15 Basit Adımda WordPress Sitemizi Daha Güvenli Hale Getirebiliriz

Ocak 18, 2017 | Wordpress

wordpress site güvenliği

WordPress Siteleri Hack ve Virüs Tehditlerinden Korumanın İpuçları

WordPress sitelerin güvenliği ile alakalı bir çok mail alıyorum. Virüs bulaşmış siteleri için destek isteyenler yada önlem almak isteyen site sahiplerine aynı şeyleri söylüyorum, ama artık bunu yazıya dökerek bir döküman niteliğinde referans göstermek istedim.Wordpress açık kaynak kodlu bir içerik yönetim sistemi olduğundan sürekli virüs ve hack tehditlerine karşı savunmasız kalabiliyor. Neredeyse her hafta sitenizde tema ve eklenti güncellemeleri görüyorsunuzdur. Bu güncellemelerin çoğu güvenlik açıklarından kaynaklı olmasına rağmen hiç dikkate alınmıyor. Bu yüzden wordpress ‘in adı çıkmış diyebilirim.

Sadece eklenti, wordpress ve tema güncellemelerini otomatik olarak yapmak bile yeterli bir önlem.

WordPress kullanan popüler siterlerin %73 gibi büyük bir kısmının savunmasız olduğunu biliyormuydun?

Peki, wordpress sitelerin en çok hacklendiği 6 eklentiyi biliyormuydun?

WordPress sitenizin güvenliğini artırmak mı istiyorsunuz? Şimdi bir fiyat teklifi isteyebilirsin.

Peki siteniz için alabileceğiniz basit ama etkili önlemler neler bir bakalım;

WordPress sürümünü güncel tutun: Çok basit önlemlerin sitenin güvenliğine çok büyük etkisi olduğunun katını. WordPress ‘inizin sürümünün otomatik olarak güncellenmesini sağlayın. Önemli wordpress güvenlik açığı güncellemeleri otomatik olarak yapılıyor ancak ufak güncellemeleride otomatik olarak güncellemeliyiz. Alttaki kısa kodu wp.config.php dosyasına eklemeniz yeterli.


# Enable all core updates, including minor and major:
define( 'WP_AUTO_UPDATE_CORE', true );

Uyarı ! : Otomatik güncellemeler sitenizde sorunlar çıkarabilir, bu yüzden günlük yada haftalık yedek tutmayı unutmayın..

Temanızı ve Eklentilerinizi güncel tutun: Temamıza güncelleme geldiğini gördüğümüzde hemen güncelleriz ama eklentiler için nedense bu geçerli değil. Belkide çok fazla eklenti kullandığımız ve sürekli güncelleme gelmesi yüzünden sıradanlaşıyor. Tema ve eklenti güncellemelerimizi de otomatik olarak yapabiliriz. Wp-config.php dosyasına şu iki kodu eklemeniz yeterli.

Eklentiler için;


add_filter( 'auto_update_plugin', '__return_true' );

Temalar için;


add_filter( 'auto_update_theme', '__return_true' );

Tema ve Eklenti editlemeyi kapatın: Admin panelde gördüğünüz Görünüm > Düzenleyici sekmesini kapatarak olası hack durumunda editöre erişimi engelleyebilirsiniz.


define( 'DISALLOW_FILE_EDIT', true );

Error dosyasını gizleyin: Hata raporları eklenti yada temaların oluşturduğu sorunları listelemektedir, bu listenin hackerların eline geçmesini istemeyiz. Açıkları kullanabilmeleri için hata dosyaları kötü niyetli kişiler için önemlidir.


error_reporting(0);
@ini_set(‘display_errors’, 0);

Login sayfasını değiştirin: WordPress , default login sayfası olan www.websiteadı.com/wp-admin yada www.websiteadıcom/wp-login.php sayfalarını değiştirerek brute force saldırılarına karşı önlem alabilirsiniz. Bunun için Login LockDown eklentisini kullanabilirsiniz.

Tema seçimini dikkatli yapmalıyız: Tema seçimi neden önemli? Şuan codecanyon, thememonster gibi sitelerde satılan temların bir çoğunda onlarca eklenti kullanılıyor. En basit özellikler için dahi eklenti kullanılan temalar hem sitenize gereksiz ağırlık oluşturup hemde virüs bulaştırma potansiyeli oluşturacaktır.

Güvendiğiniz yerden eklenti alın ve kullanın: Eklentiler wordpress siteleri daha dinamik hale getirdiği gibi daha az savunmasız bırakabiliyor. Virüslerin en çok bulaşma sebebi  eklentilerdir. Her yerden eklenti bulup kurmamalıyız. Öncelikle ücretli eklentilerin ücretsiz versiyonunu (warez) bulup kurmamalıyız, bu eklentilerin ücretsiz sunulmasının sebebi zaten virüs bulaştırmak istemeleridir. Ancak ücretli yada ücretsiz olsun eklentiyi kurmadan önce yorumlarına göz atın, google da kısaca araştırın.

Admin kullanıcı adını değiştirin: Yönetici sıfatında bir kullanıcı oluşturun ve admin kullanıcısını silin.

Güçlü bir şifre kullanın:

  • Güçlü parola için en az 15 karakter ve sayıdan oluşmalı
  • Büyük harf, küçük harf, sayı ve özel karakter içermeli
  • Site isminde geçen kelimeleri yada isminizi şifrenizde kullanmayın.

Klasör ve dosya izinlerini doğru ayarlayın: Klasör izinleri: 755, dosya izinleri  644 olmalı.

Profesyonel ve güvenilir bir hosting seçin: Hosting seçimi çok önemlidir. İmkanınız dahilinde en iyi hosting firması ile çalışın. Yedek dahi almayan host firmaları mevcut, bu konuyu ciddiye almalısınız.

Bilgisayarınızı güncel ve temiz tutun: Virüslerin bir çoğuda bilgisayarlarımızdan kullandığımız ftp programlarından bulaşıyor. Herşeyden önce bilgisayarımızın sürümü güncel olmalı ve her zaman antivirüs programları kullanmalıyız.  Ftp programımızda parola hatırlamayı kullanmamalıyız.

 

Yukarıda listelediğim basit adımlar her wordpress kullanıcısının kolaylıkla uygulayabileceği örneklerdir. Zaten özellikle basit adımları listelemeye çalışmamın sebebide bu.