Wordpress Güvenlik Haziran 2, 2020

WordPress Sitesine Olası Saldırıları Önlemek İçin Ne Yapmalıyım?

Yazar: Seçil Durgun

WordPress web sitenize saldırıları önlemek, saldırıdan sonra onu kurtarmaktan daha kolaydır. Genel olarak, WordPress siteleri hackerlar tarafından değil, bilinen güvenlik açıklarından yararlanmak için yazılmış bot yazılımları tarafından tehdit edilir. En yaygın güvenlik açıkları zayıf parolalar, update edilmemiş eklentiler ve WordPress sürümünün yanı sıra düşük kaliteli web barındırma (hosting) hizmetleridir.

WordPress siteniz saldırıya uğradığında ne olabilir?

  • Tema dosyalarınız gibi, sunucunuzdaki dosyalarınız da değiştirilebilir ve silinebilir.
  • Kötü amaçlı kodlar ve dosyalar sitenize eklenebilir.
  • Sitenize çok sayıda spam içeren sayfa eklenebilir.
  • Yönetici özellikleri olan kullanıcılar WordPress veritabanına eklenebilir.
  • Siteniz kötü amaçlı sitelere yönlendirilebilir.
  • Bu tür bir saldırı olduğunda, sitenizi geri almak saatler hatta günler alabilir.
  • Google sitenizi kara listeye alabilir ve arama sonuçlarındaki sıralamanızı kaybedebilirsiniz.

Neyse ki, bu tür saldırıları önlemek basit önlemler ile mümkündür. WordPress web sitenizi hacklemeyi önlemek için 18 ipucu:

1. WordPress sitenizi güncel tutun

WordPress sitenizi saldırılara karşı korumak için sitenizi sürekli güncel tutmanız gerekir. WordPress’e ayda bir kez giriş yapmak sitenizi güncellemek için yeterli değildir. Tema, eklentiler ve WordPress ana çekirdeği update aldığında sitenizi güncellemelisiniz. Otomatik güncellemeler için Shield Security eklentisini kullanabilirsiniz.

2. Sunucunuzu / Hosting alanınızda gereksiz dosyaları kaldırın

Sunucunuz ya da hosting alanınızda güvenlik zaafiyeti oluşturacak dosyaları tutmamalısınız. Kullanılmayan WordPress sürümlerini, dosyaları, eklentileri, temaları ve (varsa) backup dosyalarınızı silin.

3. Güçlü parolalar kullanın

Web siteniz veya siteleriniz için her zaman kullandığınız şifreleri kullanmayın. Kedinizin, en sevdiğiniz arkadaşınızın veya kolayca tahmin edilebilir (admin123 vb) şifreleri tavsiye etmiyoruz. Şifrelerinizi kolayca takip edebilmek için 1Password, LastPass gibi şifre izleme araçlarını kullanabilirsiniz.

4. İki Faktörlü Kimlik Doğrulama

WordPresste olası saldırılara karşı yapılması gereken güvenlik işlemlerinden biride iki faktörlü kimlik doğrulamadır. 2 faktörlü doğrulama ile kullanıcıları giriş ve kayıt sırasında SMS Doğrulama, E-posta, Google Authenticator, Authy Authenticator, Duo, Microsoft Authenticator, TOTP Tabanlı Kimlik Doğrulayıcı, Güvenlik Soruları ve diğerleri gibi farklı kimlik doğrulama yöntemleriyle hem kullanıcılarımızın hemde ziyaretcilerinizin güvenliğini sağlayabilirsiniz.

5. Sürekli güncellenen eklentileri ve temaları seçin

WordPress sisteminizde artık güncellenmeyen temaları ve eklentileri kullanmayın. Bir yıldan uzun süredir güncellenmeyen eklentileri ve temaları (mümkünse) update edilmiş olanlarla değiştirin. Tema satın alırken, bireysel geliştiriciler yerine, temada kendini kanıtlamış, birçok tema üreten ve sürekli güncelleyen ekipleri düşünün. Destek taleplerine nasıl döndüklerini kontrol edin. Marketplace’ler üzerinden satın alma yapacaksanız temanın satış sayısına, yorumlara ve puanına bakın. WordPress premium temaları genellikle üçüncü taraf eklentilerle birlikte gelir. Bu eklentilerin de temanızla birlikte güncellenmesi önemlidir.

6. Public Wi-Fi ağlarında oturum açarken dikkatli olun

WordPress sitenize herkese açık bir ağdan giriş yaparsanız, oturum açma kimlik bilgileriniz ağdaki diğer kullanıcılar tarafından özel bir yazılımla ele geçirilebilir. Sitenizde yüklü bir SSL sertifikası yoksa (ağdaki kullanıcı adınızı ve şifrenizi şifreleyerek), Sanal Özel Ağ (VPN) kullanarak ağ trafiğinizi şifreleyebilirsiniz. Sitenize herkese açık ağlarda kesinlikle giriş yapmanız gerekiyorsa, sitenizde SSL sertifikası olsa bile bir VPN kullanın.

7. SSL sertifikası

SSL sertifikası, iletişim formları gönderirken, oturum açarken vb. data transferinin encrypte edilerek yapılmasını sağlar. Websitenizde SSL sertifikanız olmadığı takdirde, bu verilere 3. şahısların erişilebilir olma ihtimali oluşur. SSL sertifikanız mevcut ise WordPress SSL eklentisi olarak Really Simple SSL kullanabilir ve http içeriklerinize https yönlendirmesi yapabilirsiniz.

8. Bilgisayarınızı kötü amaçlı yazılımlardan koruyun

Windows kullanıyorsanız, virüs tarama sisteminizi daima açık tutun ve sisteminizi sık sık tarayın. Ziyaret ettiğiniz sitelere dikkat edin. Sisteminize Truva atı (Trojen) gibi bir malware bulaşmışsa, WordPress şifreniz klavyede bastığınız tuşların kaydı tutularak ele geçirilebilir. Kötü amaçlı sayfaları ziyaret ettiğinizde bu tür casus yazılımlar sisteminize aktarılır. Web’de gezindiğiniz her sayfada korumaya ihtiyacınız olduğunu unutmayın.

9. WordPress güvenlik eklentisi kullanın

Shield Security, WordFence gibi güvenlik eklentileri WordPress sitenize önemli güvenlik koruması ekler. Bu eklentilerin en önemli özellikleri şunlardır: Süper yönetici güvenliği, faydalı bilgiler e-posta bülteni, kötü niyetli bağlantıları ve istekleri engelleme, spam ve robot yorumları engelleme, WordPress yönetici giriş sayfasını gizle, e-posta tabanlı iki faktörlü kimlik doğrulama doğrulaması ve WordPress otomatik güncellemelerini açma / kapatma, gerektiğinde site dosyalarınızı tarama ve tespit ettiği şüpheli dosyaları size bildirme.

10. Hosting firması seçimi önemlidir

WordPress alanında kendini ıspatlamış hosting çözümleri sunan şirketlerle çalışın. Sunucu güvenliğini ön planda tutan hosting firmaları daha az sorun yaşamanıza ve hatta site performansınıza (Açılış hızı ve buna bağlı etkenlerde) katkı sağlar. Fiyat / performans olarak oldukça uygun çözümler sunan yerli / yabancı bir çok alternatif arasında karar veremediğinizde internet yorumları size fikir verecektir.

11. Sitenizi düzenli olarak yedekleyin

Sitenizle ilgili yaşayacağınız sorunlarda Backup dosyalarınız hayat kurtarıcı olacaktır. Bu nedenle periyodik olarak alacağınız yedeklerinizin yanı sıra tema, plugin ve WordPress updatelerinizden önce yedek almanız önerilir. Çoğu kez Backup üzerinden restore işlemi yapmak hata bulma / ayıklama (troubleshooting / debugging) işlemlerine nazaran daha az zaman kaybı yaratacaktır.

12. Sitenizi sürekli takip edin / gözlemleyin

Google toolları kullanarak websitenizle ilgili önemli ve faydalı geri bildirimler alabilirsiniz. Bunun için Google Search Console’a kaydolun ve Google indexi ile ilgili yaşanan sorunlardan haberdar olun. Sitenizin hata günlüklerine CPanel dosya yöneticisi veya FTP (SFTP) ile göz atın. Sunucunuzdaki / hosting alanınızdaki dosyalara erişen kullanıcıları izlemek için sitenizin erişim günlüklerine göz atın. Bu açık değilse, erişim günlüklerini cPanel aracılığıyla açabilirsiniz. Shield Security eklentisinin denetim izi özelliğini de kullanabilirsiniz.

13. Güvenilmeyen kişilere yönetici rolü vermeyin

Websitenizde yönetici rolü atayacağınız kişiler sitenizde istediklerini yapabileceklerdir. Bu sebeple teknik yeterliliği ve iyi niyeti konusunda şüpheniz olanlara yönetici yetkisi vermeyin. İçerik yazan veya mevcut içeriği düzenleyen kişilere yazar rolü yeterli olacaktır.

14. WordPress veritabanı için varsayılan tablo ön ekini değiştirin

WordPress varsayılan tablo öneki “wp_” dir. SQL Injection saldırıları, varsayılan tablo öneki ile daha kolaydır. WordPress’i değiştirirken tablo ön ekini kullanmanız önemle tavsiye edilir ve bunu iki şekilde yapabilirsiniz. Manuel yöntemler veritabanında düzenleme yapma pratiği olmayanlar için zor olabilir. WP Prefix Changer eklentisiyle bunu kolayca yapabilirsiniz.

15. Arama motorlarına yönetici panelini kapatın

Arama motoru botları, websitenizin tamamını tarar ve söylenmedikçe her içeriği dizine ekler. Yönetici paneli altında dosyaların dizine eklenmesini önlemenin en kolay yolu kök dizinde bir robots.txt dosyası oluşturmaktır. Sonra dosyaya aşağıdaki kodu yerleştirmelisiniz:
#
User- agent: *
Disallow: /cgi -bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */ feed/
Disallow: /*/feed/rss/$

16. .htaccess dosyanızı koruyun

Websitenizi bilgisayar korsanlarından korumak için “.htaccess” dosyanızı saldırılara karşı korumanız gerekir. Aşağıdaki kod aracılığıyla “.hta” adıyla başlayan bir dosyaya harici erişim engellenir.
# STRONG HTACCESS PROTECTION

order allow, deny deny from all satisfy all

17. Wp-config.php dosyanızı koruyun

“Wp-config.php” dosyası önemlidir, çünkü web siteniz için tüm hassas verileri ve yapılandırma ayarlarını içerir. Aşağıdaki kodu “.htaccess” dosyasını ekleyerek bu dosyayı koruyabilirsiniz.
# protect wp-config.php

Order deny, allow Deny from all

18. Wp-content/uploads dizininde php uzantılı dosyaları engelleyin.

Upload klasörü medya galerimizin bulunduğu ve front-end üzerinden çeşitli sebeplerle dosya yüklemesi yapılabilecek bir alan olduğu için burada execute edilebilecek dosyaların barınmasını aşağıdaki kodları wp-content/uploads dizinine ekleyeceğimiz .htaccess dosyasına ekleyerek engelleyebiliriz.

Order Allow,Deny
Deny from all

# after that add file extensions you want to allow access
<FilesMatch “.(jpg|jpeg|jpe|gif|png|mp4|pdf)$”>
Order Deny,Allow
Allow from all