WordPress güvenliği, bir WordPress web sitesinin güvenliği hakkında endişelerimizi uyandırırken, istatistiklere göre, 2020 yılında en çok saldırıya uğrayan platformlardan biri de WordPress’tir. Bu nedenle WordPress güvenliği için mutlaka adımlar atmalı ve güvenlik eklentileri kullanmalısınız. Bu makalede, WordPress web sitenizi güvenli hale getirmek için ihtiyaç duyduğunuz her şeyi anlatmaya çalışacağım. Bugüne kadar edindiğim deneyim ve bilgilere dayanarak, aşağıdaki adımları izleyerek WordPress sitenizi nasıl daha güvenli hale getirebileceğinizi açıklayacağım.
WordPress Güvenliği Nedir?
Öncelikle, WordPress’in temel güvenlik yapısını anlamamız gerekiyor. WordPress, açık kaynak bir içerik yönetim sistemidir ve bu nedenle potansiyel saldırılara karşı savunmasızdır. Ancak, WordPress güvenliğini artırmak için atılacak birçok adım vardır. Özellikle temalar ve eklentiler, güvenlik açıkları için en sık hedeflenen alanlardır. Bu nedenle, WordPress sitelerinin güvenliği hakkında şikayetler oldukça yaygındır.
Aslında, WordPress güvenliği artırmak oldukça basittir. WordPress’in açık kaynak doğası, potansiyel güvenlik sorunlarını gidermek için çeşitli çözümler sunar. İşte WordPress güvenliğini artırmak için atılması gereken adımlar:
İyi Bir Web Hosting Şirketi Seçin
Web sitenizin güvenliği açısından önemli bir faktör, hangi web barındırma şirketi ile çalıştığınızdır. Kaliteli ve güvenilir bir web hosting şirketi seçmek çok önemlidir. İlk hosting deneyimi çoğu zaman hayal kırıklığı yaratır, bu nedenle hosting şirketi seçerken dikkatli olmalısınız. Reklamlara güvenmek yerine, Google’da yapılan incelemeleri ve müşteri yorumlarını okumak daha iyidir.
Üzgünüm, ancak birçok hosting şirketi, siteler saldırıya uğradığında sorumluluğu kullanılan yazılıma veya web tasarımcısına atar. İyi bir web hosting şirketi, DDOS koruması gibi güvenlik özellikleri sunmalıdır. Unutmayın ki, daha fazla para ödemek her zaman daha fazla güvenlik anlamına gelmez. Hosting paketi seçmeden önce mutlaka müşteri yorumlarını dikkate almalısınız. Türkiye’nin önde gelen web hosting şirketlerinden biri olan Turhost’un WordPress hosting hizmetini inceleyebilirsiniz.
SSL Sertifikası Ekleyin
Web sitenizin mutlaka SSL sertifikası kullanması gerekmektedir. SSL (Secure Sockets Layer) sertifikaları, web sitelerinin güvenliği için temel bir unsurdur ve internet bağlantılarını güvence altına almak ve hassas verileri şifrelemek amacıyla kullanılır.
Birçok hosting şirketi, ücretsiz SSL sertifikaları sunar. Eğer hosting paketiniz ücretsiz SSL desteği sunmuyorsa, SSL sertifikası satın almanız gerekebilir. Ortalama olarak, yıllık SSL maliyeti 20 ile 90 dolar arasında değişmektedir. Web sitenizde SSL yoksa, tarayıcı çubuğunda “Güvensiz Bağlantı” uyarısı görüntülenir ve bu da ziyaretçilerinizi endişelendirebilir.
.htaccess Dosyası ile Dizin Erişimini Kapatın
Web sitenizdeki dosya ve dizinlerin, tarayıcılardan erişilebilir olması durumunda güvenlik sorunlarına neden olabilir. Bu nedenle, .htaccess dosyasına aşağıdaki kodu ekleyerek dosya ve dizinlere erişimi kapatmalısınız:
Options All -Indexes
.htaccess dosyasına erişmek için FTP veya cPanel kullanarak web sitenizin ana dizinine gidin ve .htaccess dosyasını bir metin düzenleyiciyle düzenleyin. Ardından yukarıdaki kodu ekleyin ve kaydedin. Bu işlemi nasıl yapılacağını bilmiyorsanız, bir uzmandan veya hosting sağlayıcınızdan yardım almalısınız.
wp-config.php ile Dosya Düzenlemeyi Kapatın
Bir saldırganın web sitenizin yönetim paneline erişebilmesi durumunda, WordPress dosyalarınızı düzenlemesini engellemek için wp-config.php dosyası ile dosya düzenlemeyi kapatmalısınız. Aşağıdaki kodu wp-config.php dosyasının en altına ekleyerek bu önlemi alabilirsiniz:
define('DISALLOW_FILE_EDIT', true);
Dosya ve Klasör İzinlerini Yönetin
WordPress dosya ve klasör izinlerini düzenleyerek web sitenizin güvenliğini artırabilirsiniz. Tüm dosya izinleri 644 ve tüm klasör izinleri 755 olmalıdır. Bu izinleri nasıl ayarlayacağınızı öğrenmek için hosting panelinizin veya bir uzmanın yardımını almalısınız.
Temaları, Eklentileri ve WordPress’i Güncel Tutun
Web sitenizde kullandığınız temaları, eklentileri ve WordPress’i her zaman güncel tutmalısınız. Güncellemeler genellikle otomatik olarak yapılır, ancak güncellenmemişse manuel olarak güncellemeleri yapmalısınız. Yedek almayı unutmayın, çünkü güncellemeler bazen sorunlara neden olabilir. Eğer bir sorunla karşılaşırsanız, yedekten geri yükleme yapabilirsiniz. Hosting paketiniz günlük veya haftalık yedekleme desteği sunuyorsa, bu özelliği kullanmanızı öneririm.
Kullanılmayan Temaları ve Eklentileri Silin
Kullanılmayan temaları ve eklentileri web sitenizden kaldırmalısınız. Etkisizleştirilmiş eklentiler genellikle unutulur ve güncellenmez, bu da güvenlik sorunlarına neden olabilir. Kullanmadığınız tüm temaları ve eklentileri sitenizden kaldırın.
Lisanssız Eklenti ve Temalardan Kaçının
Yasa dışı dağıtılan temaları ve eklentileri kullanmamalısınız. Bu tür yasa dışı ürünler, kötü niyetli kişiler tarafından virüslü dosyalar eklenerek tehlikeli hale getirilebilir. Bu virüslü dosyalar, sitenizin diğer dosyalarına bulaşarak sorunlara yol açabilir. Bu nedenle, yasa dışı temalar ve eklentiler kullanmaktan kaçınmalısınız.
WordPress Güvenlik Eklentisi Kullanın
WordPress sitenizi korumanın bir diğer yolu, güvenlik eklentileri kullanmaktır. Güvenlik eklentisi kullanarak sitenizdeki sorunları tespit edebilirsiniz. Wordfence Security eklentisi önerimdir. Bu eklentinin özellikleri şunları içerir:
- Web Uygulama Güvenlik Duvarı: Kötü niyetli trafiği tanır ve engeller.
- Tehdit Savunma Feed’i: Gerçek zamanlı güvenlik duvarı kuralı ve kötü amaçlı yazılım imza güncellemeleri sunar.
- Gerçek Zamanlı IP Kara Listesi: En kötü niyetli IP adreslerinden gelen istekleri engeller.
- Kötü Amaçlı Yazılım Tarayıcı: Kötü amaçlı kod veya içerik içeren istekleri engeller.
- Giriş Denemelerini Sınırlandırma: Kaba kuvvet saldırılarına karşı koruma sağlar.
Eşsiz Kullanıcı Adı ve Güçlü Şifre Kullanın
WordPress siteleri en sık “Brute-Force” saldırılarıyla hedeflenir. Bu tür saldırılarda saldırganlar sitenizin kullanıcı adlarını tespit etmeye çalışır ve ardından farklı şifre kombinasyonları deneyerek siteye erişmeye çalışır. Bu nedenle, sitenizi yeni kuruyorsanız, “admin” kullanıcı adı yerine benzersiz bir kullanıcı adı seçmelisiniz. Şifrenizin tahmin edilebilir olmamasına dikkat etmelisiniz. Basit ve tekrarlanan şifreler kullanmaktan kaçının.
Giriş Denemelerini Sınırlayın
“WP Limit Login Attempts” eklentisi gibi bir eklenti kullanarak giriş denemelerini sınırlayabilirsiniz. Bu, Brute-Force saldırılarını engellemenin etkili bir yoludur. Bu eklenti ile bir kullanıcının belirli bir süre içinde belirli bir sayıda giriş denemesi yapmasına izin verilir ve sonra IP adresi belirli bir süreyle kısıtlanır. Çok fazla giriş denemesi yapılırsa, otomatik olarak ana sayfaya yönlendirerek saldırıları engelleyebilirsiniz.
Sonuç olarak, WordPress web sitenizin güvenliği için bu önlemleri alarak saldırılara karşı korunabilirsiniz. Güvenlik her zaman ön planda olmalı ve düzenli olarak güncellemeleri takip etmelisiniz. Ayrıca, güçlü ve benzersiz kullanıcı adları ve şifreler kullanarak da güvenliği artırabilirsiniz.