Bu İçerikte Bahsedilen Konular
Maryland Üniversitesi’ndeki bir araştırmaya göre bilgisayar korsanları, web sayfalarına ortalama her otuz dokuz saniyede bir saldırır. Web’in %40’ından fazlası WordPress altyapısı ile oluşturulduğundan, saldırı tehlikesi WordPress siteler için de geçerlidir. WordPress açık kaynak kodlu yazılım içerdiğinden, kodlarda da bazı potansiyel güvenlik açıkları meydana gelebilir. Siber suçlular, WordPress güvenlik açıklarından faydalanırlar. Bu yüzden klasik kullanıcı adları, zayıf şifreler, eski eklentiler gibi bazı durumlar nedeniyle kolay bir şekilde saldırı gerçekleştirebilirler. Tüm bunlara rağmen WordPress güvenliğinizi artıracak bazı ipuçları bulunmaktadır. Şimdi bu ipuçlarını inceleyelim.
En Yaygın WordPress Güvenlik Problemleri ve Güvenlik Açıkları
WordPress güvenliği için yapılması gerekenleri açıklamadan önce, yaygın olarak ortaya çıkan WordPress güvenlik sorunlarından söz edelim:
- Güncel olmayan temel yazılım: Güncel olmayan bir yazılıma sahip olmak, internet korsanlarının herhangi bir web sayfasında aradıkları şeylerden biridir. Bundan dolayı, güncellemeleri kaçırmamalı ve her daim WordPress yazılımınızı güncel tutmalısınız.
- Eski temalar ve eklentiler: Hatalarla karşılaşmamak adına bütün tema ve eklentilerinizin güncelliğinden emin olmalısınız.
- Siber saldırılar: Siber saldırıları, bir güvenlik eklentisi kullanarak ya da web barındırma sağlayıcınızın sunduğu çeşitli güvenlik olanaklarından yararlanarak durdurabilirsiniz.
- Kötü amaçlı yazılım: Virüs programları kullanarak tarayıcınızı ve sisteminizi kötü amaçlı yazılımlardan koruyabilirsiniz.
- DoS ve DDosS: Bu tarz ciddi saldırılardan kaçınmanın bir yolu, hosting sağlayıcınızın altyapısına yerleşik bir önbelleğe alma sistemine ya da bir DDoS azaltma sistemine sahip olmaktır.
- Kötü hosting ortamı: Bir hosting hizmeti ararken, firmanın iyi bir itibara sahip olduğundan, WordPress konusunda profesyonel olduğundan ve hepsinden de önemlisi güvenilir olduğundan emin olmak gerekir.
Otomatik güncelleme ve yedekleme özelliği sunan Natro WordPress Hosting, zararlı dosya taraması ve sistem koruma olanağı ile web’te güvenli kalmanıza yardımcı olur. Yüksek hız ve güvenlik özellikleriyle öne çıkan WordPress Hosting paketlerimizi incelemek için tıklayın.
WordPress Hosting ile Web Hosting arasındaki farkları öğrenmek için blog yazımızı inceleyebilirsiniz. İlgili blog yazımıza bu link üzerinden ulaşabilirsiniz.
5 Kolay Adımda WordPress Güvenliğinizi Artırın
Web sayfanızdaki güvenlik açıklarınızı kendi başınıza ele alabilirsiniz. WordPress sisteminizi yalnızca birkaç tıklama ile daha güvenli hale dönüştürmek için uygulamanız gereken beş kolay adım:
1. Yönetici Kullanıcı Adını Değiştirin
Admin veya yönetici gibi tahmin edilmesi gerçekten kolay olan bir yönetici kullanıcı adı tercih ediyorsanız; bunu değiştirmenin zamanı gelmiş demektir. Bir siber saldırganın sayfanızın güvenliğini aşması için iki şeye gereksinimi vardır. Bunlar kullanıcı adı ve paroladır. Varsayılan bir kullanıcı tercih ederseniz, bilgisayar korsanlarına ihtiyaç duyduklarının yarısını sunmuş olursunuz. Bu sebeple kullanıcı adınızı değiştirmeniz en doğrusu olacaktır.
Yönetici adını manuel olarak değiştirebilirsiniz. Bunun için uygulama adımları:
- Yönetici hesabınıza giriş yapın.
- Kullanıcılar sekmesi altında göreceğiniz yeni ekle butonuna tıklayın.
- Yeni bir kullanıcı hesabı oluşturmalısınız. Ardından bu yeni hesabı ise Yönetici şeklinde tanımlamalısınız. Kullanıcı ismini Yönetici, Admin ya da adınız haricinde başka bir şey olarak belirlemeyi unutmayın.
- Oturumunuzu kapatın ve yeni yönetici hesabınızı kullanarak sisteminizde yeniden oturum açın.
- Kullanıcıları görüntülemek için Kullanıcılar bölümüne tıklayın ve orijinal yönetici hesabınızın altındaki sil kısmına dokunun. Herhangi bir içeriği kaybetmemek adına yeni kullanıcı profilinize içerikleri atfettiğinizden emin olun.
Diğer kullanıcı isimlerini tek bir tıklama ile devre dışı bırakabilirsiniz. Bunun için SiteGround Optimizer eklentisini yükleyebilirsiniz. Sayfanızı korumanızı mümkün kılan ve WordPress güvenliğinizi teşvik eden ücretsiz bir araçtır. Ortak kullanıcı adlarını devre dışı bırakmak amacıyla bu eklentiden yararlanabilirsiniz. Eklenti, zayıf kullanıcı adlarına sahip birden fazla kullanıcınız var ise bunları tespit edecek ve devre dışı bırakmanızı önerecektir.
2. Güçlü Parolalar Edinin
Bilindiği gibi çoğu insan doğum tarihi gibi klasik şifreler kullanmayı sever. Bu durum ise saldırganların çok hoşuna gider. Zayıf parolaları tahmin etmek çok kolaydır. Örneğin, sosyal medyada doğum gününüzle veya yaşınızla ilgili bir gönderi yayınladığınızda, doğum tarihiniz hakkında büyük bir ipucu vermiş olursunuz. Bu durum saldırganlar için kritik bir bilgidir. Eğer WordPress sisteminizde doğum tarihi gibi şifreler kullanıyor iseniz risk altındasınız demektir.
Güçlü parola kullanarak WordPress sisteminizi güvende tutabilirsiniz. Uzun, rastgele sembol, harf ve rakam dizileri seçmek en sağlıklısıdır. WordPress artık güçlü şifreler oluşturma fırsatı sunar. WordPress.org/plugins adresine giriş yaparak, güçlü parola oluşturmanıza yardımcı olacak çok çeşitli araçlar bulabilirsiniz. Bu eklentilerden birini yükleyerek, şifrelerinizi daha güvenli hale getirebilirsiniz.
Yazarlar veya yönetici gibi kullanıcıların yanı sıra normal kullanıcılarınız da var ise bunların sayfanızı kullanırken ve siteye giriş gerçekleştirirken pratiklik elde etmelerini istiyorsanız; sadece üst düzey hesaplarda güçlü şifreler kullanmayı seçebilirsiniz.
Güçlü parolalar karmaşık semboller içerir. Bunlarla nasıl başa çıkacağınızı bilmek istiyorsanız, bir şifre yönetici aracı deneyebilirsiniz. Modern şifre yönetici araçlarının çoğu hem mobilde hem de masaüstünde işlev görür ve verilerinizi bütün cihazlarda senkronize eder.
3. İki Faktörlü Kimlik Doğrulamayı Uygulayın
Esasen 2FA yeni bir güvenlik konsepti değildir. Uzun senelerden bu yana finans kurumları, oturum açarken ek bir faktör olarak bu tarz doğrulamaları tercih ettiler. Bu ayrıntılı güvenlik konsepti, sayfanızı internet korsanlarından korumanıza yardımcı olur.
2FA için yaygın kullanılan bir seçenek Google Authentiator’dır. Ücretsiz olduğundan son derece popülerdir. Halihazırda SiteGround Security gibi bir araç kullanıyorsanız; 2FA’yı kurmak için gereksinim duyduğunuz her şeye sahipsiniz demektir. Eklenti bölümünden bu seçeneği aktif etmeniz yeterli olacaktır. Böylece bütün yönetici ve editör kullanıcılarından, siteye bir sonraki girişlerinde iki faktörlü kimlik doğrulamalarını yapılandırmaları istenecektir.
2FA aktif edildikten ve kullanıcı oturum açma butonuna tıkladıktan sonra ikinci bir oturum açma ekranına yönlendirilecektir. Uygulama doğru bir şekilde kuruldu ise sistem açılacak, güvenlik kodu görünecek ve bu güvenlik kodu ekrana yazılacak. İlgili güvenlik sayıları her otuz saniyede bir değişir. Bu sayılara Zamana Dayalı Tek Kullanımlı Parola yani TOTP ismi verilir. Hem cihaz hem de eklenti bu numaraları nasıl ortaya çıkaracağını biliyor ve başka kimse bu detayı bilmiyor. Eklenti uygun güvenlik parolasını hesaplar ve ardından bunun kullanıcının yazdığı numara ile eşleştiğini doğrular. Buna bağlı şekilde oturum açmayı gerçekleştirir ya da gerçekleştirmez.
Bazı 2FA sistemleri rakamlara dayalı değil, telefona gönderilen bir metin mesajına dayalıdır. Bunların yüzde yüz güvenli olmadığını hatırlatırız.
4. HTTPS’yi Zorunlu Kılın
Google birkaç sene önce bunu zorunlu kılmıştı. Web sayfanız HTTPS çalıştırmıyor ise sayfanızı HTTPS çalıştıran diğer sitelerden daha düşük sıralayacağını açıklamıştı. SEO’nun haricinde, HTTPS bütün web sitesi trafiğinizi şifreli ve güvenli tutar. HTTPS kullanmıyorsanız; web sayfanız risk altında demektir.
Güvenli bir sertifika edinmek için hosting sağlayıcınızdan yardım alabilirsiniz. Ardından, WordPress’te URL’yi HTTPS olarak değiştirebilirsiniz. Bunun için Natro SSL Sertifikası edinmeniz ve ardından SSL Yöneticisini kullanmanız yeterli olacaktır.
5. Eklentilerinizi Güncel Tutun
Sadece temel eklentiler değil, sisteminizde yer alan bütün eklentilerin güncel kalması çok önemli. İyi eklenti üreticileri, WordPress ile ilgili herhangi bir güvenlik sorunu rapor edildiği zaman bunu hemen ele alır ve mümkün olan en kısa zamanda yamalar yayınlar. Otomatik güncelleme açık ise hiçbir şey yapmanıza gerek kalmaz. Fakat WordPress panelinizde manuel güncelleme tercih ediyorsanız, bir eklentiyi güncellemeniz gerektiğinde bildirim görürsünüz. Bu bildirim ekranına gelerek, güncellenmesi gereken eklentiye işlem yapmalısınız. Tek bir tıkla eklenti güncelleme işlemini tamamlayabilir ve web sitenizin güvenliğini teşvik edebilirsiniz.
Natro olarak ülkemizde sektörün daha güvenli, hukuki bir zeminde, hızlı ve sürdürülebilir bir şekilde büyümesi için çalışmaya devam ediyoruz. Bu sebeple sektör paydaşlarımızı ve müşterilerimizi sahte lisans kullanımının riskleri konusunda bilgilendirmeyi kendimize görev ediniyor, kullandıkları barındırma ürünlerini/servis sağlayacılarını denetlemelerini, sorgulamalarını ve mutlaka %100 orijinal lisans kullanan servis sağlayıcılarını tercih etmelerini öneriyoruz.
İstatistiklere göre; crack yazılım, ters proxy, lisanssız yazılım kullanan web siteleri, diğer web sitelerine kıyasla daha fazla risk altındadır. Ayrıca lisanssız panel kullanımı hukuki sonuçlar doğurur. Verilerinizi güvenle korumak için orijinal lisanslı yazılım kullanın ve hizmet aldığınız firmadan orijinal lisans kullandıklarına dair mutlaka kanıtlar isteyin. Detaylı bilgi için buraya tıklayın.
En İyi WordPress Güvenlik Eklentileri
WordPress sitenize dahil ettiğiniz her güvenlik katmanı, saldırganların sayfanıza zarar vermesini biraz daha zorlaştırır. Bunun için WordPress güvenlik eklentileri kullanmanız da saldırganlardan korunmanız için iyi bir yöntem olacaktır. WordPress sisteminizde kullanmak için güvenlik eklentileri arıyorsanız, aşağıdakilere odaklanabilirsiniz:
WordFence
Bu belki de WordPress güvenlik eklentileri arasında en popüler olanıdır ve aynı zamanda piyasadaki en iyi inceleme puanı alan bir eklentidir. Bunun nedeni, hem antivirüs hem de güvenlik duvarı eylemi sunması nedeniyle çok basit ve eksiksiz olmasıdır. Ayrıca, siteyi taradıktan sonra bu eklenti olası virüs bulaşmalarını kontrol eder ve sitenizi biraz daha hızlı hale getirebilir. Ücretsiz sürüm zaten oldukça eksiksiz ve tatmin edici, ancak eklenti ayrıca ülkeye göre erişimi engelleme, iki farklı adımda kimlik doğrulama ve zamanlama doğrulaması içeren premium bir sürüm sunuyor. Eklenti herhangi bir sorun algıladığında sorumlu kişiyi uyarmak için e-posta ile bir bildirim gönderir.
Sucuri Security
Çok eksiksiz olan bu eklenti, WordPress deposunda bulunan ücretsiz bir sürüm sunar. Tarayıcınızda görünen tüm içeriğin WordPress güvenliğini izleyebilir. Premium sürüm, sitenin ele geçirildiği anı tam olarak gösteren bir taramaya izin vererek, engelleme olasılıklarını ve daha fazla güvenlik önlemini artırır.
All in One WP
Kullanıcılar arasında çok popüler olan bu WordPress güvenlik eklentisi, şüpheli kodları algılar, web sitenizi güvenlik açığı açısından kontrol eder, güvenlik önlemleri uygular ya da önerir.
iTemes Security
Web sitenizi korumak için 30’dan fazla yol sunar. Yılda 80 ABD Doları karşılığında Premium ve aynı zamanda ücretsiz sürümleri vardır. İki adede kadar web sayfasını destekler. Bu WordPress güvenlik eklentisi, temelden en sağlam güvenlik sistemine kadar çeşitli isteğe bağlı güvenlik önlemleri sağlar.
5seg Google Authenticator
Bu WordPress güvenlik eklentisi, bankacılık ve finans web sitelerinde çok yaygın olan iki adımlı oturum açma korumasını yerine getirir. Giriş yapmaya çalışırken, eklenti cep telefonu mesajı veya e-posta kimlik doğrulama erişimi yoluyla kimlik doğrulaması gönderir. Yani birisi sitenizi hacklemeye çalışsa bile anında olası bir girişimle ilgili bir bildirim alırsınız ve gerekli güvenlik önlemlerini hemen yerine getirebilirsiniz. Bu WordPress güvenlik eklentisi, sistem tarafından garanti edilen güvenlik düzeyiyle karşılaştırıldığında çok düşük bir maliyetle, yılda 18 dolardan elde edilebilir.
BulletProof Security
Hızlı bir şekilde güvenlik sunar. Belirli bir süre boyunca işlem yapılmaması durumunda kullanıcıyı otomatik olarak engeller. Bu WordPress güvenlik eklentisi çok yaygındır ve eğitim sitelerinde ve platformlarında kullanımı çok uygundur. Eklenti, kullanıcının tercihine göre planlanabilen veya manuel olarak gerçekleştirilebilen tam ve kısmi yedeklemelere izin verir. Hem ücretsiz hem de Premium sürümler, web sitesi hızından ödün vermeden veya hızı engellemeden WordPress güvenliğini garanti eder. Premium sürüm yılda 60 ABD Doları karşılığında kullanılabilir.
Ninja Security
Çok düşük bir maliyetle, bu WordPress güvenlik eklentisi, web sitenizin güvenlik açığını kontrol etmek ve korumasını sağlamak için 30’dan fazla test yapar. İlk test, sitenizin mevcut senaryosunu doğrulamak için yapılır ve ilk testten itibaren sistem herhangi bir sorun ya da güvenlik riski tespit ederse uyarı alabilirsiniz. Eklenti ayrıca, işletmenizi daha güvenli hale getirmek için güvenlik önlemleri ve değişiklikler için öneriler sunar.
Shield WordPress Security
İşinize, girişiminize veya web sitenize yeni başlıyorsanız; birçok özelliği tamamen ücretsiz olarak sağladığı için bu sizin için en uygun WordPress güvenlik eklentisi olabilir. Dolayısıyla, bütçeniz kısıtlıysa ve web sitenizi korumak istiyorsanız, bu harika bir seçenektir. Sistem, şüpheli kullanıcıları ve kodları bloke eder, tüm kullanıcıların kimliklerini ister ve gerekli görülenlerin bloke edilmesine izin verir. Sitenizin WordPress güvenliğini artırmanın yanı sıra, sistemin anlaşılması kolay ve sezgiseldir.
VaultPress
Yıllık 39 ABD Dolarından başlayan planlarla sunulan bu WordPress güvenlik eklentisinin ücretsiz sürümü yoktur. Planlar yılda 299 dolara kadar mal olabilir. Bu eklentinin sistemi, günlük yedeklemeleri gerçek zamanlı olarak hızlı bir şekilde planlamanıza olanak tanır. Ayrıca yedeklemeler aşamalı olarak yapılır. Bu da web sitenizin hız ve performansını kolaylaştırır. Sistem paneli, gerçekten güzel olmasının yanı sıra süper sezgisel ve anlaşılması kolaydır. Sistem aynı zamanda, istediğiniz zaman tespit edilen ve yok edilen tehditler hakkında bilgiler içeren raporlar sağlar.
