WordPress ile herkes gerçekten bir web sitesi yapabilirken, tüm web siteleri eşit şekilde oluşturulmaz. Basit bir blogun yalnızca okuyucularına hizmet verecek kadar kararlı olması gerekir, fakat kullanıcı oturum açma verilerini toplayan bir web sitesi, GDPR, CCPA veya benzer bir veri koruma yasası kapsamında veya en iyi uygulama olarak daha fazla güvenlik gerektirir. WooCommerce mağazaları yalnızca kullanıcı verilerini toplamakla kalmaz, aynı zamanda kredi kartı verilerini de toplayarak WooCommerce güvenliğini oldukça hassas hale getirir.
İtibar kazanmak zordur ama kaybetmek kolaydır. Güvenlik ihlali geçmişi olan bir online mağazaya kredi kartı bilgilerinizi verme konusunda kendinize güvenir misiniz? Biz öyle düşünmedik. Bu yüzden bir WooCommerce mağazası işletiyorsanız, onu mümkün olduğu kadar güvenli bir şekilde kullanmakla ilgilendiğinizi varsayıyoruz. Bahsedeceğimiz şey bu:
-
Sunucularınızla Başlayın
-
Güncelle, Güncelle, Güncelle, Ama Önce: Yedekle!
-
FTP Ayarları
-
Şifreler ve 2FA
-
Giriş Sınırlayıcı kullanın
-
Düzenli Yedeklemeler
-
Kötü amaçlı yazılımları tara
Sunucularınızla Başlayın
WordPress kullanıcılarının çoğunun sunucuları yoktur ve aynısı WooCommerce mağaza operatörleri için de geçerlidir. Bu yüzden bu adım, temel olarak bir barındırma sağlayıcısı seçiminize kadar kaynar. Barındırma sağlayıcınız, veritabanınız da dahil olmak üzere tüm web sitesi dosyalarınızı depolar ve bu dosyaları kötü niyetli saldırılardan korumak için koruma önlemlerine sahip olmalıdır. Yukarıda bağlantısı verilen makalede, WordPress web siteniz için bir sağlayıcı seçmenin genel yönleri hakkında uzun uzun konuştuk. Burada güvenlik yönlerine odaklanacağız.
Çoğu şeyde olduğu gibi, ödediğinizin karşılığını alırsınız: güvenlik büyük çaba gerektirir ve ücretsiz barındırmada, barındırma sağlayıcısı muhtemelen bunu minimumda tutacaktır. Göz önünde bulundurmanız gereken bazı önemli özellikler şunlardır: SSL sertifikaları (zorunluluk), güncel yazılımlar (bu metinde bu tekrarlanacaktır – her zaman en son güncellemeye sahip olduğunuzdan emin olun), disk yazma koruması veya sınırlaması, yedeklemeler ve günün her saati desteğe erişim.
Bazı ana bilgisayarlar, hizmet paketlerinin bir parçası olarak düzenli yedeklemeler ve güvenlik taramaları sunabilir. Tavsiyemiz en azından bunu dikkate almanızdır.
Güncelle, Güncelle, Güncelle, Ama Önce: Yedekle!
Sunucu yazılım güncellemeleriniz muhtemelen barındırma sağlayıcınıza bağlı olacaktır, fakat yine de sunucunuzun PHP’sinin güncel sürümünü barındırma hesabınızın arka ucundan kontrol edebilmeniz gerekir. Fakat web sitenizin kullandığı tüm yazılımları güncelleyerek bunun ötesine geçmeniz gerekir. Buna temalar, eklentiler ve WordPress yazılımının kendisi dahildir.
Daha önce de belirttiğimiz gibi, eski yazılımlar bir güvenlik açığıdır. Geliştirici, herhangi bir yazılım parçasını çeşitli nedenlerle terk edebilir, bu da yazılımın güvenlik özelliklerini güncellemeyi de durdurduğu anlamına gelir. Temalar ve eklentiler gibi WordPress yazılımları dünya çapında binlerce kişi tarafından geliştirildiğinden uyumluluk sorunları ortaya çıkabilir. Tüm bunlar, alışveriş yapanlarınızın veri güvenliğini etkileyebilir. Bu yüzden WordPress web sitenizi düzenli olarak, fakat özellikle büyük güncellemeler yapmadan önce yedeklemelisiniz.
Güvenlik dışında, WordPress güncellemesinin performans açısından da faydaları vardır. Biraz teknik olabilir, fakat bir web yöneticisinin üstesinden gelemeyeceği bir şey değildir. Eklentilerinizi güncellemek ise nispeten kolaydır ve hatta bir eklenti kullanılarak otomatikleştirilebilir.
FTP Ayarları
Web sitenize başka bir yasa dışı erişim yolu FTP veya Dosya Aktarım Protokolü olabilir. Genellikle, web sitenizi korumak için hangi cihazı kullanırsanız kullanın, web sitesi sunucunuza bağlanmak için FTP hesaplarını kullanırsınız.
FTP’nin nasıl doğru şekilde kullanılacağı hakkında söylenecek çok şey var, bu yüzden kısaca anlatacağız: emin olmanız gereken şey, web sitenizin kök dizinine ve ayrıca wp-admin, wp-includes ve wp’ye yalnızca güvenilir FTP hesaplarının eriştiğidir. -içerik klasörleri.
Şifreler ve 2FA
Şimdi bir zincir ancak en zayıf halkası kadar güçlüdür ve bir parola için password123 kullanmaktan, belki de tüm parolalarınız için password123 kullanmaktan daha zayıf bir halka düşünecek durumda değiliz.
En iyi uygulamalar artık tüm hesaplarınız için benzersiz ve güçlü parolalar oluşturmak anlamına geliyor. Bu durum sözlük sözcüklerinden ve adlarından kaçınmanız ve bunun yerine dizelerde mümkün olduğunca uzun süre büyük ve küçük harfler, rakamlar ve noktalama işaretleri ile karıştırmanız gerektiği anlamına gelir. Bu durum şifrelerinizin kırılmasını ve aynı zamanda hatırlanmasını da zorlaştıracaktır, bu yüzden bir şifre yöneticisine yatırım yapmayı düşünmelisiniz. Parola yöneticileri, güçlü parolaları hepsini hatırlamaya gerek kalmadan saklamanın basit ve güvenli bir yoludur.
Özellikle hassas alanlarda (yani, WooCommerce mağazaları ve kullanıcı verilerini toplayan diğer web siteleri ile), parolalarınızı daha güvenli hale getirmek için değiştirmenin ötesine geçmelisiniz: kesinlikle iki faktörlü kimlik doğrulamayı tanıtmalısınız. İki faktörlü kimlik doğrulama, basitçe başka bir koruma katmanıdır: sadece bir parolayı bilmek artık oturum açmak için yeterli değildir. Bu durum parolanızın güvenliği ihlal edilse bile, kötü niyetli kişilerin herhangi bir gerçek zarar vermesini kolaylaştırmayacağı anlamına gelir.
Sizin için geçerli olanın, oturum açma kimlik bilgilerine sahip tüm personeliniz için de geçerli olduğunu söylememiz gerekir: Tek bir zayıf parolayı göze alamazsınız.
Giriş Sınırlayıcı kullanın
Kaba kuvvet saldırıları, bilgisayar korsanlarının oturum açma formlarınızı ihlal etmek için kullandıkları bir yöntemdir. Bunu, doğru olanı bulana kadar sayısız kullanıcı adı ve parola kombinasyonunu otomatik olarak denemek için yazılım kullanarak yaparlar.
Bu saldırıların başarılı olmasını önlemenin bir yolu, yukarıda tartıştığımız gibi, güçlü parolalar ve 2 faktörlü kimlik doğrulama kullanmaktır. Giriş denemelerini sınırlamayı da düşünebilirsiniz. Aynı IP adresinden oturum açma girişimi sayısını sınırlayarak, bilgisayar korsanlarının mağazanızın güvenliğini ihlal etme yeteneğini sınırlamış olursunuz. Giriş sınırlayıcı, onları geçici veya kalıcı olarak kilitleyecektir.
Düzenli Yedeklemeler
Yukarıdakilerin tümü, ana bilgisayarda saldırıya uğramaktan nasıl kaçınılacağıyla ilgilidir. Peki ya online mağazanız saldırıya uğrarsa? Güncellemeleri yüklemeden önce web sitenizi yedeklemekten zaten bahsetmiştik, fakat güncelleme yapmayı düşünmüyorsanız bile gerçekten düzenli yedeklemeler yapmalısınız: saldırıya uğraması ve önemli dosyaların silinmesi veya silinmesi durumunda web sitenizi bu şekilde geri alırsınız. hasarlı.
Ana makineniz bir paketin parçası olarak yedeklemeler ve güvenlik taramaları sunuyor olabilir. Bu durumda, web sitenizin saldırıya uğradığını fark etmeniz durumunda online mağazanızın güvenli olduğu bilinen son sürümüne otomatik olarak geri dönmelerini sağlayabilirsiniz. Değilse, muhtemelen web sitenizi kendi yedeğinizden manuel olarak geri yüklemeniz gerekecektir. Ve sunucunuz düzenli yedeklemeler gerçekleştirse bile, ekstra güvenlik sağlamanın ve kendi yedeklemelerinizi bağımsız yapmanızın hiçbir zararı yoktur.
Elbette dosyalarınızı yedeklemek ve web sitenizi yedekten geri yüklemek uzun ve meşakkatli süreçler olabilir. Öyleyse, bu süreçleri otomatikleştirmek istiyorsanız, WordPress için aralarından seçim yapabileceğiniz bir dizi yedekleme eklentisi olması şaşırtıcı değil.
Kötü amaçlı yazılımları tara
Barındırıcınız güvenlik taramalarını kendisi gerçekleştirebilse de, her ihtimale karşı kendi taramalarınızı yapmanız, yedeklemelerde olduğu gibi zarar vermez. Kötü amaçlı yazılım, eklentiler ve temalar gibi hatalı veya güncel olmayan yazılımlar kullanılarak web sitenize getirilebilecek kötü amaçlı yazılımdır, fakat yorumları kullanarak bile tanıtmanın yolları vardır. Müşterilerinizin web sitenizle etkileşim kurma yolları ne kadar fazlaysa, o kadar dikkatli olmalısınız.
WordPress web sitenizi kötü amaçlı yazılımlara karşı taramak manuel olarak yapılabilir, fakat çok sayıda dosyayı incelemek sıkıcıdır. Bu yüzden göz önünde bulundurmak isteyebileceğiniz, hem ücretsiz hem de premium olmak üzere çeşitli kötü amaçlı yazılım tarama araçları bulunmaktadır.
Çözüm Yolu
Gördüğünüz gibi, WooCommerce güvenliği hakkında söylenecek ve yapılacak çok şey var. Yine de her şey söylendiğinde ve yapıldığında, güvenlik konusundaki itibarınızı ve – daha da önemlisi – müşterilerinizin hassas verilerini korumak için yapabileceğiniz her şeyi yaptığınızı güvenle söyleyebileceksiniz.
Özetlemek gerekirse: güncel olmayan yazılımlar, zayıf parolalar ve sunucularınız gibi kötü amaçlı oyunculara erişim yollarını kapatın ve web sitenizin geri yüklenmesine ihtiyaç duymanız durumunda düzenli yedeklemeler yapın.