WordPress dünyadaki en fazla kullanılan yani en popüler içerik yönetim sistemlerinden (CMS) birisidir. Dünya üzerindeki tüm internet sitelerinin %20’ni WordPress oluşturmuştur. 76.5 milyon kişi ise web sitesine WordPress yüklemiştir (Birkaç aydan sonra kaldırmış veya değiştirmiş kişilerdir). Popüler olmasının ne yazık ki bazı eksileri de bulunuyor. Çünkü, tüm dikkat üzerinde oluyor ve kötü amaçlı yazılımcıların yani hackerların ön planına geçiyor.
WordPress Güvenlik
Web site güvenliği konusunda uzman şirket olan Securi tarafından yapılan araştırmada en fazla hacklenen içerik yönetimi sistemidir. Panik yapmaya gerek yok! Çünkü, WordPress bunun üstesinden gayet iyi bir şekilde geliyor. Her yeni gelen güncellemede açıklar kapatılıyor ve kullanıcılara daha iyi performans sunuluyor. Bu rehberimizde sitenizi nasıl garanti şekilde güvenilir şekilde getirebileceğinizi ve nasıl bir yol çizmeli olduğunuzu göstereceğiz.
Nelere İhtiyacınız Olacak?
Bu rehbere başlamadan önce aşağıdaki özelliklere sahip olmanız gerekiyor:
- WordPress Yönetici Paneline Erişim
- Hosting ve CPanel hesabınıza erişim (opsiyonel)
WordPress Sürümünüzü Hep Güncel Tutun
İlk ve en önemlisidir. Çünkü, hackerlar uzun bir süreç içinde bir açık yakalıyor. Aslında birçok açık bulsalar da daha yararlı ve gerçek erişim sağlaya bildikleri birkaçı oluyor. Bu yüzden güncel sürümlerin üzerine düşmüyorlar. Örneğin, 5.3 sürümü geldiyse 5.3 üzerinde çalışmaya başlarlar ve yeni güncellemeyi takmazlar. Hackerların karşısını almak için WordPress şirket zaten güncellemeler getiriyor.
Tüm WordPress kullanıcılarının sadece %22’si en son sürümü kullanmaktadır. Otomatik güncelleme özelliği sayesinde daha güvenli bir web sitesine sahip olabilirsiniz.
Daha Az Yaygın Olan Bilgileri Kullanma
Eskiden internet sadece bilgi edinmek için kullanılıyordu. Bu yüzden tehlike seviyesi neredeyse 0’a yakındı. Ancak şimdi her an bilginiz çalınabilir oldu. Bu yüzden artık admin veya yönetici gibi kullanıcı adı kullanmak çok riskli. Şifrelerinizi 1234 veya admin yazmayın. Artık yeni kullanıcı oluşturmanın zamanı geldi.
1. Yönetici paneline girin
2. Menü’den Kullanıcılar’a tıklayın ve Yeni Ekle sekmesine geçiş yapın.
3. Yeni bir kullanıcı için kullanıcı adı, e-posta, isim ve soyisim yazın. Parola kısmına WordPress’in oluşturduğu şifreyi yazmanız daha iyi olacaktır. Çünkü, karakter sayısı ve kullanılan karakterler, büyük ve küçük harfler, sayılar ile çok güçlü bir parolaya sahip olacaksınız.
4. Rol bölümünden Yönetici yapın.
5. Yeni kullanıcı hesabınız ile giriş yapın.
6. Kullanıcılar bölümüne geri dönün.
7. Admin kullanıcısını kaldırın.
2 Adım Doğrulama Etkinleştirme
İki-adım doğrulama, hesabınız için muazzam bir güvenlik katmanı oluşturuyor. İsminden de anlaşıldığı gibi giriş yapabilmek için uygulanması gereken ilave bir adım ekler. Bu özelliği muhtemelen e-posta, internet bankacılığı veya hassas bilgiler içeren herhangi bir hesabınıza kullanıyorsunuz. Peki neden WordPress’de de kullanmıyorsunuz?
PHP Hata Raporlamayı Devre Dışı Bırakma
Eğer web sitesi geliştiriyorsanız ve her şeyin düzgün çalıştığından emin olmak istiyorsanız PHP hata raporlama işinizi görecektir. Ancak hataları herkese göstermek ciddi bir güvenlik ihlalidir.
Olabildiğince hızlı olmanız gerekiyor. Endişelenmenize gerek yok, WordPress’de PHP hata raporlamayı kapatabilmek için kod bilgisine ihtiyacınız yoktur. Çoğu hosting sağlayıcısı hata raporlama özelliğini kontrol paneli içerisinden kapatma seçeneğini sunmaktadır. Eğer bu özellik hosting sağlayıcınızda bulunmuyorsa, wp-config.php dosyası içerisine aşağıdaki satırları ekleyin. Bu işi FTP istemcisi veya CPanel üzerinden Dosya Yöneticisi sekmesinden yapabilirsiniz.
error_reporting(0);
@ini_set(‘display_errors’, 0);
Nulled Tema Kullanmayın
“Bedava peynir sadece fara kapanındadır” sözünü aklınızdan çıkarmayın. Aynı şeyi nulled tema ve eklentiler için söyleyebiliriz.
İnternette binlerce nulled eklenti ve tema bulunuyor. Tanımadığınız biri için 1 ayınızı harcayıp herhangi bir şeyi ona ücretsiz sunmanız garip değil mi?
Kullanıcılar ve bilgisi olmayanlar bunları çeşitli Warez ve torrent siteleri üzerinden indirebiliyor. Bilmedikleri ise bunların çoğunun zararlı yazılımlar ve siyah şapka SEO bağlantılarıyla dolu olmasıdır. Herhangi bir tema indirdiğinizde bilgisayarınız çökmez veya bir şey yazmaz. Çünkü, bu virüsler geliştirildi. Tanımadığınız bir kişi bilgisayarınızda dolaşıyor ve istediği zaman girip bilgisayarınızı çökertebilir. Ancak şuan size bulaşmıyor.
WordPress Zararlı Yazılım Taraması
Hackerlar, WordPress’e zararlı yazılım bulaştırmak için genellikle eklentiler ve temalardaki açıkları kullanıtlar. Bu sebeple nulled tema kullanmayın. Ayrıca düzenli olarak sitenizi taramak hayati önem arzedecektir. Bu amaç doğrultusunda oldukça fazla ilgi almış ve güzel tasarlanmış eklentiler mevcut. Öne çıkanlar sırasında WordFence bulunuyor. Manuel ve otomatik tarama seçenekleri bulunuyor. Hatta değiştirilmiş veya zararlı dosyaları birkaç tık ile kurtarma şansınız var. Ücretsiz ve açık kaynaklıdır.
Diğer popüler WordPress güvenlik eklentileri:
(WordPress Güvenlik Duvarı Eklentisi) BulletProof Security – WordFence’in aksine, dosyalarınızı taramaz ancak bir güvenlik duvarı oluşturur. Veritabanı ve daha fazlasını sunuyor. Birkaç tıkla kurulabilir ve ayarlanabilir.
(WordPress Güvenlik Antivirüs Eklentisi) Sucuri Security – Bu eklenti sizi DDOS saldırılarına karşı korur. Kara liste oluşturur ve sitenize zararlı yazılımlara karşı tarama yaparak güvenlik duvarı oluşturur. Eğer bir kötü amaçlı yazılım tespit ederse e-posta ile bilgilendirme hizmeti de sağlıyor. Google, Norton, McAffe gibi ünlü karaliste motorları bu eklentide bulunuyor.
Dosya Düzenlemeyi Kapatma
WordPress açık kaynaklı olduğu için her türlü eklentiyle istediğiniz herşeyi yapabiliyorsunuz. Dahili dosya düzenleme aracı sayesinde PHP dosyalarını kolayca düzenleyebilirsiniz. Bu özellik kullanışlı olsa da bazı zararları da var. Eğer bir saldırgan yönetici paneline erişim sağladıysa o zaman bu sorun başlar. Bu özelliği kullanıcılara tamamen devre dışı bırakmak için aşağıdaki kodları wp-config.php dosyasına yerleştirin:
define( ‘DISALLOW_FILE_EDIT’, true );
Eğer bu özelliği tekrar aktif etmek istiyorsanız, FTP istemcisi veya hosting firmanızın Dosya Yöneticisi kullanarak bu kodu wp-config.php dosyasından kaldırın.
Wp-config.php Dosyasını Koruma
Wp-config.php dosyası WordPress ayarlarını ve MySQL veritabanı bilgilerini içeriyor. Bu sebeple en önemli WordPress dosyası olarak biliniyor. Hackerların ana hedefidir. Ancak bu dosyayı aşağıdaki .htaccess kurallarını kullanarak kolayca koruyabilirsiniz:
order allow,deny
deny from all