WordPress Güvenlik Önlemleri | Detaylı Anlatım [2018]

3

WordPress sitelerin güvenliği, bütün web sitesi sahipleri için oldukça önemli bir konu. Google her hafta 20.000 siteyi malwere uyarısıyla ve yaklaşık 50.000 siteyi de Phishing(dolandırıcılık) sebebiyle kara listeye ekliyor. Eğer ciddi bir proje yapıyorsanız WordPress Güvenlik konusunda her zaman dikkatli olmalısınız. Bu yazımızda WordPress sitenizi kötü niyetli kişilerden ve yazılımlardan nasıl koruyacağınız konusunda size yardımcı olacak ipuçlarını detaylı bir şekilde paylaşacağız. Yazımız değişikliklerle birlikte güncellenecektir.

WordPress alt yapılı siteler diğer CMS’lere göre oldukça güvenli diyebiliriz. Sürekli güncel tutulan ve yaklaşık 100 kişilik bir ekip tarafından geliştirilen bir sistem. Fakat unutmamalıyız ki hiçbir sistem güvenli değildir. Yazımızda mevcut riskleri önlemenizi sağlayacak ve muhtemel risklere karşı da sizlere yardımcı olacak ipuçlarını bulacaksınız. Adım adım WordPress Güvenlik Önlemleri hakkında yazdığımız ipuçlarına göz atalım;

 

WordPress Güvenlik Tedbirleri

WordPressle ilgili Öne Çıkan Diğer Yazılarımız (Yeni Sekmede Açılır)

Güvenlik neden önemli?

WordPress sitenizi bir çok farklı proje ile açmış olabilirsiniz. Kişisel bir sayfa, blog, e-ticaret, oyun veya bir şirket sitesi olabilir. Hacklenmiş bir site, sitenizin itibarına oldukça önemli zararlar verebilir, kişisel bilgileriniz ve ziyaretçilerinizin kişisel bilgileri çalınabilir veya ziyaretçilerine zararlı yazılım bulaştıran bir site haline gelebilirsiniz. Bu durumu düzeltseniz bile, Google tarafından veya McAfee gibi güvenlik yazılımları tarafından kara listeye alınabilirsiniz ve bu durum sitenizin önemli ölçüde ziyaretçi kaybetmesine yol açabilir. 

WordPress sürümünüzü her zaman güncel tutun

WordPress düzenli olarak küçük veya büyük güncellemeler alan açık kaynak kodlamalı bir yazılım. WordPress’in kendi ayarları küçük güncellemeleri otomatik olarak yaparken büyük güncellemeleri sizin yapmanız gerekiyor. Yukarıda bahsetmiştik; her ne kadar yüzlerce yazılımcı tarafından geliştirilse de zaman zaman açıkları olabiliyor. Bu açıklar tespit edilir edilmez küçük veya büyük güncellemelerle kapatılıyor.

Bu nedenle güncellemeleri düzenli olarak yapmak WordPress güvenlik ve stabilitesi açısından oldukça önemli.

wp-guvenlik

Güçlü şifreler kullanın

WordPress için en çok bilinen hack girişimi şifreleri ele geçirmek için yapılanlar. Bu nedenle seçtiğiniz şifrelerin güçlü şifreler olmasına her zaman özen gösterin. Kolay tahmin edilebilir şifreler yerine içinde Büyük harf, küçük harf, sayı ve noktalama işaretleri içeren şifreler seçmelisiniz. Sadece wordpress için değil, e-posta hesaplarınız ve hosting adresleriniz için de güçlü şifreler seçmeyi unutmayın.

Hosting Şirketlerinin Önemi

Paylaşımlı hosting kullanmak her zaman için riskli bir işlemdir. Kullanacaksanız da, siteler arasında önemli güvenlik sınırlamaları bulunduran paylaşımlı hosting firmalarını kullanmalısınız.

 WordPress alt tabanlı siteleri tek bir sunucuda barındıran ve WordPress için sunucuda optimizasyon (güvenlik ve site hızlandırmaya yönelik) yapan hosting firmalarını tercih edebilirsiniz. Bazı hosting firmaları WordPress için özel bir optimizasyon yapmamalarına rağmen Wordpress Hosting adı altında hizmet satmaya çalışıyorlar. Hosting hizmeti almadan önce iyi bir araştırma yapmanızı tavsiye ederiz.

İlerleyen günlerde WordPress Hosting ile ilgili bir yazı paylaşıp linkini de buraya ekleyeceğiz.

CDN Kullanımı

Content Delivery Network (CDN); Birkaç dağınık sunucudan oluşan bir içerik dağıtım ağı sistemidir; temelde web sayfalarını ve web içeriğini coğrafi konumlarına göre kullanıcıya sunan bir ağdır.

CDN verileri sitenizden alır ve sitenizi ziyaret eden ziyaretçelere veriler bu sunucu ağı üzerinden sunulur. Böylece yoğun ziyaretçi trafiğinden dolayı sitenizin yanıt süresinin gecikmesi gibi bir durum olmaz. Aynı zamanda veriler birden çok sunucudan geleceği DDoS saldırılarından da sitenizin korunmasına yardımcı olur.

Content Delivery Network (CDN) Nedir? En İyi CDN Servisleri – Detaylı İnceleme yazımızı inceleyerek CDN hizmetleri konusunda daha detaylı bilgi edinebilirsiniz.

Türkiye’de veri merkezi bulunan KeyCDN – CDN77 ve ücretsiz CDN hizmeti sunan CloudFlare gibi CDN firmalarına göz atabilirsiniz.

Düzenli Yedekleme

Kötü senaryoların gelişmesi ihtimaline karşı WordPress sitenizi düzenli olarak yedeklemeyi unutmayın. Bunu hosting panelinizden yapabileceğiniz gibi bazı WordPress eklentileri ile de yapabilirsiniz.

Güvenlik Eklentileri

Yazımızda bahsettiğimiz güvenlik tedbirlerinin hemen hemen hepsini bazı wordpress güvenlik eklentileri kodlama bilgisi gerektirmeden kolayca yapmanızı sağlıyor. Sitemizde hem eklentileri kullanarak hem de eklentisiz olarak WordPress sitenizi güvenli hale getirmek için yapmanız gereken ipuçları bulunuyor.

İşlemlere başlamadan önce sitenizin tam yedeğini almayı unutmayın.

Hatalı Giriş Sayısını İçin Bir Limit Belirleyin

Kötü niyetli kişiler, WordPress login ekranınından kullanıcı adı ve şifrenizi tahmin etmeye çalışarak sitenize sızmaya çalışacaktır. Eğer hatalı şifre girişi için bir limit belirlerseniz 5-10 denemeden sonra sitenize sızmaya çalışan kişinin IP’sı banlanır ve 15 dakika sitenize erişemez.

Bu özelliği kullanmak için iThemes Security eklentisini kullanabilirsiniz. iThemes Security ve diğer güvenlik eklentileriyle ilgili detaylı incelemeyi yazımızın devamında okuyabilirsiniz.

İki Aşamalı Doğrulama

WordPress alt yapılı sitelerinizde iki aşamalı doğrulama yöntemini kullanarak sisteminize sızmaya çalışan kötü niyetli kişileri engelleyebilirsiniz. İki aşamalı doğrulama; mobil uygulama, SMS veya E-posta yoluyla sisteme her giriş yaptığınızda ek doğrulama ister.

İki Aşamalı Doğrulama; bir sisteme giriş yaparken şifrenizin yanı sıra telefonunuz tarafından her 30 saniyede bir yenisi üretilen kodu veya telefonunuza SMS’le yada E-posta gönderilen kodu da girmenizi isteyen bir kimlik doğrulama yöntemidir. Bu yöntem sayesinde sisteminize sızmak isteyen bir kişinin sadece şifrenizi bilmesi yeterli olmayacaktır.

WordPress İki Aşamalı Doğrulama hakkında yazdığımız detaylı makaleyi okumak için tıklayın

WP-Config ve .Htaccess dosyalarını gizleyin

Siteniz hakkında temel bilgilerin bulunduğu wp-config dosyasının içeriği yetkisiz kişilerin eline geçtiğinde siteniz için önemli sorunlara yol açabilir. Bu nedenle wp-config dosyasına erişimi kapatmalıyız. Bunun için .htaccess dosyamıza aşağıda belirteceğimiz kodları eklemeniz yeterlidir. İşlem yapmadan önce yedekleme yapmayı unutmayın.

WP-Config dosyasına artık dışarıdan erişim yok fakat az önce düzenlediğimiz htaccess dosyasına halen daha erişilebiliyor. Aynı şekilde htaccess dosyasına da erişimi ve düzenlemeyi kapatmak için aşağıdaki kodları kullanın.

Aynı zamanda iThemes Security ve Securi eklentileri htaccess ve wp-config dosyalarına erişimi sınırlayabiliyor.

Robots.txt Dosyasını Düzenlemek

Robots.txt dosyası ile sitenizi ziyaret eden botların hangi içerikleri görmesine ve indekslemesine izin verdiğinizi belirtebilirsiniz. Özellikle WordPress dizininde bulunan ve kullandığınız WordPress versiyonunu gösteren Readme dosyasına erişimi engellemek sitenizin güvenliği açısından oldukça önemlidir. Aynı şekilde WP-Admin ve WP-Content alanlarının indekslenmemesi sitenizi güvenliği için oldukça önemlidir. Özellikle WordPress dizinimizde eklentilerin bulunduğu klasör olan (Wp-content/plugins) dizinin indekslenmesini engellemek, belirli bir eklentide bulunan bir açık sayesinde sitenize sızmaya çalışan kişilerin tarama çalışmalarını da boşa çıkaracaktır.

WordPress SEO Uyumlu Robots.txt Dosyası Hazırlama/ Robots.txt Nasıl Olmalı yazımızı okuyarak konuyla ilgili daha çok bilgi edinebilirsiniz.

Dosya Düzenlemeyi Engelleyin

Eğer biri sitenizin yönetici paneline sızabilseydi, ilk uğrayacağı yer panelde bulunan Görünüm -> Düzenleyici sekmesi olurdu. Temanızda değişiklikler yapabilir, sitenize dışarıdan zararlı sitelerden dosya çağırılmasına ve yüklenmesine neden olabilir ayrıca sitenizden istemediğiniz link çıkışları ekleyebilir.

İşlem yapmadan önce sitenizin yedeğini almayı unutmayın.

Yönetici panelinizde bulunan dosya düzenleyici kapatmak oldukça kolay. Bunun için sitenizde ana dizinde bulunan wp-config.php dosyasına aşağıdaki kodu eklemeniz yeterli olacaktır.

Dizin Taramayı Engelleyin

WordPress sitenizde bulunan tüm dosyalara ve içeriklere erişimi engellemeniz sitenizi ve içeriklerinizi korumanız yardımcı olacaktır. Dizin koruması yapmadığınız takdirde hackerlar sitenizdeki tüm dosyalara erişebilirler ve hangi dosyanızda güvenlik açığı olduğunu tespit edebilirler.

WordPress dizin taramayı engellemek de yine önceki adımlarda olduğu gibi oldukça kolay. Fakat işlem öncesinde sitenizi yedeklemeyi unutmayın.

.htaccess dosyanızın sonuna aşağıda belirtilen kodu yazmanız yeterlidir.

XML-RPC’i devre dışı bırakın.

WordPress 3.5 ile WordPress’e eklenen: web sitesi uygulamarı, mobil veya taşınabilir cihazlarla WordPress sitenize erişebilmenizi ve sitenizde düzenlemeler yapabilmenizi sağlayan bir sistem. Fakat ne yazık ki XML-RPC’nin bir çok güvenlik açığı bulunuyor.

XML-RPC’de normal giriş sayfasında olduğu gibi giriş denemelerini kısıtlanamıyor veya iki aşamalı doğrulama kullanılamıyor. Bu yüzden “Brute Force” denilen deneme yanılma ile şifrenizi ele geçirmek isteyenlerin sıkça kullandığı bir özellik haline dönüştü.

Bir kaç şekilde XML-RPC’yi devre dışı bırakabilirsiniz. Değişiklik yapmadan önce sitenizin yedeğini almayı unutmayın.

  •  Aşağıda belirttiğimiz kodları .htaccess dosyasına ekleyebilirsiniz. Bu sayede xml-rpc’ye tüm erişimi engellemiş olursunuz.

  • İkinci Yöntem: Sitenizin ana dizininde bulunan xmlrpc.php dosyasının adını değiştirebilirisiniz. Dizin taramayı da engellediğiniz için değişen dosya isminin başkası tarafından bulunması ve tekrar değiştirilmesi de pek mümkün olmayacaktır. Bu yöntem bazı eklentilerde sorun çıkmasına neden olabilir. Sorun olması halinde xmlrpc.php dosyasının adını düzeltin ve işlemi ilk bahsettiğimiz şekilde tamamlayın.

PHP Executionları Engelleyin

Php dosyaların istemediğimiz dizinlerde çalıştırılmasını engellemek sitemizi korumak için önemlidir. Notepad++ veya diğer metin düzenleyicilerinden birini açın ve aşağıdaki kodu bu sayfaya yapıştırın

Oluşturduğunuz bu sayfayı .htaccess olarak kaydedin ve /wp-content/uploads/ dosyası ile /wp-includes/ dosyasının içine ekleyin.

Böylece sitenize yüklediğiniz dosyalara sızmış istenmeyen bir PHP dosyasının çalışmasını engellemiş olduk.

Kodlama Bilmeden Alabileceğiniz WordPress Güvenlik Önlemleri

Yazının bu kısmından sonra sizlere WordPress sitenizin güvenliği için iki eklenti önerisinde bulunacağız ve özellikleri hakkında bilgilendireceğiz. Başka bir yazımızda kurulum ve kullanımlarını detaylı olarak anlatacağız.

iThemes Security

iThemes tarafından geliştirilen iThemes Security 800.000’den fazla sitede aktif olarak kullanılıyor ve 4.7/5 puanlamaya sahip olan bir eklenti. Ücretsiz ve ücretli versiyonları bulunan eklentinin özellikleri şu şekilde;

  • Security Check özelliği sayesinde kurulumdan hemen sonra hızlı bir şekilde güvenlik ayarlarını etkinleştirebilirsiniz.
  • “Local Brute Force” koruması sayesinde kullanıcı adınızı ve parolanızı tahmin etmeye çalışan kötü niyetli kişileri banlayabilirsiniz
  • “Hide Backend” özelliği ile wp-login.php ve wp-admin sayfalarını gizleyebilir ve isimlerini değiştirebilirsiniz. Böylece brute force saldırılarından da büyük ölçüden kurtulabilirsiniz.
  •  Wp-content ve Wp-includes dosyalarına erişimi engelleyebilirsiniz.
  • “System Tweaks” özelliği ile Directory browsingi kapatabilirsiniz böylece yabancı kişiler istemediğiniz dosyalara ulaşamazlar. Dosya izinlerini ayarlayabilirsiniz. Temalar ve eklentilerin PHP fonksiyonunu kullanmasını kısıtlayabilirsiniz.
  • WordPress Tweaks özelliği ile XML-RPC üzerinden Brute Force yapılmasını engelleyebilirsiniz.
  • “Change Directory” özelliği ile wp-content dosyasının ismini değiştirebilirsiniz. (Acemi kullanıcılara tavsiye edilmez)
  • Admin kullanıcı adını değiştirmenize olanak sağlar
  • Veritabanı isminde değişiklik yapmanızı sağlar (acemilere tavsiye edilmez)

İlerleyen günlerde hazırlayacağımız bir başka yazımızda iThemes Kurulumu ve En iyi Ayarlarını sizlere aktaracağız.

Sucuri Security

Sucuri security ücretsiz versiyonları bulunan  ve sitenizi hem korumak hem de olası bir hack girişiminden sonra eski haline getirebilmek için bazı özelliklere sahip bir eklenti. 300.000 fazla sitede aktif olarak kullanılan eklenti WordPress.org’da 4.6/5 puana sahip. Özelliklerine kısaca bir bakarsak;

  • Wp-content ve WP-includes’e erişimi engeller
  • Upload dizinini korur
  • Sitenizde malware taraması yapar ve tehditlere karşı sizi uyarır
  • Veritabanı ismini düzenlemenizi sağlar
  • Tema ve eklenti editörünü engeller
  • Admin kullanıcı adını değiştirmenizi sağlar.
  • Post hack koruması (Sitenize yapılacak olası bir saldırıdan sonra sitenizi kurtarmanıza yardımcı olur)
  • Hatalı şifre denemelerini kaydeder. Böylece şifrenize ne kadar yaklaştıklarını görebilme imkanınız olur. 30 hatalı deneme olduğunda sizi mail ile uyarır. (Bu özellik isteğe bağlı idi. Son gelen güncelleme ile zorunlu olmuş. Zaman zaman yönetici olarak siz de hatalı şifre ile giriş yapabilirsiniz. Bu zorunluluktan sonra 1 harf yanlış yazdığım şifrenin Sucuri tarafından kaydedilmesini istemediğim için ben eklentiyi kaldırdım.)

Yoast SEO yapımcıları tarafından önerilen Sucuri eklentisi için detaylı bir anlatımı yakında sitemize ekleyeceğiz.

Sucuri ve iThemes bazı benzer özellikleri taşımakla birlikte tamamen farklı bir kaç özelliği de sunuyorlar. iThemes Security daha fazla seçenek sunduğu için yeni açılan bir sitede ilk tercih olarak değerlendirilebilir. İki eklentiyi aynı anda da kullanabilirsiniz. Fakat sistemde bazı çelişmelere yol açabileceğini ve güncellemeler sırasında oldukça dikkatli olmanız gerektiğini unutmayın.

Yakında All in One WP Security & Firewall Eklentisini de bu sayfa üzerinden sizler için inceleyeceğiz.

Yeni açılan veya gelişmekte olan bir site için mutlaka bulunması gereken birkaç özellik şu şekilde;

  • Local Brute Force ile izinsiz girişlerin engellenmesi (iThemes Security – Sucuri)
  • Hide Backend ile wp-login ve wp-admin sayfalarının isimlerinin değiştirilmesi(iThemes Security)
  • Admin kullanıcı adınını değiştirilmesi (iThemes Security – Sucuri)
  • WP-Content ve WP-includes erişiminin engellenmesi (iThemes Security – Sucuri)
  • Dosya izinlerinin düzenlenmesi (iThemes Security – Sucuri)
  • Directory Browsing’in engellenmesi (iThemes Security )
  • XML-RPC girişi engelleme (iThemes Security – Sucuri)

Bu maddeler bir çok siteyi güvenli tutmaya yarayacaktır fakat gelişmiş ve fazla ziyaretçili sitelerin profesyonel yardımı değerlendirmeleri gerekmektedir.

Önemli Not: Yazı sadece tavsiye niteliğindedir. Eklentileri kurmanızdan veya sitenizde değişiklikler yapmanızdan dolayı kaynaklanabilecek problemlerden Ogrenio.com sorumlu değildir.

Yazımızda WordPress Güvenlik Önlemlerini elimizden geldiğince sizlere aktarmaya çalıştık. Yazdığımız yeni yazılarla ve yaptığımız değişikliklerle birlikte yazıyı mümkün olduğunca güncel tutmaya devam edeceğiz.

Bunları da beğenebilirsin
3 Yorumlar
  1. Dinçer Dirlik diyor

    Çok başarılı ve açıklayıcı bir konu olmuş, tamamını okuyamadım yorumum bulunsun en kısa zamanda tümünü okuyacağım. WordPress güvenliğinin önemini geç de olsa anlayan kişilere hızlı yanıt bulmalarında yardımcı yazınız için teşekkür ederim.

    1. Korialstrasz diyor

      Yorumunuz için teşekkürler

  2. Funda diyor

    Çok faydalı bir yazı olmuş. Teşekkür ederim.

Cevap bırakın

E-posta hesabınız yayımlanmayacak.

Kullanıcı deneyimini geliştirmek için sitemizde çerezler kullanılmaktadır. Sitemizi kullanarak çerez kullanımına izin vermektesiniz. Daha fazla bilgi