Bilgi İşlem Daire Başkanlığı

WordPress Güvenlik Önlemleri

e-Posta Yazdır PDF

Web siteniz saldırıya uğradığında (hack’lendiğinde) sayfalara virütik yazılımlar yerleştirilmesi, mevcut içeriğin değiştirilmesi, kaybolması, verilerin çalınması ve aktif olmadığı sürede verdiği zayiat oldukça büyüktür. Bu nedenle web sitenizin güvenliğini sağlamak; itibarınızı korumak ve mümkün olabilecek en iyi hizmeti sağlayarak ziyaretçilerin güvenini kazanmak konusunda firmanıza yardımcı olacaktır.

WordPress, günümüzde kullanılan en popüler içerik yönetim platformu olduğu için, web siteleri güvenlik açıklarından ve zayıflıklarından yararlanmak isteyen insanların hack saldırılarına sık sık hedef olmaktadır.

İnsanlar çoğu zaman güvenlik önlemleri almayı, çok geç olana kadar erteler. Fakat web sitenizin güvenliğini sağlamak için birkaç işlem yeterlidir.

 

Ayrıca, web siteniz saldırıya uğramasa dahi, sitenizin bulunduğu sunucularda yapılan periyodik bakım ve sürüm yükseltme çalışmalarından da etkilenebilir.

WordPress platformu, her sene içerisinde birkaç kez periyodik olarak sürüm yükseltir ve bu sayede hem sunucularınızda yapılan sürüm yükseltmeleri ile paralel olarak gelişir, hem de hacker’lar tarafından yapılması muhtemel saldırılara karşı güvenlik önlemlerini artırır.

Hacker saldırılarından korunmak için bir WordPress web sitesinde uygulanması gereken güvenlik önlemleri şunlardır:
 

1.“Admin” Kullanıcı Adını Silin


Hacker’lar web sitelerinde standart olarak seçilen yönetici kullanıcı adı ile ihtiyaçları olan önemli bilgilere erişim ihtimallerini artırırlar. Kullanıcı adınızı “Admin” olarak bırakırsanız, bir hacker’a önemli ölçüde zaman kazandırmış olursunuz. Bundan sonra yapmaları gereken tek şey şifrenizi çözmek olacaktır. Bu da olduktan sonra web sitenize girerek istediklerini yapabilirler.

Web sitenizi güvenli hale getirebilmek için atacağınız ilk adım kendinize ait yeni bir kullanıcı profili oluşturmak ve varsayılan yönetici adını silmektir. Bu, firmanızın web sitesinin hack’lenmesini belirli bir ölçüde zorlaştıracaktır.

wordpress yönetici adi

Yeni bir kullanıcı profilini, WordPress yönetici panelini açtıktan sonra “Users” kısmından “Add New” seçeneği ile oluşturabilirsiniz. Ardından bilgilerinizi doldurarak, web sitenizde değişiklikler yapmak için kendinize yönetici rolünü verdiğinizden emin olun.

Yeni kullanıcı adınızı oluşturduktan sonra WordPress’in dashboard oturumundan çıkış yapın ve yeni kullanıcı bilgilerinizle tekrar giriş yapın. Ardından “Users” sayfasına dönerek varsayılan yöneticiyi silmeniz gerekmektedir. Bu aşamada, WordPress size “Admin” kullanıcısı tarafından hazırlanan mesajları yeni profile aktarmak için seçenek sunar. Böylece herhangi bir içerik ya da veri kaybetmemiş olursunuz.
 

2. Güçlü Bir Kullanıcı Şifresi Kullanın


Tek bir basit şifre kullanmanın tehlikesi kullanıcılar tarafından her ne kadar bilinse de, insanlar hatırlamak amacıyla genelde birçok hesabında aynı şifreyi kullanmayı tercih eder. Ne yazık ki bu durum şifrelerin kırılmasını kolaylaştırmaktadır.

Web sitesi yöneticilerinin güvenlik açısından güçlü bir şifre kullanması oldukça önemlidir. Bu şifre; harfler, sayılar ve özel karakterler içermeli ve en az 8 karakter uzunluğunda olmalıdır.

wordpress şifre

WordPress şifrenizi daha güçlü bir karakter dizisi ile değiştirmek için “Users” kısmından profilinizi seçin ve sayfanın alt kısmında bulunan “New Password” alanlarını doldurun.

Bunu web sitesini kullanan her yönetici için bir gereklilik olarak düşünebilirsiniz. Çünkü hacker’lar herhangi bir hesaptan giriş yapmaya çalışabilir.
 

3. WordPress’in Son Sürümümü Kullanın


WordPress yazılımındaki güvenlik açıkları, tema ve eklentileri, düzenli olarak güncellenmektedir. WordPress güncellendiğinde yeni sürüm, yönetim panelinin üst kısmında çıkan bir uyarı ile size bildirilmektedir.

wordpress güncelleme

Güncelleme; yönetim paneli üzerinden yeni sürüm kurulumu yapabileceğiniz bir süreçtir, tarayıcınızı değiştirmeniz ya da FTP üzerinden manuel bir yükleme yapmanız gerekmez. Ancak, sitenizin arayüzü yani sayfa tasarımları için kullandığınız tema şablonu kodları, yeni sürümle uyumsuzluk yaratabilir ve sayfalarda ciddi görünüm sorunları ile karşılaşabilirsiniz. Bu açıdan, wordpress sürüm güncellemesi ile beraber tema şablonlarının da güncellemesini yapmanız gerekebilir.
 

4. Web Sitenizin Veritabanını Yedekleyin


Veritabanını yedeklemek web sitenizi güvenli tutmanın önemli bir parçasıdır. Sitenizde olası bir saldırı veya sunucu kaynaklı kritik durumlarlar oluşursa, tüm site içeriğinizi baştan yüklemeniz gerekebilir. Eğer elinizde bir veritabanı yedekleme (backup) dosyası yoksa, tüm sitenizi ciddi anlamda riske ediyorsunuz demektir.

WordPress yedeklemeyi kolaylaştıran ücretli ve ücretsiz seçeneklere sahiptir. Örneğin WP-DB-Backup yeni başlayan kullanıcılar için ücretsiz bir seçenek olmakla birlikte WordPress yedekleme eklentileri arasında en çok indirilenlerden biridir.

wordpress eklenti

WP-DB-Backup yüklemek için, panelde “Plugins” bölümünden “Add New” seçeneğini kullanabilirsiniz. Burada arama kısmına “WP-DB-Backup” yazarak eklentiyi bulduktan sonra “Click Install Now” butonuna tıklayarak eklentiyi kurabilirsiniz. Bir sonraki adım olarak “Plugins” ekranından bu eklentiyi aktive etmeniz gerekmektedir.

wordpress yedekleme

Eklenti aktivasyonundan sonra, panelde “Tools” kısmında “Backup” isimli yeni bir araç göreceksiniz. “Backup” ile hızlı bir şekilde verilerinizi yedeklerken aynı zamanda da bu yedeklemeyi düzenli bir program haline getirebilirsiniz. Backup dosyalarını sabit diskinize indirebilir ya da emailinize gönderebilirsiniz.

Web sitenizi yedekleyerek, olası bir saldırı veya sunucu kaynaklı kritik durumlarda içeriklerinizi kaybetme riskini ortadan kaldırmış olursunuz.
 

5. Bir Eklenti Kullanarak Oturum Açma Girişimlerini Engelleyin


Oturum açma girişimlerini engelleyen eklenti, özellikle yanlış bilgilerle giriş yapma denemeleri gibi kuvvetli hacker saldırılarını defetmek konusunda kullanışlı olmaktadır. Yönetici olarak, kaç oturum açma girişiminden sonra eklentinin girişimi engelleyeceğine karar vermeniz de mümkündür.

wordpress giriş sınırlama

Bu eklentiyi de “Plugins” sekmesinden “Add New” bölümüne girip “Limit Login Attempts”  adıyla arama yaparak kurabilirsiniz. Eklentiyi veri yedekleme eklentileri gibi aktive etmenizin ardından ayarlarınız arasında “Limit Login Attempts” seçeneğini görmüş olacaksınız. Oturum açma girişimleri ve diğer sınırlamaları ayarlamak için bu eklentiyi kullanabilir ve yaptığınız değişiklikleri kaydetmek için “Change Options” butonuna tıklayabilirsiniz.

Son olarak unutmamalısınız ki WordPress güvenlik önlemleri kapsamında size gerekli olacak olan herhangi bir eklentiyi araştırmaktan kaçınmayın. Fakat bu, web sitenize saldırı yapmak isteyen kişilerin kullandığı bir taktiktir. Dolayısıyla eklentileri yüklerken saygın bir kaynaktan indirin ve eklenti hakkında WordPress.org üzerindeki değerlendirmeleri kontrol edin.

 

wordpress güvenlik eklenti

 

Diğer faydalı WordPress Güvenlik Eklentileri

 

WP Security Scan

WordPress tabanlı bir sitenin taranması için kullanılan en basit güvenlik eklentilerden biridir. Bu eklenti ile sitenizin açıklarını bulabilir ve bunları ortadan kaldırabilirsiniz. Ayrıca eklenti size yararlı ipuçları da vermektedir.

Ask Apache Password Protect

WordPress ya da veri tabanındaki bir karışıklığı kontrol etmek yerine web sitenize çoklu güvenlik katmanları eklemek amacı ile kullanılan bir eklentidir.

Stealth Login

Eklenti; WordPress’te oturum açmak, çıkış yapmak ya da kayıt olmak için özel bir URL adresi oluşturma konusunda size yardımcı olur.

Login Lockdown

Yönetici paneline giriş yapılmasını bir süreliğine kilitleyebilecek olan güvenlik önlemleri eklentisidir.

WP-DB Manager

WordPress veri tabanınızı yönetmek için kullanabileceğiniz en iyi güvenlik eklentilerden biridir. Bu eklenti “WordPress Backup Manager”a altenatif olarak kullanılabilir.

Admin SSL Secure Plugin

Yönetici panelini güvenli tutmak için kullanılan bir diğer eklentidir. SSL şifrelemesi üzerinden çalışan eklenti, hacker ya da yönetici paneline giriş yapmak isteyen yabancı kişilerin engellenmesi için kullanılmaktadır.

User Locker

Login Lockdown eklentisi ile aynı şekilde çalışan eklenti, WordPress güvenlik eklentileri arasında en çok kullanılanlardan biridir.

Limit Login Attempts

Limit Login Attempts web sitenize karşı gerçekleşen saldırı ve oturum açma girişimlerini, ilgili internet adresini engelleyerek, zor hale getirmektedir.

Login Encryption

Oturuma girişi şifreleyen bir güvenlik eklentisidir. Oturum açma işlemini şifreleme ve güvenliğini sağlama için DES ve RSA’nın komplex bir karışımını kullanır.

One Time Password

Bu eşsiz eklenti internet kafeler vb. yerlerden istenmeyen girişleri önlemek için tek kullanımlık şifre oluşturma konusunda size yardımcı olmaktadır.

Antivirus

Antivirus web sitenizin botlara, virüslere ve diğer zararlılara karşı güvende olması için size yardımcı olan en popüler güvenlik eklentisidir.

Bad Behavior

Can sıkıcı spam’lerle mücadele etmenize yardımcı olan eklentidir. Sadece web sitenize gelen spam mesajları değil; aynı zamanda da blogunuza erişimi sınırlamak için de kullanılmaktadır. Böylece web sitenize tehdit oluşturan kişilerin web sitenizi okuması bile mümkün olmayacaktır.

User Spam Remover

Eklentinin adından da belli olduğu üzere istenmeyen mesajları önlemek ve kaldırmak konusunda size yardımcı olur.

Blog Bad Queries

Bu eklenti sunucu ve WordPress web sitesi arasındaki tüm zararlı sorguları engellemektedir. Eklenti, çok uzun istek dizeleri (örneğin 255 karakterden daha büyük olanlar) ya da diğer şüpheli sorgularda arka planda çalışır.
 

Web Sitenizin Güvenliğini Sağlayın!


Bu yazımızda WordPress tabanlı web siteniz için kullanabileceğiniz güvenlik önlemleri ve bu konuda yararı olan bazı eklentilere yer verdik. Bu uygulama ve eklentilerle web sitenizi hacker saldırı girişimlerine karşı ciddi oranda korumanız mümkündür.

Küçük güvenlik önlemleri ile korumaya alınmış bir web sitesinin hack’lenmesi için uzun bir yol kat edilmesi gerekmektedir. Fakat imkânsız değildir. Bu nedenle firmanızın web sitesini koruma konusunda bir uzmana danışmanız en doğru yol olacaktır.