“Eklenti Olmadan WordPress Güvenliği için 15 İpucu”

WordPress güvenliğini artırmak için birçok harika güvenlik eklentisi arasından seçim yapabilirsiniz, ancak herhangi bir üçüncü taraf eklenti gerektirmeyen, ancak WordPress sitenizdeki güvenliği önemli ölçüde artırabilecek birkaç harika ipucu da vardır. Bu makalede, bir eklentinin yüklenmesini gerektirmeyen 15 WordPress güvenlik ipucunu bulacaksınız.

Cevap Yazın

Bu soruyu cevaplamak için lütfen kaydolun veya giriş yapın.

Üye girişi | Kayıt ol
Cevaplar (1)
  • alternatif
    alternatif
    0
    vote
     
    warning

    1. Sistem Güncellemelerini Düzenli Olarak Yapın

    WordPress Core ekibi güvenlik sorunlarını düzenli olarak izler ve yeni bir güvenlik açığı olduğunda sorunu çözer. Hata düzeltmeleri ve güvenlik düzeltme ekleri WordPress yönetimindeki Pano> Güncellemeler menüsünden güncelleme olarak edinilebilir.

    Sitenizi düzenli olarak güncellemeye her zaman dikkat edin. Eklenti ve tema yapımcıları gerektiğinde kendi güvenlik güncellemelerini yayınladığından, yalnızca WordPress çekirdek güncellemeleri değil, eklentilerinizi ve temalarınızı da güncelleyin.

    2. En Az Ayrıcalık İlkesini Kullanın

    Kullanıcılara çok yüksek ayrıcalıklar tanıyan site sahipleri, sık karşılaşılan bir WordPress güvenlik sorunu ile karşılaşırlar. En Az Ayrıcalık İlkesine (Principle of Least Privilege - PoLP) göre, kullanıcılar sitedeki işlerini düzgün bir şekilde yapmak için gereken sayıda izne sahip olmalıdır. WordPress, beş farklı kullanıcı rolüne sahip mükemmel bir kullanıcı yönetim sistemine sahiptir.

    Yalnızca eklentileri güncelleme, ayarları değiştirme veya tema yükleme gibi yönetici görevleri gerçekleştiren kullanıcılara yönetici ayrıcalıkları verin. Yeni bir kullanıcı eklediğinizde, açılır listeden kullanıcı rollerini kolayca seçebilirsiniz. Ayrıca, Kullanıcılar yönetici sayfasındaki mevcut kullanıcıların kullanıcı rollerini değiştirmek de kolaydır.

    Sitenizi daha güvenli hale getirmek için WordPress Kodeksi'ndeki "Roller ve Yetenekler" tablosunu inceleyin ve her bir kullanıcınızın hangi izinlere ihtiyacı olduğuna karar verin. Çok yüksek ayrıcalıklara sahiplerse rollerini değiştirmeyi düşünün. Sadece izinlerini kötüye kullanabilecekleri için değil, hesaplarının saldırıya uğraması durumunda bilgisayar korsanları sitenize daha az zarar verebilir.

    3. Varsayılan yönetici Kullanıcı Adını değiştirin

    Varsayılan yönetici kullanıcı adı WordPress güvenliğinde ciddi sorunlara neden olabilir. Otomatik kaba kuvvet saldırıları (brute force attacks) genellikle yönetici kullanıcı hesaplarını toplu olarak hedefler. Bunlar, belirli bir siteye yönelik olmayan, ancak varsayılan yönetici kullanıcı adını değiştirmeyen saldırıları bulmaya çalışan düşük kaliteli saldırılardır.

    Yönetici kullanıcı adını değiştirmek o kadar kolay değildir, çünkü WordPress kullanıcıların kullanıcı adlarını yönetici alanından değiştirmelerine izin vermez. Veritabanındaki kullanıcı adını kesin olarak değiştirebilirsiniz, ancak en kolay çözüm yeni bir kullanıcı adıyla yeni bir yönetici kullanıcı oluşturmaktır. Ardından, yeni yönetici ile giriş yapmanız ve eskisini silmeniz yeterlidir.

    4. Üst Düzey Kullanıcılar için Güçlü Parolalar Kullanın

    Üst düzey kullanıcılar için güçlü parolalar kullanmak, iyi WordPress güvenliği için çok önemlidir. Yeni bir kullanıcı kaydolduğunda, WordPress varsayılan olarak güçlü parolalar oluşturur, ancak kullanıcılar bunu daha zayıf bir parola ile değiştirebilir. Üst düzey kullanıcılarınızın (yöneticiler ve editörler) her zaman güçlü şifreler kullandığına dikkat edin.

    5. İçeriğinizi Düzenli Olarak Dışa Aktarın

    Başarılı bir WordPress blogunuz varsa, içeriğiniz en önemli öğenizdir. Belirli saldırı türleri sırasında yayınlarınız, sayfalarınız, resimleriniz ve diğer içerik türleriniz tehlikeye girebilir. Bu nedenle, bunları bilgisayarınıza veya bir bulut depolama alanına kaydetmeyi unutmayın.

    Tüm içeriğinizi WordPress yönetimindeki Araçlar> Dışa Aktar menüsünden kolayca dışa aktarabilirsiniz. “Dışa Aktarma Dosyasını İndir” düğmesine basarak, WordPress indirebileceğiniz bir XML dosyası oluşturur. Gerektiğinde, Araçlar> Yönetici içe aktarma sayfasına aynı XML dosyasını yükleyerek içeriğinizi kolayca yeniden oluşturabilirsiniz.

    6. İhtiyacınız Olmayan Eklentileri ve Temaları Kaldırın

    Site sahipleri eklentileri aşırı kullanma eğilimindedir ve kullanmadıkları temaları silmez, bu da bazen WordPress güvenliğini ciddi şekilde tehlikeye atabilir. Daha fazla eklenti ve tema daha fazla güvenlik açığı anlamına gelir. Her yeni eklenti veya tema saldırıya uğrama riskini artırır.

    Bu nedenle, yalnızca tamamen gerekli olan eklentileri kullanın. Sadece devre dışı bırakmayın, aynı zamanda ihtiyacınız olmayanları da silin. Ayrıca, bir WordPress sitesinde yalnızca bir tema kullanabildiğiniz için, kullanmadığınız yüklü temaları bırakmak pek mantıklı değildir. Daha iyi WordPress güvenliği için etkin olmayanları silmeyi düşünün. İleride bunlara ihtiyacınız varsa, hızlı bir şekilde yeniden yükleyebilirsiniz.

    7. Veritabanınızı Düzenli Olarak Yedekleyin

    İçeriğinizi WordPress yöneticisi aracılığıyla dışa aktarmanın yanı sıra, veritabanı yedekleri oluşturmak da yararlı olabilir. Veritabanınızı hosting hesabınızın cPanel'i üzerinden yedekleyebilirsiniz. CPanel dosyanızdaki Dosya> Yedeklemeler menüsünü seçin ve SQL yedekleme dosyanızı indirin. Bir şeyler ters giderse, yedekleme dosyasını kullanarak veritabanınızı hızla geri yükleyebilirsiniz.

    Bazı hosting planları otomatik veritabanı yedekleme seçeneği de içerir. Veritabanınızı güvenli hale getirmek istiyorsanız, hosting firmanızdan yedekleme özelliği sunduğı bir hosting planı seçmeyi düşünün.

    8. Veritabanı Tablosu Ön Ekini Değiştirin

    WordPress varsayılan olarak veritabanı tabloları için wp_ önekini kullanır. Sitenizi daha güvenli hale getirmek için, wp-config dosyanızdaki $table_prefix değişkeninin değerini değiştirerek daha karmaşık bir tablo öneki kullanabilirsiniz. Tablo önekinde yalnızca sayı, harf ve alt çizgi kullanabileceğinizi unutmayın. Diğer karakterler, örneğin özel karakterler, geçersiz bir tablo önekiyle sonuçlanır.

    9. Güvenli Girişi Zorlayın

    Kullanıcıları güvenli SSL protokolü aracılığıyla yönetici alanında oturum açmaya zorlamak WordPress güvenliğini büyük ölçüde artırabilir. Ancak, bunu yalnızca sitenize bir SSL sertifikası yüklüyse yapabilirsiniz. Barındırma sağlayıcınızdan bir SSL sertifikası satın alabilirsiniz, ancak bu günlerde birçok barındırma planı ücretsiz Let Encrypt sertifikasıyla birlikte gelir.

    SSL sertifikası ile yönetici alanı veya sitenin tamamı için güvenli HTTPS protokolünü kullanabilirsiniz. Wp-config dosyanızın üstüne aşağıdaki satırı ekleyerek kullanıcıları güvenli https:// bağlantısıyla giriş yapmaya zorlayabilirsiniz:

    define( 'FORCE_SSL_ADMIN', true );

    10. Eklenti ve Tema Değişikliklerini Devre Dışı Bırakma

    Varsayılan olarak, yönetici kullanıcılar eklenti ve tema dosyalarını WordPress yöneticisinden düzenleyebilir. Bu harika bir özellik, ancak kötü niyetli bir saldırgan hesaplarına erişirse de tehlikeli olabilir.

    Wp-config dosyanıza aşağıdaki satırı ekleyerek yöneticiler için eklenti ve tema düzenleyicilerini devre dışı bırakabilirsiniz:

    define( 'DISALLOW_FILE_EDIT', true );

    Yalnızca eklenti ve tema düzenleyicilerini devre dışı bırakmak istemiyorsanız, aynı zamanda yöneticilerin WordPress yöneticisinden eklentileri ve temaları güncellemelerini engellemek istiyorsanız aşağıdaki kuralı kullanın:

    define( 'DISALLOW_FILE_MODS', true );

    Her iki sabiti aynı anda kullanmayın. Eklentileri ve temaları WordPress yöneticisi olarak güncellemek istiyorsanız DISALLOW_FILE_EDIT kullanın. Güncellemeleri arka plandan (SFTP aracılığıyla) gerçekleştirmenin bir sakıncası yoksa bunun yerine DISALLOW_FILE_MODS kullanın.

    11. Filtrelenmemiş HTML'ye izin vermeyin

    WordPress, yöneticilerin ve editörlerin sayfalardan, yayınlardan, widget'lardan ve yorumlardan HTML işaretlemesi ve JavaScript kodu yayınlamasına izin verir. Ancak, bu tehlikeli olabilir. Wp-config dosyanıza aşağıdaki kuralı ekleyerek gönderdikleri HTML'yi filtreleyebilirsiniz:

    define( 'DISALLOW_UNFILTERED_HTML', true );

    Bu şekilde, yayınladıkları HTML ve JavaScript yürütülmez. Bunun yerine, web sitesinde düz metin dizesi olarak görünür.

    12. wp-config Dosyanıza Erişimi Engelleyin

    Varsayılan olarak, herkes veritabanı adı, kullanıcı adı, parola ve diğer son derece hassas veriler gibi tüm yapılandırmalarınızı içeren wp-config dosyanıza erişebilir. .htaccess dosyanıza aşağıdaki kod snippet'ini ekleyerek wp-config dosyasına erişimi engelleyebilirsiniz:

    <Files wp-config.php>
    Order Allow,Deny
    Deny from all
    </Files>

    Yukarıdaki snippet'i, varsayılan WordPress .htaccess dosyasında Rewrite kurallarının altına, ancak etiketinin üzerine yerleştirin.

    13. Tüm .htaccess Dosyalarınıza Erişimi Engelleyin

    WordPress kurulumunuzdaki tüm .htaccess dosyalarına yetkisiz erişimi engellemekte mümkündür. .htaccess dosyalarınız Apache sunucu yapılandırmanızı içerir, ancak tarayıcıda herkese açıktır.

    Tarayıcınızın URL çubuğuna http://yoursite.com/.htaccess yazarsanız, ana .htaccess dosyanıza internetteki herkes tarafından erişilip erişilemediğini kontrol edebilirsiniz. .htaccess dosyalarınızı korumak için aşağıdaki .htaccess kuralını kullanın:

    <Files ~ "^.*\.([Hh][Tt][Aa])">
    Order Allow,Deny
    Deny from all
    Satisfy all
    </Files>

    14. XML-RPC'ye Erişimi Devre Dışı Bırakma

    WordPress, uzaktan yayınlama için veya üçüncü taraf uygulamalar tarafından sitenize bağlanmak için kullanılabilen XML-RPC protokolünü kullanır. Ancak saldırganlar bu özellikten yararlanabileceği için güvenlik açığıdır. Herhangi bir üçüncü taraf uygulaması kullanmıyorsanız .htaccess dosyanıza aşağıdaki snippet'i ekleyerek XML-RPC'yi devre dışı bırakmayı düşünün:

    <FilesMatch "^(xmlrpc\.php)">
    Order Deny,Allow
    Deny from all
    </FilesMatch>

    Jetpack gibi bazı popüler WordPress eklentilerinin de XML-RPC API'sini kullandığını unutmayın. Jetpack'i kullanmak istiyorsanız XML-RPC'ye erişimi devre dışı bırakmayın.

    15. Dizin Taramayı Devre Dışı Bırakma

    Birçok WordPress kullanıcısı bunu bilmese de, bazı WordPress dizinleri tarayıcıda listelenebilir.

    Herkes, yüklemeniz hakkında çok sayıda hassas bilgi edinebileceğinden, dizin ağacınıza herkese açık erişim WordPress güvenliğine son derece zararlı olabilir. .htaccess dosyanıza aşağıdaki satırı ekleyerek özelliği devre dışı bırakabilirsiniz:

    Options -Indexes

    Bu cevaba yorum yaz

    Yorum yazmak için lütfen kaydolun veya giriş yapın.

    Üye girişi | Kayıt ol

Bu soruyu mail olarak paylaş