WordPress Güvenlik Eklentileri ile WordPress Güvenliği | 2018

0

Birçok kullanıcı her şey çok geç olana kadar WordPress sitesiyle ilgili güvenlik önlemleri almıyor. Oysa belli başlı noktalara önem verilse ve biraz vakit ayrılsa, onca emek harcadığınız sitenizin zarar görme olasılığı da minimuma düşecek.

Maalesef felaketler başa gelmeden hareket etmeme durumu insan doğasında var fakat yine de bu yazıda WordPress sitenizde sizin yerinize önlemler alabilen WordPress güvenlik eklentilerinden bahsedeceğiz, kullanmanızı tavsiye edeceğimiz eklentileri sıralayacağız.

WordPress Güvenlik Açıkları Nelerdir?

Her ne kadar pek çok kişi farkında olmasa da, WordPress’te bolca potansiyel güvenlik açığı mevcut. Devamlı güncelleme yaparak ve güçlü şifreler kullanarak bunlardan korunduğumuzu sansak da, bazen bu kadarı yeterli olmuyor. WordPress’te dikkat edilmesi gereken diğer durumlar şöyle;

  • Sunucu açıkları
  • Tema güvenliği
  • Plugin güvenliği
  • Dosya izinleri
  • Belli dosyaların güvenliği (wp-admin, wp-config ve wp-includes gibi dosyalar)
  • Veritabanı güvenliği
  • Bilgisayardaki açıklar
  • FTP açıkları ve dahası

Gördüğünüz üzere liste epey uzun ve bunlar sadece gün yüzüne çıkanları. Dolayısıyla mutlaka öncesinde önlem almanız şart.

WordPress Güvenlik Konusunda Hazırladığımız Dev WordPress Güvenlik Önlemleri başlıklı yazımızı okuyarak konu hakkında daha detaylı bilgi edinebilirsiniz.

WordPress Sitenin Hacklendiğini Nasıl Anlarız?

WordPress sistemlerin hacklenip hacklenmediğini anlamak her zaman pek kolay olmuyor. Siteye erişim için birden fazla kısım bulunurken, bunların hepsini doğrudan fark etmek mümkün değil.

Başlangıçta üçüncü parti servisler aracılığıyla web sitenizi düzenli olarak taramanız önemli. Google Webmasters Tool bu konuda faydalı olurken, arama motoru sonuçlarınızı kontrol etmeniz gerekiyor. Web sitenizin index alma sıklığı ve arama motoru sonuçları olumsuz yönde seyrediyorsa, şüpheli bir durum varsa hacklenme ihtimali var.

Sucuri Site Check gibi servislerle de sitenizi ücretsiz olarak tarama şansınız var. Çoğu zaman Sucuri bu konuda yardımcı olur ve malware, spam ya da kara liste gibi durumlarda uyarı verir. Alternatif olarak çok da pahalı olmayan CodeGuard gibi servisleri de kullanabilir, web sitenizin günlük yedeklemesini alabilirsiniz.

Son olarak, her zaman için Google Analytics hesabınızı kontrol etmenizi ve olağan dışı durumları incelemenizi öneririz.

WordPressle ilgili Öne Çıkan Diğer Yazılarımız (Yeni Sekmede Açılır)

En İyi WordPress Güvenlik Eklentileri

WordPress siteniz için güvenlik önlemleri almanız sizi pek çok diğer siteye göre daha iyi duruma sokacaktır. Dediğimiz gibi webmasterların büyük çoğunluğu her şey çok geç olana kadar buna önem vermiyor.

Elbette yüzde 100 güvenlikli bir site yaratmak hiçbir zaman için mümkün değildir ve gerçekçi olmak şart. Fakat sıralayacağımız eklentilerle riskleri minimum seviyeye düşürebilirsiniz. Eklentileri yükleyip değişiklikler yapmadan önce WordPress Sitenizin bir yedeğini almayı unutmayın.

İlerleyen günlerde WordPress Yedekleme Eklentileri ile ilgili bir yazı yayınlayıp, daha kolay ve düzenli WordPress Veritabanı yedeği alabilmenizle ilgili bir yazı paylaşacağız.

iThemes Security

Popüler WordPress güvenlik pluginlerinden birisi olan iThmes Security’de hem ücretli, hem de ücretsiz iki sürüm bulunuyor ve farklı fiyat opsiyonları sunuluyor.

  • 2 site için 12 aylık koruma ve destek servisi 80 dolar
  • 10 site için 12 aylık koruma ve destek servisi 100 dolar
  • Sınırsız site için 12 aylık koruma ve destek servisi 150 dolar

iThemes Security şu konularda koruma sağlıyor;

  • Brute force saldırılarına karşı koruma
  • .htaccess – wp-config dosyalarına diğer eklenti ve dosyaların erişmesini engelleme
  • WP-Content ve WP-Includes dosyalarına erişimi engelle
  • Wp-content/uploads/ dizininde .php dosyalarının çalışmasını engelleme
  • Temel site dosyalarını değişikliklere karşı kontrol etme
  • Birden fazla defa kullanıcı adı ve şifresini yanlış giren kişileri sistemden atma
  • wp-login.php olan giriş sayfası adresini değiştirme
  • /wp-content/ isimli içerik dosyasının adresini değiştirme
  • Dosya değişikliklerini tarama
  • Güvenli şifre oluşturma zorunluluğu
  • Programlı veritabanı yedeği
  • XML-RPC engelleme
  • İki adımlı doğrulama (Premium)
  • Kullanıcı hareketlerini takip etme ve kayıt altına alma (Premium)
  • Ücretli sürümde destek servisi

iThemes Security, web sitenize 30’dan farklı yöntemle güvenlik sağlıyor. Fakat eğer hâli hazırda açık bir siteye yüklüyorsanız, yapılan değişikliklerin sayfaları bozma olasılığı da var. Veritabanı ve wp-content klasöründeki değişimler buna sebep olurken, önlem olarak eklentiyi kurmadan önce sitenizi yedeklemenizi tavsiye ederiz.

İlerleyen günlerde iThemes Security eklentisinin ayarları ile ilgili bir yazı paylaşacağız.

Wordfence

wordpress güvenlik eklentileri

Listemizdeki ikinci güvenlik eklentisi Wordfence olurken, hem premium hem de ücretsiz sürümleri var. Alacağınız lisans sayısına göre fiyat da değişim gösterirken, süreye bağlı olarak güzel indirimlere sahip. Örneğin tek bir sitenin 1 yıllık lisansı 39 dolara saıtlırken, 5 yıllık lisans alırsanız yıllık sadece 29 dolar ödüyorsunuz.

Wordfence, standart bir eklentiden daha ötesi ve sunucularınızı sitedeki dosya değişikliklerine karşı tarıyor, kod enjeksiyonlarına, malware ve bilinen backdoor açıklarına karşı önlem alıyor. Premium sürümü ise çok daha ayrıntılı bir tarama vadediyor. Elbette eklentiyi kurup yüklemeden önce sitenizin bir yedeğini almanızda fayda var.

  • Dosya değişikliklerini tarama
  • IP adreslerini engelleme
  • Firewall ile basit çaplı DDoS engelleme
  • İki adımlı doğrulama
  • Belli ülkelere engel koyma veya yönlendirme
  • Özel uyarı sistemi

Göreceğiniz üzere Wordfence sitenizi güvenli tutmak için pek çok seçenek sunuyor. Ayrıca yazıdaki diğer eklentilere kıyasla kendine özgü yanları var ve yine onlara kıyasla çok daha az problemli bir kuruluma sahip.

All in One WP Security

wordpress güvenliği

Muhtemelen en iyi ücretsiz WP güvenlik aracı olan All in One WP Security, yüzbinlerce kişi tarafından kullanılıyor ve kolay kullanımıyla dikkat çekiyor. Güvenlik seviyenizi rakamlarla puanlandıran ve böylece yeni WordPress kullanıcılarına da hitap eden eklenti, çoğu zaman hâli hazırda açık olan sitelerde de sorunsuz çalışmaya devam ediyor. Fakat yine de öncesinde önlem olarak yedekleme yapmanızda fayda var.

Eklentinin temel özellikleri şöyle;

  • WP Meta bilgisini kapayabilme özelliği
  • Kullanıcı hesaplarını takip etme
  • Brute Force saldırılarına karşı güvenlik
  • Yeni kullanıcı kayıtları için manuel onay özelliği
  • Veritabanı yönetimi – ön ad değiştirme
  • Belli dosyalara özel koruma
  • WordPress Panelindeki Dosya Düzenlemeyi Engelleme
  • .htaccess ve WP-Config Koruması – Yedeklemesi ve Gerektiğinde Geri Yükleme
  • IP adreslerine veya konumlarına göre belli kullanıcıları kara listeye alma
  • Temel güvenlik duvarı koruması
  • Giriş sayfası URL’sini değiştirebilme, çerez tabanlı giriş sistemi ve Captcha sistemi
  • Yorumlarda spam engeli
  • Dosyalardaki değişiklikleri algılama
  • Yazıların kopyalanmasını engelleme

Sucuri Security

wordpress güvenlik ayarları

Sucuri WordPress için ücretsiz bir plugin sunarken, firmanın kendi web tabanlı tarama aracına benzer şekilde çalışıyor ve potansiyel problemlerde size uyarı veriyor. Dört ana alanda hizmet vermekte;

Birincisi, WordPress sitenizdeki tüm aktiviteleri izliyor ve kayıt altına alıyor. Bu sayede neler olup bittiğini size bildirebiliyor ve bir nevi güvenlik kamerası şeklinde çalışıyor.

Diğer kilit özelliği ise temel WP dosyaları, temalar ve eklentiler olmak üzere bütün dosyaları izlemesi. Böylece herhangi bir değişiklik durumu yaşandığında ya da yeni bir dosya siteye eklendiğinde hemen haberiniz oluyor.

Üçüncü olarak, malware taraması da yapıyor ve bu konuda Sucuri’nin ücretsiz tarayıcısından faydalanıyor. Ayrıca siteniz herhangi bir arama motorunda kara listeye eklenirse de haberiniz oluyor.

Son olarak da şu özellikleri sunuyor;

  • WordPress versiyon bilgisini kaldırma
  • Upload klasörünü tarayıcılardan erişime karşı koruma
  • Wp-content ve wp-includes klasörlerine giriş yasağı
  • WP-Content ve WP-Includes dosyalarında .PHP çalıştırmayı engelleme
  • Güvenlik anahtarlarını doğrulama
  • WordPress yönetici panelinden dosya düzenleyicisine giriş yasağı
  • Sürekli WordPress Panelinizi izler ve değişiklikleri kaydeder. Gelişmiş Mail uyarı sistemiyle sizi bilgilendirir.
  • Eğer Sucuri eklentisinin Firewall özelliğini de kullanmak isterseniz Premium hesaba geçmeniz gerekiyor.

BulletProof Security

Her ne kadar kendi web siteleri biraz ‘antika’ gibi dursa da, BulletProof Security en popüler WordPress güvenlik eklentilerinden birisi olmaya devam ediyor. Ücretli ve ücretsiz sürümleri bulunurken, premium sürümü tek seferlik ödemeyle 59.95 dolara alabiliyor ve ömür boyu destek, güncelleme hizmetlerinden faydalanabiliyorsunuz.

  • Tek tıkla kolay kurulum
  • XSS, RFI, CSRF, Base64, SQL enjeksiyonlarına ve diğer hack denemelerine karşı .htaccess koruması
  • Giriş güvenliği ve çok fazla giriş yapma denemelerini engelleme
  • Veritabanı yedeklemesi
  • Veritabanı düzenlemesi
  • Dosya izleme ve dışarıdan yüklenen dosyaları karantinaya alma
  • Risk teşkil eden durumlarda e-posta ile uyarı sistemi
  • Bakım Modu özelliği

Sonuç

Ne olursa olsun WordPress siteniz için güvenlik önlemleri almalı ve işi şansa bırakmamalısınız. Bunun için bolca yüksek kaliteli güvenlik eklentisi bulunurken, yukarıda sıraladıklarımızın ücretsiz sürümleri dahi işinize çokça yarayacaktır.

Dediğimiz gibi yüzde 100 güvenlik hiçbir zaman için mümkün değil ve eklentilerinize güvenseniz dahi, yine de sıradışı durumları gözden kaçırmamalısınız. Unutmayın ki, site profiliniz ne kadar yükselirse hackerların da hedefine o kadar girersiniz.

Bunları da beğenebilirsin

Cevap bırakın

E-posta hesabınız yayımlanmayacak.

Bizi sosyal medyada takip edin!