Bir WordPress Sitesinin Güvenliği Nasıl Sağlanır?

Siber saldırıların artan sıklığı ve karmaşıklığı nedeniyle bir WordPress sitesinin güvenliğini sağlamanın artık her zamankinden daha önemli olduğunu biliyor musunuz? Bu, hiçbir çevrimiçi işletmenin göz ardı edemeyeceği sert bir gerçektir.

Aslında Colorlib raporlarına göre 2023 yılında günlük olarak 13.000'den fazla WordPress web sitesi saldırıya uğruyordu.

Bu şaşırtıcı bir rakam ve çevrimiçi varlığınızı güvence altına alma konusunda daha dikkatli olmanız gerektiği anlamına geliyor.

Ama paniğe gerek yok.

Bu yazıda, web sitenizi güvende tutmak ve siber tehditlere karşı korumak için atabileceğiniz adımları tartışacağız; böylece herhangi bir endişe duymadan işinizi büyütmeye odaklanabilirsiniz.

Web sitenizin güvenliğini bir sonraki seviyeye taşımaya hazırsanız, hemen konuya dalalım!

1 WordPress Web Sitesini Neden Güvenli Hale Getirmelisiniz?

Web siteniz çevrimiçi eviniz olarak hizmet verir ve WordPress bunun arkasındaki platformdur. Ancak tıpkı fiziksel bir ev gibi WordPress sitenizin de potansiyel tehditlere karşı dayanıklı olması için güçlü duvarlara ihtiyacı vardır.

Web sitenizin güvenliğini sağlamanın neden önemli olduğu aşağıda açıklanmıştır:

Web Sitenizin ve Ziyaretçilerinizin Gizliliğinin Güvenliğini Sağlama

Verilere göre, saldırıya uğrayan WordPress sitelerinin ortalama %69'u eski yazılımların ve zayıf şifrelerin kurbanı oluyor. Bu, siber hırsızlara karşı ön kapınızı açık bir paspasla açık bırakmak gibidir.

İşletmelerin siber suçlardan kaynaklanan kayıpları yılda trilyonlara ulaşıyor ve WordPress sık sık hedefleniyor.

Bu nedenle şifreler, e-postalar ve finansal ayrıntılar gibi hassas verilerin korunması kritik öneme sahiptir. Güvenli bir web sitesi, kullanıcının güvenini ve katılımını artırır ve kullanıcıların güvenli bir siteye dönme olasılığı daha yüksek olur, böylece ziyaretçi bağlılığı ve dönüşümler artar.

Veri İhlallerini ve Kötü Amaçlı Yazılım Enjeksiyonunu Önleme

Veri ihlalleri itibar kaybına, yasal sorunlara ve müşteri güveninin kaybolmasına yol açarak ABD'de işletmelere ortalama 9,44 milyon dolara mal oluyor.

Ayrıca, saldırıya uğramış WordPress web sitelerine kötü amaçlı yazılım enjeksiyonu, ziyaretçileri kötü amaçlı sitelere yönlendirerek SEO sıralamanıza ve kullanıcı deneyiminize zarar verebilir. Dolayısıyla bu gibi durumları önlemek için web sitenizi güvende tutmanız gerekecektir.

Web Sitenizin SEO Performansını Artırın

Google güvenliğe öncelik verir ve güvenli web siteleri genellikle daha iyi SEO sıralamalarına sahiptir. WordPress sitenizin güvenliğini sağlamak, arama motoru sıralamalarını iyileştirerek daha fazla organik trafik çekebilir.

Üstelik kötü amaçlı komut dosyaları ve eklentiler web sitenizi çıkmaza sokabilir, sayfa yükleme sürelerini kısaltabilir ve kullanıcıları sinirlendirebilir. Güvenli bir web sitesi sorunsuz çalışır ve ziyaretçilerinizin mutlu ve etkileşimli kalmasını sağlar.

Veri Gizliliği Düzenlemelerine Uyum

Veri gizliliği düzenlemeleri, kullanıcı verilerini korumak için güçlü web sitesi güvenlik önlemleri gerektirir. GDPR ve CCPA, işletmelerin uyması gereken düzenlemelerden bazılarıdır.

Bu nedenle, ağır para cezalarını ve yasal komplikasyonları önlemek için WordPress sitenizin güvenliğini sağlamak çok önemlidir.

Unutmayın, web sitesi güvenliği tek seferlik bir yatırım değil, devam eden bir süreçtir.

Proaktif önlemler alarak WordPress sitenizi savunmasız bir hedeften güvenli bir kaleye dönüştürebilir, verilerinizi, itibarınızı ve çevrimiçi başarınızı koruyabilirsiniz.

Bir WordPress Sitesini Güvenli Hale Getirmenin 2 Yöntemi

Şimdi bir WordPress sitesini güvence altına almak için çeşitli yöntemleri tartışalım.

2.1 Temel Temel Güvenlik Önlemleri

Şimdi WordPress web sitenizi potansiyel risklerden korumak için önemli güvenlik uygulamalarını tartışalım.

Her Şeyi Güncel Tutun

WordPress sitenizi korumak basittir; güncel tutun. Buna WordPress ve temalar ve eklentiler gibi temel dosyaları da dahildir.

Düzenli güncellemeler, genellikle önceki sürümlerde keşfedilen güvenlik açıklarına yönelik güvenlik yamalarını içerdiğinden çok önemlidir.

Güncellemeler, güvenliğin ötesinde web sitenize yeni özellikler ve geliştirmeler de sunar.

WordPress sitenizi ve temel dosyalarını incelemek ve güncellemek için kontrol panelinizde oturum açın ve Kontrol Paneli → Güncellemeler seçeneğine gidin.

Bir güncelleme mevcutsa Sürüme güncelle düğmesine tıklayın. Temalar ve eklentiler için Temalar veya Eklentiler bölümüne gidin, güncellenmesi gerekenleri seçin ve her birinin yanındaki güncelle düğmesine tıklayın.

Daha fazla güvenlik sağlamak amacıyla WordPress, eklentiler ve temalar için otomatik güncellemeleri etkinleştirmeyi düşünün. Bu, sitenizi aktif olarak izlemediğiniz zamanlarda bile sitenizin güvende kalmasını sağlar.

Otomatik güncellemeleri etkinleştirmeden önce web sitenizi düzenli olarak yedeklediğinizden emin olun. Bu önlem, güncelleme sırasında veya sonrasında bir şeyler ters giderse sitenizi kolayca geri yükleyebilmenizi sağlar.

Güçlü ve Benzersiz Şifreler Kullanın

Ayrıca güçlü ve benzersiz şifreler kullanarak WordPress web sitenizi güvence altına alabilirsiniz. Zayıf ve kolayca tahmin edilebilir şifreler, bilgisayar korsanlarının sitenize yetkisiz erişim sağlamasını kolaylaştırır.

Güçlü ve güvenli şifreler oluşturmak için şu ipuçlarını izleyin:

• Minimum 12 karakter veya daha fazlasını tercih edin.
• Büyük ve küçük harfleri, sayıları ve özel karakterleri karıştırın.
• Sıralı sayılar, tekrarlanan karakterler veya “şifre123” gibi yaygın şifreler kullanmaktan kaçının.
• WordPress siteniz de dahil olmak üzere her çevrimiçi hesap için farklı bir şifre kullanın.
• Parolalarınızı oluşturmak ve güvenli bir şekilde saklamak için güvenilir bir parola yöneticisi aracı kullanmayı düşünün.
• Mümkünse kullanıcı adınızı veya web sitesi adınızı içeren şifrelerden kaçının.

Yeni bir WordPress sitesi kurarken her zaman varsayılan şifre örneğini daha güçlü bir şifre örneğiyle değiştirin.

Ancak WordPress web siteniz zaten kurulmuşsa, Kullanıcılar → Profil seçeneğine gidip aşağı kaydırarak ve güçlü, rastgele bir şifre için Yeni Şifre Ayarla düğmesini tıklayarak şifrenizi değiştirin.

Ayrıca şifrenizi her seferinde güçlü şifrelerle düzenli olarak değiştirin.

SSL Sertifikası yükleyin

WordPress sitenizin güvenliğini sağlarken SSL sertifikası yüklemek önemlidir. Bu sertifika, web siteniz ile ziyaretçileriniz arasında aktarılan verilerin şifrelenmesini sağlayarak yetkisiz erişime karşı koruma sağlar.

SSL sertifikası almak, saygın sağlayıcılardan bir tane satın alarak veya barındırma sağlayıcınız aracılığıyla ücretsiz bir sertifika alarak yapılabilir.

Ancak, WordPress web siteniz için zaten bir SSL sertifikası yüklediyseniz ancak bu sertifika web sitenizin URL'sinde görünmüyorsa, bunu etkinleştirmenin bir yolu vardır.

WordPress kontrol panelinizde Ayarlar → Genel'e gidin ve "WordPress Adresi (URL)" ve "Site Adresi (URL)"ni, başına 'http://' yerine 'https://' ekleyerek değiştirin.

Ancak web sitenizde SSL ile ilgili sorunlarla karşılaşırsanız bunları çözmek için Gerçekten Basit SSL veya SSL Güvensiz İçerik Düzeltici gibi eklentileri kullanabilirsiniz.

Güvenli Barındırma'yı seçin

Güvenliği artırmak için güvenlik önlemleri ve güvenilirliğiyle bilinen saygın bir barındırma sağlayıcısını seçin. Güvenlik duvarları, kötü amaçlı yazılım taraması ve DDoS koruması gibi özellikleri arayın.

Düzenli yedekleme sunduklarından, SFTP veya SSH gibi güvenli protokolleri desteklediklerinden ve altyapılarını ve yazılımlarını güncel tuttuklarından emin olun. Güvenli bir barındırma sağlayıcısı, WordPress sitenizin güvenliği için güçlü bir temel oluşturur.

Bunu uygulamak için barındırma sağlayıcılarını araştırın, yorumları okuyun ve güvenlik açısından iyi bir itibara sahip olanı seçin.

Özelliklerini, desteğini ve yedekleme seçeneklerini kontrol edin. Güvenli bir barındırma ortamına öncelik vermeniz, web sitenizin ve verilerinizin korunmasına yardımcı olacaktır.

2.2 WordPress Web Sitenizi Güvenli Hale Getirin

Şimdi yetkisiz erişimin nasıl önleneceği, verilerinizin nasıl korunacağı ve siber saldırı riskinin nasıl azaltılacağı da dahil olmak üzere WordPress web sitenizi güvence altına almanın en etkili yollarından bazılarını tartışalım.

Güvenli Temalar ve Eklentiler Kullanın

WordPress siteniz için tema ve eklenti seçerken bunları resmi WordPress deposu veya MyThemeShop gibi saygın kaynaklardan seçmeniz önemlidir.

Bu kaynaklar, ürünlerinin güvenliğini sağlamak için kapsamlı güvenlik kontrolleri gerçekleştirir ve sürekli olarak güncellemeler sağlar.

Ancak, bilinmeyen veya güvenilmez kaynaklardan gelen temaları veya eklentileri, özellikle geçersiz kılınmış temaları veya eklentileri kullanmaktan kaçınmak önemlidir. Bunlar sitenizin güvenliğini tehlikeye atabilecek güvenlik açıkları veya kötü amaçlı kodlar barındırabilir.

Bir temayı veya eklentiyi yüklemeden önce, derecelendirmeleri gözden geçirmek, kullanıcı geri bildirimlerini okumak ve güvenilir olduğundan ve aktif olarak korunduğundan emin olmak için güncelleme sıklığını değerlendirmek için zaman ayırın.

Bu, web sitenizin güvenli ve en son güvenlik önlemleriyle güncel kalmasını sağlar.

WordPress Web Sitenizi Düzenli Olarak Yedekleyin

Web sitenizin verilerinin düzenli olarak yedeklenmesi, web sitenizi güvenlik olaylarına, veri kaybına ve web sitesi sorunlarına karşı korumak için çok önemlidir. Güncel yedeklemeler sayesinde siber saldırı durumunda sitenizi hızlı bir şekilde geri yükleyebilir ve kesinti sürelerini en aza indirebilirsiniz.

Özellikle çok fazla içeriğe ve yüksek trafiğe sahip web siteleri için genellikle günlük yedekleme yapılması önerilir.

Ayrıca, güvenilirliklerinden emin olmak için yedeklemelerinizi düzenli aralıklarla test etmeniz önemlidir. Yedekleme sürecini basitleştirmenin bir yolu, planlı yedeklemeler ve uzak depolama seçenekleri gibi özellikler sunan eklentileri kullanmaktır.

WordPress web sitenizi yedeklemeye ilişkin detaylı yazımıza başvurabilirsiniz.

Oturum Açma Denemelerini Sınırla

Web sitenizi güvence altına almanın başka bir yolu da, web sitenizdeki oturum açma girişimlerini sınırlamaktır; bu, tek bir IP adresinden yapılan başarısız oturum açma denemelerinin sayısını kısıtlar.

Bu, bilgisayar korsanlarının oturum açma bilgilerinizi tahmin ederek yetkisiz erişim elde etmesini zorlaştırır.

Giriş denemelerini sınırlandırdığınızda WordPress web sitenize kaba kuvvet saldırılarına karşı bir koruma katmanı ekleyebilirsiniz.

Siteye giriş denemelerinizi şu şekilde sınırlayabilirsiniz:

• WordPress Eklenti Dizininizden Yeniden Yüklenen Giriş Denemelerini Sınırla gibi bir eklenti yükleyin ve etkinleştirin. Daha fazla ayrıntı için WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.
• Etkinleştirmeden sonra ayarlar sayfasına gidin. Ardından 'Uygulama Ayarları' bölümüne gidin.
• Kilitleme seçeneğinde, bir IP adresini engellemeden önce izin verilen maksimum oturum açma denemesi sayısını yapılandırın.

• Engellenen IP adresleri için kilitleme süresinin süresini ayarlayın.
• İsteğe bağlı olarak, kilitlenmeler veya şüpheli oturum açma girişimleri hakkında uyarı almak için e-posta bildirimlerini etkinleştirin. Bu seçeneği Genel Ayarlar'da görebilirsiniz.

Doğru kurulumdan sonra siteye giriş denemeleriniz sınırlanacak ve belirttiğiniz başarısız giriş deneme sayısını aşan tüm IP adreslerinin giriş sayfasına erişimi geçici olarak engellenecektir.

2FA'yı (İki Faktörlü Kimlik Doğrulama) etkinleştirin

İki Faktörlü Kimlik Doğrulamayı (2FA) etkinleştirmek, kullanıcıların oturum açmak için iki doğrulama biçimi sağlamasını gerektirerek WordPress sitenize ek bir güvenlik katmanı ekler.

Google, Facebook ve Twitter'a benzer şekilde WordPress web sitenizi bu özellikle güçlendirebilir, şifreniz ele geçirilse bile yetkisiz erişim riskini önemli ölçüde azaltabilirsiniz.

İşte nasıl:

• “Wordfence Giriş Güvenliği” eklentisini kurun ve etkinleştirin. Etkinleştirildikten sonra 'Giriş Güvenliği' menüsüne gidin.
• Bir QR kodu bulun ve 'İki Faktörlü Kimlik Doğrulama' sekmesine girin. Bu nedenle, web sitenizdeki kimlik doğrulayıcıyı etkinleştirmek için taramanız gerekecektir.

• Daha sonra Google Authenticator uygulamasını telefonunuza indirip yükleyin; Web sitenizde aktivasyon için QR kodunu taramak için kullanacaksınız.
• Uygulamayı açın ve kodu taramak için 'QR kodunu tarayın'ı seçin veya kurulum anahtarını manuel olarak girin.
• Uygulama kodu doğruladıktan sonra benzersiz bir kod sağlar. Bu kodu, kurtarma kodları bölümünde belirtilen alana kopyalayın.
• Kurulumu tamamlamak için ETKİNLEŞTİR düğmesine tıklayın.

İNDİR düğmesini kullanarak beş kurtarma kodunu indirmeyi unutmayın. Bu kodlar, telefonunuzu kaybetmeniz durumunda web sitenize sürekli erişim sağlamanız açısından çok önemlidir.

Güçlü Anti-Spam Çözümleri Kullanın

Spam rahatsız edici olabilir ve güvenlik risklerine neden olabilir, kullanıcı deneyimini tehlikeye atabilir ve sitenizin performansını olumsuz yönde etkileyebilir.

Bu nedenle web sitenizdeki spam'ı etkili bir şekilde önlemek için “Akismet Anti-spam” WordPress eklentisini kullanabilirsiniz.

Akismet, WordPress'in arkasındaki şirket Automattic tarafından geliştirilen güçlü bir spam filtreleme eklentisidir. Genellikle WordPress ile önceden yüklenmiş olarak gelir ve yalnızca onu etkinleştirmeniz ve bir API anahtarı almanız gerekir.

API anahtarını almak için Akismet web sitesine kaydolmanız ve ardından bunu WordPress kontrol panelinizdeki eklenti sayfasındaki API Anahtarı alanına girmeniz gerekir.

API Anahtarını başarılı bir şekilde bağladıktan sonra Akismet eklentisi, web sitenizdeki yorumları ve form gönderimlerini otomatik olarak analiz etmek için gelişmiş algoritmalar kullanarak spam'ı etkili bir şekilde filtreleyecektir.

Alternatif olarak benzer bir amaca hizmet eden “Antispam Bee” eklentisini de tercih edebilirsiniz.

Varsayılan Yönetici Kullanıcı Adını Değiştir

Bir WordPress web sitesinin kurulumu sırasında varsayılan kullanıcı adı genellikle 'admin' olarak ayarlanır. Ancak kullanıcıların yanlışlıkla bu kullanıcı adını değiştirmeden bıraktığı durumlar da vardır.

Bilgisayar korsanları, yaygın olarak tanındığı için genellikle "yönetici" kullanıcı adını hedef alır ve bu da onların kötü niyetli çabalarını kolaylaştırır. Sitenizin güvenliğini artırmak için yönetici kullanıcı adını değiştirmek önemlidir; bu da saldırganların tahmin etmesini ve yetkisiz erişim elde etmesini zorlaştırır.

Ne yazık ki WordPress, kurulum tamamlandıktan sonra kullanıcı adlarını değiştirmek için doğrudan bir seçenek sunmuyor.

Bu durumu atlatmak için “Kullanıcı Adını Değiştir” eklentisini kurup etkinleştirmelisiniz. Etkinleştirildikten sonra Kullanıcılar → Tüm Kullanıcılar'a gidin, kullanıcı adı "admin" olan kullanıcıyı seçin ve "Düzenle"yi tıklayın.

Profil sayfasında 'Kullanıcı adı' seçeneğini bulun ve Değiştir'i tıklayın. Ardından, yönetici hesabı için tercihen benzersiz ve sitenizin adıyla ilgisi olmayan yeni bir kullanıcı adı seçin.

Son olarak sayfanın en altına gidin ve değişiklikleri kaydetmek için Profili Güncelle düğmesini tıklayın. WordPress yönetici kullanıcı adını otomatik olarak güncelleyecektir.

Yönetici kullanıcı adını değiştirmek web sitenizin içeriğini veya ayarlarını etkilemez. Tek değişiklik, yönetici kontrol paneline erişim için kullanılan kullanıcı adında olacaktır.

Varsayılan “wp-login” URL'sini değiştirin

Herkes WordPress destekli bir web sitesinin varsayılan giriş URL'sinin genellikle "wp-login" ile bittiğini bilir.

Ancak, bırakın giriş bilgilerinizi kullanmayı denemek bir yana, insanların giriş URL'nize erişmesini daha da zorlaştırmak için bu URL modelini değiştirmeniz gerekecektir.

Varsayılan "wp-login" URL'sini değiştirmek için şu adımları izleyin:

• WordPress Eklenti Dizininden “WPS Girişi Gizle” eklentisini yükleyin ve etkinleştirin.
• Etkinleştirmeden sonra Ayarlar → WPS Girişi Gizle seçeneğine gidin; bu sizi WordPress sitenizin genel ayarlarının en altına götürecektir.
• Daha sonra, benzersiz ve kolayca tahmin edilemeyecek özel bir giriş URL'si ekleyin.

• Ardından değişiklikleri kaydedin; eklenti, giriş URL'sini otomatik olarak güncelleyecektir.

Özel giriş URL'si ayarlandıktan sonra, WordPress yönetici kontrol paneline giriş yapmak için yeni URL'ye erişmeniz gerekecektir. Varsayılan "wp-login" URL'sine artık erişilemeyecek.

Özel bir giriş URL'si seçmeniz, sizin için hatırlamanın kolay, ancak başkalarının tahmin etmesinin zor olması için önerilir.

Web Sitenizi Düzenli Olarak Tarayın

WordPress sitenizi güvende tutmak için potansiyel güvenlik tehditlerini, kötü amaçlı yazılımları veya şüpheli etkinlikleri düzenli olarak taramanız önemlidir. Bu proaktif önlem, web sitenizin bütünlüğünü korumanıza yardımcı olur.

Düzenli taramalar gerçekleştirmek için WordPress Eklenti Dizininden Sucuri Security gibi bir güvenlik eklentisini yükleyin ve etkinleştirin.

Etkinleştirmeden sonra, taramaları başlatabileceğiniz Sucuri Security → Dashboard'a gidin. Eklenti varsayılan olarak günlük taramalar gerçekleştirir ancak ayarlardan sıklığı özelleştirebilirsiniz.

Her taramadan sonra eklentinin sağladığı sonuçları inceleyin ve bulgulara göre gerekli önlemleri alın. Bu rutin izleme, WordPress sitenizin sürekli güvenliğini sağlar.

Bazı tarama sonuçları, kötü amaçlı yazılımların kaldırılmasını, eklentilerin veya temaların güncellenmesini ya da belirlenen güvenlik açıklarının ele alınmasını içerebilir.

Her Zaman Siteyi ve Kullanıcı Etkinliklerini Kontrol Edin

Site ve kullanıcı etkinliklerini izlemek, WordPress web sitenizin güvenliğini sağlamak için çok önemlidir.

Sitenizde gerçekleştirilen eylemleri takip ederek şüpheli veya yetkisiz etkinlikleri anında tespit edebilir ve bunlara etkili bir şekilde müdahale etmek için gerekli önlemleri alabilirsiniz.

Site aktivitelerini izlemek için Sucuri eklentisinin Denetim Günlükleri özelliğini kullanabilirsiniz. Sucuri kontrol paneline erişin ve Denetim Günlükleri sekmesini bulana kadar aşağı kaydırın.

Bu günlükler size oturum açma girişimleri, dosya değişiklikleri, eklenti kurulumları ve daha fazlası gibi ayrıntıları gösterecektir.

Ayrıca başarılı ve başarısız girişimler de dahil olmak üzere web sitenize giriş etkinliklerinizi kontrol etmek ve takip etmek için Son Girişler bölümüne gidebilirsiniz.

Herhangi bir şüpheli etkinlik tespit ederseniz, olası güvenlik risklerini araştırmak ve azaltmak için derhal harekete geçin.

Başka bir seçenek de web sitenizin etkinlik günlüklerini izlemek için 'Basit Geçmiş' adı verilen bağımsız bir eklenti kullanmaktır. Bu araç, kullanıcı eylemlerine ilişkin değerli bilgiler sağlar ve güvenli bir WordPress ortamının korunmasına yardımcı olur.

Güvenlik Uyarıları için Sistem Kurma

Güvenlik uyarıları için bir sistem kurmak, WordPress web sitenizdeki olası güvenlik sorunları veya değişiklikler hakkında zamanında bildirim almanızı sağlar.

Uyarıları anında alarak her türlü tehdidi veya güvenlik açığını anında giderebilirsiniz.

Web sitenizin etkinlik uyarılarını almak için Sucuri eklentisindeki Uyarılar özelliğini kullanabilirsiniz. Ayarlar bölümüne gidin ve Uyarılar sekmesini seçin.

Uyarılar sekmesinde, uyarıların alınmasına ilişkin e-postayı ekleyin, sıklığını ayarlayın ve güvenlik uyarısının türünü belirtin.

Uyarı bildirimleri için sağlanan iletişim bilgilerinin doğru ve güncel olduğunu doğrulayın. Bu özellik diğer güvenlik eklentilerinde de yaygın olarak bulunur.

2.3 Gelişmiş Güvenlik Önlemleri

Şimdi WordPress web sitenizin güvenliğini artırmak için alabileceğiniz bazı gelişmiş güvenlik önlemlerini inceleyelim.

IP'leri Engellemek için Coğrafi Engellemeyi Ayarlayın

WordPress web sitenize GEO engelleme uygulamak, belirli ülke veya bölgelerden erişimi, bu konumlarla ilişkili IP adreslerini engelleyerek kısıtlamanıza olanak tanır.

Bu, potansiyel kötü niyetli aktörlerin veya yüksek riskli bölgelerin erişimini engelleyerek sitenizin güvenliğini artırmanıza yardımcı olabilir.

IP'leri WordPress kontrol paneliniz, cPanel, WordPress eklentisi, .htaccess ve config.php dosyası aracılığıyla engelleyebilirsiniz.

GEO engelleme, belirli bölgelerden erişimi etkili bir şekilde engelleyebilir, ancak kusursuz olmayabilir.

Bazı IP adresleri dinamik olarak atanabilir veya kolayca sahteleştirilebilir; bu nedenle, diğer güvenlik önlemleriyle birlikte GEO engellemeyi kullanmanızı öneririz.

Web Uygulaması Güvenlik Duvarı Korumasını Etkinleştir

Web Uygulaması Güvenlik Duvarı (WAF), kötü amaçlı trafiği filtreleyerek ve bilinen saldırı modellerini engelleyerek siteniz ile potansiyel tehditler arasında koruyucu bir bariyer görevi görür.

Wordfence Security eklentisini kullanarak WAF koruma seçeneğini ücretsiz olarak etkinleştirebilirsiniz. Bu yüzden eklentiyi wordpress web sitenize kurup etkinleştirmeniz gerekecektir.

Etkinleştirmeden sonra Wordfence → Güvenlik Duvarı'na gidin ve Wordfence Güvenlik Duvarını etkinleştirin. Ardından, WAF kurallarının ve gelişmiş güvenlik duvarı seçeneklerinin etkinleştirilmesi gibi tercihlerinize göre güvenlik duvarı ayarlarını yönetin.

Bundan sonra ayarları kaydedin; Wordfence eklentisi web siteniz için WAF koruması sağlamaya başlayacaktır.

Wordfence WAF'ı etkinleştirdiğinizde web siteniz, SQL enjeksiyonları, siteler arası komut dosyası çalıştırma (XSS) saldırıları ve kaba kuvvetle oturum açma girişimleri gibi yaygın güvenlik tehditlerine karşı korunacaktır.

WAF, kötü amaçlı istekleri web sitenize ulaşmadan engellemek için gelen trafiği sürekli olarak izler ve filtreler.

Geri İzlemeleri ve Geri Pingleri Devre Dışı Bırak

Geri izlemeler ve geri pingler, siteniz içeriklerine bağlandığında WordPress'in diğer siteleri bilgilendirmek için kullandığı yöntemlerdir. Ancak, spam gönderenler tarafından kötü amaçlarla kötüye kullanılabilirler.

Geri izlemeleri ve geri pingleri devre dışı bırakmak için şu adımları izleyin:

• WordPress yönetici kontrol panelinize giriş yapın.
• “Ayarlar” bölümüne gidin ve “Tartışma”ya tıklayın.
• "Varsayılan gönderi ayarları" bölümünde, "Yeni gönderilerde diğer bloglardan gelen bağlantı bildirimlerine (geri pingler ve geri izlemeler) izin ver" seçeneğinin yanındaki kutunun işaretini kaldırın.

• Aşağı kaydırın ve Değişiklikleri Kaydet düğmesini tıklayın.

Geri izlemeleri ve geri pingleri devre dışı bırakmak, WordPress sitenizin bu bildirimleri göndermesini veya almasını engeller.

Bu, gereksiz sunucu yükünün ve spam veya kötü amaçlı geri izleme/geri ping istekleriyle ilişkili potansiyel güvenlik risklerinin azaltılmasına yardımcı olur.

Doğru Dosya İzinlerini Ayarlayın

Dosya izinleri, farklı kullanıcıların veya işlemlerin sitenizin dosyaları ve dizinleri üzerindeki erişim ve kontrol düzeyini belirler.

Dosya izinleri doğru şekilde yapılandırıldığında yetkisiz erişimi sınırlandırabilir ve olası güvenlik ihlallerini önleyebilirsiniz.

WordPress siteniz için doğru dosya izinlerini ayarlamak için şu genel yönergeleri izleyin:

• Sitenizin dosyalarına erişmek için bir FTP istemcisi veya barındırma kontrol paneli kullanın.
• Wp-content dizini, wp-config.php dosyası ve .htaccess dosyası gibi izinlerin ayarlanması gereken ana dizinleri ve dosyaları belirleyin.
• 'Dizin' izinlerini 755'e ayarlayın; bu, dosya sahibinin dosyaları okumasına, yazmasına ve yürütmesine izin verirken diğerlerinin yalnızca okuma ve yürütmesine izin verir.

• 'Dosya' izinlerini 644 olarak ayarlayın; bu, sahibinin dosyaları okumasına ve yazmasına izin verirken diğerlerini salt okunur olarak kısıtlar.
• wp-config.php dosyası gibi daha hassas dosyalar için izinleri 600 olarak ayarlayın; bu, yalnızca sahibine okuma ve yazma erişimi sağlar.

Bu yalnızca genel bir ayardır; önerilen dosya izinleri farklı barındırma ortamlarında farklılık gösterebileceğinden, özel rehberlik için barındırma sağlayıcınızın desteğine başvurun.

Hata Raporlamayı Devre Dışı Bırak

Hata raporlamayı devre dışı bırakmak, hassas bilgilerin saldırganların eline geçmesini önleyerek WordPress web sitenizi korumaya yardımcı olan önemli bir güvenlik uygulamasıdır.

Hata günlükleri, sitenizin yapılandırması veya temel koduyla ilgili ayrıntıları yanlışlıkla açığa çıkarabilir ve bu, kötü niyetli kişiler tarafından kullanılabilir.

Hata raporlamayı devre dışı bırakmak için şu adımları izleyin:

• Bir FTP istemcisi veya cPanel aracılığıyla web sitenizin kök dizinine erişin.
• Kök dizinde veya public_html'de wp-config.php dosyasını bulun.
• Güvenliğiniz için wp-config.php dosyasının yedek kopyasını indirin.
• wp-config.php dosyasına sağ tıklayın ve açmak için 'Düzenle'yi seçin.
• define('WP_DEBUG', true); yazan satırı bulun.
• 'Doğru'yu 'yanlış' ile değiştirin, define('WP_DEBUG,' false); yapın Aşağıda gösterildiği gibi.

• wp-config.php dosyasını değiştirdikten sonra değişikliklerinizi kaydettiğinizden emin olun.

Hata günlüğü raporlamasının devre dışı bırakılması, saldırganların işine yarayabilecek hassas bilgiler de dahil olmak üzere olası hata mesajlarının veya uyarıların kullanıcılara görüntülenmesini engeller.

Ancak hata raporlamayı devre dışı bırakmak, hataları tamamen göz ardı etmeniz gerektiği anlamına gelmez. Yine de sitenizi herhangi bir soruna karşı izlemeli ve bunları derhal çözmelisiniz.

wp-config.php Dosyanızı Güvenli Hale Getirin

Wp-config.php dosyası, veritabanı kimlik bilgileri ve güvenlik anahtarları gibi hassas bilgiler içerdiğinden WordPress kurulumunuzun kritik bir bileşenidir.

Bu dosyayı güvence altına almak için gerekli adımları atmak, WordPress web sitenizi olası güvenlik ihlallerinden korumak için çok önemlidir.

wp-config.php dosyanızın güvenliğini sağlamak için önerilen bazı önlemler şunlardır:

1. wp-config.php dosyasını web kök klasörünün dışındaki bir dizine taşımayı düşünün. Bu, dosyaya internetten doğrudan erişimi engelleyerek saldırganların herhangi bir güvenlik açığından yararlanmasını zorlaştırır.
2. wp-config.php dosya izinlerinin, daha önce tartışılan önerilen izinler kullanılarak düzgün şekilde yapılandırıldığından emin olun.
3. WordPress sitenizi kurarken güçlü, benzersiz ve karmaşık veritabanı kimlik bilgilerini kullanın. Bu, güçlü bir veritabanı kullanıcı adı ve şifresinin kullanılmasını içerir.
4. Aşağıdaki kuralları sitenizin .htaccess dosyasına ekleyerek wp-config.php dosyasına daha fazla koruma ekleyin.

 <files wp-config.php> order allow,deny deny from all </files>

Bu kurallar, tüm IP adresleri için dosyaya erişimi reddedebilir.

Belirli WordPress Dizinlerinde PHP Dosya Yürütmeyi Devre Dışı Bırakma

Belirli dizinlerde PHP dosya yürütmesini devre dışı bırakarak WordPress web sitenizin güvenliğini de artırabilirsiniz. Bu, bu dizinlerdeki PHP dosyalarının web sitenizde yürütülmesini veya çalıştırılmasını önlemeye yardımcı olur.

PHP dosya yürütmesini devre dışı bırakmak için, wp-content/uploads dizini gibi genellikle kullanıcı tarafından oluşturulan içeriğin bulunduğu hedef dizinlerdeki .htaccess dosyasını değiştirin.

Bunu, .htaccess dosyasını bir metin düzenleyicide açıp aşağıdaki satırları ekleyerek yapabilirsiniz:

 <Files *.php> deny from all </Files>

Daha sonra bu dosyayı .htaccess olarak kaydedin ve bir FTP istemcisi veya Dosya Yöneticisi kullanarak web sitenizdeki /wp-content/uploads/ klasörlerine yükleyin.

Bu satırlar, sunucuya, belirtilen dizindeki .php uzantılı herhangi bir dosyaya erişimi reddetmesi talimatını verir.

Alternatif olarak yukarıda bahsettiğimiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak bunu tek tıklamayla yapabilirsiniz.

2.4 Ek Güvenlik Önlemleri

Bir WordPress sitesini daha da güvenli hale getirmek için alabileceğiniz ek güvenlik önlemlerini tartışalım.

WordPress'te Boştaki Kullanıcıların Otomatik Olarak Oturumunu Kapatma

Kullanıcıların oturum açmış halde kalması ancak belirli bir süre boyunca etkin olmaması, yetkisiz erişim veya hesap tahrifatı riski oluşturur.

Bu nedenle, bu güvenlik açığını azaltmak için boşta kalan kullanıcıların oturumlarını kapatmanız gerekecektir.

Bunu yapmak için Etkin Olmayan Oturum Kapatma eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Etkinleştirme sonrasında eklenti ayarlarını yapılandırmak için Ayarlar → Etkin Olmayan Oturumu Kapat seçeneğine gidin.

Boş kullanıcıların oturumlarını otomatik olarak kapatarak, oturumlarının ele geçirilmesi veya hesaplarında yetkisiz değişiklik yapılması riskini azaltırsınız.

Bu, özellikle hassas bilgileri işleyen veya yönetici ayrıcalıklarına sahip kullanıcı hesaplarına sahip web siteleri için önemlidir.

WordPress Sürümünü Gizle

WordPress sürümünün herkese açık olarak görüntülenmesi, saldırganların söz konusu WordPress sürümüyle ilişkili güvenlik açıklarını hedeflemesini kolaylaştırabilir.

WordPress sürümünü gizlemek için temanızın Function.php dosyasını değiştirin veya bir güvenlik eklentisi kullanın.

Birkaç farklı yöntem mevcut ancak ayrıntılı talimatlar için WordPress sürümünün nasıl gizleneceğine ilişkin kılavuzumuza bakmanızı öneririz.

WordPress Site Temanızın Adını Gizleyin

Saldırganlar web sitenizde kullandığınız WordPress temasını kolayca tanımlayabildiğinde, bu temayla ilişkili bilinen tüm güvenlik açıklarından yararlanmaları da kolaylaşır.

Tema adını gizleyerek, saldırganların sitenizin kurulumu hakkında bilgi toplamasını ve potansiyel olarak zayıf noktalardan yararlanmasını zorlaştırırsınız. Bu, WordPress web sitenize ekstra bir güvenlik katmanı ekler.

Sitenizin tema adını gizlemek için WordPress tema adının nasıl gizleneceğine ilişkin adım adım kılavuzumuzu izleyin.

WordPress Kontrol Panelinde Dosya Düzenlemeyi Devre Dışı Bırakın

WordPress, temanızı ve eklenti dosyalarınızı WordPress yönetici alanınızdan düzenlemenize olanak tanıyan yerleşik bir kod düzenleyiciye sahiptir.

Bir bilgisayar korsanı WordPress kontrol panelinize yetkisiz erişim elde ederse, kötü amaçlı kod enjekte ederek belirli dosyaları değiştirmeye çalışabilir.

Bu nedenle, bir güvenlik tehdidi oluşturabileceği için özelliği devre dışı bırakmanızı öneririz. Bunu yapmak için sitenizin wp-config.php dosyasına aşağıdaki kodu eklemeniz gerekecektir.

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Bu değişiklik uygulandıktan sonra, yönetici erişimine sahip kullanıcılar artık WordPress yönetici panelinizdeki temaya ve eklenti düzenleyicisine erişemez.

Ancak bu dosya düzenlemeyi devre dışı bıraktıktan sonra bile, tema ve eklenti dosyalarınıza FTP veya Dosya Yöneticisi aracılığıyla erişerek bunlarda değişiklik yapabilirsiniz.

Varsayılan Veritabanı Tablosu Önekinizi Değiştirin

Varsayılan olarak WordPress, veritabanı tabloları için "wp_" önekini kullanır; bu, saldırganların sitenizi tanımlamasını ve hedeflemesini kolaylaştırabilir.

Güvenliği artırmak için tablo ön ekini değiştirerek olası istismarlara karşı daha zorlu hale getirmeyi düşünün.

Ön ekin ayarlanması, wp-config.php dosyasının ve phpMyAdmin'in değiştirilmesini içerir. Bu manuel işlem, doğru şekilde yapılandırılmadığı takdirde web sitenizin bozulması riski taşır.

Bu nedenle eklenti yöntemini kullanmanızı öneririz.

Brozzme DB Prefix & Tools Addons eklentisini kurun ve etkinleştirin. Etkinleştirmeden sonra Araçlar → DB ÖNEKİ'ne gidin.

Eklentideki veritabanı tablosu önekini benzersiz ve daha az tahmin edilebilir bir harf, sayı ve alt çizgi kombinasyonuyla değiştirin. Özel karakterlerden veya boşluklardan kaçının.

Değişiklik yapmadan önce web sitenizin veritabanını yedekleyin. wp-config.php'nin sunucunuzda yazılabilir olduğundan emin olun ve olası sorunları önlemek için MySQL ALTER haklarının etkinleştirildiğini doğrulayın.

Bu temkinli yaklaşım, sitenizin işlevselliği açısından minimum riskle daha yumuşak bir geçiş sağlar.

Gerekli ayarlamaları yaptıktan sonra Change DB Prefix butonuna tıklayarak değişikliklerinizi kaydedin.

WordPress'te XML-RPC'yi devre dışı bırakın

XML-RPC, siteniz ile web veya mobil uygulamalar arasındaki bağlantıyı kolaylaştıran bir WordPress özelliğidir. WordPress 3.5'ten başlayarak otomatik olarak etkinleştirildi.

Bununla birlikte, web sitenize yönelik kaba kuvvet veya DDoS saldırılarını artırmak için potansiyel bir araç olarak da hizmet verebilir.

XML-RPC etkinleştirildiğinde, bir bilgisayar korsanı tek bir işlevi kullanarak binlerce parolayla birden fazla oturum açma girişiminde bulunabilir; bu özelliğin olmadığı durumda ise her parola için ayrı denemeler gerekir. Bu önemli bir güvenlik riski oluşturmaktadır.

Bu riskten kaçınmak için, aktif olarak kullanmıyorsanız XML-RPC'yi sitenizin .htaccess dosyasına kod ekleyerek devre dışı bırakmanız önerilir.

Bir FTP istemcisi veya barındırma kontrol panelinizi kullanarak web sitenizin dosyalarına erişin, .htaccess dosyasını kök dizinde bulun ve aşağıdaki kodu ekleyin:

 # Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

Ancak bu yöntemi kullanmamayı tercih ederseniz Simple Disable XML-RPC gibi bir WordPress güvenlik eklentisini kullanabilirsiniz.

Eklentiyi kurup etkinleştirin, etkinleştirmeden sonra Basit XML-RPC'yi Devre Dışı Bırak seçeneğine gidin, XML-RPC'yi Devre Dışı Bırak seçeneğini işaretleyin ve değişikliklerinizi kaydedin.

Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız güvenlik duvarı bu sorunu çözebilir.

Hotlinking'i devre dışı bırak

Hotlinking'i devre dışı bırakmak, web sitenizin bant genişliğini korumaya ve başkalarının sitenizin resimlerine ve diğer medya dosyalarına doğrudan bağlanmasını engellemeye yardımcı olan bir güvenlik önlemidir.

Hotlinking, web sitenizde barındırılan görsel veya medya URL'lerinin başka web sitelerinde kullanılması, sunucunuzun kaynaklarının izniniz olmadan kullanılması anlamına gelir.

Hotlinking'i kolayca devre dışı bırakmak için All-In-One Security (AIOS) WordPress eklentisini yükleyin ve etkinleştirin.

Etkinleştirildikten sonra WP Güvenliği → Dosya Sistemi Güvenliği'ne gidin ve Dosya koruma sekmesini seçin. Aşağı kaydırın ve aşağıda gösterildiği gibi Görüntüye sıcak bağlantı oluşturmayı önle bölümünü açın .

Ayarlarınızı kaydetmeyi unutmayın.

Dizin Dizine Eklemeyi ve Göz Atmayı Devre Dışı Bırak

Dizin indekslemeyi ve göz atmayı devre dışı bırakmak, web sitenizin dizinlerinin içeriğine yetkisiz erişimi önleyen önemli bir güvenlik önlemidir.

Varsayılan olarak, bazı web sunucuları dizin indekslemeye izin verir; bu, eğer bir dizinde indeks dosyası (index.html veya index.php gibi) yoksa, sunucunun o dizindeki dosya ve klasörlerin bir listesini görüntüleyeceği anlamına gelir.

Bu, hassas bilgilerin açığa çıkmasına neden olabilir ve saldırganların güvenlik açıklarını tespit etmesini kolaylaştırabilir.

Dosyalarınıza yetkisiz erişimi, resimlerin kopyalanmasını ve dizin yapınızın açığa çıkmasını önlemek için, dizin indekslemeyi ve göz atmayı devre dışı bırakmanız önemle tavsiye edilir.

Web sitenizin dosyalarına bir FTP istemcisi veya barındırma kontrol paneli aracılığıyla erişin. WordPress kurulumunuzun kök dizininde .htaccess dosyasını bulun.

Bir metin düzenleyicisinde .htaccess dosyasını açın ve sonunda aşağıdaki kodu ekleyin:

 # Disable Directory Indexing and Browsing Options -Indexes

Değişiklikleri .htaccess dosyasındaki kaydedin ve gerekirse mevcut dosyayı değiştirerek sunucunuza geri yükleyin.

Güvenlik başlıklarını kullanın

Güvenlik başlıkları, tarayıcıya web sitenizin belirli yönlerini işleme konusunda talimat verir ve ortak güvenlik açıklarına karşı ek koruma sağlar.

İşte bazı yaygın güvenlik başlıkları ve faydaları:

• X-XSS koruma başlığı, siteler arası komut dosyası (XSS) saldırılarını önlemek için kötü amaçlı komut dosyası enjeksiyonlarını engeller.
• X-Content-Type-Options başlığı, MIME tipi koklamanın neden olduğu güvenlik açıklarını önler.
• Sıkı-İadiye Güvenliği (HSTS) başlığı, HTTP'leri uygulayarak güvenli bağlantılar sağlar.
• İçerik-Güvenlik Politiği (CSP) başlığı, çeşitli saldırılara karşı koruma sağlamak için güvenlik politikalarının ayarlanmasına izin verir.

Bu nedenle, bu güvenlik başlıklarını WordPress web sitenizde uygulamak için Güvenlik Üstbilgisi Jeneratör eklentisini yüklemeniz ve etkinleştirmeniz gerekir.

Kurulumdan sonra Güvenlik Başlıkları bölümüne gidin. Orada zaman ayırabilir ve eklentiyi tercihinize göre yapılandırabilirsiniz.

Güvenlik başlıklarını uygularken, web sitelerini kırma eğiliminde oldukları için mevcut işlevlerle çelişmediklerinden emin olmak için web sitenizi iyice test etmek önemlidir.

Ayrıca, güvenlik başlıklarınızın etkinliğini ve doğru uygulanmasını kontrol etmek için SecurityHeaders.com gibi çevrimiçi araçları kullanabilirsiniz.

“All-in-One Security (AIOS)” veya “WordFence” gibi güvenlik eklentilerini kullanıyorsanız, sitenizin güvenlik başlıklarını seçeneklerini kullanarak kolayca yapılandırarak önceki eklenti ihtiyacını ortadan kaldırabilirsiniz.

3 Sonuç

WordPress web sitenizi güvence altına almak, potansiyel tehditlerden ve güvenlik açıklarından korumak için çok önemlidir.

Bu nedenle, “hepsi bir arada güvenlik (AIOS)” gibi sağlam bir güvenlik eklentisinin yüklenmesi, bu yazıda tartışılan güvenlik önlemlerinin çoğunu kapsayan çok çeşitli özellikler sunduğu için yararlı olabilir.

Ancak, sadece bir güvenlik eklentisi kurmak yeterli değildir. Mevcut tüm seçenekleri incelemek ve eklentinin ayarlarını ihtiyaçlarınıza uygun olarak özelleştirmeniz için zaman ayırmanız gerekir.

Ancak, eklenti kapsamında olmayan benzersiz güvenlik gereksinimleriniz varsa, ek eklentiler yüklemeyi veya bu ihtiyaçları karşılamak için özel kodlar kullanmayı düşünün.

Kod değişiklikleri yapmadan veya riskleri azaltmak için yeni eklentileri etkinleştirmeden önce web sitenizi yedeklemek her zaman iyi bir uygulamadır.

Ayrıca, WordPress eklentilerinizi düzenli olarak güncellemek, bildirimleri veya sonuçları gözden geçirmek ve en son güvenlik haberleri ve en iyi uygulamalarla güncel kalmak, güvenlik ihlali riskini önemli ölçüde azaltabilir.

Bu yazı WordPress web sitenizi güvence altına almanıza yardımcı oldu mu? Eğer varsa, @rankmathseo tweetleyerek düşüncelerinizi paylaşmaktan çekinmeyin.