Nihai WordPress Güvenlik Kontrol Listesi

8 Aralık 2023
Makaleler

Online güvenlik konusuna, kimsenin güvende olmadığını ve herkesin sizi almaya çalıştığını söyleyen bir felaket tellalı gibi konuşmadan yaklaşmak bazen zordur. İnterneti kullanan insanların büyük çoğunluğunun internette tamamen yasal şeyler yaptıkları ve günlerini geçirdikleri doğru olsa da, hala interneti kötü şeyler yapmak için kullanan pek çok insan var. Bazıları da web sitenize girmeye çalışacak.

Bir WordPress web siteniz varsa, onu makul ölçüde güvenli tutma sorumluluğunuz vardır. Ziyaretçileriniz hakkında ne kadar çok veriye sahip olursanız – özellikle web sitenizden alışveriş yapıyorlarsa – sorumluluğunuz o kadar büyük olur. Her türlü saldırıyı (kaba kuvvet, siteler arası komut dosyası çalıştırma, arka kapılar, DDoS ve eski güzel kimlik avı) öğrenmeli ve ardından web sitenizi, sahibi olarak kendinizi ve onu kullanan insanları korumanın etkili yollarını bulmalısınız.

Son bölümde, yani web sitenizi korumanın etkili yollarını bulmakta size yardımcı olmak için buradayız. Web sitenizi güvence altına almak için atabileceğiniz en önemli adımların bir listesi olan nihai WordPress güvenlik kontrol listesini sizinle paylaşacağız.

Liste şunları içerir:

  • Hosting İle İlgili En İyi Seçimleri Yapmak

  • Parolaların Güvenliğini Sağlama ve Oturum Açma Prosedürü

  • Web Sitenizi Yedekleme

  • WordPress’i Güncel Tutmak

  • İyi Eklenti Güvenliği Uygulamalarını Takip Etmek

  • İyi Tema Güvenliği Uygulamalarını Takip Etmek

  • Güvenlik Eklentilerini Yükleme

  • Web Sitenizi Tarama

  • SSL/HTTPS’yi etkinleştirme

  • SFTP’yi kullanma

  • Kullanıcıları ve Rolleri Yönetme

  • Erişimi ve İşlevleri Yönetme

  • Dosyaları Devre Dışı Bırakma veya Engelleme

Hosting İle İlgili En İyi Seçimleri Yapmak

Hosting İle İlgili En İyi Seçimleri Yapmak

Her zaman yapmanız gereken ilk şey, kullandığınız barındırma sağlayıcısının yeterli güvenlik önlemlerine sahip olduğundan emin olmaktır. Ne de olsa güvenlik, bir barındırma sağlayıcısı seçerken kontrol etmeniz gereken şeylerden biridir. Aramanız gereken şeyler şunları içerir:

  • Bir güvenlik duvarı ve DDoS koruması

  • IP yasaklama ve coğrafi konum tabanlı engelleme seçenekleri

  • Şifreli bağlantılar için tercih

  • Düzenli yedeklemeler

  • Düzenli yazılım güncellemeleri

Sizin açınızdan, farklı barındırma paketlerinin farklı güvenlik düzeyleriyle geldiğini anlamalısınız; VPS ve özel barındırma daha güvenli iki seçenektir.

Parolaların Güvenliğini Sağlama ve Oturum Açma Prosedürü

Parolalarınızın ve oturum açma prosedürünüzün web sitenizin zayıf noktası olmadığından emin olmak için atabileceğiniz birçok adım vardır. Parolalarla başlayarak şunları yapabilirsiniz:

  • Web sitesini kullanan herkesin güçlü parolalar oluşturduğundan emin olun

  • İyi parola yöneticilerinin kullanımını teşvik edin

  • İyi parola tutma ve güvenlik uygulamalarını teşvik edin

Parolalarla, tüm parolaları kısa ve basit tutmak ve insanların bunları paylaşmasını engellemek için insan doğasına aykırı çalışıyorsunuz. Oturum açma prosedürünü güvenceye alırken şunları yapmak isteyeceksiniz:

  • Varsayılan oturum açma URL’sini değiştirin

  • İki faktörlü kimlik doğrulamayı etkinleştir

  • Oturum açma sayfası için Captcha’yı ayarlayın

  • Oturum açma girişimleri için bir sınır belirleyin

Bu adımları takip etmek, oturum açmayı daha sıkıcı hale getirse bile web sitenizi daha güvenli hale getirmede uzun bir yol kat edecektir. Web sitesini olabildiğince güvenli hale getirirken rahatlık ve güvenlik arasında bir orta yol bulun.

Web Sitenizi Yedekleme

Web Sitenizi Yedekleme

Web sitesi barındırıcınız web sitenizin ücretsiz yedeklerini sunsa bile, yine de yedeklerinizi ayarladığınızdan emin olmalısınız. Fazlalıkların yerinde olması, verilerinizi kaybetme riskinden daha iyidir. Ayrıca yedekleme, bir şeyler ters giderse düzeltmenin bir yolu olduğunu bilerek belirli güvenlik önlemlerini uygulamanız için size biraz hareket alanı sağlar.

Web sitenizi yedeklemenin birçok yolu vardır. Örneğin manuel yedekleme yapabilirsiniz. UpdraftPlus gibi bir eklenti veya WordPress için diğer birçok yedekleme eklentisinden birini de kullanabilirsiniz. Hedeflenen yedeklemeler gerçekleştirebilir ve dosyaları ve hatta veritabanını manuel olarak yedekleyebilirsiniz.

WordPress’i Güncel Tutmak

WordPress her güncellemeyle daha da iyi olmaya devam ediyor. Yine de birçok kişi, genellikle bir güncellemenin bazı sorunlara yol açabileceğini düşünerek düzenli güncellemelerden vazgeçmeye karar verir. Gerçekte – olabilir. Bununla birlikte WordPress’in eski bir sürümünü kullanmak daha da fazla zarar verebilir.

Güncel olmayan WordPress bir güvenlik sorunudur. WordPress’i güncellemenin birkaç yolu vardır ve bunlardan birini seçip işi bitirebilirsiniz. Her ihtimale karşı, önce web sitenizi yedeklediğinizden emin olun.

İyi Eklenti Güvenliği Uygulamalarını Takip Etmek

İyi Eklenti Güvenliği Uygulamalarını Takip Etmek

Eklentiler, temalarla birlikte WordPress ile ilgili en iyi şeylerden biri olabilir. Yapabildikleri tüm iyiliklere rağmen, potansiyel güvenlik endişelerine dönüşmeleri de kolaydır. Eklentilerle ilgili olarak her zaman aşağıdakileri içeren en iyi güvenlik uygulamalarını izlemenizin nedeni budur:

  • İstediğiniz zaman yüklediğiniz eklenti sayısını sınırlamaya çalışın

  • Eklentilerinizin güncellendiğinden emin olun

  • Artık kullanmak istemediğiniz veya çok eski olan eklentileri kaldırın.

  • Eski veya geliştiricileri tarafından desteklenmeyen eklentiler için alternatifler bulun

Bu uygulamaları takip etmek zor olmamalı ve sizi eklentiyle ilgili güvenlik sorunlarından makul ölçüde koruyacaktır. Her ihtimale karşı, eklenti güvenlik açıklarıyla ilgili olarak kulağınızı yerde tutabilirsiniz.

İyi Tema Güvenliği Uygulamalarını Takip Etmek

WordPress temaları, eklentiler kadar potansiyel risk oluşturmayabilir, fakat bu, onlardan kötü bir şey çıkmayacağı anlamına gelmez. Web sitenize yüklediğiniz her şey olası bir risktir. Temalar için şunları yaptığınızdan emin olmak istersiniz:

  • Yalnızca doğrulanmış, güvenilir tema geliştiricilerin temalarını yükleyin

  • Nulled temalardan uzak durun

  • Temanızın her zaman güncel olduğundan emin olun

  • Kullanmayı planlamadığınız tüm temaları kaldırın

Bu liste sizi premium temalara doğru itiyor gibi görünebilir. Fakat iyi geliştiricilere bağlı kalmak çok daha önemlidir. Örneğin Qi Temamızı deneyebilir ve premium temanın birçok avantajından ücretsiz olarak yararlanabilirsiniz.

Güvenlik Eklentilerini Yükleme

Güvenlik Eklentilerini Yükleme

Bilgisayarınızın bir virüsten koruma, kötü amaçlı yazılımdan koruma veya benzer türde bir güvenlik uygulamasına ihtiyacı olduğu gibi, WordPress web sitenizin de bir güvenlik eklentisine ihtiyacı vardır. Bu eklentilerin web sitenizin güvenliği üzerinde muazzam bir etkisi olabilir, bu yüzden iyi bir eklenti seçtiğinizden emin olun.

Bir güvenlik eklentisinde nelere dikkat edilmelidir? Etkinlik denetimi, dosya bütünlüğünün ve kara listelerin izlenmesi ve genel güvenlik güçlendirmesi yalnızca başlangıçtır. Ayrıca güvenlik duvarı, trafik trendlerini izleme ve spam filtreleri ile birlikte gelen bir eklenti aramalısınız. Tüm özellikleri tek bir eklentide bulamayabileceğinizi ve en fazla korumayı elde etmek için bir eklentinin ücretli sürümünü seçmeniz gerekebileceğini unutmayın.

Web Sitenizi Tarama

Web sitenizi tarayabilen bir güvenlik eklentiniz varsa, taramayı yaptığınızdan emin olmalısınız. Web sitenizi taramak, düzenli web sitesi bakımınızın bir parçası olabilir.

Alet kemerinizi online güvenlik tarayıcılarıyla genişletebileceğinizi unutmayın. Bu araçlar, web sitenizin güvenliğini dürtmek ve geliştirmek ve güvenlik açıklarını aramak için özel olarak tasarlanmıştır.

SSL/HTTPS’yi etkinleştirme

SSL/HTTPS'yi etkinleştirme

İnsanların bilgilerini bıraktıkları herhangi bir e-ticaret web sitesi veya başka herhangi bir web sitesi – bu yalnızca bir e-posta adresi olsa bile – kendisi ve tarayıcı arasında şifreli bir bağlantı sağlamalıdır. WordPress ile bunu yapmak, bir SSL sertifikası eklemek kadar kolaydır.

Verilmiş, HTTPS’ye geçmek biraz çalışma gerektirecek bir şeydir. Ayrıca size yardımcı olabilecek SSL eklentileri olabilir – ne şekilde yaparsanız yapın, ziyaretçileriyle değiş tokuş ettiği bilgileri şifreleyen bir web sitesine sahip olduğunuz sürece sorun yoktur.

SFTP’yi kullanma

SSH, SSL ile kolayca karıştırılsa da ikisi aynı şey değildir. Fakat ikisi de web sitenizin güvenliğini artırır. SSL, insanların tarayıcıları kullanarak web sitenize güvenli bir şekilde erişmesine olanak tanır ve SSH, web sitenize FTP aracılığıyla erişmek için aynı şeyi yapar.

Barındırma sağlayıcınızı seçerken, Güvenli Dosya Aktarım Protokolü’nün kısaltması olan SFTP’yi destekleyen bir sağlayıcı seçtiğinizden emin olmalısınız. Bu “S” çok fark yaratır, bu yüzden onu kullanabildiğinizden emin olun.

Kullanıcıları ve Rolleri Yönetme

Kullanıcıları ve Rolleri Yönetme

Çoğu zaman, güvenlik ve güvenlik web sitenize erişimi olan kişilere bağlıdır. Dünyadaki tüm yazılımlar ve uygulamalar sizi kötülükten, kötü niyetten veya sadece tembellikten kurtaramaz. Buna karşı koymanın bir yolu, kullanıcı yönetimini uygulamaktır. Örneğin şunları yapabilirsiniz:

  • Kullanıcılarınızın aktivitelerini günlüğe kaydedin, en azından giriş tarihlerini izleyin

  • Kullanıcı izinlerini sınırla

  • Varsayılan yönetici hesabını silin ve aynı izinlere sahip başka bir hesapla değiştirin

  • Yönetici veya kullanıcı gibi bariz kullanıcı adlarından kaçının

  • Boştaki kullanıcılar için otomatik oturum kapatmayı ayarlayın

Bu kullanıcı yönetimi listesindeki öğelerin tümü olmasa da bazılarında size yardımcı olabilecek çok sayıda kullanıcı yönetimi eklentisi vardır.

Erişimi ve İşlevleri Yönetme

Kullanıcıları ve rolleri yönetmek bir şeydir. Web sitenizin bazı bölümlerine erişilememesi veya bazı işlevlerin gerçekleştirilememesi tamamen farklı bir şeydir. Örneğin erişimi yönetmek, kaba kuvvet saldırılarına karşı savaşırken yapmanız gereken bir şeydir. Malısın:

  • /wp-admin klasörünü parolayla koruyun

  • /wp-includes, /wp-content/uploads, /wp-content içinde PHP dosya yürütmesini devre dışı bırakın

  • Dizin indekslemeyi ve taramayı devre dışı bırakın

  • Veritabanı önekini değiştir

  • Tema ve eklenti düzenleyicilerini devre dışı bırakın

  • wp-config.php dosyasını koruyun

Erişimi yönetmek için ihtiyaç duyacağınız birkaç şey var. En önemlisi, .htaccess dosyasını bulmak için bir yola ihtiyacınız olacak, fakat birkaç yeni dosya oluşturmak da isteyebilirsiniz. Ayrıca en azından veritabanı yönetiminin temellerini anlamak isteyeceksiniz. wp-config dosyasının nasıl düzenleneceğini öğrenmek de zarar vermez.

Dosyaları Devre Dışı Bırakma veya Engelleme

Dosyaları Devre Dışı Bırakma veya Engelleme

WordPress, ihtiyaç duymadığınız, düzenli olarak kullanmadığınız veya arka planda çalışır durumda bırakılamayacak kadar riskli birçok dosyaya sahiptir. Bu dosyalar ve işlevler en iyi şekilde devre dışı bırakılır veya engellenir. Onlar içerir:

  • Bir eklenti veya .htaccess aracılığıyla devre dışı bırakmanız gereken xmlrpc.php dosyası

  • Kullanmıyorsanız devre dışı bırakmanız veya yalnızca kimliği doğrulanmış kullanıcıların erişebilmesini sağlamanız gereken RestAPI

  • .htaccess ile üçüncü taraf erişimi engellenebilen Licence.txt, wp-config-sample.php ve readme.html

Bu dosyaları veya işlevleri devre dışı bıraktıktan veya bloke ettikten sonra, web sitenizde bilgisayar korsanlarının deneyebileceği ve yararlanabileceği daha az saldırı noktası olacaktır.

Çözüm Yolu

Web sitesi sahipleri veya yöneticileri için güvenlik, asla gözden kaçırmamaları gereken birkaç şeyden biridir. Güvenlik tehditlerini hafife almanın olası sonuçları, hem sahipler hem de kullanıcılar için yıkıcı olabilir.

Bir WordPress web siteniz varsa, bu kontrol listesi, WordPress web sitesi sahiplerinin karşılaştığı birçok sorunu ele almanıza yardımcı olacaktır. Fakat güvenlik sorunlarının kesin bir listesi diye bir şeyin olmadığını unutmayın. Bu kontrol listesini izlemeniz yapmanız gereken bir şey olsa da sizi gelecekteki olası tehditlere karşı tetikte olmak zorunda kalmaktan kurtarmayacaktır.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Birlikte Büyüyen Bir İş Kurma Fırsatı!

İş birliği yaparak, işinizi yalnızca bir adım öteye taşıyoruz. Daha detaylı bilgi isterseniz mail adresinizi bize iletebilirsiniz.

  • Arin Yazılım © 2014 – 2024 · Tüm hakları saklıdır
Bize Ulaşın