WordPress Web Sitenizi Nasıl Korursunuz [İhtiyacınız Olan Tek Rehber]
Yayınlanan: 2021-08-05
WordPress kullanıcıları, web sitesi tasarımı, içeriği ve optimizasyonu için çok zaman harcama eğilimindedir, ancak genellikle bir temel faktörü unutur: web sitesi güvenliği. Geliştirici olmayan insanlar için sıkıcı bir konu gibi görünse de, WordPress'inizi güvende tutmak işinizi yürütmenin kritik bir parçasıdır.
Neden sorabilirsin?
Gelin bu soruyu birlikte inceleyelim.
Pek çok insan bu bilgiyi göz ardı eder çünkü saldırıya uğramış bir web sitesiyle hiç uğraşmamışlardır ve bu yüzden bunu çözmenin yol açabileceği güçlüğü, zamanı ve çabayı hayal bile edemezler.
Her şeyden önce, çevrimiçi bir işletme yürütüyorsanız veya en azından işinizin bir bölümünü web sitesi üzerinden yönetiyorsanız, bir hacker saldırısı kaçınılmaz olarak iş sürecinizi durduracaktır. Bir çevrimiçi mağazanız varsa, satış yapamazsınız; Web siteniz üzerinden randevu alırsanız, bunu yapamazsınız.
Yüksek hacimli çevrimiçi mağazalar için bu özellikle kötüdür - yalnızca bir süre satış yapamayacaksınız, aynı zamanda siparişleri de kaybedebilirsiniz. Web sitesi yedeklemeleri genellikle günde bir kez oluşturulur ve tamamlandıktan saatler sonra saldırıya uğrarsanız, bu arada verilen tüm siparişler kaybolur.
Web siteniz çalışır durumdaysa, yine de bir saldırı gerçekleşmiş olabilir - örneğin, koda bağlantılar eklenebilir ve diğer web sitelerini işaret edebilir.
Web sitenizden reklamlar aracılığıyla para kazanıyorsanız, reklamlarınızın başka birinin reklamlarıyla değiştirilmesini sağlayabilirsiniz (ve dolayısıyla gelir elde edemeyeceğiniz reklamlar görüntüleyebilirsiniz).
Web sitenizin güvenliğinin ihlal edilebileceği birçok durum vardır ve bunu fark etmeniz haftalar olmasa da günlerinizi alacaktır. Spam bağlantı enjeksiyonu senaryosunda, bu SEO'nuzu etkileyebilir (çünkü Google spam içerikli bağlantılardan kesinlikle hoşlanmaz). Sonuç olarak, Google sıralamanız zarar görebilir ve bu tür bir hasarı onarmanız çok uzun zaman alabilir.
Bir de müşteri güveni meselesi var; insanlar kullandıkları bir web sitesinin saldırıya uğradığını duyduklarında gerçekten endişeleniyorlar.
SSL sertifikalarının kullanılması, kredi kartı numaralarının sızdırılması gibi en vahim sonuçları önledi, ancak yine de bazı veriler elde edilebiliyor. Kullanıcılar, web sitenize yapılan bir bilgisayar korsanı saldırısını zayıf güvenlikle ilişkilendirebilir ve hizmetlerinizi tamamen kullanmayı bırakmaya karar verebilir.
Genel olarak, web siteniz saldırıya uğrarsa, onu onarabilirsiniz, ancak ilk etapta WordPress'inizi korumak çok acısız bir yoldur.
Halihazırda bir saldırı meydana geldiyse, web sitenizi taramak için bir eklenti kullanabilirsiniz, ancak mevcut eklentilerin çoğu sadece son zamanlarda hangi dosyanın/dosyaların değiştirildiğini gösterecek ve yine de her şeyi manuel olarak temizlemeniz gerekecek.
Bunu deneyip düzeltmenin başka bir yolu da web sitenizin yedeğini geri yüklemektir. Ancak bu, özellikle WordPress'inizin ne zaman saldırıya uğradığından emin değilseniz (ve bu nedenle, hangi yedek kopyanın temiz olduğundan emin değilseniz) %100 garantili bir düzeltme değildir.
Ayrıca, kötü amaçlı yazılımların kaldırılması ve teknik yardım sunan özel bir ajansla da iletişime geçebilirsiniz; nispeten hızlı hareket edecekler ve WordPress'inizi sizin için temizleyecekler, ancak elbette bir bedeli var.
Hasarı onarmakta başarılı olsanız bile, uygun korumayı ayarlamazsanız bu durumun tekrar olabileceğini (ve muhtemelen olacağını) unutmayın.
Burada yapacağınız en iyi şey, ayrıntılı ve kapsamlı bir koruma yaklaşımı benimseyerek önleyici bir şekilde hareket etmek ve web sitenizi güvence altına almaktır.
Ama bu ne anlama geliyor?
Peki, WordPress web sitenizi nasıl korursunuz ? Hangi uygulanabilir adımları atabilirsiniz? Sorduğunuza sevindik! Okumaya devam et.
Web barındırma genellikle bir arkadaşın tavsiyesi, web sitesini oluşturan ajans veya çevrimiçi araştırma yoluyla seçilir.
Deneyimsiz kullanıcıların sıklıkla aradığı şey, en ucuz fiyatlandırmadır. Hayattaki çoğu şeyde olduğu gibi, güvenilir, yüksek kaliteli barındırma daha pahalıya mal olacak ve size daha fazlasını sunacaktır. İyi barındırma sağlayıcıları, saldırıya uğramış bir web sitesiyle uğraşmak zorunda olup olmamanız arasındaki fark anlamına gelebilecek birçok güvenlik özelliği sunar.
Öte yandan, düşük maliyetli barındırma sağlayıcıları, farkı kapatmak için ellerinden geldiğince köşeleri kesecekler ve ne yazık ki güvenlik, çok acı çeken bir alandır.
Müşterilerimize sunduğumuz özelliklerden bazılarına bir örnek verelim. DDoS koruması, SSL sertifikaları ve Web Uygulaması Güvenlik Duvarları gibi klasik seçeneklerin yanı sıra, web sitenizin güvenlik oyununu üst seviyeye çıkaracak birkaç seçeneğimiz var.
Bunlardan biri, WordPress'lerini otomatik olarak güncellemeyen kullanıcılar için son derece yararlı olabilecek bir uygulama olan Patchman'dir. Patchman, kurulumunuzu tarar ve WordPress çekirdek dosyalarındaki ve çok sayıda popüler eklentideki bilinen tüm güvenlik açıklarını düzeltir. Patchman, siteyi bozan bağımlılık sorunlarına neden olabilecek güvenlik açığını gidermek için yazılımı otomatik olarak güncellemek yerine, güvenlik düzeltmesini şu anda yüklü olan sürüme uygular.
Uygulanan yamaların güvenli bir şekilde ve web sitenize zarar vermeden gerçekleştirileceğinden tamamen emin olabilirsiniz.
Paylaşımlı barındırmaya gidiyorsanız, yüksek performanslı, güvenli barındırmayı seçmek zorunludur. Birçok şirket ayrıca WordPress için özel olarak yapılandırılmış WordPress barındırma hizmeti sunar ve siteniz genellikle bu konuda çok daha iyi performans gösterir.
Yüksek hacimli bir web siteniz varsa ve barındırma hesabınızı yükseltmeyi seçerseniz, Daha ucuz (yönetilmeyen) muadilinin aksine, Tam olarak yönetilen özel sunucuya gidin, daha yüksek bir güvenlik seviyesi garanti eder.
Sonuç olarak, web barındırma konusunda kapsamlı bir araştırma yapın ve fiyatın seçiminizde size rehberlik etmesine izin vermeyin.
Bunun olmasının nedeni, bilgisayar korsanları tarafından keşfedilen güvenlik açıklarından kaynaklanmaktadır. Konuyla ilgili daha fazla okumak istiyorsanız, bu makaleyi öneririz, ancak özetlemek gerekirse, güvenlik açıkları kullandığınız uygulamanın kodundaki "delikler" dir. Bilgisayar korsanları ve yazılım geliştiriciler arasında sürekli bir savaş vardır. bilgisayar korsanları güvenlik açıklarını bulur ve kullanır ve geliştiriciler bunları hızla düzeltmeye çalışır.
Diğer CMS uygulamaları gibi, WordPress de yeni özelliklerin eklendiği ve geliştiricilerin bilinen güvenlik açıklarını düzeltmeye çalıştığı güncelleme döngülerinden geçer. Her yıl genellikle 1-3 büyük güncelleme ve birçok küçük güncelleme vardır ve bunların hepsi neredeyse her zaman güvenlik yamaları içerdiğinden güvenlik açısından kritik öneme sahiptir.
Ama bekleyin - Patchman gibi bir şeye sahipseniz, neden hala güncellemeniz gerekiyor?
Patchman, WordPress çekirdek dosyalarını ve en popüler eklentilerden bazılarını kapsar, ancak birçok eklenti uygulama aracılığıyla yamalanmaz. Bu, tüm bu eklentilerin, güncelliğini yitirmeleri durumunda, bilgisayar korsanlarının web sitenizde istedikleri gibi yapmaları için kolayca bir giriş noktası olacağı anlamına gelir.
WordPress'inizi güncel tutmak oldukça kolaydır.
Her şeyden önce, 5.6'dan sonraki tüm sürümlerde (Aralık 2020'de yayınlandı) otomatik güncellemeler etkinleştirildi, yani hiçbir şey yapmanıza gerek yok. Herhangi bir nedenle durum böyle değilse (geliştiricinizin bunları devre dışı bıraktığını söyleyin), otomatik güncellemelerinizi etkinleştirmenin birkaç yolu vardır.
Bunlardan biri, cPanel kullanıcıları tarafından WordPress'i sunucularına yüklemek için sıklıkla kullanılan uygulama olan Softaculous aracılığıyla. Softaculous' WordPress Manager, otomatik yükseltmeleri yapılandırmanıza olanak tanır; Yalnızca küçük güncellemeleri veya ana dalları da otomatik olarak yükseltmeyi seçebilirsiniz.
Ayrıca eklentilerinizi ve temalarınızı otomatik olarak yükseltmeyi de seçebilirsiniz. Hepsinden iyisi, herhangi bir geri dönme ihtiyacı olması durumunda, herhangi bir otomatik yükseltmeden önce bir yedekleme alacaktır.
Başka bir seçenek, kodunuzu değiştirme konusunda biraz yetenekliyseniz, WordPress'in yerel otomatik güncelleme yapılandırmasını kullanmaktır - bununla ilgili daha fazla bilgiyi doğrudan WordPress' KB'sinden öğrenin.
WordPress'inizi yüklemek için Softaculous gibi bir yazılım uygulamasını kullanırken, varsayılan olarak göründüğü için birçok kişi "admin" kullanıcı adını kullanır.
Bilgisayar korsanlarının işini kolaylaştırmak için varsayılan kullanıcı adını kullanmayın - e-posta adresiniz gibi farklı bir kullanıcı adı seçin. Bu kullanıcı adıyla önceden oluşturulmuş bir kullanıcıya verildiyseniz, yeni bir yönetici oluşturun ve mevcut olanı silin.
Aynı şey şifreniz için de geçerlidir; ne kadar güçlüyse o kadar iyidir. Rakamlar ve özel karakterler içeren uzun bir parola seçin veya daha da iyisi rastgele bir parola oluşturun.
Parolanızı unutacağınızdan endişeleniyorsanız, hatırlamanıza yardımcı olabilecek bir sistem bulmaya çalışın. Bazı insanlar farklılaştırıcı olarak statik bir karakter kombinasyonu + web sitesinin adı (Jack1990Apple!) kullanmayı sever, diğerleri ise birleştirici şifreler kullanır.
Elbette, giriş bilgilerinizi kaydedebilir ve bunları hatırlayıp hatırlamayacağınız konusunda endişelenmenize gerek kalmaz. Yine de giriş bilgilerinizi saklamak için tarayıcınızı kullanmayın! Bu oldukça güvensiz (ve yaygın olarak kullanılan) bir seçenektir.
Her seferinde yazmak zorunda kalmamak için giriş bilgilerinizi saklamak istiyorsanız, Lastpass gibi bir şifre yöneticisi kullanın - ücretsiz planları vardır ve giriş bilgileriniz mümkün olduğunca güvenli olacaktır. Şifre yöneticisi ile sadece 1 şifreyi (ana şifre) hatırlamanız ve ayrıca kredi kartı detaylarını saklamanız gerekir.
Kualo'nun paylaşımlı barındırma hizmetindeki müşteriler de otomatik olarak kaba kuvvet giriş saldırılarından korunur - kaba kuvvet girişimleri kısılır ve engellenir.
Bu, bilgisayar korsanları tam oturum açma ayrıntılarınıza sahip olsalar bile, bu ek kimlik doğrulama olmadan oturum açamayacakları anlamına gelir.
WP 2FA gibi bir eklenti yükleyebilir ve web sitenizdeki diğer kullanıcıları da bunu kullanmaya zorlayabilirsiniz (özellikle yönetici veya editör haklarına sahiplerse). Telefonunuza erişiminizi kaybetmeniz durumunda her zaman yedek kodlarınızı indirmeyi ve güvenli bir yerde saklamayı unutmayın.
Her iki durumda da, bu şekilde bırakırsanız, bilgisayar korsanlarının arka ucunuza girişi belirlemesini ve kaba kuvvet saldırısı başlatmasını çok daha kolay hale getirirsiniz.
ThemeMyLogin gibi bir eklenti kullanarak giriş sayfanızın URL'sini (sümüklü böcek) değiştirin veya listelediğimiz birden çok özelliği (2FA, giriş denemelerini sınırlayın, vb.) içerecek bir güvenlik eklentisi arayın.
Ayrıca, WPBeginner tarafından giriş URL'nizi manuel olarak nasıl değiştireceğinize dair mükemmel bir makale var, ancak kodu yönetme konusunda rahat değilseniz, oraya gitmemek en iyisidir.
Öte yandan, yüklediğiniz her eklenti, ilgilenilmesi (yani güncellenmesi) gereken başka bir kod parçasıdır. Çok sayıda eklenti, uyumsuzluk riskini de artırır - bu, iki veya daha fazla eklentinin birlikte çalışamadığı durumdur - bu nedenle, onsuz gidebileceğiniz eklentileri yüklemekten kaçınmanız gerekir.
En iyi güvenlik eklentilerinden bazıları, yukarıda bahsedildiği gibi çeşitli özellikleri bir araya getirecek ve böylece bahsettiğimiz her şeyi yapmak için yüklemeniz gereken eklenti sayısını azaltacaktır. Bazı harika örnekler:
Web sitenizde yönetici haklarına sahip birden fazla kullanıcı çalışıyorsa, bu, yapılanların kaydını tutmanın mükemmel bir yoludur.
Güvenlik açısından, başarısız oturum açma girişimlerinden WordPress site dosyalarındaki ve ayarlarındaki değişikliklere kadar çok kullanışlı olabilecek çeşitli bilgileri gösterebilir. Kendi web sitesi bakımını yapmayı seven biriyseniz, bu özellik bir zorunluluktur.
Harika (ve ücretsiz) bir seçenek, yıllardır var olan ve hem ayrıntılı günlüğü hem de arayüz basitliği ile bilinen bir eklenti olan WP Activity log'dur.
Bir zamanlar, ödemeler gibi belirli işlemler için güvenli olması gereken web siteleri için bir SSL gerekliydi. Ancak günümüzde, web sitenizde ödemeleri işleyip işlemediğiniz önemli değil. Parolalar, adlar, adresler vb. gibi hassas bilgileri işleyen tüm web siteleri için SSL zorunludur.
Bunun perde arkası mekanikleri şöyledir: Web sitenizde bir SSL olmadan, kullanıcının web tarayıcısı ile web sunucunuz arasında aktarılan tüm veriler, bilgisayar korsanlarının okuyabileceği düz metin olarak teslim edilir.
Bir SSL kurduğunuzda, hassas bilgiler iki taraf (kullanıcının web tarayıcısı ve sunucunuz) arasında aktarılmadan önce şifrelenir ve bu bilgiler üçüncü şahıslardan kötü niyetli amaçlarla korunur.
Google, bir süre önce bir SSL sertifikasının önemini fark etti ve şifreli bir bilgi aktarımı sunabilecek web sitelerini en üst sıralarda göstermeye başladı.
Ek olarak, 2018'de Google, tüm web sitesi sahiplerini aktif SSL'ye sahip olmayan her sitenin URL'de "Güvenli Değil" olarak görüntülenebileceği konusunda uyardı. Bu, SSL sertifikasını mutlak bir zorunluluk haline getirir; İyi haber şu ki, elde edilmesi oldukça kolay ve dahası, bazı barındırma şirketlerinde (Kualo dahil!) bir SSL ücretsiz olarak dahildir.
Çoğu zaman, yeni bir tema/eklenti yüklerken veya sitenizde aktif olarak çalışırken bir şeyler bozulabilir, bu nedenle yerinde bir yedeğe sahip olmak şüphesiz bir zorunluluktur.
Çoğu güvenilir barındırma sağlayıcısı sizin için bu günlük yedeklemeleri ayarlasa da, bunları manuel olarak nasıl yapacağınızı öğrenmek veya UpdraftPlus veya BackupBuddy gibi bir yedekleme eklentisi kullanmak kötü bir fikir değildir. Her ikisi de web sitenizin yedeklerini Amazon gibi bulut hizmetlerine yükleme veya yerel olarak dışa aktarma seçeneğine sahiptir.
Ayrıca cPanel'inizden kolayca erişebileceğiniz Softaculous Backup özelliğini de kullanabilirsiniz. İyi haber şu ki, maksimum basitlik sunuyor ve hiçbir ek ücret ödemeden geliyor. Kötü haber şu ki, benzerlerinden farklı olarak, yedekleri barındırma hesabınıza yükleyecek, bu nedenle disk alanı kullanacak ve ayrıca web sitesinin kendisiyle aynı yerde depolanacak. Hesabınıza bir şey olursa (örneğin, dosyaları kazara silin veya bir hacker'ın el ile müdahalesi), yedek kopyanızın da güvenliği ihlal edilmiş olabilir.
WordPress'iniz üzerinde çalışmayı planlıyorsanız ve sonuçtan emin değilseniz, her zaman bir yedek kopya oluşturmayı unutmayın!
Yüksek trafikli bir e-ticaret web sitesi işletiyorsanız, saatlik yedeklemeler sizin için en iyi seçim olabilir. Daha önce de belirtildiği gibi, çok sayıda sipariş oluşturan web siteleri, birkaç saat önce yapılan bir yedeği geri yüklemek zorunda kaldıklarında önemli kayıplar yaşayabilirler.
Bunu wp-config.php dosyanıza bir kod parçası ekleyerek yapabilirsiniz:
Bunu Notepad gibi bir metin düzenleyici açıp şu kodu yapıştırarak yapabilirsiniz:
<Dosyalar *.php>
herkesten inkar
</Dosyalar>
Bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi kullanarak veya cPanel'deki Dosya Yöneticiniz aracılığıyla web sitenizdeki /wp-content/uploads/ klasörlerine yükleyin.
Örneğin, bir bilgisayar korsanı web sitelerinizde 1000 farklı şifre denemek isterse, güvenlik eklentiniz veya güvenlik duvarınız tarafından yakalanacak 1000 ayrı giriş denemesi yapmak zorunda kalacaktı. Ancak, XML-RPC'yi etkin tutarsanız, bir bilgisayar korsanı system.multicall işlevini kullanabilir ve 30-60 istekle 1000 farklı parola deneyebilir.
Bu nedenle, onu devre dışı bırakmanızı şiddetle tavsiye ediyoruz ve bunu .htaccess dosyanıza bir kod ekleyerek yapabilirsiniz:
XML-RPC'yi saklamak istediğiniz tek IP buysa, 5. satıra kendi IP'nizi eklemelisiniz (aksi takdirde, onu silmeniz yeterlidir).
Not: Kullanıcılarımızdan biriyseniz, XMLRPC'niz LiteSpeed'in Brute Force Protection özelliği tarafından korunacağı için bu adımı gerçekleştirmenize gerek yoktur.
Bununla başa çıkmanın harika bir yolu, kötü niyetli botların WordPress'inize erişmesini engellemektir. .htaccess dosyasına aşağıdaki kodu ekleyin.
Web sitenizin kullanıcılarından herhangi birine mümkün olan en az erişim miktarını verin. Örneğin bir içerik yazarınız varsa, onlara bir yönetici hesabı sağlamanız gerekmez - bir Editör kullanıcısı gayet iyi yapacaktır. Kesinlikle gerekli olmadıkça hesabınızı paylaşmayın ve eğer öyleyse - kime verdiyseniz şifrenizi artık ona ihtiyacı kalmadığı anda değiştirin.
Kesinlikle gerekli olmadıkça hosting bilgilerinizi de paylaşmayın.
Boş (yasadışı olarak indirilmiş) WordPress temaları ve eklentileri kullanmayın
Bir noktada, biraz para biriktirmek ve lisanssız bir eklenti veya tema indirmek için cazip hale gelebilir. Bu durumda, başka bir şekilde ödeme yapacaksınız - büyük olasılıkla WordPress'inize bir arka kapı konumlandırarak. Bilgisayar korsanları genellikle lisanssız öğeler içinde spam içeren bağlantıları veya kötü amaçlı kodları gizler ve bunları ücretsiz olarak indirmeye sunar.
Ne pahasına olursa olsun bunlardan kaçının ve bir web sitesini veya işlevi devreye alırsanız, geliştiriciyle her şeyin uygun şekilde lisanslandığını onayladığınızdan emin olun.
Sunulan tavsiyelerden herhangi birini takip etmeyi zor buluyor musunuz? Önemli bir şeyi kaçırdık mı? Yorumlarda bize ping atın, düşüncelerinizi duymak isteriz!
Veya Kualo'nun süper güvenli WordPress barındırma hizmetine geçmeye hazırsanız, planlarımıza buradan göz atın.
Neden sorabilirsin?
Gelin bu soruyu birlikte inceleyelim.
WordPress'inizi Korumak Neden Önemli?
Hayattaki diğer güvenlikle ilgili şeyler gibi, web sitesi güvenliği de gerekli bir kötülüktür. Genellikle, bir geliştiriciyi veya bir ajansı sizin için bir web sitesi oluşturması için görevlendirdiğinizde, güvenlik konusu açılır. Uzmanlar, web sitelerinin ne sıklıkla saldırıya uğradığını ilk elden bilirler - özellikle platformun popülaritesi nedeniyle WordPress web siteleri. Genellikle size web sitenizi çeşitli şekillerde korumanızı tavsiye edecekler ve bazı iyi bilinen güvenlik uygulamalarını önerebilirler.Pek çok insan bu bilgiyi göz ardı eder çünkü saldırıya uğramış bir web sitesiyle hiç uğraşmamışlardır ve bu yüzden bunu çözmenin yol açabileceği güçlüğü, zamanı ve çabayı hayal bile edemezler.
Her şeyden önce, çevrimiçi bir işletme yürütüyorsanız veya en azından işinizin bir bölümünü web sitesi üzerinden yönetiyorsanız, bir hacker saldırısı kaçınılmaz olarak iş sürecinizi durduracaktır. Bir çevrimiçi mağazanız varsa, satış yapamazsınız; Web siteniz üzerinden randevu alırsanız, bunu yapamazsınız.
Yüksek hacimli çevrimiçi mağazalar için bu özellikle kötüdür - yalnızca bir süre satış yapamayacaksınız, aynı zamanda siparişleri de kaybedebilirsiniz. Web sitesi yedeklemeleri genellikle günde bir kez oluşturulur ve tamamlandıktan saatler sonra saldırıya uğrarsanız, bu arada verilen tüm siparişler kaybolur.
Web siteniz çalışır durumdaysa, yine de bir saldırı gerçekleşmiş olabilir - örneğin, koda bağlantılar eklenebilir ve diğer web sitelerini işaret edebilir.
Web sitenizden reklamlar aracılığıyla para kazanıyorsanız, reklamlarınızın başka birinin reklamlarıyla değiştirilmesini sağlayabilirsiniz (ve dolayısıyla gelir elde edemeyeceğiniz reklamlar görüntüleyebilirsiniz).
Web sitenizin güvenliğinin ihlal edilebileceği birçok durum vardır ve bunu fark etmeniz haftalar olmasa da günlerinizi alacaktır. Spam bağlantı enjeksiyonu senaryosunda, bu SEO'nuzu etkileyebilir (çünkü Google spam içerikli bağlantılardan kesinlikle hoşlanmaz). Sonuç olarak, Google sıralamanız zarar görebilir ve bu tür bir hasarı onarmanız çok uzun zaman alabilir.
Bir de müşteri güveni meselesi var; insanlar kullandıkları bir web sitesinin saldırıya uğradığını duyduklarında gerçekten endişeleniyorlar.
SSL sertifikalarının kullanılması, kredi kartı numaralarının sızdırılması gibi en vahim sonuçları önledi, ancak yine de bazı veriler elde edilebiliyor. Kullanıcılar, web sitenize yapılan bir bilgisayar korsanı saldırısını zayıf güvenlikle ilişkilendirebilir ve hizmetlerinizi tamamen kullanmayı bırakmaya karar verebilir.
Genel olarak, web siteniz saldırıya uğrarsa, onu onarabilirsiniz, ancak ilk etapta WordPress'inizi korumak çok acısız bir yoldur.
Saldırıya uğramış bir WordPress'i düzeltebilir misiniz?
Sürece aşina değilseniz, saldırıya uğramış bir WordPress web sitesini düzeltmek oldukça zor olabilir. Virüslü kodu temizlemek, belirli bir tür bilgi gerektirir. Diğer birçok teknik sorunun aksine, hacker saldırılarının değişen doğası nedeniyle Google'ın hızlı bir şekilde düzeltmesi zor olacaktır.Halihazırda bir saldırı meydana geldiyse, web sitenizi taramak için bir eklenti kullanabilirsiniz, ancak mevcut eklentilerin çoğu sadece son zamanlarda hangi dosyanın/dosyaların değiştirildiğini gösterecek ve yine de her şeyi manuel olarak temizlemeniz gerekecek.
Bunu deneyip düzeltmenin başka bir yolu da web sitenizin yedeğini geri yüklemektir. Ancak bu, özellikle WordPress'inizin ne zaman saldırıya uğradığından emin değilseniz (ve bu nedenle, hangi yedek kopyanın temiz olduğundan emin değilseniz) %100 garantili bir düzeltme değildir.
Ayrıca, kötü amaçlı yazılımların kaldırılması ve teknik yardım sunan özel bir ajansla da iletişime geçebilirsiniz; nispeten hızlı hareket edecekler ve WordPress'inizi sizin için temizleyecekler, ancak elbette bir bedeli var.
Hasarı onarmakta başarılı olsanız bile, uygun korumayı ayarlamazsanız bu durumun tekrar olabileceğini (ve muhtemelen olacağını) unutmayın.
Burada yapacağınız en iyi şey, ayrıntılı ve kapsamlı bir koruma yaklaşımı benimseyerek önleyici bir şekilde hareket etmek ve web sitenizi güvence altına almaktır.
Ama bu ne anlama geliyor?
Peki, WordPress web sitenizi nasıl korursunuz ? Hangi uygulanabilir adımları atabilirsiniz? Sorduğunuza sevindik! Okumaya devam et.
WordPress Web Sitenizi Korumak için Uygulanabilir Adımlar
1. İyi Bir Barındırma Sağlayıcı Seçin
Diğer güvenlik adımlarına odaklanmadan önce, web siteniz için sağlam bir temel seçmek çok önemlidir. Size birden fazla güvenlik katmanı sunabilen iyi bir barındırma sağlayıcısıyla çalışmak, web sitenizi gelecekteki siber saldırılardan korumanın en basit yoludur. Bir web barındırma sağlayıcısı seçimi, özellikle yıllardır çevrimiçi iş yürütmüyorlarsa, insanların titizlikle planladıkları bir şeydir.Web barındırma genellikle bir arkadaşın tavsiyesi, web sitesini oluşturan ajans veya çevrimiçi araştırma yoluyla seçilir.
Deneyimsiz kullanıcıların sıklıkla aradığı şey, en ucuz fiyatlandırmadır. Hayattaki çoğu şeyde olduğu gibi, güvenilir, yüksek kaliteli barındırma daha pahalıya mal olacak ve size daha fazlasını sunacaktır. İyi barındırma sağlayıcıları, saldırıya uğramış bir web sitesiyle uğraşmak zorunda olup olmamanız arasındaki fark anlamına gelebilecek birçok güvenlik özelliği sunar.
Öte yandan, düşük maliyetli barındırma sağlayıcıları, farkı kapatmak için ellerinden geldiğince köşeleri kesecekler ve ne yazık ki güvenlik, çok acı çeken bir alandır.
Müşterilerimize sunduğumuz özelliklerden bazılarına bir örnek verelim. DDoS koruması, SSL sertifikaları ve Web Uygulaması Güvenlik Duvarları gibi klasik seçeneklerin yanı sıra, web sitenizin güvenlik oyununu üst seviyeye çıkaracak birkaç seçeneğimiz var.
Bunlardan biri, WordPress'lerini otomatik olarak güncellemeyen kullanıcılar için son derece yararlı olabilecek bir uygulama olan Patchman'dir. Patchman, kurulumunuzu tarar ve WordPress çekirdek dosyalarındaki ve çok sayıda popüler eklentideki bilinen tüm güvenlik açıklarını düzeltir. Patchman, siteyi bozan bağımlılık sorunlarına neden olabilecek güvenlik açığını gidermek için yazılımı otomatik olarak güncellemek yerine, güvenlik düzeltmesini şu anda yüklü olan sürüme uygular.
Uygulanan yamaların güvenli bir şekilde ve web sitenize zarar vermeden gerçekleştirileceğinden tamamen emin olabilirsiniz.
Paylaşımlı barındırmaya gidiyorsanız, yüksek performanslı, güvenli barındırmayı seçmek zorunludur. Birçok şirket ayrıca WordPress için özel olarak yapılandırılmış WordPress barındırma hizmeti sunar ve siteniz genellikle bu konuda çok daha iyi performans gösterir.
Yüksek hacimli bir web siteniz varsa ve barındırma hesabınızı yükseltmeyi seçerseniz, Daha ucuz (yönetilmeyen) muadilinin aksine, Tam olarak yönetilen özel sunucuya gidin, daha yüksek bir güvenlik seviyesi garanti eder.
Sonuç olarak, web barındırma konusunda kapsamlı bir araştırma yapın ve fiyatın seçiminizde size rehberlik etmesine izin vermeyin.
2. WordPress'inizi Güncel Tutun
Bu muhtemelen web geliştiricinizden duyacağınız ilk tavsiyedir - her şeyi güncel tutun! Pek çok WordPress sahibi, bilinçli ya da bilinçsiz olarak bunu bir kural olarak göz ardı eder ve kötü niyetli saldırıların hedefi haline gelir.Bunun olmasının nedeni, bilgisayar korsanları tarafından keşfedilen güvenlik açıklarından kaynaklanmaktadır. Konuyla ilgili daha fazla okumak istiyorsanız, bu makaleyi öneririz, ancak özetlemek gerekirse, güvenlik açıkları kullandığınız uygulamanın kodundaki "delikler" dir. Bilgisayar korsanları ve yazılım geliştiriciler arasında sürekli bir savaş vardır. bilgisayar korsanları güvenlik açıklarını bulur ve kullanır ve geliştiriciler bunları hızla düzeltmeye çalışır.
Diğer CMS uygulamaları gibi, WordPress de yeni özelliklerin eklendiği ve geliştiricilerin bilinen güvenlik açıklarını düzeltmeye çalıştığı güncelleme döngülerinden geçer. Her yıl genellikle 1-3 büyük güncelleme ve birçok küçük güncelleme vardır ve bunların hepsi neredeyse her zaman güvenlik yamaları içerdiğinden güvenlik açısından kritik öneme sahiptir.
Ama bekleyin - Patchman gibi bir şeye sahipseniz, neden hala güncellemeniz gerekiyor?
Patchman, WordPress çekirdek dosyalarını ve en popüler eklentilerden bazılarını kapsar, ancak birçok eklenti uygulama aracılığıyla yamalanmaz. Bu, tüm bu eklentilerin, güncelliğini yitirmeleri durumunda, bilgisayar korsanlarının web sitenizde istedikleri gibi yapmaları için kolayca bir giriş noktası olacağı anlamına gelir.
WordPress'inizi güncel tutmak oldukça kolaydır.
Her şeyden önce, 5.6'dan sonraki tüm sürümlerde (Aralık 2020'de yayınlandı) otomatik güncellemeler etkinleştirildi, yani hiçbir şey yapmanıza gerek yok. Herhangi bir nedenle durum böyle değilse (geliştiricinizin bunları devre dışı bıraktığını söyleyin), otomatik güncellemelerinizi etkinleştirmenin birkaç yolu vardır.
Bunlardan biri, cPanel kullanıcıları tarafından WordPress'i sunucularına yüklemek için sıklıkla kullanılan uygulama olan Softaculous aracılığıyla. Softaculous' WordPress Manager, otomatik yükseltmeleri yapılandırmanıza olanak tanır; Yalnızca küçük güncellemeleri veya ana dalları da otomatik olarak yükseltmeyi seçebilirsiniz.
Ayrıca eklentilerinizi ve temalarınızı otomatik olarak yükseltmeyi de seçebilirsiniz. Hepsinden iyisi, herhangi bir geri dönme ihtiyacı olması durumunda, herhangi bir otomatik yükseltmeden önce bir yedekleme alacaktır.
Başka bir seçenek, kodunuzu değiştirme konusunda biraz yetenekliyseniz, WordPress'in yerel otomatik güncelleme yapılandırmasını kullanmaktır - bununla ilgili daha fazla bilgiyi doğrudan WordPress' KB'sinden öğrenin.
3. Güçlü Bir Kullanıcı Adı ve Parola Seçin
En yaygın WordPress bilgisayar korsanlığı girişimleri, çalınan oturum açma bilgilerini kullanmayı içerir. Sözde Brute Force saldırısından bahsediyoruz - bilgisayar korsanlarının doğru olanı bulana kadar bir bilgisayarın farklı kullanıcı adı ve şifre kombinasyonlarını denemesine izin verdiği etkili ve basit bir siber saldırı türü.WordPress'inizi yüklemek için Softaculous gibi bir yazılım uygulamasını kullanırken, varsayılan olarak göründüğü için birçok kişi "admin" kullanıcı adını kullanır.
Bilgisayar korsanlarının işini kolaylaştırmak için varsayılan kullanıcı adını kullanmayın - e-posta adresiniz gibi farklı bir kullanıcı adı seçin. Bu kullanıcı adıyla önceden oluşturulmuş bir kullanıcıya verildiyseniz, yeni bir yönetici oluşturun ve mevcut olanı silin.
Aynı şey şifreniz için de geçerlidir; ne kadar güçlüyse o kadar iyidir. Rakamlar ve özel karakterler içeren uzun bir parola seçin veya daha da iyisi rastgele bir parola oluşturun.
Parolanızı unutacağınızdan endişeleniyorsanız, hatırlamanıza yardımcı olabilecek bir sistem bulmaya çalışın. Bazı insanlar farklılaştırıcı olarak statik bir karakter kombinasyonu + web sitesinin adı (Jack1990Apple!) kullanmayı sever, diğerleri ise birleştirici şifreler kullanır.
Elbette, giriş bilgilerinizi kaydedebilir ve bunları hatırlayıp hatırlamayacağınız konusunda endişelenmenize gerek kalmaz. Yine de giriş bilgilerinizi saklamak için tarayıcınızı kullanmayın! Bu oldukça güvensiz (ve yaygın olarak kullanılan) bir seçenektir.
Her seferinde yazmak zorunda kalmamak için giriş bilgilerinizi saklamak istiyorsanız, Lastpass gibi bir şifre yöneticisi kullanın - ücretsiz planları vardır ve giriş bilgileriniz mümkün olduğunca güvenli olacaktır. Şifre yöneticisi ile sadece 1 şifreyi (ana şifre) hatırlamanız ve ayrıca kredi kartı detaylarını saklamanız gerekir.
4. Giriş Denemelerini Sınırlayın
Kaba kuvvet saldırılarını önlemenin bir başka yolu da (yine, bilgilerinizi tahmin ederek içeri girmeye çalışacaklardır) sadece giriş denemelerinin sayısını sınırlamaktır. Neyse ki, bu yapılması oldukça kolay bir şeydir; Loginizer gibi bir eklenti kurun veya bir güvenlik eklentisi kullanıyorsanız, bunu bir özellik olarak sunup sunmadığını kontrol edin.Kualo'nun paylaşımlı barındırma hizmetindeki müşteriler de otomatik olarak kaba kuvvet giriş saldırılarından korunur - kaba kuvvet girişimleri kısılır ve engellenir.
5. 2FA kullanın (iki faktörlü kimlik doğrulama)
İki Faktörlü Kimlik Doğrulama, son birkaç yılda bir nevi altın standart haline geldi. Aslında, birçok saygın web sitesi, kullanıcılarını, onu korumanın en güvenilir yollarından biri olarak hesaplarında 2FA'yı uygulamaya zorlayacaktır. Çalışma şekli, tanınmayan bir cihazdan her giriş yaptığınızda (genellikle telefonunuz aracılığıyla) ek bir kimlik doğrulama gerektirmesidir.Bu, bilgisayar korsanları tam oturum açma ayrıntılarınıza sahip olsalar bile, bu ek kimlik doğrulama olmadan oturum açamayacakları anlamına gelir.
WP 2FA gibi bir eklenti yükleyebilir ve web sitenizdeki diğer kullanıcıları da bunu kullanmaya zorlayabilirsiniz (özellikle yönetici veya editör haklarına sahiplerse). Telefonunuza erişiminizi kaybetmeniz durumunda her zaman yedek kodlarınızı indirmeyi ve güvenli bir yerde saklamayı unutmayın.
6. Giriş sayfanızın URL'sini değiştirin
"Yönetici" kullanıcı adı gibi, giriş erişimi söz konusu olduğunda WordPress'in bir başka kötü şöhretli detayı, giriş sayfasıdır. Varsayılan, "www.yourwebsite.com/wp-login.php" veya "www.yourwebsite.com/wp-admin"dir.Her iki durumda da, bu şekilde bırakırsanız, bilgisayar korsanlarının arka ucunuza girişi belirlemesini ve kaba kuvvet saldırısı başlatmasını çok daha kolay hale getirirsiniz.
ThemeMyLogin gibi bir eklenti kullanarak giriş sayfanızın URL'sini (sümüklü böcek) değiştirin veya listelediğimiz birden çok özelliği (2FA, giriş denemelerini sınırlayın, vb.) içerecek bir güvenlik eklentisi arayın.
Ayrıca, WPBeginner tarafından giriş URL'nizi manuel olarak nasıl değiştireceğinize dair mükemmel bir makale var, ancak kodu yönetme konusunda rahat değilseniz, oraya gitmemek en iyisidir.
7. Bir Güvenlik Eklentisi Kurun
Bu makaleyi yazarken, hem ücretsiz hem de ücretli 50 milyondan fazla eklenti mevcut. Kurulumunuzu kötü niyetli saldırılara karşı koruyabilecek geniş eklenti tabanından yararlanmamak üzücü olur.Öte yandan, yüklediğiniz her eklenti, ilgilenilmesi (yani güncellenmesi) gereken başka bir kod parçasıdır. Çok sayıda eklenti, uyumsuzluk riskini de artırır - bu, iki veya daha fazla eklentinin birlikte çalışamadığı durumdur - bu nedenle, onsuz gidebileceğiniz eklentileri yüklemekten kaçınmanız gerekir.
En iyi güvenlik eklentilerinden bazıları, yukarıda bahsedildiği gibi çeşitli özellikleri bir araya getirecek ve böylece bahsettiğimiz her şeyi yapmak için yüklemeniz gereken eklenti sayısını azaltacaktır. Bazı harika örnekler:
- Wordfence güvenliği - özelliklerle dolu başka bir yaygın seçenek. Wordfence merkezi aracılığıyla birden fazla web sitesine sahip kullanıcılar için harika olan eklenti, WordPress'i kötü amaçlı kod, spam enjeksiyonları ve hatta kötü URL'ler gibi çeşitli güvenlik risklerine karşı kontrol eder.
- WP Cerber Security - birçoğu bu makalede önerilen, güçlü bir seçenek kombinasyonuna sahip harika bir eklenti. Aslında, bu muhtemelen en kapsamlı güvenlik özellikleri listesine sahip eklentilerden biridir.
- Hepsi Bir Arada WP Güvenliği - bu eklenti teknik olarak daha az deneyimli kullanıcılar arasında çok popülerdir ve ayrıca ücretli bir sürümü yoktur, dolayısıyla herhangi bir kısıtlama yoktur. Daha fazla manuel yapılandırma gerektirecektir, ancak basitliği nispeten düz bir öğrenme eğrisi sağlar.
8. Bir Etkinlik Günlüğü Eklentisi Kurun
Bu, birçok durumda faydalı olabilecek temiz bir tavsiyedir. Etkinlik günlüğü eklentisi, web sitenizde farklı kullanıcılar tarafından gerçekleştirilen herhangi bir etkinliğin günlüklerini kaydeder ve gösterir. Bunu bir tür CCTV kamerası gibi düşünün, web sitenizde olan her şeyi (elbette metin formatında!)Web sitenizde yönetici haklarına sahip birden fazla kullanıcı çalışıyorsa, bu, yapılanların kaydını tutmanın mükemmel bir yoludur.
Güvenlik açısından, başarısız oturum açma girişimlerinden WordPress site dosyalarındaki ve ayarlarındaki değişikliklere kadar çok kullanışlı olabilecek çeşitli bilgileri gösterebilir. Kendi web sitesi bakımını yapmayı seven biriyseniz, bu özellik bir zorunluluktur.
Harika (ve ücretsiz) bir seçenek, yıllardır var olan ve hem ayrıntılı günlüğü hem de arayüz basitliği ile bilinen bir eklenti olan WP Activity log'dur.
9. Bir SSL Sertifikası yükleyin
Bunu söylemeye gerek yok, ancak güvenli tarafta olmak için bu tavsiyeyi ekleyelim.Bir zamanlar, ödemeler gibi belirli işlemler için güvenli olması gereken web siteleri için bir SSL gerekliydi. Ancak günümüzde, web sitenizde ödemeleri işleyip işlemediğiniz önemli değil. Parolalar, adlar, adresler vb. gibi hassas bilgileri işleyen tüm web siteleri için SSL zorunludur.
Bunun perde arkası mekanikleri şöyledir: Web sitenizde bir SSL olmadan, kullanıcının web tarayıcısı ile web sunucunuz arasında aktarılan tüm veriler, bilgisayar korsanlarının okuyabileceği düz metin olarak teslim edilir.
Bir SSL kurduğunuzda, hassas bilgiler iki taraf (kullanıcının web tarayıcısı ve sunucunuz) arasında aktarılmadan önce şifrelenir ve bu bilgiler üçüncü şahıslardan kötü niyetli amaçlarla korunur.
Google, bir süre önce bir SSL sertifikasının önemini fark etti ve şifreli bir bilgi aktarımı sunabilecek web sitelerini en üst sıralarda göstermeye başladı.
Ek olarak, 2018'de Google, tüm web sitesi sahiplerini aktif SSL'ye sahip olmayan her sitenin URL'de "Güvenli Değil" olarak görüntülenebileceği konusunda uyardı. Bu, SSL sertifikasını mutlak bir zorunluluk haline getirir; İyi haber şu ki, elde edilmesi oldukça kolay ve dahası, bazı barındırma şirketlerinde (Kualo dahil!) bir SSL ücretsiz olarak dahildir.
10. Yedeklemeleri Ayarlayın
Bir WordPress sorununu çözmeniz gerektiğinde yedeklemeler %100 çalışmayabilir, ancak bunlar sizin ilk savunma hattınızdır. Bir web sitesi yedeklemesi, yalnızca bir bilgisayar korsanı saldırısı olduğunda değil, teknik sorunlar olduğunda da kullanışlı olabilir.Çoğu zaman, yeni bir tema/eklenti yüklerken veya sitenizde aktif olarak çalışırken bir şeyler bozulabilir, bu nedenle yerinde bir yedeğe sahip olmak şüphesiz bir zorunluluktur.
Çoğu güvenilir barındırma sağlayıcısı sizin için bu günlük yedeklemeleri ayarlasa da, bunları manuel olarak nasıl yapacağınızı öğrenmek veya UpdraftPlus veya BackupBuddy gibi bir yedekleme eklentisi kullanmak kötü bir fikir değildir. Her ikisi de web sitenizin yedeklerini Amazon gibi bulut hizmetlerine yükleme veya yerel olarak dışa aktarma seçeneğine sahiptir.
Ayrıca cPanel'inizden kolayca erişebileceğiniz Softaculous Backup özelliğini de kullanabilirsiniz. İyi haber şu ki, maksimum basitlik sunuyor ve hiçbir ek ücret ödemeden geliyor. Kötü haber şu ki, benzerlerinden farklı olarak, yedekleri barındırma hesabınıza yükleyecek, bu nedenle disk alanı kullanacak ve ayrıca web sitesinin kendisiyle aynı yerde depolanacak. Hesabınıza bir şey olursa (örneğin, dosyaları kazara silin veya bir hacker'ın el ile müdahalesi), yedek kopyanızın da güvenliği ihlal edilmiş olabilir.
WordPress'iniz üzerinde çalışmayı planlıyorsanız ve sonuçtan emin değilseniz, her zaman bir yedek kopya oluşturmayı unutmayın!
Yüksek trafikli bir e-ticaret web sitesi işletiyorsanız, saatlik yedeklemeler sizin için en iyi seçim olabilir. Daha önce de belirtildiği gibi, çok sayıda sipariş oluşturan web siteleri, birkaç saat önce yapılan bir yedeği geri yüklemek zorunda kaldıklarında önemli kayıplar yaşayabilirler.
WordPress web sitenizi Korumak için Daha Fazla Eylem Yapılabilir Adım [İleri Düzey]
Bu bölümde bulacağınız ipuçları, WordPress'inizi yönetme konusunda biraz daha ileri düzeyde bilgi ve doğrudan koduna yazma konusunda güven gerektirir. Bu adımları yaparken kendinizi rahat hissetmiyorsanız, bunları uygulamanıza yardımcı olabilecek bir WordPress geliştiricisine danışmanız önerilir.11. Dosya Düzenlemeyi Devre Dışı Bırak
WordPress, tema ve eklenti dosyalarınızı yönetici panelinizden düzenlemenize olanak tanıyan yerleşik bir kod düzenleyiciyle birlikte gelir. Yönetici panelinize yanlış kişi erişirse, bu çok büyük bir güvenlik riski olabilir. Bu yüzden bu özelliği devre dışı bırakmanızı öneririz.Bunu wp-config.php dosyanıza bir kod parçası ekleyerek yapabilirsiniz:
1 // Disallow file edit
2 define( 'DISALLOW_FILE_EDIT', true );12. Belirli WordPress Dizinleri için PHP Dosya Yürütmesini Devre Dışı Bırakın
Gerekli olmayan dizinlerde PHP dosya yürütmesini devre dışı bırakarak başka bir koruma katmanı ekleyin. Bunu yapmak istemenizin nedeni, bilgisayar korsanlarının genellikle WordPress sitenize arka kapı erişim dosyalarını veya kötü amaçlı yazılımları yüklemek için bu işlevi kullanmasıdır. Siteniz çalışmayı durdurabileceğinden ne yaptığınızı bilmiyorsanız bu tehlikeli bir adımdır, bu nedenle dikkatli olun! Aradığınız dizin /wp-content/uploads/Bunu Notepad gibi bir metin düzenleyici açıp şu kodu yapıştırarak yapabilirsiniz:
<Dosyalar *.php>
herkesten inkar
</Dosyalar>
Bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi kullanarak veya cPanel'deki Dosya Yöneticiniz aracılığıyla web sitenizdeki /wp-content/uploads/ klasörlerine yükleyin.
13. XML-RPC'yi devre dışı bırakın
WordPress sitenizi web ve mobil uygulamalara bağlamak için XML-RPC kullanıldığında, ancak WordPress kendi REST API'sini yayınladığından, XML-RPC kullanışlı bir özellik yerine bir sorumluluk haline geldi.Örneğin, bir bilgisayar korsanı web sitelerinizde 1000 farklı şifre denemek isterse, güvenlik eklentiniz veya güvenlik duvarınız tarafından yakalanacak 1000 ayrı giriş denemesi yapmak zorunda kalacaktı. Ancak, XML-RPC'yi etkin tutarsanız, bir bilgisayar korsanı system.multicall işlevini kullanabilir ve 30-60 istekle 1000 farklı parola deneyebilir.
Bu nedenle, onu devre dışı bırakmanızı şiddetle tavsiye ediyoruz ve bunu .htaccess dosyanıza bir kod ekleyerek yapabilirsiniz:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx
</Files>XML-RPC'yi saklamak istediğiniz tek IP buysa, 5. satıra kendi IP'nizi eklemelisiniz (aksi takdirde, onu silmeniz yeterlidir).
Not: Kullanıcılarımızdan biriyseniz, XMLRPC'niz LiteSpeed'in Brute Force Protection özelliği tarafından korunacağı için bu adımı gerçekleştirmenize gerek yoktur.
14. Bot erişimini kısıtlayın
Web siteniz her zaman bazı botlar tarafından taranacak olsa da, kötü botlar can sıkıcı rahatsızlıklar yaratabilir. İş akışınızı yavaşlatabilir ve/veya WordPress sitenizin işlevselliğini bozarak kullanıcı kaybına neden olabilirler.Bununla başa çıkmanın harika bir yolu, kötü niyetli botların WordPress'inize erişmesini engellemektir. .htaccess dosyasına aşağıdaki kodu ekleyin.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_outWordPress'inizi güvende tutmak için teknik olmayan ipuçları
En Az Ayrıcalık İlkesini (POLP) kullanınWeb sitenizin kullanıcılarından herhangi birine mümkün olan en az erişim miktarını verin. Örneğin bir içerik yazarınız varsa, onlara bir yönetici hesabı sağlamanız gerekmez - bir Editör kullanıcısı gayet iyi yapacaktır. Kesinlikle gerekli olmadıkça hesabınızı paylaşmayın ve eğer öyleyse - kime verdiyseniz şifrenizi artık ona ihtiyacı kalmadığı anda değiştirin.
Kesinlikle gerekli olmadıkça hosting bilgilerinizi de paylaşmayın.
Boş (yasadışı olarak indirilmiş) WordPress temaları ve eklentileri kullanmayın
Bir noktada, biraz para biriktirmek ve lisanssız bir eklenti veya tema indirmek için cazip hale gelebilir. Bu durumda, başka bir şekilde ödeme yapacaksınız - büyük olasılıkla WordPress'inize bir arka kapı konumlandırarak. Bilgisayar korsanları genellikle lisanssız öğeler içinde spam içeren bağlantıları veya kötü amaçlı kodları gizler ve bunları ücretsiz olarak indirmeye sunar.
Ne pahasına olursa olsun bunlardan kaçının ve bir web sitesini veya işlevi devreye alırsanız, geliştiriciyle her şeyin uygun şekilde lisanslandığını onayladığınızdan emin olun.
Son düşünceler
WordPress'inizi güvence altına almak için harcayacağınız zamanı (ve fonları) başka bir kritik iş yatırımı olarak düşünün. Saldırıya uğramış bir web sitesini düzeltmek size çok daha pahalıya mal olur - en talihsiz durumda, işinize bile mal olabilir. Bu kılavuzu takip etmek, kötü niyetli saldırılara karşı %100 korumayı garanti etmeyecek, ancak bunun olma olasılığını önemli ölçüde azaltacaktır.Sunulan tavsiyelerden herhangi birini takip etmeyi zor buluyor musunuz? Önemli bir şeyi kaçırdık mı? Yorumlarda bize ping atın, düşüncelerinizi duymak isteriz!
Veya Kualo'nun süper güvenli WordPress barındırma hizmetine geçmeye hazırsanız, planlarımıza buradan göz atın.