WordPress güvenliği söz konusu olduğunda, kullanıcılar genellikle iki farklı şekilde düşünürler: güvenliği ciddiye alan ve sitelerinin güvenliğini sağlamayı öğrenenler ve yeterince önemli olmadıkları için kendilerine hiçbir şey olmayacağına inanan veya umut edenler.
Ne yazık ki, ikinci grup genellikle yanlıştır. Çoğu güvenlik ihlali kişisel değildir, bunun yerine sitenizin göreceli önemini umursamayan meçhul otomatik komut dosyaları tarafından gerçekleştirilir.
Sonuç olarak, WordPress güvenliği herkes için önemli bir konudur. Sitenize güvenli ve sağlam kalma konusunda en iyi şansı vermek için, aşağıda WordPress sitenizi nasıl güvenli hale getireceğinize dair uygulanabilir ipuçlarını gözden geçireceğiz. Sitenizin tahrif edilmesi, saldırıya uğraması veya kaldırılmasının ardından uğraşmak zorunda kalmamak için vereceğimiz adımları mutlaka yerine getirin.
WordPress, mevcut en popüler içerik yönetim sistemlerinden biridir ve böyle olmasının iyi bir nedeni vardır. Kullanımı basit, binlerce tema ve eklenti mevcut ve onunla her türden web sitesi oluşturabilirsiniz. O zaman WordPress'in İnternet'teki tüm web sitelerinin %40'ından fazlasını güçlendirmesi şaşırtıcı olmamalı.
Ancak popülaritesinin bir bedeli var. WordPress genellikle bilgisayar korsanlarının hedefidir. Sucuri'ye göre 2019'da tüm web sitesi temizleme isteklerinin %94'ü WordPress site sahiplerinden geliyor, 2018'e göre bu %4'lük bir artışa tekabul ediyor. Örneğin, Aralık 2021'de 1,6 milyon WordPress sitesi yalnızca 36 saat içinde 13,7 milyon saldırıya uğradı.
Sitenizi hackerlardan nasıl koruyacağınızı en basit ve sadece şekilde gelin açıklayalım.
Merak ediyor olabilirsiniz, bilgisayarınızın web sitenizle ne ilgisi var? Bilgisayarınıza bir virüs veya başka bir kötü amaçlı yazılım bulaşmışsa ve sitenize erişir veya ona dosya yüklerseniz, bu dosyalar web sitenize de bulaşabilir. Bundan kaçınmak için şunlardan emin olun:
Hosting paketini hangi sağlayıcıdan temin ettiyseniz genellikle sitenize erişmek için hackerların ilk adresi sağlayıcınız olacaktır. Bu nedenle, WordPress web sitenizi güvence altına almanın ilk adımı, uygun güvenlik önlemleri uygulayan bir hosting şirketine yatırım yapmaktır. Buna PHP, MySQL ve Apache'nin en son sürümünün yanı sıra bir güvenlik duvarı ve 7/24 güvenlik izleme desteği dahildir. Ayrıca, daha az güvenli FTP yerine SFTP veya SSH bağlantıları sunduklarına mutlaka bakın.
Ek olarak, günlük yedeklemeler ve düzenli kötü amaçlı yazılım taramaları (örneğin Atak Domain gibi) gerçekleştiren bir hosting sağlayıcı seçin. Çeşitli DDoS önleme önlemleri uygulayan hosting şirketlerini bile bulabilirsiniz. Ayrıca, güvenliği ihlal edilmiş web sitelerini kurtarmak için hosting şirketinizin yardım açısından neler sunduğunu kontrol ettiğinizden emin olun. Şüphe duyduğunuzda, her zaman ev sahibinize hangi güvenlik prosedürlerine sahip olduklarını sorun.
Şifreler, her web sitesinin zayıf noktalarından biridir. Neyse ki, onlar da sizin kontrolünüz altında olan şeylerdir. WordPress web sitenizi güvende tutmak için aşağıdakiler için güçlü şifreler kullandığınızdan emin olun:
Ayrıca şifrelerinizi sık sık değiştirin. Eğer yapamıyorsanız sizin için şifre üretebilecek bir çok site bulunuyor. Bu siteden yardım alabilirsiniz.
WordPress ayrıca size güvenli şifreler önerir ve şifrenizin gücünü gösteren bir göstergeye sahiptir.
Bu önlem sadece kendi şifrelerinizle değil, aynı zamanda sitenizdeki diğer kişilerin şifreleriyle de ilgilidir. Oluşturdukları riski en aza indirmek için öncelikle herkesin sadece yapması gerekeni yapma iznine sahip olduğundan emin olun. Bunun için, ne yaptıklarını ve her rolün neler yapabileceğini anlamak için WordPress kullanıcı rollerine aşina olmak mantıklıdır.
Örneğin, bir kerelik misafir blog yazarına yönetici erişimi vermek istemezsiniz. Bir “Katılımcı” rolü muhtemelen çok daha uygundur. Aslında, güvenli tarafta olmak için varsayılan kullanıcı rolünüzü ( Ayarlar > Genel > Yeni Kullanıcı Varsayılan Rolü altında) Abone olarak ayarlamak istemeniz oldukça mantıklı olacaktır.
Ayrıca, WordPress güvenliğinin geçici izinler vermesi ve daha sonra iptal etmesi iyi bir uygulamadır. Bunu, Kullanıcılar menüsünde kullanıcı rollerini değiştirerek ve ardından kişi işini yaptığında geri dönerek kolayca yapabilirsiniz.
Ayrıca, artık ihtiyacınız olmayan veya artık kullanımda olmayan tüm kullanıcı hesaplarını silin. Sitenizdeki diğer kullanıcıları da güçlü şifreler kullanmaya zorlamanın yolları vardır. Birçok WordPress güvenlik eklentisi bu işlevi içerir ve ayrıca Password Policy Manager gibi ücretli eklentiler dahi vardır.
Sitenize yeni gönderiler ve makaleler eklemek için bir katkıda bulunan veya editör hesabı oluşturmayı düşünün. Peki bu nasıl yardımcı olacak? WordPress, sitede bir şeyler yayınlayan her yazar profili için otomatik olarak bir yazar arşivi oluşturur. Genellikle siteniz.com/author/authorname gibi bir şeyin altında bulunur.
Sorun, yazarın oturum açma adı URL'de düz metin olarak yazıldığından, bunun potansiyel bilgisayar korsanlarına oturum açma bilgilerinin bir bölümünü vermesidir. Yine, şimdi tek yapmaları gereken şifreyi tahmin etmektir. Bu nedenle sitenizde görünen yazarların yönetici haklarına sahip olmaması daha iyidir.
Bir sonraki ipucu, bir süre hareketsiz kaldıktan sonra boşta kalan kullanıcıların oturumunu kapatmaktır. Bu özelliği muhtemelen bankacılık sitelerinden biliyorsunuzdur. Sizin veya bir başkasının, herkese açık bir bilgisayarda yanlışlıkla oturum açarak veya ekrandan bir süre uzaklaştıklarında sitenizi tehlikeye atmasını önler.
Bu gereklidir çünkü oturumunuz ele geçirilebilir ve bilgisayar korsanları durumu kendi kazançları için kötüye kullanabilir. Web sitenizde birden fazla kullanıcınız varsa, etkin olmayan oturumları sonlandırmak daha da önemlidir. Ayrıca bu işlemi otomatik olarak yapmak için Inactive Logout gibi bir eklenti kullanabilirsiniz.
Güncel olmayan dosyalar, sitenizi kötüye kullanımlara karşı savunmasız bıraktıklarından bir güvenlik riski oluşturur. Bu hem WordPress'in kendisi hem de temalar ve eklentiler gibi bileşenler için geçerlidir. Güncellemeleri, genellikle güvenlik hata düzeltmeleri de dahil olmak üzere, iyi bir nedenle alırlar. Aslında, WordPress güvenlik açıklarının %98'i eklentilerden kaynaklanmaktadır.
Web sitenizi Kontrol Paneli > Güncellemeler üzerinden manuel olarak güncelleyebilirsiniz. Her zaman önceden sitenizi yedeklemeyi unutmayın. Daha da iyisi, güncellemeleri önce bir hazırlama veya geliştirme sitesinde uygulayın, her şeyin yolunda olup olmadığını kontrol edin, ardından bunları canlı sitenize uygulayın.
WordPress otomatik güncelleme işlevini kullanmak da mümkündür. Ayrıca temalar ve eklentiler için otomatik güncellemeleri etkinleştirebilirsiniz. Temalar için Görünüm > Temalar seçeneğine gidin, tercih ettiğiniz şablona tıklayın ve ardından Otomatik güncellemeleri etkinleştir bağlantısını kullanın.
Özet
WordPress, herkesin bir web sitesi oluşturmasını kolaylaştıran güçlü ve popüler bir CMS'dir. Ancak çok yaygın olarak kullanıldığından, bilgisayar korsanlarının da favori hedefidir.
Neyse ki, WordPress sitenizi korumak için atabileceğiniz birkaç adım var. Yukarıda belirtilen her şeyi yapmak zorunda olmadığınızın farkında olun. Temel en iyi uygulamaları takip edin ve hackerların saldırılarından olabildiğince uzaklaştığınızı göreceksiniz.
Ondan sonra, yapabildiğinizi ve yapabileceğinizi hissedin. Güvenlik, tekrarlanan bir süreçtir, tek seferlik bir anlaşma değil. Her zaman daha fazlasını yapabilirsiniz ama en önemli şey başlamaktır.