WordPress web siteniz güvenli mi?

Müşterilerinizin ve ziyaretçilerinizin şifreleri, kredi kartları ve kişisel verileri artan siber güvenlik saldırılarına karşı güvende mi?

Bilgisayar korsanları artık ellerinden gelenin en iyisini yapıyor. Bu yüzden web sitenizin güvenliğini daha da zorlaştırmak size kalmış.

WordPress Güvenliği Neden Önemlidir?

2021’in ilk yarısında 86 milyardan fazla şifre saldırısı girişimi engellendi ve her gün ortalama 30.000 yeni web sitesinin saldırıya uğradığı tahmin ediliyor.

Bilgisayar korsanları ve çeşitli kötü amaçlı yazılım türleri, web sitelerine ve bunların hassas verilerine erişim girişimlerinde oldukça acımasız.

Sonuç olarak şu anda benzeri görülmemiş miktarda siber güvenlik saldırısı var.

Bu sorun, sizinki de dahil olmak üzere her büyüklükteki işletmeyi etkiliyor.

Aslında, artık çevrimiçi saldırıların %43’ü küçük işletmeleri hedefliyor ve bu işletmelerin yalnızca %14’ü kendilerini savunmaya hazır.

Birçok bilgisayar korsanı, daha büyük kazanç elde etmek için büyük şirketleri hedef alsa da, küçük ve orta ölçekli işletmeler, kaynak ve güvenlik uzmanlığı eksikliği nedeniyle bilgisayar korsanları için daha kolay bir hedef sağlıyor.

Neyse ki, WordPress web sitenizi korumak için atabileceğiniz pek çok adım var.

Bir WordPress Sitesini Güvenli Hale Getirmenin En İyi 15 Yolu

WordPress site güvenliğinizi kurarken, korumanızı güçlendirmek için yapabileceğiniz bazı temel şeyler vardır. Bunlar aşağıdaki şekildedir:

1. SSL Sertifikalarını Kullanın

Secure Sockets Layer (SSL) sertifikaları, milyonlarca web sitesi tarafından müşterileriyle yaptıkları çevrimiçi işlemleri korumak için kullanılan bir endüstri standardıdır.

Bu yüzden bir SSL sertifikası edinmek, web sitenizi güvence altına almak için attığınız ilk adımlardan biri olmalıdır.

Bu standart teknoloji, bir web sunucusu (ana bilgisayar) ile bir web tarayıcısı (istemci) arasında şifreli bir bağlantı kurar. Bu şifreli bağlantıyı ekleyerek, ikisi arasında iletilen tüm verilerin özel ve içsel kalmasını sağlayabilirsiniz.

2. Güçlü Parolalar Kullanın

Bir SSL sertifikası almanın yanı sıra, sitenizi korumak için yapabileceğiniz ilk şeylerden biri, tüm girişleriniz için güçlü şifreler kullanmaktır.

Tanıdık veya hatırlaması kolay bir parola kullanmak cazip gelebilir, ancak bunu yapmak sizi, kullanıcılarınızı ve web sitenizi riske atar.

Bu noktada parolanızın gücünü ve güvenliğini artırmak, siber saldırıya uğrama şansınızı azaltır. Parolanız ne kadar güçlüyse, bir siber saldırının kurbanı olma olasılığınız o kadar düşüktür.

Yeterince güçlü bir parola kullandığınızdan emin değilseniz, bu Password Strength Checker gibi ücretsiz bir araç kullanarak gücünüzü kontrol edebilirsiniz.

3. Bir Güvenlik Eklentisi Kurun

WordPress eklentileri, web sitenize hızlı bir şekilde kullanışlı özellikler eklemenin harika bir yoludur ve birçok harika güvenlik eklentisi mevcuttur.

Bir güvenlik eklentisi yüklemek, fazla çaba gerektirmeden web sitenize bazı ekstra koruma katmanları ekleyebilir.

Başlamak için, aşağıdaki WordPress güvenlik eklentileri listesine göz atabilirsiniz:

  • Wordfence Security – Güvenlik Duvarı ve Kötü Amaçlı Yazılım Taraması
  • All In One WP Security & Firewall
  • iThemes Security
  • Jetpack – WP Güvenliği, Yedekleme, Hız ve Büyüme

4. WordPress Çekirdek Dosyalarını Güncel Tutun

Her WordPress güvenlik açığı bildirildiğinde, çekirdek ekip sorunu gideren bir güncelleme yayınlamak için çalışmaya başlar. Bu noktada WordPress’inizi her zaman güncel tutmak, sitenizin güvenliğini ve istikrarını korumak için çok önemlidir. WordPress web sitenizi güncellemiyorsanız, muhtemelen bilinen güvenlik açıkları olan bir WordPress sürümü kullanıyorsunuzdur. Fakat bunu yapmamanız gerekir.

WordPress’in eski bir sürümünü kullanarak kendinizi saldırıya açık bırakmayın ve otomatik güncellemeleri açın. Güncellemeleri işlemenin daha da kolay bir yolunu istiyorsanız, yerleşik otomatik güncellemelere sahip bir Yönetilen WordPress hosting çözümünü düşünün.

5. Tema ve Eklentilere Dikkat Edin

WordPress’i güncel tutmak temel dosyalarınızın kontrol altında olmasını sağlar, ancak tema ve eklentileriniz gibi WordPress’in savunmasız olduğu ve temel güncellemelerin korumayabileceği başka alanlar da vardır.

Bu noktada yalnızca güvenilir geliştiricilerin eklentilerini ve temalarını yükleyin.

Bir eklenti veya tema güvenilir bir kaynak tarafından geliştirilmemişse muhtemelen onu kullanmamak daha güvenlidir.

Bunun da ötesinde, WordPress eklentilerinizi ve temalarınızı güncellediğinizden emin olun.

Tıpkı eski bir WordPress sürümü gibi eski eklentileri ve temaları kullanmak da, web sitenizi saldırılara karşı daha savunmasız hale getirir.

6. Sık Yedekleme Yapın

WordPress web sitenizi korumanın en iyi yollarından biri de, sitenizin ve önemli dosyalarınızın her zaman güncel bir yedeğini almaktır. İsteyeceğiniz son şey, sitenizin başına bir şey gelmesi ve bir yedeğinizin olmamasıdır. Bu yüzden sitenizi yedekleyin ve bunu sık sık yapın. Bu şekilde, web sitenize bir şey olursa, hızlı bir şekilde önceki bir sürümünü geri yükleyebilir ve daha hızlı çalışmaya başlayabilirsiniz.

7. “Admin” Kullanıcı Adını Asla Kullanmayın

“Admin” çok yaygın bir kullanıcı adı olduğu için kolayca tahmin edilebilir ve bilgisayar korsanlarının insanları kandırarak oturum açma kimlik bilgilerini vermelerini çok daha kolaylaştırır. Bu yüzden asla “admin” kullanıcı adını kullanmayın. Bunu yapmak sizi kaba kuvvet saldırılarına ve sosyal mühendislik dolandırıcılıklarına açık hale getirir.

Güçlü bir parolaya sahip olmak gibi oturum açma işlemleriniz için benzersiz bir kullanıcı adı kullanmak iyi bir fikirdir, bu, bilgisayar korsanlarının oturum açma bilgilerinizi ele geçirmesini çok daha zorlaştırır.

Şu anda “admin” kullanıcı adını kullanıyorsanız, WordPress yönetici kullanıcı adınızı mutlaka değiştirdiğinizden emin olun.

8. WP-Yönetici Giriş Sayfanızı Gizleyin

Varsayılan olarak, WordPress oturum açma sayfalarının çoğunda URL’nin sonuna “/wp-admin” veya “/wp-login.php” eklenerek erişilebilir. Bu, bilgisayar korsanlarının web sitenize girmeye çalışmasını kolaylaştırır.

Bir bilgisayar korsanı veya dolandırıcı oturum açma sayfanızı tanımladıktan sonra yönetici panonuza erişmek için kullanıcı adınızı ve parolanızı tahmin etmeye çalışabilir.

WordPress giriş sayfanızı gizlemek, sizi daha az kolay bir hedef haline getirmenin iyi bir yoludur.

WordPress yönetici oturum açma sayfasını WPS Hide Login gibi bir eklentiyle gizleyerek oturum açma kimlik bilgilerinizi koruyabilirsiniz.

9. XML-RPC’yi Devre Dışı Bırakın

WordPress, işlevselliği yazılım istemcilerine genişletmek için XML-RPC protokolünün bir uygulamasını kullanır.

Bu Remote Procedure Calling protokolü, XML’de biçimlendirilmiş olarak döndürülen verilerle komutların çalıştırılmasına izin verir.

Çoğu kullanıcının WordPress XML-RPC işlevine ihtiyacı yoktur ve bu, kullanıcıları açıklardan yararlanmaya açan en yaygın güvenlik açıklarından biridir. Bu yüzden devre dışı bırakmak iyi bir fikirdir. Wordfence Security eklentisi sayesinde bunu yapmak gerçekten çok kolaydır.

10. wp-config.php Dosyasını Sağlamlaştırın

WordPress wp-config.php dosyanız, WordPress güvenlik anahtarlarınız ve WordPress veri tabanı bağlantı ayrıntıları dahil olmak üzere WordPress kurulumunuz hakkında çok hassas bilgiler içerir, bu yüzden erişiminin kolay olmasını istemezsiniz.

Bu noktada .htaccess dosyanız aracılığıyla wp-config.php dosyanızı koruyarak web sitenizi sağlamlaştırabilirsiniz. Bu, temel olarak sitenize bilgisayar korsanlarına karşı ekstra bir zırh görevi görür.

11. Bir Güvenlik Tarama Aracı Çalıştırın

Bazen WordPress web siteniz, varlığından haberdar olmadığınız bir güvenlik açığına sahip olabilir. WPScan eklentisi, WordPress temel dosyalarında, eklentilerinde ve temalarında bilinen güvenlik açıklarını tarar. Eklenti ayrıca yeni güvenlik açıkları bulunduğunda sizi e-posta ile bilgilendirir.

12. Güvenliği Sağlayan Bir Hosting Şirketi Arayın

Bir hosting şirketi ararken, hızlı, güvenilir, güvenli ve mükemmel müşteri hizmetleriyle sizi destekleyecek bir şirket arayın. Bu, iyi ve güçlü kaynaklara sahip olmaları, en az %99,5 çalışma süresi sağlamaları ve sunucu düzeyinde güvenlik taktikleri kullanmaları gerektiği anlamına gelir. Sitenizi en başından korumak için yapabileceğiniz en iyi şeylerden biri, WordPress web sitenizi barındırmak için doğru hosting şirketini seçmektir.

13. En Son PHP Sürümünü Kullanın

WordPress’in eski sürümleri gibi eski PHP sürümleri de artık güvenli değildir. PHP’nin en son sürümünü kullanmıyorsanız, kendinizi siber saldırılardan korumak için PHP sürümünüzü yükseltin.

14. Tamamen İzole Edilmiş Bir Sunucuda Barındırma Sağlayın

Özel bulut sunucularının birçok avantajı vardır. Bu avantajlardan biri de güvenliğinizi artırmasıdır. Tüm bulut ortamları, antivirüs ve güvenlik duvarı korumasının güçlü bir kombinasyonunu gerektirir, ancak özel bir bulut, belirli fiziksel makinelerde çalışır ve bu da fiziksel güvenliğinin sağlanmasını kolaylaştırır. Güvenliğin yanı sıra, tamamen yalıtılmış bir sunucunun çok yüksek çalışma süresi ve yönetilen barındırmanın kolay entegrasyonu gibi başka avantajları da vardır.

WordPress web siteniz için mükemmel bulut ortamını mı arıyorsunuz?

Niobe Hosting WordPress Hosting‘i ile sunucudan sunucuya geçişler, daha güvenli yükseltme, anında güvenlik ve yüksek hıza bir arada sahip olabilirsiniz.

15. Bir Web Uygulaması Güvenlik Duvarı Kullanın

WordPress web sitenize ekstra güvenlik önlemleri eklemek için yapabileceğiniz son şeylerden biri, bir web uygulaması güvenlik duvarı (WAF) kullanmaktır. WAF, genellikle sitenizin çevresinde başka bir koruma katmanı sunan bulut tabanlı bir güvenlik sistemidir. Bunu siteniz için bir ağ geçidi olarak düşünebilirsiniz.

WAF, tüm bilgisayar korsanlığı girişimlerini engeller ve dağıtılmış hizmet reddi (DDoS) saldırıları veya istenmeyen e-posta gönderenler gibi diğer kötü amaçlı trafik türlerini filtreler.

WAF’ler genellikle aylık abonelik ücreti gerektirir, ancak WordPress web sitenizin güvenliğini yüksek düzeyde tutmak istiyorsanız, güvenlik duvarı kullanmak maliyete değerdir.

Web Sitenizin ve İşinizin Güvenli Olduğundan Emin Olun

Bir WordPress sitesini güvenli hale getirmek, ihtiyaçlarınıza uygun doğru araçlara ve hosting planına sahip olduğunuz sürece çok fazla teknik bilgi gerektirmez.

Siber tehditler gerçekleştikten sonra yanıt vermeyi beklemek yerine güvenlik sorunlarını önlemek için web sitenizi proaktif olarak güvenceye almanız gerekir.

Bu şekilde, birisi web sitenizi hedef alırsa, yeni bir yedeği bulmak için uğraşmak yerine riski azaltmaya ve işinize her zamanki gibi devam etmeye hazır olursunuz.

Bu noktada ücretsiz SSL, özel IP adresi, ücretsiz yedeklemeler, otomatik WordPress güncellemeleri, DDoS koruma ve WAF dahil olmak üzere güvenli ve tamamen yalıtılmış WordPress Hosting edinmeniz gerekir.

WordPress Güvenlik Saldırıları Nereden Kaynaklanır?

WordPress en çok kullanılan İçerik Yönetim Sistemi olmakla birlikte en çok saldırıya uğrayan platformlardan biridir. Bu siber saldırılar, oturum açma sayfanız, eski WordPress’iniz, kimlik avı ve çok daha fazlası gibi herhangi bir yerden gelebilir. Web sitenizi güvenli ve emniyetli hale getirmek her zamankinden daha önemlidir. Ancak endişelenmeyin, WordPress’e yapılan siber saldırıların çoğunun güvenliğiyle hiçbir ilgisi yoktur.

Siber saldırılar çoğunlukla, WordPress web sitesini güncel tutmamak gibi kullanıcı tarafındaki bazı tutarsızlıklardan kaynaklanır. Aslında, Sucuri’ye göre, “Virüs bulaşmış WordPress web sitelerinin %50,3’ü güncelliğini yitirmiştir.”

Yeni güvenlik ve işlevsel zorluklara ayak uydurmak için WordPress güncellemeleri birkaç ayda bir yayınlanır. Dolayısıyla, web sitenizi güncel ve güvenli tutmak için bilmek isteyeceğiniz şeyler vardır.

1. Temalar ve Eklentiler

Temalar ve eklentiler, bu siber saldırıların ortaya çıktığı en yaygın yerlerden biridir. Eklentiler ve temalar, WordPress’i en çok kullanılan CMS’lerden biri yapan şeydir. Bu yüzden WordPress web sitenizde bunları kullanmayı bırakamamanız gerekir. Ancak güncellemelerine ve güvenlik önlemlerine dikkat etmezseniz, aynı temalar/eklentiler siber saldırganlara kapı açacaktır.

Bu WordPress güvenlik tehditlerini uzak tutmak için eklentileri ve temaları düzenli olarak güncellemeniz gerekir.

Bu noktada eklentinizi indirirken güvenlik özelliklerini ve sorunlarını iyice kontrol edin. Tüm eklentiler, uzantılar ve temalar güvenli olacak şekilde tasarlanmamıştır. Geliştiricilerden bazıları eklentileri WordPress güncellemeleri doğrultusunda günceller, ancak güncellemeyenler web sitelerinin siber saldırıya uğraması riskini artırır. Ayrıca, eklenti geliştiriciler güncellemeleri kullanıma sunsa bile, web sitenizi güvenli hale getirmek için eklentileri/uzantıları/temaları güncellemesi gereken kişi sizsiniz.

Bu yüzden güvenilir olmayan kaynaklardan gelen eklentileri, temaları ve uzantıları kullanmayın ve eklentiyi yüklemeden önce yorumları okuyun. Düzenli olarak güncellenen, güvenlik standartlarını karşılayan ve herhangi bir arıza durumunda destek sunan eklentileri ve uzantıları seçin.

2. WordPress Giriş Sayfası

WordPress giriş sayfası siber saldırıların çıkış noktası olabilir. En yaygın tekniklerden biri, bir bilgisayar korsanının oturum açma sayfanızda milyonlarca kullanıcı adı ve parola kombinasyonunu denemek için bir bot kullandığı Brute Force saldırılarıdır. Varsayılan kullanıcı adını admin olarak kullanıyorsanız, bilgisayar korsanlarının tek görevi parolayı bulmaktır ve bazen şansları yaver gider ve sizin şifrenizi de bulabilirler.

Bu noktada Brute Force saldırılarıyla başa çıkmak için oturum açma girişimlerini sınırlayabilir, 2 faktörlü kimlik doğrulama ayarlayabilir ve güvenlik soruları ve oturum açma sayfası parola yöntemleri ekleyebilirsiniz. Başka bir teknik de, WordPress web sitesinin varsayılan oturum açma URL’sini WP-admin’den kolayca tahmin edilemeyecek herhangi bir şeye değiştirmektir.

3. Eski WordPress Sürümü

Temel WordPress sürümünüzü ve Php’nizi güncellemek, eklentileri güncellemek kadar önemlidir. WordPress ve PHP genellikle web siteniz için bir platform oluşturur ve bunları düzenli olarak güncellemiyorsanız, güvenlik saldırılarına kapı aralıyor olabilirsiniz. WordPress’inizi güncellememek, toplam siber saldırıların yalnızca yaklaşık %5’ini oluştursa da, WordPress kullanıcılarının sayısı göz önüne alındığında bu hala çok büyük bir orandır.

Yeni güvenlik tehditleri ve sorunlarıyla başa çıkmak için zaman zaman temel yazılım güncellemeleri sunulur. Yeni WordPress sürümünü ve güncellemelerini düzenli olarak yüklemek, sitenizin yeni ve eski saldırı tehditlerine karşı güncellendiğini gösterir. Bu noktada otomatik güncellemeleri etkinleştirebilir veya WordPress çekirdek yazılımını manuel olarak güncelleyebilirsiniz.

4. Kötü amaçlı yazılım

Kötü amaçlı yazılım, bilgi çalmak ve web sitelerine girmek için tasarlanmış bir tür yazılımdır. Bu kötü amaçlı yazılım, genellikle eski yazılımlar, temalar, eklentiler veya uzantılar kullanarak web sitenize sızar. Web sitenize girmek için temalar veya eklentilerinizdeki güvenlik sorunlarından yararlanmak için yapılmıştır. Bazıları botlar gibi oturum açmayı da deneyebilir.