Bu rehberimizde Wordpress altyapılı siteler için güvenlik ipuçlarını adım adım paylaşacağız.

Güvenlik, her web sitesinde olduğu gibi WordPress altyapılı sitelerde de oldukça önemli bir konudur. WordPress, her ne kadar sürekli olarak güncelleniyor olsa da açık kaynaklı kodlu bir sistem olduğu için tüm kaynak kodları herkes tarafından erişilebilir durumda. Bu sebeple oluşabilecek güvenlik açıkları kolayca tespit edilip bilgisayar korsanları tarafından rahatça uygulanmaya müsait. Peki ya bu WordPress güvenlik açıkları için nasıl önlem alabilirsiniz, hangi güvenlik eklentilerini kullanabilirsiniz merak ediyorsanız işte sizin için çeşitli ipuçlarını aşağıda paylaşacağız.

WordPress Sitenizi Güncel Tutun

Açık kaynaklı bir sistemde güncellik bilinen güvenlik açıklarının önüne geçmek için oldukça önemlidir. Çünkü geliştiriciler, gelecek güncellemeler ile bilinen hata ve güvenlik sorunlarına karşı gerekli önlemleri almış ve hataları düzeltmiş olabilir. İşte bu yüzden WordPress’in güncel olması sitenizin güvenliği içinalınabilecek önlemlerin başında gelmektedir.

Güçlü Şifreler Tercih Edin

Bu adım sadece WordPress siteniz için değil, web üzerindeki tüm hesaplarınızın güvenliği için dikkat etmeniz gereken en önemli adımdır. Birçok kullanıcı hatırlanması zor olduğu için karmaşık şifreler kullanmaktan hoşlanmaz. Bu sebeple şifrenin güçlü olup olmamasını önemsemeden genellikle doğum tarihi, telefon numaraları gibi çeşitli kişisel bilgileri şifre olarak kullanır. Başkalarının tahmin edebileceği kişisel bilgilerinizi şifre olarak kullanmak hesaplarınızın güvenliği için yapılabilecek en büyük hatalardan biridir. Bu durum WordPress sitenizin yönetici hesabı için de geçerlidir. Kullandığınız şifreler ne kadar karmaşık ve ne kadar zor olursa tahmin edilmesi de o kadar zor olacaktır. WordPress hesabınızın yanı sıra FTP hesaplarınız, hosting/domain panel hesaplarınızda da bu duruma dikkat etmeniz oldukça önemlidir.

Ayrıca WordPress kurulumu yapılırken tanımlanması muhtemel olan admin kullanıcı adını mutlaka silmeniz ve hesabınız için tahmin edilmesi daha zor bir kullanıcı adı tanımlamanız da hesap güvenliğiniz için alabileceğiniz önlemler arasındadır.

Sitenizi Sık Sık Yedekleyin

Yedekleme işlemi sitenizde meydana gelebilecek güvenlik saldırıları ve hatalardan sonra site içeriğinizi kurtarabilmeniz ve veri kaybı yaşamamanız için alabileceğiniz bir önlemdir. Olası bir sorundan sonra sitenizde oluşabilecek hatalardan kurtulmak için kolayca geri yükleme yaparak sitenizin çalışan haline erişebilirsiniz. WordPress sitenizi cPanel üzerinden yedekleyebileceğiniz gibi çeşitli eklentilerle de kolayca yedekleyebilirsiniz. Aşağıdaki linke tıklayıp UpdraftPlus WordPress Backup eklentisini WordPress sitenize yükleyerek sitenizin tam yedeğini kolayca alabilirsiniz. 

UpdraftPlus WordPress Backup Eklentisi Yükle

Ayrıca yedekleme işlemi için herhangi bir eklenti kullanmak istemiyorsanız WordPress Yedek Alma Nasıl Yapılır? (CPanel ve FTP Kullanarak) yazımıza göz atabilir ve eklentisiz olarak siteniz kolayca yedekleyebilirsiniz.

 Güvenlik Eklentisi Kullanın

 Wordpress sitenizin güvenliği için birçok faydalı özelliği bir arada bulunduran bir güvenlik eklentisi kullanmanız yeni başlayan kullanıcılar için oldukça pratik bir yol olacaktır. Güvenlik eklentileri aracılığı ile sitenizde gerçekleşen işlemleri denetleme ve izleme imkanı bulabilir ve istemediğiniz durumları engelleyebilir ve bunlar için gerekli önlemleri kolayca alabilirsiniz. Aşağıdaki linke tıklayarak WordPress sitenizin güvenliği için kullanabileceğiniz ücretsiz bir eklenti olan All In One WP Security & Firewall eklentisine ulaşabilirsiniz.

All In One WP Security & Firewall Eklentisi İndir

 Güvenlik Sertifikası (SSL/HTTPS) Kullanın

 SSL, kullanıcı ile site arasında güvenli bir bağlantı oluşturarak veri aktarımını şifreleyen bir protokoldür. Bu sayede kötü niyetli kullanıcıların bilgilere erişmesini zorlaştırır. Ayrıca HTTPS olarak çalışan bir site Google için de daha önceliklidir. Sitenizde kullanabileceğiniz ücretli veya ücretsiz birçok alternatif güvenlik sertifikası mevcuttur. Aşağıda siteniz için ücretsiz güvenlik sertifikası alabileceğiniz CloudFlare ve Let’s Encrypt sitelerinin linklerini bulabilirsiniz.

Cloudflare – Ücretsiz SSL

Let’s Encrypt – Ücretsiz SSL

Dosya Düzenlemeyi Kapatın

WordPress yönetim paneli içerisinde tema ve eklenti dosyalarını düzenlemenize olanak sağlayan bir kod düzenleyici barındırmaktadır. Bu özellik beraberinde birçok kolaylık getirmektedir ancak güvenlik açısından da bazı riskler oluşturabilir. Bu sebeple çok sık kullanmayorsanız bu özelliği devre dışı bırakmanız daha sağlıklı ve güvenli olacaktır. Bu özelliği devre dışı bırakabilmek için FTP aracılığı ile dosya dizinize bağlanıp aşağıdaki kodu wp-config.php dosyanıza eklemeniz yeterli olacaktır.

// Dosya düzenlemeyi devre dışı bırak
define('DISALLOW_FILE_EDIT', true);

  Bu işlemden sonra artık tema ve eklenti dosyaları üzerinde yönetim paneli üzerinden değişiklik yapılamayacaktır.

 Veritabanı Ön Ekini Değiştirin

 Wordpress veritabanında bulunan tablolarda ayırt etmek amacı ile varsayılan olarak wp_ ön eki kullanılır. Eğer bu değeri farklı bir değer ile değiştirirseniz tahmin edilme olasılığını düşüreceği için güvenlik açısından etkili olacaktır. Bu değeri WordPress kurulumu sırasında değiştirebileceğiniz gibi sonradan manuel olarakta değiştirebilirsiniz. Ancak en sağlıklı yöntem ilk kurulum sırasında farklı bir ön ek kullanmanızdır. Kurulum sırasında nasıl yapıldığını merak ediyorsanız WordPress Kurulum Rehberi başlıklı yazımıza göz atabilirsiniz.

WordPress wp-admin Dizinini Değiştirin

 Wordpress’in varsayılan olarak tanımlanmış yönetim paneli yani wp-admin adresini değiştirmeniz kötü niyetli kullanıcıların bu dizine ulaşmasını zorlaştıracağı için sitenize yapılabilecek saldırıların da önüne geçmenize yardımcı olur. Bu işlemi aşağıda linkini paylaştığımız HC Custom WP-Admin URL eklentisi ile kolayca yapabilirsiniz. Eklentiyi yükledikten sonra Ayarlar > Kalıcı Bağlantılar bölümünden kendi özel url adresinizi tanımlayabilirsiniz.

HC Custom WP-Admin URL

WordPress Yönetici Url Dizinini Şifreleyin

Kötü niyetli kullanıcılar WordPress sitenizin yönetim paneli giriş sayfasına yani wp-admin dizinine herhangi bir kısıtlama olmadan kolayca erişip giriş denemeleri ve DDOS saldırıları yapabilirler. Bu durumun önüne geçebilmek için wp-admin dizininize cPanel üzerinden sunucu taraflı şifre koyabilirsiniz. Böylece bu dizine erişmek isteyen kullanıcılardan sunucu ekstra şifre talep edecektir.

Dizin Gösterimini Devre Dışı Bırakın

Dizin gösterimi sitenizdeki dizinleri herhangi bir tarayıcı ile listelemeye ve görüntülemeye yarar. Bu durum kötü niyetli kullanıcıların sitenizde bilinen güvenlik açığına sahip dosyalar olup olmadığını tespit etmesini ve sitenizin dizin yapısı hakkında bilgi sahibi olmasını kolaylaştırır. Sonuç olarak ciddi güvenlik sorunları yaşabilirsiniz.

Bunun önüne geçebilmek için cPanel üzerinden ana dizinde bu özelliği kapatabilirsiniz veya sitenizin ana dizininde bulunan .htaccess dosyasının sonuna aşağıdaki kodu ekleyebilirsiniz.

Options -Indexes

Ftp aracılığı ile sunucunuza bağlanıp .htaccess dosyanıza bu kodu ekleyip kaydedin ve sunucunuza geri yükleyin. Bu işlemden sonra artık klasör dizinleriniz listelenmeyecektir. Eğer bu işlemi CPanel üzerinden yapmak isterseniz nasıl yapıldığına Cpanel ile Dizin Listeleme Özelliği Nasıl Devre Dışı Bırakılır? başlıklı rehberimizden göz atabilirsiniz.

WordPress Giriş Sayfasına Güvenlik Sorusu Ekleyin

Sitenizde bulunan giriş ve kayıt formlarına ekleyeceğiniz güvenlik soruları ile olası saldırıların önüne geçmeniz mümkün. WP Security Question eklentisi ile bu işlemi kolayca yapabilirsiniz.

WP Security Question

Şimdilik önereceklerimiz bu kadar. İlerleyen zamanlarda farklı adımları da burada paylaşacağız. Bizi takip ederek yeni içeriklerden haberdar olmayı unutmayın. Aklınıza takılanları yorum bölümünden iletebilirsiniz.