Web siteniz saldırıya uğradığında (hacklendiğinde) sayfalara virütik yazılımlar yerleştirilmesi, mevcut içeriğin değiştirilmesi, kaybolması, verilerin çalınması ve aktif olmadığı sürede verdiği zayiat oldukça büyüktür. Bu nedenle web sitenizin güvenliğini sağlamak; itibarınızı korumak ve mümkün olabilecek en iyi hizmeti sağlayarak ziyaretçilerin güvenini kazanmak konusunda firmanıza yardımcı olacaktır.
WordPress, günümüzde kullanılan en popüler içerik yönetim platformu olduğu için, web siteleri güvenlik açıklarından ve zayıflıklarından yararlanmak isteyen insanların hack saldırılarına sık sık hedef olmaktadır.
İnsanlar çoğu zaman güvenlik önlemleri almayı, çok geç olana kadar erteler. Fakat web sitenizin güvenliğini sağlamak için birkaç işlem yeterlidir.
Ayrıca, web siteniz saldırıya uğramasa dahi, sitenizin bulunduğu sunucularda yapılan periyodik bakım ve sürüm yükseltme çalışmalarından da etkilenebilir.
WordPress platformu, her sene içerisinde birkaç kez periyodik olarak sürüm yükseltir ve bu sayede hem sunucularınızda yapılan sürüm yükseltmeleri ile paralel olarak gelişir, hem de hackerlar tarafından yapılması muhtemel saldırılara karşı güvenlik önlemlerini artırır.
Hacker saldırılarından korunmak için bir WordPress web sitesinde uygulanması gereken güvenlik önlemleri şunlardır:
1.Admin Kullanıcı Adını Silin
Hackerlar web sitelerinde standart olarak seçilen yönetici kullanıcı adı ile ihtiyaçları olan önemli bilgilere erişim ihtimallerini artırırlar. Kullanıcı adınızı Admin olarak bırakırsanız, bir hackera önemli ölçüde zaman kazandırmış olursunuz. Bundan sonra yapmaları gereken tek şey şifrenizi çözmek olacaktır. Bu da olduktan sonra web sitenize girerek istediklerini yapabilirler.
Web sitenizi güvenli hale getirebilmek için atacağınız ilk adım kendinize ait yeni bir kullanıcı profili oluşturmak ve varsayılan yönetici adını silmektir. Bu, firmanızın web sitesinin hacklenmesini belirli bir ölçüde zorlaştıracaktır.
Yeni bir kullanıcı profilini, WordPress yönetici panelini açtıktan sonra Users kısmından Add New seçeneği ile oluşturabilirsiniz. Ardından bilgilerinizi doldurarak, web sitenizde değişiklikler yapmak için kendinize yönetici rolünü verdiğinizden emin olun.
Yeni kullanıcı adınızı oluşturduktan sonra WordPressin dashboard oturumundan çıkış yapın ve yeni kullanıcı bilgilerinizle tekrar giriş yapın. Ardından Users sayfasına dönerek varsayılan yöneticiyi silmeniz gerekmektedir. Bu aşamada, WordPress size Admin kullanıcısı tarafından hazırlanan mesajları yeni profile aktarmak için seçenek sunar. Böylece herhangi bir içerik ya da veri kaybetmemiş olursunuz
2. Güçlü Bir Kullanıcı Şifresi Kullanın
Tek bir basit şifre kullanmanın tehlikesi kullanıcılar tarafından her ne kadar bilinse de, insanlar hatırlamak amacıyla genelde birçok hesabında aynı şifreyi kullanmayı tercih eder. Ne yazık ki bu durum şifrelerin kırılmasını kolaylaştırmaktadır.
Web sitesi yöneticilerinin güvenlik açısından güçlü bir şifre kullanması oldukça önemlidir. Bu şifre; harfler, sayılar ve özel karakterler içermeli ve en az 8 karakter uzunluğunda olmalıdır.
WordPress şifrenizi daha güçlü bir karakter dizisi ile değiştirmek için Users kısmından profilinizi seçin ve sayfanın alt kısmında bulunan New Password alanlarını doldurun.
Bunu web sitesini kullanan her yönetici için bir gereklilik olarak düşünebilirsiniz. Çünkü hackerlar herhangi bir hesaptan giriş yapmaya çalışabilir.
3. WordPressin Son Sürümümü Kullanın
WordPress yazılımındaki güvenlik açıkları, tema ve eklentileri, düzenli olarak güncellenmektedir. WordPress güncellendiğinde yeni sürüm, yönetim panelinin üst kısmında çıkan bir uyarı ile size bildirilmektedir.
Güncelleme; yönetim paneli üzerinden yeni sürüm kurulumu yapabileceğiniz bir süreçtir, tarayıcınızı değiştirmeniz ya da FTP üzerinden manuel bir yükleme yapmanız gerekmez. Ancak, sitenizin arayüzü yani sayfa tasarımları için kullandığınız tema şablonu kodları, yeni sürümle uyumsuzluk yaratabilir ve sayfalarda ciddi görünüm sorunları ile karşılaşabilirsiniz. Bu açıdan, wordpress sürüm güncellemesi ile beraber tema şablonlarının da güncellemesini yapmanız gerekebilir.
4. Web Sitenizin Veritabanını Yedekleyin
Veritabanını yedeklemek web sitenizi güvenli tutmanın önemli bir parçasıdır. Sitenizde olası bir saldırı veya sunucu kaynaklı kritik durumlarlar oluşursa, tüm site içeriğinizi baştan yüklemeniz gerekebilir. Eğer elinizde bir veritabanı yedekleme (backup) dosyası yoksa, tüm sitenizi ciddi anlamda riske ediyorsunuz demektir.
WordPress yedeklemeyi kolaylaştıran ücretli ve ücretsiz seçeneklere sahiptir. Örneğin WP-DB-Backup yeni başlayan kullanıcılar için ücretsiz bir seçenek olmakla birlikte WordPress yedekleme eklentileri arasında en çok indirilenlerden biridir.
WP-DB-Backup yüklemek için, panelde Plugins bölümünden Add New seçeneğini kullanabilirsiniz. Burada arama kısmına WP-DB-Backup yazarak eklentiyi bulduktan sonra Click Install Now butonuna tıklayarak eklentiyi kurabilirsiniz. Bir sonraki adım olarak Plugins ekranından bu eklentiyi aktive etmeniz gerekmektedir.
Eklenti aktivasyonundan sonra, panelde Tools kısmında Backup isimli yeni bir araç göreceksiniz. Backup ile hızlı bir şekilde verilerinizi yedeklerken aynı zamanda da bu yedeklemeyi düzenli bir program haline getirebilirsiniz. Backup dosyalarını sabit diskinize indirebilir ya da emailinize gönderebilirsiniz.
Web sitenizi yedekleyerek, olası bir saldırı veya sunucu kaynaklı kritik durumlarda içeriklerinizi kaybetme riskini ortadan kaldırmış olursunuz.
5. Bir Eklenti Kullanarak Oturum Açma Girişimlerini Engelleyin
Oturum açma girişimlerini engelleyen eklenti, özellikle yanlış bilgilerle giriş yapma denemeleri gibi kuvvetli hacker saldırılarını defetmek konusunda kullanışlı olmaktadır. Yönetici olarak, kaç oturum açma girişiminden sonra eklentinin girişimi engelleyeceğine karar vermeniz de mümkündür.
Bu eklentiyi de Plugins sekmesinden Add New bölümüne girip Limit Login Attempts adıyla arama yaparak kurabilirsiniz. Eklentiyi veri yedekleme eklentileri gibi aktive etmenizin ardından ayarlarınız arasında Limit Login Attempts seçeneğini görmüş olacaksınız. Oturum açma girişimleri ve diğer sınırlamaları ayarlamak için bu eklentiyi kullanabilir ve yaptığınız değişiklikleri kaydetmek için Change Options butonuna tıklayabilirsiniz.
Son olarak unutmamalısınız ki WordPress güvenlik önlemleri kapsamında size gerekli olacak olan herhangi bir eklentiyi araştırmaktan kaçınmayın. Fakat bu, web sitenize saldırı yapmak isteyen kişilerin kullandığı bir taktiktir. Dolayısıyla eklentileri yüklerken saygın bir kaynaktan indirin ve eklenti hakkında WordPress.org üzerindeki değerlendirmeleri kontrol edin.
Diğer faydalı WordPress Güvenlik Eklentileri
WP Security Scan
WordPress tabanlı bir sitenin taranması için kullanılan en basit güvenlik eklentilerden biridir. Bu eklenti ile sitenizin açıklarını bulabilir ve bunları ortadan kaldırabilirsiniz. Ayrıca eklenti size yararlı ipuçları da vermektedir.
Ask Apache Password Protect
WordPress ya da veri tabanındaki bir karışıklığı kontrol etmek yerine web sitenize çoklu güvenlik katmanları eklemek amacı ile kullanılan bir eklentidir.
Stealth Login
Eklenti; WordPresste oturum açmak, çıkış yapmak ya da kayıt olmak için özel bir URL adresi oluşturma konusunda size yardımcı olur.
Login Lockdown
Yönetici paneline giriş yapılmasını bir süreliğine kilitleyebilecek olan güvenlik önlemleri eklentisidir.
WP-DB Manager
WordPress veri tabanınızı yönetmek için kullanabileceğiniz en iyi güvenlik eklentilerden biridir. Bu eklenti WordPress Backup Managera altenatif olarak kullanılabilir.
Admin SSL Secure Plugin
Yönetici panelini güvenli tutmak için kullanılan bir diğer eklentidir. SSL şifrelemesi üzerinden çalışan eklenti, hacker ya da yönetici paneline giriş yapmak isteyen yabancı kişilerin engellenmesi için kullanılmaktadır.
User Locker
Login Lockdown eklentisi ile aynı şekilde çalışan eklenti, WordPress güvenlik eklentileri arasında en çok kullanılanlardan biridir.
Limit Login Attempts
Limit Login Attempts web sitenize karşı gerçekleşen saldırı ve oturum açma girişimlerini, ilgili internet adresini engelleyerek, zor hale getirmektedir.
Login Encryption
Oturuma girişi şifreleyen bir güvenlik eklentisidir. Oturum açma işlemini şifreleme ve güvenliğini sağlama için DES ve RSAnın komplex bir karışımını kullanır.
One Time Password
Bu eşsiz eklenti internet kafeler vb. yerlerden istenmeyen girişleri önlemek için tek kullanımlık şifre oluşturma konusunda size yardımcı olmaktadır.
Antivirus
Antivirus web sitenizin botlara, virüslere ve diğer zararlılara karşı güvende olması için size yardımcı olan en popüler güvenlik eklentisidir.
User Spam Remover
Eklentinin adından da belli olduğu üzere istenmeyen mesajları önlemek ve kaldırmak konusunda size yardımcı olur.
Blog Bad Queries
Bu eklenti sunucu ve WordPress web sitesi arasındaki tüm zararlı sorguları engellemektedir. Eklenti, çok uzun istek dizeleri (örneğin 255 karakterden daha büyük olanlar) ya da diğer şüpheli sorgularda arka planda çalışır.
Web Sitenizin Güvenliğini Sağlayın!
Bu yazımızda WordPress tabanlı web siteniz için kullanabileceğiniz güvenlik önlemleri ve bu konuda yararı olan bazı eklentilere yer verdik. Bu uygulama ve eklentilerle web sitenizi hacker saldırı girişimlerine karşı ciddi oranda korumanız mümkündür.
Küçük güvenlik önlemleri ile korumaya alınmış bir web sitesinin hacklenmesi için uzun bir yol kat edilmesi gerekmektedir. Fakat imkânsız değildir. Bu nedenle firmanızın web sitesini koruma konusunda bir uzmana danışmanız en doğru yol olacaktır.
WordPress, günümüzde kullanılan en popüler içerik yönetim platformu olduğu için, web siteleri güvenlik açıklarından ve zayıflıklarından yararlanmak isteyen insanların hack saldırılarına sık sık hedef olmaktadır.
İnsanlar çoğu zaman güvenlik önlemleri almayı, çok geç olana kadar erteler. Fakat web sitenizin güvenliğini sağlamak için birkaç işlem yeterlidir.
Ayrıca, web siteniz saldırıya uğramasa dahi, sitenizin bulunduğu sunucularda yapılan periyodik bakım ve sürüm yükseltme çalışmalarından da etkilenebilir.
WordPress platformu, her sene içerisinde birkaç kez periyodik olarak sürüm yükseltir ve bu sayede hem sunucularınızda yapılan sürüm yükseltmeleri ile paralel olarak gelişir, hem de hackerlar tarafından yapılması muhtemel saldırılara karşı güvenlik önlemlerini artırır.
Hacker saldırılarından korunmak için bir WordPress web sitesinde uygulanması gereken güvenlik önlemleri şunlardır:
1.Admin Kullanıcı Adını Silin
Hackerlar web sitelerinde standart olarak seçilen yönetici kullanıcı adı ile ihtiyaçları olan önemli bilgilere erişim ihtimallerini artırırlar. Kullanıcı adınızı Admin olarak bırakırsanız, bir hackera önemli ölçüde zaman kazandırmış olursunuz. Bundan sonra yapmaları gereken tek şey şifrenizi çözmek olacaktır. Bu da olduktan sonra web sitenize girerek istediklerini yapabilirler.
Web sitenizi güvenli hale getirebilmek için atacağınız ilk adım kendinize ait yeni bir kullanıcı profili oluşturmak ve varsayılan yönetici adını silmektir. Bu, firmanızın web sitesinin hacklenmesini belirli bir ölçüde zorlaştıracaktır.
Yeni bir kullanıcı profilini, WordPress yönetici panelini açtıktan sonra Users kısmından Add New seçeneği ile oluşturabilirsiniz. Ardından bilgilerinizi doldurarak, web sitenizde değişiklikler yapmak için kendinize yönetici rolünü verdiğinizden emin olun.
Yeni kullanıcı adınızı oluşturduktan sonra WordPressin dashboard oturumundan çıkış yapın ve yeni kullanıcı bilgilerinizle tekrar giriş yapın. Ardından Users sayfasına dönerek varsayılan yöneticiyi silmeniz gerekmektedir. Bu aşamada, WordPress size Admin kullanıcısı tarafından hazırlanan mesajları yeni profile aktarmak için seçenek sunar. Böylece herhangi bir içerik ya da veri kaybetmemiş olursunuz
2. Güçlü Bir Kullanıcı Şifresi Kullanın
Tek bir basit şifre kullanmanın tehlikesi kullanıcılar tarafından her ne kadar bilinse de, insanlar hatırlamak amacıyla genelde birçok hesabında aynı şifreyi kullanmayı tercih eder. Ne yazık ki bu durum şifrelerin kırılmasını kolaylaştırmaktadır.
Web sitesi yöneticilerinin güvenlik açısından güçlü bir şifre kullanması oldukça önemlidir. Bu şifre; harfler, sayılar ve özel karakterler içermeli ve en az 8 karakter uzunluğunda olmalıdır.
WordPress şifrenizi daha güçlü bir karakter dizisi ile değiştirmek için Users kısmından profilinizi seçin ve sayfanın alt kısmında bulunan New Password alanlarını doldurun.
Bunu web sitesini kullanan her yönetici için bir gereklilik olarak düşünebilirsiniz. Çünkü hackerlar herhangi bir hesaptan giriş yapmaya çalışabilir.
3. WordPressin Son Sürümümü Kullanın
WordPress yazılımındaki güvenlik açıkları, tema ve eklentileri, düzenli olarak güncellenmektedir. WordPress güncellendiğinde yeni sürüm, yönetim panelinin üst kısmında çıkan bir uyarı ile size bildirilmektedir.
Güncelleme; yönetim paneli üzerinden yeni sürüm kurulumu yapabileceğiniz bir süreçtir, tarayıcınızı değiştirmeniz ya da FTP üzerinden manuel bir yükleme yapmanız gerekmez. Ancak, sitenizin arayüzü yani sayfa tasarımları için kullandığınız tema şablonu kodları, yeni sürümle uyumsuzluk yaratabilir ve sayfalarda ciddi görünüm sorunları ile karşılaşabilirsiniz. Bu açıdan, wordpress sürüm güncellemesi ile beraber tema şablonlarının da güncellemesini yapmanız gerekebilir.
4. Web Sitenizin Veritabanını Yedekleyin
Veritabanını yedeklemek web sitenizi güvenli tutmanın önemli bir parçasıdır. Sitenizde olası bir saldırı veya sunucu kaynaklı kritik durumlarlar oluşursa, tüm site içeriğinizi baştan yüklemeniz gerekebilir. Eğer elinizde bir veritabanı yedekleme (backup) dosyası yoksa, tüm sitenizi ciddi anlamda riske ediyorsunuz demektir.
WordPress yedeklemeyi kolaylaştıran ücretli ve ücretsiz seçeneklere sahiptir. Örneğin WP-DB-Backup yeni başlayan kullanıcılar için ücretsiz bir seçenek olmakla birlikte WordPress yedekleme eklentileri arasında en çok indirilenlerden biridir.
WP-DB-Backup yüklemek için, panelde Plugins bölümünden Add New seçeneğini kullanabilirsiniz. Burada arama kısmına WP-DB-Backup yazarak eklentiyi bulduktan sonra Click Install Now butonuna tıklayarak eklentiyi kurabilirsiniz. Bir sonraki adım olarak Plugins ekranından bu eklentiyi aktive etmeniz gerekmektedir.
Eklenti aktivasyonundan sonra, panelde Tools kısmında Backup isimli yeni bir araç göreceksiniz. Backup ile hızlı bir şekilde verilerinizi yedeklerken aynı zamanda da bu yedeklemeyi düzenli bir program haline getirebilirsiniz. Backup dosyalarını sabit diskinize indirebilir ya da emailinize gönderebilirsiniz.
Web sitenizi yedekleyerek, olası bir saldırı veya sunucu kaynaklı kritik durumlarda içeriklerinizi kaybetme riskini ortadan kaldırmış olursunuz.
5. Bir Eklenti Kullanarak Oturum Açma Girişimlerini Engelleyin
Oturum açma girişimlerini engelleyen eklenti, özellikle yanlış bilgilerle giriş yapma denemeleri gibi kuvvetli hacker saldırılarını defetmek konusunda kullanışlı olmaktadır. Yönetici olarak, kaç oturum açma girişiminden sonra eklentinin girişimi engelleyeceğine karar vermeniz de mümkündür.
Bu eklentiyi de Plugins sekmesinden Add New bölümüne girip Limit Login Attempts adıyla arama yaparak kurabilirsiniz. Eklentiyi veri yedekleme eklentileri gibi aktive etmenizin ardından ayarlarınız arasında Limit Login Attempts seçeneğini görmüş olacaksınız. Oturum açma girişimleri ve diğer sınırlamaları ayarlamak için bu eklentiyi kullanabilir ve yaptığınız değişiklikleri kaydetmek için Change Options butonuna tıklayabilirsiniz.
Son olarak unutmamalısınız ki WordPress güvenlik önlemleri kapsamında size gerekli olacak olan herhangi bir eklentiyi araştırmaktan kaçınmayın. Fakat bu, web sitenize saldırı yapmak isteyen kişilerin kullandığı bir taktiktir. Dolayısıyla eklentileri yüklerken saygın bir kaynaktan indirin ve eklenti hakkında WordPress.org üzerindeki değerlendirmeleri kontrol edin.
Diğer faydalı WordPress Güvenlik Eklentileri
WP Security Scan
WordPress tabanlı bir sitenin taranması için kullanılan en basit güvenlik eklentilerden biridir. Bu eklenti ile sitenizin açıklarını bulabilir ve bunları ortadan kaldırabilirsiniz. Ayrıca eklenti size yararlı ipuçları da vermektedir.
Ask Apache Password Protect
WordPress ya da veri tabanındaki bir karışıklığı kontrol etmek yerine web sitenize çoklu güvenlik katmanları eklemek amacı ile kullanılan bir eklentidir.
Stealth Login
Eklenti; WordPresste oturum açmak, çıkış yapmak ya da kayıt olmak için özel bir URL adresi oluşturma konusunda size yardımcı olur.
Login Lockdown
Yönetici paneline giriş yapılmasını bir süreliğine kilitleyebilecek olan güvenlik önlemleri eklentisidir.
WP-DB Manager
WordPress veri tabanınızı yönetmek için kullanabileceğiniz en iyi güvenlik eklentilerden biridir. Bu eklenti WordPress Backup Managera altenatif olarak kullanılabilir.
Admin SSL Secure Plugin
Yönetici panelini güvenli tutmak için kullanılan bir diğer eklentidir. SSL şifrelemesi üzerinden çalışan eklenti, hacker ya da yönetici paneline giriş yapmak isteyen yabancı kişilerin engellenmesi için kullanılmaktadır.
User Locker
Login Lockdown eklentisi ile aynı şekilde çalışan eklenti, WordPress güvenlik eklentileri arasında en çok kullanılanlardan biridir.
Limit Login Attempts
Limit Login Attempts web sitenize karşı gerçekleşen saldırı ve oturum açma girişimlerini, ilgili internet adresini engelleyerek, zor hale getirmektedir.
Login Encryption
Oturuma girişi şifreleyen bir güvenlik eklentisidir. Oturum açma işlemini şifreleme ve güvenliğini sağlama için DES ve RSAnın komplex bir karışımını kullanır.
One Time Password
Bu eşsiz eklenti internet kafeler vb. yerlerden istenmeyen girişleri önlemek için tek kullanımlık şifre oluşturma konusunda size yardımcı olmaktadır.
Antivirus
Antivirus web sitenizin botlara, virüslere ve diğer zararlılara karşı güvende olması için size yardımcı olan en popüler güvenlik eklentisidir.
User Spam Remover
Eklentinin adından da belli olduğu üzere istenmeyen mesajları önlemek ve kaldırmak konusunda size yardımcı olur.
Blog Bad Queries
Bu eklenti sunucu ve WordPress web sitesi arasındaki tüm zararlı sorguları engellemektedir. Eklenti, çok uzun istek dizeleri (örneğin 255 karakterden daha büyük olanlar) ya da diğer şüpheli sorgularda arka planda çalışır.
Web Sitenizin Güvenliğini Sağlayın!
Bu yazımızda WordPress tabanlı web siteniz için kullanabileceğiniz güvenlik önlemleri ve bu konuda yararı olan bazı eklentilere yer verdik. Bu uygulama ve eklentilerle web sitenizi hacker saldırı girişimlerine karşı ciddi oranda korumanız mümkündür.
Küçük güvenlik önlemleri ile korumaya alınmış bir web sitesinin hacklenmesi için uzun bir yol kat edilmesi gerekmektedir. Fakat imkânsız değildir. Bu nedenle firmanızın web sitesini koruma konusunda bir uzmana danışmanız en doğru yol olacaktır.
Moderatör tarafında düzenlendi: