WordPress’te Güvenliği Arttıran 8 Tavsiye

4 Adımda WordPress Kurulumu
26 Eylül 2016
HTTP’yi HTTPS’ye Otomatik Yönlendirme
2 Temmuz 2017

Açık kaynak kodlu yazılımların avantajları olduğu kadar dezajantajları da vardır. Dezavantajları arasında güvenlik riski gelir. Kendi sınıfında lider olan WordPress için bu yazımızda önemli ipuçları ve güvenliğinizi arttıracak 8 maddelik bir liste yayınladık.

WordPress sitenizi henüz kurmadıysanız, “4 Adımda WordPress Kurulumu” makalemizden yararlanabilirsiniz.

 

1) İlk kural: Güven, kontrole mani değildir!

Güvenlik konularında duygusal ve çekingen davranmayın. Biraz şüpheci olmanız sizi kötü biri yapmaz. Denetimleriniz ve önlemleriniz sayesinde emek verdiğiniz projelerinizi ayakta tutarsınız. Bir olayın başınıza gelmemiş olması, olmayacağı anlamını taşımaz. Bilgi güvenliğinin en büyük açığı, insan suistimali faktörüdür.

Aşağıdaki grafikte, bir firma raporuna göre WordPress sitelere yapılan yönetici şifresi kırma saldırılarını görebilirsiniz.

111

 

2) Yönetici adınızı “admin” olarak kullanmamaya özen gösterin. Şifreleriniz karmaşık, kolay tahmin edilmeyecek zorlukta olsun

Bu bir şart durum değil ama farklı bir yönetici adı, başı boş saldırganların baştan kaybetmesini sağlar. Örneğin adınızı, soyadınızı yazabilirsiniz, ya da aklınıza gelen birçok şeyi.

Şifre belirlerken ise en az 8 karakter, içerisinde büyük harf, küçük harf ve rakam olan bir karışık şifre belirleyin. Şifrenizi güvenmediğiniz kimseyle paylaşmayın.

2-3son-madde-yeni-kullanici-ekle-my-blog-wordpress

 

3) Sistem güncellemelerine önem verin

WordPress’in her yeni versiyonuna mutlaka yükseltme yapın. Temanın ve eklentilerin de güncel olması güvenliğin en mühim gerekliliğidir. Çünkü her yeni sürümde birçok kod açığı kapatılmaktadır.
Uyarı: Her güncelleme öncesi paneliniz üzerinden Tam Yedek almayı unutmayınız!

5-son

 

4) Warez yazılımlardan uzak durun!

Forumlarda ya da warez (bkz: Vikipedi) olarak bilinen sitelerde dağıtılan, kaynağı belirsiz hiçbir tema ve eklentiyi kullanmayın. Normal hali ücretli temaları ücretsiz dağıtan her kötü niyetli kişi, bunu sizin iyiliğiniz için yapmaz. Dosyaların arasına yerleştirdiği “hacking” kodları ile sitenizi dilediği gibi kendi için yönetebilir. Bu kötülüğü kendinize ve projelerinize yapmayın. Site hacklenmelerinin büyük sebebi bu tipteki tema ve eklentilerdir.

warezyazilim

 

5) Güncel olmayan eklentiler risklidir. Eklenti puanlarını önemseyin

WordPress eklenti arşivinden kuracağınız eklentilerin indirilme sayılarına dikkat etmenizde büyük fayda var. 50 binin altında yüklenmiş ve son güncellemesi 3 aydan eski eklentileri tercih etmeyin. Çünkü son 3 ay içerisinde kod açığına sahip olmuş olabilir veya olmasa da bir süre sonra uyum problemi oluşmaya başlayabilir.

7sooon-eklenti-ekle-my-blog-wordpress

 

6) Güvenlik eklentisi ile savunmanızı güçlendirin

Eklenti havuzunda yüzlerce güvenlik eklentisi bulabilirsiniz. Bildiğiniz ve güvendiğiniz bir tanesini kurabilirsiniz.
Fakat bu konuda bilginiz olmadığını varsayarak bir tanesini önereceğiz, deneyim ve tecrübelerimizden en yüksek puanı alan uygulamanın adı; Wordfence Security

Wordfence Security eklentisini kurduğunuz anda gelen temel ayarları yeterlidir.
Dilerseniz kendiniz de güçlendirebilirsiniz (uzmanlık gerektirir)

6son-eklenti-ekle-my-blog-wordpress

 

7) Sitenizi eğer paylaşımlı bir hostingte barındıracaksanız hosting firmanızın şu niteliklere sahip olması gerekir:

Yazılımsal koruma kadar donanımsal savunma da önemlidir. İçerisinde bulunduğunuz yapıyı mümkün olduğu kadar iyi tanımanız gerekir.

secure-cloud
a)
Tüm web siteleri birbirinden izole edilmiş şekilde tutulmalı (Örn: CloudLinux’un CageFS eklentisi)


bug


b)
Virüs ve zararlı yazılım temizleme/anlık tarama aracı bulunmalı (Örn: ConfigServer eXploit Scanner)


computer-secure
c)
ModSecurity ile potansiyel saldırıları engelleme kuralları mevcut olmalı.


databases-symbol
d) En az Haftalık Yedekleme ünitesi, sisteminizin yedeklerini almalı.

 

 

8) Tüm Kullanıcılara Hakim Olun!

Çalışmayı bıraktığınız kişilerin yönetici hesaplarını mümkünse silebilirsiniz. Eğer silmek istemiyorsanız mutlaka şifrelerini ve e-posta adreslerini değiştirin. Çünkü hoşlanmadığınız eski blog ortaklarınız, kendilerine şifre sıfırlama e-postası gönderebilir.

 

Bonus: DomainHizmetleri WordPress Hosting paketlerinde 7. maddenin tüm ihtiyaçlarını bulabilirsiniz.

Artık WordPress’iniz daha güvenli.

İyi günlerde kullanın!

4 Yorum

  1. Mehmet Ali dedi ki:

    Bilgiler için teşekkürler 🙂

  2. Hakan Terme dedi ki:

    çok teşekkürler spam sorunu yaşıyorum umarım çözüm olur

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Show Buttons
Hide Buttons