WordPress tabanlı web sitelerinizin güvenliğini sağlamanız için az bilinen süper etkili ipuçlarını sizler için sıraladık. İşte WordPress güvenlik ipuçları.
WordPress, dünyada en çok kullanılan ve hemen hemen her türden web sitesi için altyapı olarak kullanılabilen bir CMS sistemi. Uzun uğraşlar vererek hazırladığınız web sitenizi, güvenlik zafiyetleri yüzünden kaybetmek istemiyorsanız birtakım önlemler almanız kaçınılmaz olacaktır. Dosya izinleri, giriş sınırlama, yedekleme gibi önlemleri içeren listemize giriş yapalım.
1. Tema ve Eklenti Editörünü Devre Dışı Bırakın
WordPress, tema ve eklentileri panel üzerinde düzenleme imkanı sunuyor. Kullanışlı ve pratik olan bu özelliği kullanırken yapacağınız ufak bir hata sitenizin çökmesine neden olabilir. Hackerlar da tema ve eklenti editörünü kullanmak için gerekli ayrıcalıklara sahip bir hesabın kontrolünü ele geçirerek sitenizi ele geçirmek adına dosyalara zararlı kodlar ekleyebilir. Bunun önüne geçmek için eklenti ve tema editörünü devre dışı bırakabilirsiniz. wp-config.php dosyasına aşağıdaki kodu ekledikten sonra kaydederek, FTP’ye göndermeniz yeterli olacaktır.
define( ‘DISALLOW_FILE_EDIT’, true );
2. İki Adımlı Doğrulamayı Etkinleştirin
İki adımlı doğrulama önlemini kullanarak hesaplarınızın güvenliğini sağlayabilirsiniz. Şifrenizi bilen birinin hesabınızı ele geçirmesinden endişeleniyorsanız, ikinci bir doğrulama adımı eklemeniz hesap güvenliğinizi arttıracaktır. WordPress’te yerleşik olarak bu özellik bulunmuyor, ancak çeşitli eklentilerle bloğunuzda iki adımlı doğrulamayı etkinleştirebilirsiniz. Eklentilerin kullanımını bilmiyorsanız Wordpress Sitenizi İki Adımlı Doğrulama ile Koruyun! başlıklı makalemizi de inceleyebilirsiniz.
Authy
Rublon
Clef
Google Authenticator
3. Girişleri Sınırlayın
Blogunuza erişim sağlamak için birçok yöntem kullanmaktalar. Bunlardan en yaygın olanı bruteforce adı verilen bir saldırı tekniği. Bu teknik ile şifreniz tahmin edilene kadar defalarca giriş yapılabiliyor. Bunun önüne geçmek için belli bir sayıdan sonra yapılan başarısız girişleri engelleyebilirsiniz.
4. Blogunuzu Düzenli Olarak Tarayın
Tema dosyaları, eklentiler, bağlantılar gibi görünüşte zararsız gibi görünen unsurlar hackerlar tarafından bloğunuza erişmek için kullanılabilir. Bunun için düzenli olarak web sitenizi taramak için güvenlik tarama eklentileri yükleyerek, dosyalar üzerinde yapılan değişikliklerin size bildirilmesini sağlayabilirsiniz. Bu konuda iyi bir eklenti olan Wordfence’i kurabilirsiniz. Şüpheli bir etkinlik olduğunda manuel ya da otomatik tarama seçeneği sunulduğu gibi aynı zamanda size anında bildirim gönderiyor.
5. Hostunuzu Değiştirin
WordPress sitelerinin maruz kaldığı saldırıların büyük bir kısmı, sitenin barındırıldığı hostingte bulunan güvenlik açıklarından dolayı yaşanıyor. Sektörde en bilinen ve güvenilir firmalardan hosting hizmeti alabilirsiniz.
6. WordPress Sürümünü Gizleyin
“WordPress sürümünü gizlemek ne gibi bir avantaj sağlar ki?” diye düşünüyor olabilirsiniz. Ancak durum hiç de sandığınız gibi değil. Yayınlanan WordPress sürümlerinde kimi zaman çeşitli güvenlik açıkları bulunabiliyor. Bu durumdan faydalanmak isteyen hackerlar da güvenlik açığının bulunduğu sürümü kullanan web sitelerini tespit ederek siteye zarar verebiliyorlar.
Bu durumu önlemek için WordPress Versiyonu Nasıl Gizlenir? başlıklı makalemizi inceleyebilirsiniz.
7. PHP Hata Raporlarını Devre Dışı Bırakın
Bir eklentinin veya tema dosyasının hata vererek sitenin yayınını aksattığı durumlarda PHP hata raporları size hatanın nedenini göstererek yardımcı olabiliyor. Ancak, PHP hata raporları hata veren sunucu yolunu içeren bilgileri ifşa ederek hackerlara karşı açık kapı bırakabiliyor. Bu sorunu çözmek için PHP hata raporlarını devre dışı bırakmanız gerekiyor. wp-config.php dosyasına aşağıdaki kodu ekleyerek sorunu ortadan kaldırabilirsiniz.
(error_reporting 0 );
@ini_set ( ‘display_errors’, 0 );
8. WordPress Dosya İzinlerini Ayarlayın
WordPress dosyalarının okuma, çalıştırma ve yazma izinlerini ayarlamanız, web sitenizde güvenlik açığı bulunmaması için önemli bir yere sahiptir. Bu izinleri ayarladığınızda hackerlar, sitenize erişim sağlamak için sunucu üzerindeki eklentiler, temalar ve dosyalara ulaşamayacaklardır. Hangi dosya ve klasöre hangi izinleri vermeniz gerektiğini bilmiyorsanız; WordPress Dosya İzinleri Nasıl Olmalı? (CHMOD Değerleri) başlıklı makalemizi incelemenizde fayda var.
9. Düzenli Yedek Alın
Web sitenize karşı yapılacak saldırılara önlem olarak yapabileceğiniz en etkili yöntem düzenli olarak yedekleme yapmanız olacaktır. Eğer web siteniz bir saldırıya maruz kaldıysa ve erişilemez durumdaysa, en son aldığınız yedekten sitenizi geri yükleyebilirsiniz. En iyi WordPress yedekleme eklentilerinden birkaçı şu şekilde:
BackUpWordPress
VaultPress
BackupBuddy
Ready! Backup
10. Oturum Açma Sayfalarına Erişimi Engelleyin
Hack saldırılarına karşı wp-admin ve wp-login.php sayfalarına erişimi engellemelisiniz. Eğer, statik yani sabit IP kullanırım diyorsanız, bloğunuza dışarıdan erişimi engellemeniz mümkün. Birden fazla IP adresi kullanarak da erişime izin verebilirsiniz.
.htaccess dosyasına aşağıdaki kodu ekleyebilirsiniz. Birden fazla IP adresi kullanabileceğinizi düşünerek, 5 adet IP alanı bulunuyor. Fazla olan satırları temizleyebilirsiniz.
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^Your IP address 1$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 2$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 3$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 4$
RewriteCond %{REMOTE_ADDR} !^ Your IP address 5$
RewriteRule ^(.*)$ - [R=403,L]