WordPress Güvenliği İçin Uygulamanız Gereken 7 Adım
WordPress güvenliği günümüzün en önemli konularından biri haline gelmiş durumda. Bugün milyonlarca web sitesi WordPress ile hayata geçirilmiş olduğundan, WordPress güvenliği, WordPress eklentileri, WordPress giriş yolu gibi konular da oldukça önem taşıyor. WordPress güvenliğini tehdit eden unsurlar arasında ayrıca warez tema olarak tabir edilen, genellikle içinde zararlı kodların bulunduğu ücretsiz temalar yer alıyor.
Bu temalar, internetten normal şartlar altında ücretli olarak satın alınması mümkün olan premium temalardır. Temalara ait kodlarda çeşitli değişiklikler yapılarak, forum sitelerinde ve benzer ortamlarda ücretsiz olarak sunuluyor. Ancak tıpkı tarihteki truva atı hikayesinde olduğu gibi, warez temalarda da aynı şekilde zararlı kodlar bulunabiliyor.
Güvenli Wordpress Hosting İçin Tıklayınız!
WordPress, her ne kadar çekirdek yazılımın yapısı gereği güvenli olsa da bu tür tema ve eklentiler sebebiyle web sitesinde büyük açıklar meydana gelebiliyor. Dünyanın çeşitli noktalarından yüzlerce geliştiricinin kontrol ettiği ve açıkların kapatıldığı WordPress, zararlı kod içeren üçüncü partilerin sisteme entegre edilmesi ile birlikte web saldırılarına açık bir platforma dönüşebiliyor.
Bir WordPress sitesi sahibi olarak, web ve sunucu güvenliği gibi konularda bilgi sahibi olmanıza elbette ki gerek yok. Zaten bunun için uzun yıllar konuyla ilgili araştırma ve çalışmalar yapmış olmanız gerekiyor. Ancak sizin için hazırladığımız WordPress güvenlik kılavuzundaki işlemleri takip ederek, web sitenizin güvenliğini büyük ölçüde sağlamanız mümkün.
1. WordPress güvenliği için sitenizi güncel tutun
WordPress açık kaynaklı bir CMS. Yani tamamen ücretsiz ve dilediğiniz gibi kullanmanız, dağıtmanız ve hatta üstünde değişiklik yapmanız mümkün. Bu sayede gönüllü açık kaynak geliştiricileri, WordPress sistemi üzerinde yenilikler kazandıran geliştirmeler yaparak, kullanıcılara farklı özellikler sunuyorlar. Aynı zamanda güvenlik takımındaki geliştiriciler de belirli aralıklarla güncellemeler yayınlıyor.
Sadece WordPress’in kendi çekirdek yapısı değil, aynı zamanda kullanmakta olduğunuz tema ve eklentiler için de yayınlanan güncellemeleri takip etmeniz oldukça önemli. Dolayısıyla WordPress sitenizi güncel tutmanız için, mevcut tüm güncellemeleri uygulamanız gerekiyor. Bunu yaparken, herhangi bir aksiliğin önüne geçmek için sitenizin yedeğini almayı ihmal etmeyin.
2. WordPress kullanıcıları için güçlü parolalar kullanın
Bir web sitesini hacklemenin çeşitli yolları vardır. Bunların en başında, yönetici paneline erişim sağlayıp, kullanıcı adı ve parola bilgilerini tahin ederek, sisteme giriş yapmak geliyor. Parola kırma yöntemleri bugün çeşitli araçlar sayesinde çok daha kolay bir hale gelmiş durumda. Dolayısıyla artık tek tek kullanıcı adı ve parola ikilisini tahmin etmeye çalışmak dışında, brute-force saldırıları düzenleyerek sisteme girmek mümkün.
Gerek parolanın tahmin edilmesini güçleştirmek gerekse de brute-force saldırılarının önüne geçebilmek için güçlü parolalar kullanmak şart. Bu sayede sadece web paneline olan izinsiz erişimi değil, aynı zamanda hosting hesabı, veri tabanı ve FTP hesaplarının ele geçirilmesinin de önüne geçmek mümkün. Bir başka önemli nokta da web barındırma hizmetini almakta olduğunuz sisteme giriş için kullanılan e-posta adresinin güvenliğini sağlamak. Bunun için de yine güçlü parolalar kullanmak gerekiyor.
Birçok kullanıcı hatırlamakta güçlük çektiği için güçlü parola kullanmaktan kaçınıyor. Oysaki tüm bu parolaları ezberlemeye gerek yok. KeePass gibi programlar kullanarak, güçlü parolalar oluşturabilir, her hesap için bu parolaların tek bir merkeze kaydedilerek, yönetimini yapabilirsiniz.Güçlü parola oluşturmak için bu tür yazılımlar dışında, çevrimiçi bulabileceğiniz onlarca ücretsiz web sitesi bulunuyor. Hangi hizmeti ya da aracı kullanırsanız kullanın, standartlara uygun güçlü parolalar oluşturmayı asla ihmal etmeyin.
3. Doğru kullanıcı izinleri oluşturun
Bir diğer önemli konu da kullanıcı hesaplarına verilen izinler. Oluşturulan yeni kullanıcıların ön tanımlı olarak, bilmesi gereken prensibi ve en az yetki prensiplerine dayalı bir şekilde, ihtiyaç duyulan izinlere sahip olması gerekiyor. Bu durum özellikle geniş çalışma takımlarına sahip yöneticiler için oldukça riskli bir durum. Takımdaki her kullanıcının, ihtiyaç duyduğu yetkilere sahip olduğundan emin olunması gerekiyor. Ayrıca misafir yazarlara verilen hakların da neler olduğunu kontrol etmek, oluşabilecek riskleri minimuma indirmek açısından önemli.
Web sitenizdeki kullanıcıların erişim ve izin haklarını incelemeden önce, WordPress kullanıcı rolleri ve haklarını incelemeyi ihmal etmeyin. Bir yazar ya da editör ne tür haklara sahip, hangi yazı ve sayfa için ne gibi değişiklikler yapabilir, bir kenara not edin. Özellikle hangi kullanıcıların yönetici yani admin haklarına sahip olduğunu tek tek tespit edip, bu kullanıcının gerçekten yüksek yetkilere ihtiyacı olup olmadığına karar verin. Eğer yoksa, ilgili birimlerle konu hakkında bilgi paylaştıktan sonra, yetkiyi düşürün.
4. Öntanımlı “admin” kullanıcı adını değiştirin
Web sitenizi kurarken eğer, “admin” adıyla bir yönetici hesabı oluşturduysanız, hemen farklı bir isimde yeni kullanıcı oluşturup, “admin” kullanıcısına ait tüm yetki ve önceki yazıları bu kullanıcıya devredin. WordPress için yapılan saldırılar genellikle admin kullanıcı adına yapılmaktadır. Zaten yukarıda da görüldüğü üzere, bir WordPress yönetici paneline erişmek için kullanıcı adı ve parola ikilisine ihtiyaç var.
WordPress sitenizde, “admin” kullanıcı adını kullanmanız durumunda, bu ikiliden biri zaten otomatik olarak elenmiş oluyor. Yani, saldırgan hangi kullanıcı adını kullanarak brute-force saldırısı yapacağını bildiğinden, işi çok daha kolay bir hale geliyor. Dolayısıyla, ön tanımlı kullanıcı adlarını silmek ve yerine yenilerini oluşturmak, WordPress güvenliği açısından oldukça önemli.
5. Dosya düzenleme özelliğini kapatın
Bir web sayfası üzerinde değişiklik yapmak için, bir FTP istemcisi ile yerel depolama alanına ilgili dosyaları indirip, metin editörü ile açabilirsiniz. Ancak WordPress geleneksel yöntem dışında, beraberinde gelen kod editörü ile de aynı işlemi yapmanıza imkan tanıyor. Bu özellik, doğru kullanıldığında büyük kolaylık sağlamasına rağmen, yanlış kişilerin elinde olması halinde çekirdek dosyalar, tema ve eklenti dosyalarında geri dönüşü imkansız sonuçlara sebep olabiliyor.
Eğer, sizden başka yöneticiler kayıtlıysa ve bu kişilerin, dosyalar üzerinde herhangi bir işlem yapmasını istemiyorsanız, WordPress’in bu özelliğini pasifleştirebilirsiniz. Bunun için aşağıdaki kodları wp-config.php dosyasına eklemeniz yeterli:
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
6. Yönetim Paneli giriş denemelerini kısıtlayın
WordPress için her ne kadar güvenli bir yapıya sahip desek de özellikle son kullanıcıların rahat kullanabilmesi için bir takım güvenlik standartları göz ardı edilebiliyor. Bunlardan biri de brute-force saldırılarını önlemeye yarayan, giriş deneme sayısının kısıtlanması. Bir saldırgan, WordPress yönetim paneli üzerinden, kullanıcı adı ve parola ikilisi denemeleri gerçekleştirerek, hesaba girmeye çalışabilir. Bunun önüne geçmek için de ücretli/ücretsiz bir eklenti kullanabilirsiniz.
Genellikle WAF olarak tanımlanan web güvenlik duvarı eklentileri, bu özelliği beraberinde getiriyor. Ancak dilerseniz Login Lockdown isimli eklentiyi kullanarak da maksimum giriş deneme sayısını kısıtlayabilir, belirlediğiniz sayıda giriş denemesi yapan kullanıcıların, belli bir süreliğine sisteme girmelerini de engelleyebilirsiniz.
7. İki Faktörlü Kimlik Doğrulama özelliği ekleyin
Uygulama güvenliği denildiğinde akla gelen özelliklerden biri de kuşkusuz 2FA yani Two Factor Authentication’dır. Türkçemizde İki Faktörlü Kimlik Doğrulama olarak geçen bu özellik, geleneksel kullanıcı adı ve parola ikilisinden başka, üçüncü bir doğrulama ögesinin sisteme eklenmesi anlamına geliyor. Örneğin, sitenize giriş yapmak istediğinizde, kullanıcı adı ve parolanızı girdikten sonra, mobil cihazınıza gelen 4 haneli PIN numarasını girmeniz, iki faktörlü kimlik doğrulama adımlarını tamamlamış olduğunuz anlamına geliyor.
Online bankacılık hizmetlerinden faydalanan kullanıcıların zaten aşina olduğu bu özelliği, Two Factor Authentication eklentisi sayesinde WordPress sitenize de ekleyebilirsiniz. Uygulamayı sisteminize kurduktan sonra, mobil cihazınızda da Google Authenticator, LastPass ya da Authy gibi bir uygulama kullanmanız gerekiyor. Eklemiş olduğunuz 2FA uygulamalarını yedekleyebilmeniz için Authy kullanmanızı öneririz. Uygulama ile birlikte gelen Cloud Backup özelliği bu anlamda kimi zaman hayat kurtarıcı olabiliyor.
WordPress güvenliği için barındırma hizmeti seçiminin önemi
Bu adımlar haricinde, teknik olarak uygulanması gereken pek çok adım daha bulunuyor. Ancak bunları yapabilmek için yine sitenin doğru ellere teslim edildiğinden emin olmak şart. Web sitenizin güvenliği için ele alınması gereken diğer önemli konu, seçmiş olduğunuz hosting firmasıdır. Derinlemesine savunma sisteminin ilk katmanı olarak nitelendirebileceğimiz hosting hizmeti tercihiniz de WordPress güvenliği açısından büyük önem taşıyor.
Turhost’un güvenlik standartlarına uygun, sunucu barındırma hizmetlerini kullanabilir, dışarıdan gelebilecek saldırılara karşı daha güvenli bir WordPress tecrübesi yaşayabilirsiniz.
Güzel bilgiler için teşekkürler.
Eline sağlık.