Merhabalar, bu yazımızda wordpress sitemizi nasıl daha güvenli hale getirebiliriz bunu öğreneceğiz.
WordPress’i Güncel Tutma
WordPress’in güncellemelerini, tema ve eklenti güncellemelerini yapmak çok önemlidir.
WordPress güncellemeleri kritik noktadır. Eski sürüm kullanıyorsanız wordpress üzerinde tespit edilmiş zafiyetleri sitenize zarar vermek isteyen kişiler tarafından kullanılarak, web sitenizde birçok işlem gerçekleştirebilirler.
Tema ve eklenti güncellemeleri de bir o kadar önemlidir. Kullanmadığınız tema ve eklentileri kaldırmayı unutmamak gerek.
Dipnot: Otomatik güncellemeleri açarsanız iş yükünüzü hafifletmiş olursunuz.
Giriş Bilgileri
Umarım giriş bilgileriniz admin-admin değildir! Eğer o şekilde ise web siteniz artık başkalarının elinde olabilir.
Tahmin edilemiyecek kullanıcı adı ve parolalar oluşturmaya özen göstermelisiniz. Özellikle parola oluştururken karmaşık parolalar oluşturmaya çalışın ve özel karakterler kullanmaya çalışın. Bu sayede brute-force yani kaba kuvvet saldırılarından kurtulabilirsiniz.
Admin Panel Giriş Yolunu Değiştirme
Admin panelimizin giriş url’i wordpress’de wp-login şeklindedir. Bunu url kısmını farklılaştırarak kaba kuvvet saldırılarından kurtulmuş oluruz. Sonuçta admin panelimizi bulamayan kişi brute-force da deneyemez. Peki bunu nasıl yaparız?
Bu işlemi yapmak için Lockdown WP Admin gibi eklentileri kullanabilirsiniz.
Yedekleme
WordPress sitemiz için yedekleme birincil vazifemiz olmalı. Bunu genelde hosting sağlayıcınız sağlıyor olması lazım. Cpanel üzerinden sizlerde yapabilirsiniz ama bunlara erişiminiz yoksa veya çok detaylı bilmiyorsanız eklentiler sayesinde kolayca bunu yapabilirsiniz.
Gibi eklentiler ile yedekleme işlemlerimizi yapabiliriz.
Dosya Düzenlemeyi Kapatma
WordPress üzerinden bildiğiniz gibi tema dosyalarımızı düzenleyebiliyoruz. Bu bazen faydalı olsa da sitemizin giriş bilgilerinin saldırganın eline geçtiğini düşünelim. Zararlı kodlar entegre etmesini engellemek için bu özelliği devre dışı bırakabiliriz.
define( 'DISALLOW_FILE_EDIT', true );Yukırıdaki kodu web sitesimizde wp-config.php dosyasına giderek ekleyelim ve işlem tamam.
İki Aşamalı Doğrulama
İki aşamalı doğrulama yöntemini kullanarak sisteminize bilgilerinizle girmeye çalışan kötü niyetli kişileri engelleyebilirsiniz. İki aşamalı doğrulama; mobil uygulama, SMS veya E-posta yoluyla sisteme her giriş yaptığınızda ek doğrulama ister.
WordPress eklentiler kısmından uygun olan eklentileyi arayarak, kurabilirsiniz.
Güvenlik Eklentileri
Gibi eklentiler ile ddos ve diğer saldırılardan kısmen korunursunuz.
Admin Paneline Sadece Siz Girin
Çok fazla kullanılmayan hatta pek de tavsiye edilmeyen bir yöntem olabilir ama eğer sitenize çok fazla saldırı girişiminde bulunuluyorsa uygulayabileceğiniz bir yöntem. Bu yöntem ile sadece sizin belirlediğiniz IP adresi admin paneline giriş yapabiliyor.
<Files wp-login.php>
order deny,allow
Deny from all
# belirlediğiniz bir IP adresi
allow from xx.xxx.xx.xx
# belirlediğiniz bir diğer IP adresi
allow from xx.xx.xx.xxx
</Files>Yukarıdaki kodu publich_html dizininde .htaccess dosyasına ekliyoruz. Eğer .htaccess yoksa siz oluşturabilirsiniz.
IP adresinizi “xx.xx.xx.xxx” yerine yapıştırın ve dosyayı kaydettikten sonra yükleyin.
Dezavantajı başka bir IP’den giriş yapmak isterseniz tekrar .htaccess dosyamızı düzenlememiz gerekecek. Avantajı ise başka birisi admin panelimize giriş yapamayacak.
WordPress sitemizi bu yöntemler ile güvenliğini sağlamaya çalışabiliriz ancak büyük rol oynayan hosting sağlayıcımız da burada önemli. Bu yüzden hosting sağlayıcınızı seçerken dikkatli olmanızda fayda var.
Yazımızın sonuna geldik, umarım web sitenize bir zarar gelmez 🙂 Bir sonraki yazıda görüşmek üzere…