21 Adımda WordPress Site Güvenliği

WordPress site güvenliği nasıl sağlanır? Güvenlik açıklarına karşı hangi önlemleri almak gerekir?

Her gün ortalama 90 bin web sitesi hackerların saldırısına uğruyor. WordPress, dünyanın en çok tercih edilen içerik yönetim sistemi olduğu için de hackerların saldırı hedeflerinde ilk sırada yer alıyor. WordPress güvenlik açıklarına karşı alacağınız önlemlerle internet korsanlarından sitenizi koruyabilirsiniz.

İşte, WordPress siteniz için uygulamanız gereken güvenlik önlemleri.

Kişisel Güvenlik: Bilgisayarınızı antivirüs programı ile truva atı (trojan) ve keylogger gibi zararlı yazılımlardan koruyun. Ayrıca güvenli olduğundan emin olmadığınız cihaz ve ağlardan giriş yapmamaya dikkat edin.
Güvenilir Hosting Firması: Özel sunucu monitoring sistemleri ve ek güvenlik katmanlarıyla donatılmış hosting hizmeti veren firmaları seçin. (Bkz: Hosting Güvenliği Nasıl Sağlanır?)
PHP Sürümü Kontrolü: PHP sürümünü güncellemek WordPress site hızınızı arttırırken, yeni eklentilerin yüklenmesinde karşılaşılan uyumsuzluk sorunlarını da ortadan kaldırır.
Güçlü Şifre: WordPress sitenizi, kaba kuvvet saldırısı (brute force) gibi hackleme girişimlerinden korumak için admin (yönetici) paneli giriş bilgilerinizde büyük – küçük harf, rakam ve özel karakterlerden oluşan karışık bir şifre oluşturun. Ayrıca WordPress kurulum esnasında otomatik verilen “admin” kullanıcı adınızı değiştirin.
Giriş Hata Mesajları: functions.php dosyasına gerekli kodları ekleyerek login hata mesajlarını gizleyin.
Ücretsiz Tema ve Eklentiler: Lisanssız (nulled) tema ve eklentiler; kolay hacklenebilir, spam bağlantı ve reklamlar içerebilir. Premium (ücretli, lisanslı) tema ya da eklenti satın aldığınızda, size özel lisans anahtarına sahip olursunuz. Ayrıca geliştiricinin sunduğu sürüm güncellemeleri ile WordPress siteniz için performans iyileştirme çalışmaları da yapabilirsiniz. (Bkz: En Kullanışlı WordPress Blog Temaları)
Tema ve Eklenti Güncellemesi: Tema ve eklentileri, güncel sürümleri çıktığında beklemeden yüklerseniz, hem teknik sorunlarla karşılaşmazsınız hem de güvenlik açıklarına karşı önlem almış olursunuz.
WordPress Sürümü: Güvenlik güncellemelerini içeren WordPress’in en son sürümünü kullanın. WordPress sürümünü functions.php dosyası ile gizleyerek olası saldırılara karşı önlem alın. (Bkz: En Son Sürümü ile WordPress Nasıl Kurulur?)
Hotlink Koruması: .htaccess dosyası üzerinden Hotlink korumasını aktifleştirerek sitenizdeki dosyaların başka sitelerde kullanılmasını engelleyin.
WordPress Dosya Düzenleyici: Admin paneli üzerinden shell saldırılarını engellemek için wp-config.php dosyasından WordPress dosya düzenleme iznini kapatın. wp-config dosya yolunu, yeni dizin koduyla değiştirmeyi de unutmayın.
WordPress Dosya İzinleri: chmod değerlerini doğru ayarlayarak WordPress dosya izinleri yetkisini düzenleyin.
Dosya İsimlerini Değiştirme: wp-login.php ve wp-admin klasörlerinin ismini değiştirerek yönetim panelinizi güvence altına alın. Ayrıca SQL saldırılarını önlemek için veritabanı tablo ön eki olan wp_ adını mutlaka değiştirin.
.htaccess Güvenlik Önlemi: .htaccess dosyasını düzenleyerek dizin taramayı ve veritabanı bağlantısını sağlayan wp-.config.php dosyasının dışarıdan çalıştırılmasını engelleyin.
İki Faktörlü Kimlik Doğrulaması: WordPress sitenize Google Authenticator eklentisini kurarak iki faktörlü kimlik doğrulamasını etkinleştirin.
PHP Remote Command Execution: PHP uzantılı dosyalarınızın uzaktan komut çalıştırma yöntemi ile ele geçirilmemesi için güvenlik kodlarını yazdığınız metin dosyasını .htaccess ismiyle kaydederek wp-content ve wp-inculudes klasörlerinin içine atın.
XML-RPC’yi Devre Dışı Bırakma: HTTP için uzaktan yordam çağrısı protokolü olan xmlrpc.php dosyasını, brute force saldırılarından korumak için eklenti ya da .htaccess dosyası üzerinden devre dışı bırakın.
SSL Sertifikası: Şifrelenmiş güvenli bağlantı protokolü olan SSL sertifikası kullanarak kimlik, şifre ve ödeme bilgileri gibi verilerin üçüncü şahısların eline geçmesini engelleyin. SSL sertifikası, Google arama sonuçları sıralama faktörlerinden biri olması itibariyle SEO çalışmalarınıza da olumlu katkıda bulunur.
DDoS Engelleme: Cloudflare kurulumu yaparak hem DDoS saldırılarından korunun hem de WordPress site hızınızı arttırın.
Bot ve Spam Engelleme: .htaccess dosyasına gerekli kodları yazarak zararlı botları ve spam siteleri engelleyin.
WordPress Yedekleme: Hosting firmanızın WordPress sitenizi düzenli olarak yedeklediğinden emin olun. Dilerseniz yedekleme işlemini eklentilerle ya da manuel olarak kendiniz de yapabilirsiniz. Yedekleme işlemleri için VaultPress, BackUpWordPress ve BackupGuard gibi eklentilerden de yararlanabilirsiniz. Yedekleme işlemi yapmadan önce kullanmadığınız eklenti ve temaları silmeyi unutmayın.
Güvenlik Taraması: Malware, spam ve virüs tehlikelerine karşı WordPress siteniz için belli aralıklarla güvenlik taramaları yapın. WordPress sitenizin genel güvenliği için Anti-Malware Security&Brute-Force Firewall, Wordfence, iThemes Security, CodeGuard, BulletProof Security, Theme Authenticity Checker, AntiVirus ve Sucuri gibi eklentileri kullanabilirsiniz.