Bilgi BankasıBlogSatış OrtaklığıKampanyalarDestek444 85 56
Müşteri PaneliGiriş
Üye Ol
Hand-Picked Top-Read Stories
Trending Tags
9 dakikada oku

WordPress Web Sitesi Güvenliği, En İyi Güvenlik Eklentileri ve Ayarları

Sibel Hoş
25 Kasım 2019
21 Adımda WordPress Site Güvenliği

WordPress, dünya genelindeki web sitelerinin %43’ünden fazlasına güç vererek, içerik yönetim sistemleri (CMS) arasında en popüler seçenek haline gelmiştir. Ancak bu yaygın kullanım, WordPress’i aynı zamanda siber suçluların sıkça hedef aldığı bir platform haline getirir. Popülerliği nedeniyle, güvenlik açıklarından faydalanmak isteyen kötü niyetli kişiler tarafından özellikle tercih edilmektedir.

Bu, WordPress’in güvenlikten yoksun olduğu anlamına gelmez; ihlaller genellikle kullanıcı tarafındaki yetersiz güvenlik uygulamaları nedeniyle meydana gelir. Sitenizi korumak için proaktif güvenlik önlemleri uygulamanız ve web sitenizin bir hacker hedefi haline gelme riskini azaltmanız gerekir.

wordpress güvenliği

Dikkate Almanız Gereken WordPress Güvenlik Uygulamaları

WordPress site

1. WordPress Sürümünü Güncel Tutun

Web sitenizin güvenliğini artırmanın en basit yöntemlerinden biri WordPress çekirdeğinizi güncel tutmaktır. WordPress, performansı ve güvenliği artırmak için sık sık güncellemeler yayınlayarak sitenizi olası tehditlere karşı korumaya yardımcı olur.

Ancak, WordPress sitelerinin yaklaşık %63,4’ü hala eski sürümleri kullanmaktadır ve bu da onları saldırılara daha açık hale getirir.

En son sürümü kullandığınızdan emin olmak için WordPress kontrol panelinize giriş yapın, menüden Kontrol Paneli → Güncellemeler’i seçin ve en son sürümü kullandığınızdan emin olmak için mevcut güncellemeleri arayın.

(Bkz: En Son Sürümü ile WordPress Nasıl Kurulur?)

2. WP-Admin için Güçlü Giriş Kimlik Bilgileri Kullanın

Admin veya test gibi zayıf kullanıcı adları kullanmak sitenizi bir WordPress kaba kuvvet saldırısı için kolay bir hedef haline getirir. Bilgisayar korsanları WordPress sitelerine girmek için genellikle bu yaygın kullanıcı adlarını ve zayıf parolaları kullanır. Bu yüzden sitenizi korumak için benzersiz, karmaşık bir kullanıcı adı ve güçlü bir parola seçin. Güvenli bir kullanıcı adıyla yeni bir yönetici hesabını aşağıdaki şekilde oluşturabilirsiniz:

WordPress kontrol panelinizde Kullanıcılar → Yeni Kullanıcı Ekle’ye gidin.

Yönetici rolüne sahip yeni bir kullanıcı ayarlayın, bir parola ekleyin ve Yeni Kullanıcı Ekle’ye tıklayın.

3. Geçersiz WordPress Temaları ve Eklentilerinden Kaçının

Nulled WordPress temaları ve eklentileri, düşük maliyetleri nedeniyle cazip görülebilen yetkisiz premium sürümlerdir, ancak ciddi güvenlik riskleri ile birlikte gelirler.

Bilgisayar korsanları bu temaları sıklıkla kötü amaçlı yazılım veya spam bağlantıları gibi zararlı kodlar içerecek şekilde değiştirerek sitenizi tehlikeye atabilir ve ek saldırılar için kapılar açabilir.

Nulled temaları kullanmak aynı zamanda geliştirici desteğini kaybetmek anlamına gelir ve bu da herhangi bir sorunu kendi başınıza halletmenize neden olur.

Güvenliği sağlamak için resmi WordPress deposundan veya ThemeForest ve Envato gibi güvenli ve iyi desteklenen premium temalar bulabileceğiniz güvenilir kaynaklardan temalar seçin.

(Bkz: En Kullanışlı WordPress Blog Temaları)

4. Siteniz için SSL Sertifikasını Etkinleştirin

SSL (Secure Sockets Layer) sertifikası, web siteniz ile kullanıcılarınız arasında aktarılan verileri şifreler ve bilgisayar korsanlarının hassas bilgileri ele geçirmesini çok daha zor hale getirir.

SSL etkinleştirildiğinde, sitenizin URL’si HTTP’den HTTPS’ye değişir ve tarayıcıda URL’nizin yanında güvenli bir bağlantı olduğunu gösteren bir asma kilit simgesi görünür.

SSL sertifikaları genellikle güvenilir sertifika yetkilileri tarafından verilir ve fiyatları değişebilir. Ancak güvenliği daha erişilebilir kılmak için Let’s Encrypt gibi kuruluşlar Google Chrome, Facebook ve Mozilla gibi şirketlerin desteğiyle ücretsiz SSL sertifikaları sunmaktadır.

Günümüzde birçok web hosting sağlayıcı SSL sertifikalarını ekstra ücret ödemeden sunarak WordPress sitenizin güvenliğini sağlamayı her zamankinden daha kolay hale getirmektedir.

5. WordPress Giriş Sayfası için 2FA Kurma

WordPress oturum açma güvenliğinizi güçlendirmek için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. 2FA, yaklaşık her 30 ila 60 saniyede bir yenilenen ve yalnızca bir kısa mesaj veya kimlik doğrulama uygulaması aracılığıyla erişebileceğiniz geçici bir ikinci şifre ekler.

WordPress sitenizde 2FA’yı kurmak için, süreci basitleştiren ve giriş sayfanızı koruyan All In One Login gibi bir güvenlik eklentisi yükleyin.

WordPress panonuzda, Eklentiler → Yeni Eklenti Ekle’ye gidin ve ”AIO Login”i arayın.

  • Ücretsiz sürümü etkinleştirmek için Şimdi Yükle’ye ve ardından Etkinleştir’e tıklayın.
  • AIO Login web sitesinden Pro sürümünü satın alın, zip dosyasını indirin ve ardından WordPress’e yükleyip etkinleştirin.
  • AIO Login kontrol paneline gidin, Güvenlik sekmesini açın ve 2FA’yı etkinleştirin.
  • Görüntülenen QR kodunu taramak için bir kimlik doğrulayıcı uygulaması kullanın.
  • Uygulama tarafından oluşturulan tek seferlik şifreyi (OTP) girin, doğrulayın ve 2FA kurulumunu tamamlamak için Değişiklikleri Kaydet’e tıklayın.

2FA’yı başarıyla yapılandırdıktan sonra, Authenticator uygulamasından 6 haneli kodu girmeniz istenecektir.

6. WordPress Sitenizi Düzenli Olarak Yedekleyin

Düzenli yedeklemeler, web sitesi güvenliğini ve kurtarmayı sürdürmek için çok önemlidir. Bir siber saldırı veya teknik arıza durumunda, yeni bir yedekleme sitenizi hızlı bir şekilde geri yüklemenizi sağlayarak olası veri kaybını en aza indirir.

Yedekleme ne kadar yeni olursa, bir ihlalde o kadar az veri kaybetme riskiniz olur.

WordPress çeşitli yedekleme çözümleri sunar. Bazı yönetilen hosting planları otomatik yedeklemeler içerir, ancak yalnızca bunlara güvenmek riskli olabilir. Sunucuda sorun yaşanırsa bu yedeklemeler de tehlikeye girebilir.

Bunun yerine, verilerinizi tesis dışına kaydeden bir yedekleme eklentisi kullanmayı düşünebilirsiniz. Örneğin, Jetpack VaultPress Backup her değişiklikte sitenizi otomatik olarak yedekler ve güvenilir bir güvenlik katmanı ekler.

7. Giriş Denemelerini Sınırlandırın

WordPress varsayılan olarak sınırsız giriş denemesine izin verir, bu da sitenizi kaba kuvvet saldırılarına karşı savunmasız hale getirir. Bilgisayar korsanları, yönetici alanınıza başarıyla erişene kadar çeşitli parola kombinasyonlarını deneyebilir.

Bunu önlemek için başarısız giriş denemelerinin sayısını sınırlamanız gerekir. Bu yalnızca sitenizi korumaya yardımcı olmakla kalmaz, aynı zamanda aynı IP adresinden tekrarlanan başarısız denemeler gibi şüpheli etkinlikleri izlemenizi de sağlar.

Bunu uygulamak için All In One Login gibi bir giriş güvenliği eklentisi kullanın.

WordPress kontrol panelinize gidin, Eklentiler’e tıklayın ve Yeni Eklenti Ekle’yi seçin. ”AIO Login”i bulmak için arama çubuğunu kullanın. Şimdi Yükle’ye tıklayın ve buton güncellendiğinde Etkinleştir’e tıklayın.

Eklenti ayarlarına gidin ve Allow & Continue (İzin Ver ve Devam Et) tıklayın. Login Protection (Oturum Açma Koruması) sekmesine gidin, Limit Login Attempts’i (Oturum Açma Girişimlerini Sınırla) etkinleştirin, maksimum denemeleri (örneğin 3-5) ayarlayın, zaman aşımı süresini (dakika cinsinden) belirtin ve özel bir kilitleme mesajı yazın.

8. Sitenizdeki Kullanıcı Etkinliğini İzleyin

Sitenizi riske atabilecek yetkisiz veya zararlı faaliyetleri belirlemek için yönetici alanınızda neler olup bittiğini takip edin. Bu, özellikle birden fazla kullanıcı veya yazarın WordPress sitenize erişimi varsa, ayarları değiştirebilecekleri, temaları değiştirebilecekleri veya eklentileri uygunsuz şekilde ayarlayabilecekleri için önemlidir.

Kullanıcı faaliyetlerini izleyerek, belirli değişiklikleri kimin yaptığını belirleyebilir ve birinin sitenize yetkisiz erişim kazanıp kazanmadığını tespit edebilirsiniz.

Kullanıcı eylemlerini izlemek için aşağıdaki gibi eklentiler kullanabilirsiniz:

  • Simple History – WordPress yöneticinizdeki etkinlikleri kaydeder ve Jetpack, WP Crontrol ve Beaver Builder gibi üçüncü taraf eklentilerini destekleyerek ilgili etkinlikleri de yakalar.
  • Activity Log – WordPress yönetici panelinizdeki etkinlikleri izler ve e-posta bildirimleri ayarlamanıza olanak tanır.
  • WP Activity Log – Yazılar, sayfalar, temalar, eklentilerdeki değişiklikleri izler ve dosyalarda yapılan değişiklikleri, eklemeleri ve silmeleri günlüğe kaydeder.

9. Sitenizi Düzenli Olarak Kötü Amaçlı Yazılımlara Karşı Tarayın

Bir WordPress güvenlik eklentisi kullanıyorsanız, düzenli olarak kötü amaçlı yazılım ve güvenlik sorunları için tarama yapacaktır. Bununla birlikte, trafikte ani bir düşüş veya arama sıralamasında bir düşüş fark ederseniz, kötü amaçlı yazılımları manuel olarak kontrol etmek iyi bir fikirdir. Bunu mevcut güvenlik eklentinizi veya mevcut en iyi kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanarak yapabilirsiniz.

Bu taramaları çalıştırmak basittir; web sitenizin URL’sini girmeniz yeterlidir; tarayıcı bilinen kötü amaçlı yazılımları veya zararlı kodları tespit etmek için sitenizi tarayacaktır. Çoğu WordPress güvenlik tarayıcısının sizi yalnızca kötü amaçlı yazılımlar hakkında uyarabileceğini unutmayın; virüslü siteleri tamamen kaldıramaz veya temizleyemezler.

10. Diğer

WordPress güvenliği için uygulayabileceğiniz diğer yöntemler aşağıdakileri içermektedir:

  • Kişisel Güvenlik: Bilgisayarınızı antivirüs programı ile truva atı (trojan) ve keylogger gibi zararlı yazılımlardan koruyun. Ayrıca güvenli olduğundan emin olmadığınız cihaz ve ağlardan giriş yapmamaya dikkat edin.
  • Güvenilir Hosting Firması: Özel sunucu monitoring sistemleri ve ek güvenlik katmanlarıyla donatılmış hosting hizmeti veren firmaları seçin. (Bkz: Hosting Güvenliği Nasıl Sağlanır?)
  • PHP Sürümü Kontrolü: PHP sürümünü güncellemek WordPress site hızınızı arttırırken, yeni eklentilerin yüklenmesinde karşılaşılan uyumsuzluk sorunlarını da ortadan kaldırır.
  • .htaccess Güvenlik Önlemi: .htaccess dosyasını düzenleyerek dizin taramayı ve veri tabanı bağlantısını sağlayan wp-.config.php dosyasının dışarıdan çalıştırılmasını engelleyin.
  • İki Faktörlü Kimlik Doğrulaması: WordPress sitenize Google Authenticator eklentisini kurarak iki faktörlü kimlik doğrulamasını etkinleştirin.
  • PHP Remote Command Execution: PHP uzantılı dosyalarınızın uzaktan komut çalıştırma yöntemi ile ele geçirilmemesi için güvenlik kodlarını yazdığınız metin dosyasını .htaccess ismiyle kaydederek wp-content ve wp-inculudes klasörlerinin içine atın.
  • XML-RPC’yi Devre Dışı Bırakma: HTTP için uzaktan yordam çağrısı protokolü olan xmlrpc.php dosyasını, brute force saldırılarından korumak için eklenti ya da .htaccess dosyası üzerinden devre dışı bırakın.
  • Hotlink Koruması: .htaccess dosyası üzerinden Hotlink korumasını aktifleştirerek sitenizdeki dosyaların başka sitelerde kullanılmasını engelleyin.
  • WordPress Dosya Düzenleyici: Admin paneli üzerinden shell saldırılarını engellemek için wp-config.php dosyasından WordPress dosya düzenleme iznini kapatın. wp-config dosya yolunu, yeni dizin koduyla değiştirmeyi de unutmayın.
  • WordPress Dosya İzinleri: chmod değerlerini doğru ayarlayarak WordPress dosya izinleri yetkisini düzenleyin.
  • Dosya İsimlerini Değiştirme: wp-login.php ve wp-admin klasörlerinin ismini değiştirerek yönetim panelinizi güvence altına alın. Ayrıca SQL saldırılarını önlemek için veritabanı tablo ön eki olan wp_ adını mutlaka değiştirin.
  • DDoS Engelleme: Cloudflare kurulumu yaparak hem DDoS saldırılarından korunun hem de WordPress site hızınızı artırın.
  • Bot ve Spam Engelleme: .htaccess dosyasına gerekli kodları yazarak zararlı botları ve spam siteleri engelleyin.
  • WordPress Yedekleme: Hosting firmanızın WordPress sitenizi düzenli olarak yedeklediğinden emin olun. Dilerseniz yedekleme işlemini eklentilerle ya da manuel olarak kendiniz de yapabilirsiniz. Yedekleme işlemleri için VaultPress, BackUpWordPress ve BackupGuard gibi eklentilerden de yararlanabilirsiniz. Yedekleme işlemi yapmadan önce kullanmadığınız eklenti ve temaları silmeyi unutmayın.
  • Güvenlik Taraması: Malware, spam ve virüs tehlikelerine karşı WordPress siteniz için belli aralıklarla güvenlik taramaları yapın. WordPress sitenizin genel güvenliği için Anti-Malware Security&Brute-Force Firewall, Wordfence, iThemes Security, CodeGuard, BulletProof Security, Theme Authenticity Checker, AntiVirus ve Sucuri gibi eklentileri kullanabilirsiniz.

WordPress Web Siteleri için En İyi Güvenlik Eklentileri 

Aşağıdaki listede en iyi WordPress güvenlik eklentilerini bulabilirsiniz:

1. Wordfence 

Wordfence, piyasadaki en popüler güvenlik eklentilerinden biridir ve WordPress sitenizin güvenliğini sağlamanıza yardımcı olacak birden fazla özellik sağlar. Kötü niyetli trafiği tanımlar ve engelleyecek birden fazla WordPress güvenlik duvarı özelliğine sahiptir. Ayrıca, eklenti dosyaları ve tema çekirdek dosyaları dahil olmak üzere dosyalarınızı taramanıza yardımcı olur. Web sitenize gelen trafiği de izlemenize izin verir ve WordPress siteniz için bir yorum spam filtresi arıyorsanız da en iyi şekilde çalışır. Wordfence güvenlik eklentisi yardımıyla, dosyaları düzgün bir şekilde tarayarak sitenizin bilinen güvenlik açıklarını ve içerik güvenliğini kontrol edebilirsiniz.

2. Akismet

Akismet, yorumları ve iletişim formu gönderilerini kontrol etmenize yardımcı olan iyi bilinen bir güvenlik eklentisidir. Yorumlar için otomatik spam denetleyicisi ile tanınır. Bağlantıları ve gizli bilgileri ortaya çıkarmak için yorumlardaki URL’leri görüntüler. Spam’leri engellemenize yardımcı olur. Sitenizi güvende tutacak bir atma özelliği de vardır. WordPress sitenizi hızlandırmada önemli bir rol oynar. Ayrıca yorum durumu geçmişini kontrol edebilir, böylece hangi yorumların Akismet tarafından temizlendiğini öğrenebilirsiniz.

3. Sucuri Security

WordPress sitenizin güvenliğini sağlamaya ve sitenize gelen tüm kötü niyetli trafiği engellemeye çalışıyorsanız, bu eklenti oldukça popülerdir. Bu eklentinin ücretsiz sürümü size birçok özellik sunar ve güvenlik etkinliği denetimi, dosya bütünlüğü izleme kara liste izleme ve uzaktan kötü amaçlı yazılım taraması konularında size yardımcı olur. Ayrıca web sitenizi tüm potansiyel tehditlere karşı güvende tutmak için saldırı sonrası güvenlik önlemleri almanıza da olanak tanır. Web sitesi güvenlik duvarı yalnızca eklentinin premium sürümünde mevcuttur.

4. iThemes Security

iTheme Security sitenize birçok özellik sağlayacak güçlü bir WordPress eklentisidir. Eklentinin profesyonel ve ücretsiz sürümü için çeşitli özellikler vardır ve WordPress temanızı güvence altına almanız için en iyi çözümlerden biridir. Eklenti, WordPress sitenize yönelik potansiyel güvenlik tehditlerini tespit etmenize yardımcı olur ve ayrıca WordPress sitenizi korumak için size birden fazla yol sunar. Eklentinin pro sürümünde, iki faktörlü kimlik doğrulama, parola güvenliği, Google reCAPTCHA, içe/dışa aktarma ayarları ve daha birçok şeyi kullanabilirsiniz. Ayrıca bu özel eklentiyi kullanarak dosyalarınızı kurtarabilirsiniz.

5. Defender

Defender, WordPress sitenizin güvenliğini artırmak için göz önünde bulundurmanız gereken bir başka harika WordPress eklentisidir. Bu özel eklentiyi kullanarak güvenliği artırmanın birden fazla yolu vardır. Tam dosya taraması konusunda size yardımcı olabilir ve Defender WordPress eklentisini kullanarak Google 2 adımlı doğrulamayı da ayarlayabilirsiniz. Ayrıca, IP yöneticisi ile web sitenizi güvende tutabilir ve IP’leri manuel olarak engelleyebilirsiniz. Düzenleyiciyi devre dışı bırakma, geri izlemeleri ve geri pingleri devre dışı bırakma ve varsayılan veri tabanı önekini değiştirme gibi öne çıkan birçok özelliğe sahiptir.

6. All in One WP Security

All in One WP Security, kullanıcı hesabı güvenliğini koruyarak web siteniz için işleri iyileştirmenize yardımcı olur. Dosya sistemi güvenliği, veri tabanı güvenliği, kara listeye alma, güvenlik duvarı, kullanıcı giriş güvenliği ve kullanıcı kayıt güvenliği konularında size yardımcı olur. Eklenti veya tema dosyalarındaki güvenlik boşluklarını kaldırmak için çekirdek dosyalarınızı da tarayabilirsiniz. Ayrıca bu eklentiyi kullanarak yedekleme yapabilirsiniz ve web sitenizin genel güvenliğini artırmak için birden fazla ek özelliğe sahiptir.

En Çok Sorulan Sorular

1. WordPress’in güvenliğini sağlamak için en iyi uygulamalar nelerdir?

WordPress’in güvenliğini sağlamak için çekirdek yazılımı, eklentileri ve temaları güncel tutun. Güçlü parolalar kullanın, bir güvenlik eklentisi yükleyin, bir SSL sertifikasını etkinleştirin, iki faktörlü kimlik doğrulamayı etkinleştirin ve giriş denemelerini sınırlayın. Düzenli yedekleme ve kötü amaçlı yazılım taramalarının da çok önemli olduğunu unutmayın.

2. WordPress nasıl güvenli hale getirebilirim?

Birden fazla koruma katmanı uygulayarak WordPress sitenizin güvenliğini sağlayabilirsiniz. Güvenilir bir hosting sağlayıcısı kullanın, güçlü parolalar uygulayın, bir güvenlik eklentisi yükleyin, IP beyaz listesiyle erişimi kısıtlayın ve PHP hata raporlamasını devre dışı bırakın. Son olarak, sitenizi şüpheli etkinliklere karşı düzenli olarak izlemeyi ve kullanılmayan eklentileri veya temaları kaldırmayı unutmayın.

3. WordPress güvenlik için iyi midir?

Evet, WordPress doğası gereği güvenlidir, ancak güvenliği büyük ölçüde site sahiplerinin web sitelerini nasıl yönettiklerine bağlıdır. Temel WordPress yazılımını güncellemek, güvenilir eklentiler ve barındırma kullanmak gibi en iyi uygulamaları izleyerek WordPress’i son derece güvenli hale getirebilirsiniz.

4. Web sitemdeki kullanılmayan eklentileri ve temaları devre dışı bırakmalı mıyım?

Evet, kullanılmayan eklenti ve temaları devre dışı bırakmalı ve silmelisiniz. Etkin olmasalar bile bilgisayar korsanlarının yararlanabileceği güvenlik açıkları oluşturabilirler. Bunları kaldırmak güvenlik risklerini azaltır ve site performansını artırmaya yardımcı olur.

5. Paylaşımlı bir hosting ortamı kullanıyorsam web sitemi nasıl koruyabilirim?

Paylaşımlı bir hosting ortamında, güçlü güvenlik önlemlerine sahip bir hosting sağlayıcı seçin. Ayrıca güvenlik duvarlarını etkinleştirin, kötü amaçlı yazılım tarayıcıları kullanın ve sitenizi güçlü parolalar ve SSL sertifikası ile güvence altına alın. Sitenizi barındırılan diğer sitelerdeki güvenlik açıklarından korumak için dosya izinlerini sınırlandırın ve izolasyon teknikleri uygulayın.

6. Giriş denemelerini sınırlamak güvenlik için neden faydalıdır?

Giriş denemelerini sınırlamak, birkaç başarısız denemeden sonra kullanıcıları engelleyerek kaba kuvvet saldırıları riskini azaltır. Bu, bilgisayar korsanlarının oturum açma kimlik bilgilerini tahmin etmek için otomatik araçlar kullanamamasını sağlayarak sitenizin genel güvenliğini artırır.

7. CAPTCHA ve reCAPTCHA web sitesi güvenliğinde nasıl bir rol oynar?

CAPTCHA ve reCAPTCHA, kullanıcı etkileşimlerini doğrulayarak botların sitenize erişmesini engeller. Otomatik komut dosyalarının form göndermesini, oturum açma sayfalarına erişmesini veya kötü amaçlı etkinlikler gerçekleştirmesini engelleyerek spam ve yetkisiz erişim girişimlerini azaltırlar.

8. IP beyaz listesi güvenliği nasıl artırır?

IP beyaz listesi, web sitenizin yönetici paneline erişimi belirli, güvenilir IP adresleriyle kısıtlar. Bu, yalnızca önceden onaylanmış IP’ler oturum açabildiğinden yetkisiz erişim olasılığını en aza indirir ve sitenize güçlü bir güvenlik katmanı ekler

WordPress Hosting paketlerimizi incelemek ve satın almak için tıklayın.

Önceki İçerik
arama motoru

Arama Motoru Nedir, Nasıl Çalışır?

byDilek Erdensoy
31 Ekim 2019
2 dakikada oku
Sonraki İçerik
On Page Seo Ayarları

Yeni Bir Sitenin SEO Ayarları Nasıl Yapılır?

byOsman Can Olgun
4 Aralık 2019
9 dakikada oku
İlgili Yazılar