sitenizi daha güvenli hale getirmek için WordPress Kodeksi'ndeki "Roller ve Yetenekler" tablosunu inceleyin ve her bir kullanıcınızın hangi izinlere ihtiyacı olduğuna karar verin. Çok yüksek ayrıcalıklara sahiplerse rollerini değiştirmeyi düşünün. Sadece izinlerini kötüye kullanabilecekleri için değil, hesaplarının saldırıya uğraması durumunda bilgisayar korsanları sitenize daha az zarar verebilir.
3. Varsayılan yönetici Kullanıcı Adını değiştirin
Varsayılan yönetici kullanıcı adı WordPress güvenliğinde ciddi sorunlara neden olabilir. Otomatik kaba kuvvet saldırıları (brute force attacks) genellikle yönetici kullanıcı hesaplarını toplu olarak hedefler. Bunlar, belirli bir siteye yönelik olmayan, ancak varsayılan yönetici kullanıcı adını değiştirmeyen saldırıları bulmaya çalışan düşük kaliteli saldırılardır.
Yönetici kullanıcı adını değiştirmek o kadar kolay değildir, çünkü WordPress kullanıcıların kullanıcı adlarını yönetici alanından değiştirmelerine izin vermez. Veritabanındaki kullanıcı adını kesin olarak değiştirebilirsiniz, ancak en kolay çözüm yeni bir kullanıcı adıyla yeni bir yönetici kullanıcı oluşturmaktır. Ardından, yeni yönetici ile giriş yapmanız ve eskisini silmeniz yeterlidir.
4. Üst Düzey Kullanıcılar için Güçlü Parolalar Kullanın
Üst düzey kullanıcılar için güçlü parolalar kullanmak, iyi WordPress güvenliği için çok önemlidir. Yeni bir kullanıcı kaydolduğunda, WordPress varsayılan olarak güçlü parolalar oluşturur, ancak kullanıcılar bunu daha zayıf bir parola ile değiştirebilir. Üst düzey kullanıcılarınızın (yöneticiler ve editörler) her zaman güçlü şifreler kullandığına dikkat edin.
5. İçeriğinizi Düzenli Olarak Dışa Aktarın
Başarılı bir WordPress blogunuz varsa, içeriğiniz en önemli öğenizdir. Belirli saldırı türleri sırasında yayınlarınız, sayfalarınız, resimleriniz ve diğer içerik türleriniz tehlikeye girebilir. Bu nedenle, bunları bilgisayarınıza veya bir bulut depolama alanına kaydetmeyi unutmayın.
Tüm içeriğinizi WordPress yönetimindeki Araçlar> Dışa Aktar menüsünden kolayca dışa aktarabilirsiniz. “Dışa Aktarma Dosyasını İndir” düğmesine basarak, WordPress indirebileceğiniz bir XML dosyası oluşturur. Gerektiğinde, Araçlar> Yönetici içe aktarma sayfasına aynı XML dosyasını yükleyerek içeriğinizi kolayca yeniden oluşturabilirsiniz.
6. İhtiyacınız Olmayan Eklentileri ve Temaları Kaldırın
Site sahipleri eklentileri aşırı kullanma eğilimindedir ve kullanmadıkları temaları silmez, bu da bazen WordPress güvenliğini ciddi şekilde tehlikeye atabilir. Daha fazla eklenti ve tema daha fazla güvenlik açığı anlamına gelir. Her yeni eklenti veya tema saldırıya uğrama riskini artırır.
Bu nedenle, yalnızca tamamen gerekli olan eklentileri kullanın. Sadece devre dışı bırakmayın, aynı zamanda ihtiyacınız olmayanları da silin. Ayrıca, bir WordPress sitesinde yalnızca bir tema kullanabildiğiniz için, kullanmadığınız yüklü temaları bırakmak pek mantıklı değildir. Daha iyi WordPress güvenliği için etkin olmayanları silmeyi düşünün. İleride bunlara ihtiyacınız varsa, hızlı bir şekilde yeniden yükleyebilirsiniz.
7. Veritabanınızı Düzenli Olarak Yedekleyin
İçeriğinizi WordPress yöneticisi aracılığıyla dışa aktarmanın yanı sıra, veritabanı yedekleri oluşturmak da yararlı olabilir. Veritabanınızı hosting hesabınızın cPanel'i üzerinden yedekleyebilirsiniz. CPanel dosyanızdaki Dosya> Yedeklemeler menüsünü seçin ve SQL yedekleme dosyanızı indirin. Bir şeyler ters giderse, yedekleme dosyasını kullanarak veritabanınızı hızla geri yükleyebilirsiniz.
Bazı hosting planları otomatik veritabanı yedekleme seçeneği de içerir. Veritabanınızı güvenli hale getirmek istiyorsanız, hosting firmanızdan yedekleme özelliği sunduğı bir hosting planı seçmeyi düşünün.
8. Veritabanı Tablosu Ön Ekini Değiştirin
WordPress varsayılan olarak veritabanı tabloları için wp_ önekini kullanır. Sitenizi daha güvenli hale getirmek için, wp-config dosyanızdaki $table_prefix
değişkeninin değerini değiştirerek daha karmaşık bir tablo öneki kullanabilirsiniz. Tablo önekinde yalnızca sayı, harf ve alt çizgi kullanabileceğinizi unutmayın. Diğer karakterler, örneğin özel karakterler, geçersiz bir tablo önekiyle sonuçlanır.
9. Güvenli Girişi Zorlayın
Kullanıcıları güvenli SSL protokolü aracılığıyla yönetici alanında oturum açmaya zorlamak WordPress güvenliğini büyük ölçüde artırabilir. Ancak, bunu yalnızca sitenize bir SSL sertifikası yüklüyse yapabilirsiniz. Barındırma sağlayıcınızdan bir SSL sertifikası satın alabilirsiniz, ancak bu günlerde birçok barındırma planı ücretsiz Let Encrypt sertifikasıyla birlikte gelir.
SSL sertifikası ile yönetici alanı veya sitenin tamamı için güvenli HTTPS protokolünü kullanabilirsiniz. Wp-config dosyanızın üstüne aşağıdaki satırı ekleyerek kullanıcıları güvenli https:// bağlantısıyla giriş yapmaya zorlayabilirsiniz:
define(
'FORCE_SSL_ADMIN'
, true );
10. Eklenti ve Tema Değişikliklerini Devre Dışı Bırakma
Varsayılan olarak, yönetici kullanıcılar eklenti ve tema dosyalarını WordPress yöneticisinden düzenleyebilir. Bu harika bir özellik, ancak kötü niyetli bir saldırgan hesaplarına erişirse de tehlikeli olabilir.
Wp-config dosyanıza aşağıdaki satırı ekleyerek yöneticiler için eklenti ve tema düzenleyicilerini devre dışı bırakabilirsiniz:
define(
'DISALLOW_FILE_EDIT'
, true );
Yalnızca eklenti ve tema düzenleyicilerini devre dışı bırakmak istemiyorsanız, aynı zamanda yöneticilerin WordPress yöneticisinden eklentileri ve temaları güncellemelerini engellemek istiyorsanız aşağıdaki kuralı kullanın:
define(
'DISALLOW_FILE_MODS'
, true );
Her iki sabiti aynı anda kullanmayın. Eklentileri ve temaları WordPress yöneticisi olarak güncellemek istiyorsanız DISALLOW_FILE_EDIT kullanın. Güncellemeleri arka plandan (SFTP aracılığıyla) gerçekleştirmenin bir sakıncası yoksa bunun yerine DISALLOW_FILE_MODS kullanın.
11. Filtrelenmemiş HTML'ye izin vermeyin
WordPress, yöneticilerin ve editörlerin sayfalardan, yayınlardan, widget'lardan ve yorumlardan HTML işaretlemesi ve JavaScript kodu yayınlamasına izin verir. Ancak, bu tehlikeli olabilir. Wp-config dosyanıza aşağıdaki kuralı ekleyerek gönderdikleri HTML'yi filtreleyebilirsiniz:
define(
'DISALLOW_UNFILTERED_HTML'
, true );
Bu şekilde, yayınladıkları HTML ve JavaScript yürütülmez. Bunun yerine, web sitesinde düz metin dizesi olarak görünür.
12. wp-config Dosyanıza Erişimi Engelleyin
Varsayılan olarak, herkes veritabanı adı, kullanıcı adı, parola ve diğer son derece hassas veriler gibi tüm yapılandırmalarınızı içeren wp-config dosyanıza erişebilir. .htaccess dosyanıza aşağıdaki kod snippet'ini ekleyerek wp-config dosyasına erişimi engelleyebilirsiniz:
Order Allow,Deny
Deny from all
Yukarıdaki snippet'i, varsayılan WordPress .htaccess dosyasında Rewrite
kurallarının altına, ancak etiketinin üzerine yerleştirin.
13. Tüm .htaccess Dosyalarınıza Erişimi Engelleyin
WordPress kurulumunuzdaki tüm .htaccess dosyalarına yetkisiz erişimi engellemekte mümkündür. .htaccess dosyalarınız Apache sunucu yapılandırmanızı içerir, ancak tarayıcıda herkese açıktır.
Tarayıcınızın URL çubuğuna http://yoursite.com/.htaccess yazarsanız, ana .htaccess dosyanıza internetteki herkes tarafından erişilip erişilemediğini kontrol edebilirsiniz. .htaccess dosyalarınızı korumak için aşağıdaki .htaccess kuralını kullanın:
Order Allow,Deny
Deny from all
Satisfy all
14. XML-RPC'ye Erişimi Devre Dışı Bırakma
WordPress, uzaktan yayınlama için veya üçüncü taraf uygulamalar tarafından sitenize bağlanmak için kullanılabilen XML-RPC protokolünü kullanır. Ancak saldırganlar bu özellikten yararlanabileceği için güvenlik açığıdır. Herhangi bir üçüncü taraf uygulaması kullanmıyorsanız .htaccess dosyanıza aşağıdaki snippet'i ekleyerek XML-RPC'yi devre dışı bırakmayı düşünün:
Order Deny,Allow
Deny from all
Jetpack gibi bazı popüler WordPress eklentilerinin de XML-RPC API'sini kullandığını unutmayın. Jetpack'i kullanmak istiyorsanız XML-RPC'ye erişimi devre dışı bırakmayın.
15. Dizin Taramayı Devre Dışı Bırakma
Birçok WordPress kullanıcısı bunu bilmese de, bazı WordPress dizinleri tarayıcıda listelenebilir.
Herkes, yüklemeniz hakkında çok sayıda hassas bilgi edinebileceğinden, dizin ağacınıza herkese açık erişim WordPress güvenliğine son derece zararlı olabilir. .htaccess dosyanıza aşağıdaki satırı ekleyerek özelliği devre dışı bırakabilirsiniz:
Options -Indexes
Yorumlar (0)