WordPress Güvenliğinizi 5 Aşamada Arttırın

Maryland Üniversitesi’ndeki bir araştırmaya göre bilgisayar korsanları web sitelerine ortalama her 39 saniyede bir saldırmaktadır. Web’teki kullanıcıların %40’ından fazlası WordPress kullandığından, WordPress’iniz bilgisayar korsanı saldırıları tehlikesi altındaki popüler hedeflerden biri olabilir.

Ayrıca WordPress her geliştiricinin katkıda bulunabileceği bir açık kaynak kodlu yazılım olduğu için kodlarında bazı potansiyel güvenlik açıkları da olabilir. Siber suçlular, WordPress güvenlik açıklarından, yaygın kullanıcı adlarından, zayıf parolalardan ve eski WordPress eklentilerinden faydalanarak bilgilerinizi ele geçirebilirler. Neyse ki, WordPress’te güvenliğinizi artırmak için bir geliştiricinin yardımı olmadan yapabileceğiniz 5 kolay yöntem var.

En Yaygın WordPress Güvenlik Sorunları ve Güvenlik Açıkları

Problemi çözmeden önce güvenlik sorunlarını anlamanız çok önemli bir adımdır. Gelin, ne ile karşı karşıya olduğunuza beraber göz atalım:

Güncel olmayan çekirdek yazılım

Güncel olmayan bir çekirdek yazılıma sahip olmak, bilgisayar korsanlarının bir web sitesinde özellikle aradıkları açıklardan biridir. Bu nedenle bir program veya kitaplığınız için bir güncelleme geldiğinde hemen aksiyon almanız çok büyük önem taşıyor. Daima takipte kalın ve hızlıca güncellemelerinizi yapmayı unutmayın!

Eski temalar ve eklentiler

Çekirdek yazılım kadar tema ve eklentilerinizin de güncel olduğundan emin olun. Çünkü mevcut hataların yeni sürümle düzeltilebilmesi için tüm temalarınızın ve eklentilerinizin güncel olması gerekmektedir.

WordPress Sitenizin Hacklendiğinin İşaretleri

• Yönetici panelinize giriş yapamazsınız: Saldırganlar, saldırıya uğramış web sitesine erişimi engellemek için ara sıra kullanıcıları kaldırır veya şifreleri değiştirir. Parolanızı sıfırlamayı deneyebilirsiniz. Kullanıcı hesabınıza yeniden erişemiyorsanız, hesabınız WordPress’ten silinmiş olabilir.
• Web sitesine erişmeye çalışırken size veya site ziyaretçilerinize tarayıcı uyarıları sunulur: Siteyi görüntülerken Google Chrome veya başka bir tarayıcı bir uyarı mesajı görüntülerse, muhtemelen saldırıya uğramışsınızdır. Bu aynı zamanda sitenizin Google Güvenli Tarama gibi bilinen bir otorite tarafından kara listeye alındığını gösterir.
• Web siteniz aşırı derecede yavaşlar: Bazı kötü amaçlı yazılımlar önemli sunucu kaynakları kullanır. Web sayfalarınız aniden çok yavaşladıysa ve yüklenmeleri daha uzun sürüyorsa, daha fazla araştırma yapmak ve WordPress sitenizin saldırıya uğrayıp uğramadığını kontrol etmeniz iyi olabilir.
• Web siteniz size başka bir yere yönlendirebilir: Birçok saldırgan, SEO’yu artırmak ve kendi etki alanları için trafiği azaltmak amacıyla web sitenizin trafiğini reklamlarına veya spam sayfalarına göndermek için kötü amaçlı yönlendirmeler kullanabiliyor. Siz veya ziyaretçileriniz siteye erişirken aniden bir spam açılış sayfasına gönderiliyorsanız, muhtemelen kötü amaçlı bir web sitesi yönlendirmesinden etkilenmişsinizdir.
• Web sitenizde bazı değişiklikler görüyorsanız ama bunları siz yapmadıysanız dikkat: Örneğin, ana sayfanız değiştirilmişse, mevcut sayfalarınıza içerik eklenmişse veya yeni sayfalar oluşturulmuşsa, bu bir uzlaşma göstergesidir ve araştırılması gerekir.

Beş Kolay Adımda WordPress Güvenliğinizi Arttırın

Bu güvenlik açıklarını kendi başınıza çözmeye hazır mısınız? Yükü omuzlarınızdan almak için, WordPress web sitenizi yalnızca birkaç tıklamayla daha güvenli hale getirecek beş kolay adımı sizin için araştırdı.

1. Yönetici kullanıcı adınızı değiştirin: Hâlâ admin veya yönetici gibi tahmin edilmesi gerçekten kolay bir kullanıcı adı kullanıyorsanız, hemen değiştirin! Bir saldırganın sitenizin güvenliğini aşması için 2 şeye ihtiyacı vardır – kullanıcı adı ve parola. Kolay bulunabilecek bir kullanıcı adı kullanırsanız, onlara ihtiyaç duyduklarının yarısını vermiş olursunuz.

Yönetici adını manuel olarak değiştirmek için yapmanız gerekenler:

• Mevcut yönetici hesabınızı kullanarak oturum açın.
• “Kullanıcılar” başlığı altındaki “Yeni Ekle” ye tıklayın.
• Yeni bir kullanıcı hesabı oluşturun ve onu yönetici yapın. Kullanıcı adınızı yönetici, admin veya kendi adınız dışında istediğiniz gibi seçin.
• WordPress oturumunuzu kapatın ve yeni yönetici hesabınızın bilgilerini kullanarak tekrar oturum açın.
• Kullanıcıları listelemek için “Kullanıcılar”a tıklayın ve orijinal yönetici hesabınızın altında “Sil“e basın. Herhangi bir içeriği kaybetmemek için “İçeriği şuna atfedin“i seçtiğinizden ve yeni yönetici hesabınızı seçtiğinizden emin olun.

2. Güçlü bir parola oluşturun: Evet, çoğu insan doğum günlerini şifre olarak kullanmayı sever. En çok kimin hoşuna gidiyor biliyor musunuz? Saldırganların! Zayıf parolaları tahmin etmek sandığınızdan daha kolaydır. Eğer sosyal medyada kişisel bilgilerinizi paylaşıyorsanız çok da şaşırmamanız gerekir. Örneğin, kardeşim Ahmet ile doğum günümü kutlamak için favori filmim olan Avatar’ı izlemeye geldik diye bir paylaşım yaptınız diyelim. Bir siber saldırgana birçok kritik bir bilgi verdiğinizi fark ettiniz mi? Bu noktada, film veya doğum tarihinizle ilgili şifreleri ve kullanıcı adlarını denemeye başlayacaklardır. Sosyal medyada yayınladığınız her şey, saldırganlara üzerinde çalışacakları biraz daha fazla ipucu verir.

İyi o zaman ben de bu kelimeleri şifrelerim diye düşünüyorsanız, hemen bundan da vazgeçmelisiniz. Örneğin, favori filminizin ismini sayılarla şifreleyerek 4v4t4r yaptınız. Fakat bu da onları kandıramaz, çünkü onlar farklı şifreleme tekniklerini de aşinalar ve çoktan bu parolayı da buldular bile.

Peki ne işe yarıyor? Güçlü şifreler. Uzun, rastgele harf ve sembol dizileri harikadır. Bununla ilgili sorun şu ki, hatırlaması zor olduğu için onları yazma eğilimindeyiz. Onları yazdığınız kitabı kaybederseniz, krallığın anahtarları bir saldırganın elindedir. Bunu yapma alışkanlığınız varsa, şifrenizi unutma ihtimaline karşı birkaç farklı yere kaydetmeyi deneyin. Güçlü parolalarla onları yazmadan nasıl başa çıkacağınızı merak ediyorsanız, bir parola yöneticisine yatırım yapın. Modern olanların çoğu hem masaüstünde hem de mobilde çalışır ve verilerinizi tüm cihazlarınızda senkronize eder.

3. İki faktörlü kimlik doğrulamayı uygulayın: “İki Faktörlü Kimlik Doğrulama” yeni bir güvenlik konsepti değildir. Onlarca yıldır finans kurumları, oturum açarken ek bir faktör olarak “Fob”lara (anahtarlığınıza takabileceğiniz, ekranı olan ve sürekli değişen bir numara veren küçük cihazlar) güvendiler.

Kapsayıcı güvenlik konsepti, “Bildiğiniz, sahip olduğunuz ve olduğunuz bir şey” şeklindedir. 2FA’da bunlardan ikisini seçiyoruz. 2FA olmayan bir web sitesine giriş yaptığınızda, yalnızca “bildiğiniz bir şeyi” – kullanıcı adı ve şifreyi kullanırsınız. Bunların ne kadar güçlü olduğunu düşünürseniz düşünün, tehlikeye yaratma şansları vardır. 2FA, bunun üzerine “sahip olduğunuz bir şey” adlı bir katman ekler.

Bu günlerde, her yönetici kullanıcıya bir anahtarlık vermek yerine, akıllı telefonlarımız ve anahtarlıkların yerini alabilecek yazılımlarımız var. Modern bir akıllı telefonunuz varsa (son 5 yılda yapılmış), “sahip olduğunuz bir şey” olarak işlev gören bir uygulamayı çalıştırabilir.

2FA için en yaygın kullanılan -kesinlikle tek olmasa da- uygulama “Google Authenticator”dır. Ücretsiz olduğu için en yaygın olanıdır. 2FA yoluna girmeden önce, Google Authenticator’ın telefonunuzda mevcut olduğundan emin olun. 2FA uygulandıktan ve kullanıcınız oturum açma düğmesine tıkladıktan sonra, kendilerinden “jetonlarını” isteyecek ikinci bir oturum açma ekranına yönlendirilecektir. Uygulamalarını doğru bir şekilde kurdularsa, uygulamayı açacak, içinde web sitenizi bulacak ve ekrana numarayı yazacaklar. Bu sayı her 30 saniyede bir değişir. Numaraya “Zamana Dayalı Tek Kullanımlık Parola” (TOTP) denir. Belirteci yazıp düğmeye bastıklarında, eklenti uygun TOTP’yi hesaplar ve ardından bunun kullanıcının yazdığıyla eşleştiğini doğrular. Buna bağlı olarak oturum açmaya izin verir veya vermez.

Bazı 2FA sistemlerinin uygulamalara değil, jetonlarla telefonunuza gönderilen metin mesajlarına dayalı olduğunu unutmayın. Bunların güvenli olmadığına dikkat edin, bu yüzden onlardan kaçınmanız gerekir.

4. HTTPS’yi zorunlu kılın: Bunu zaten yapıyor olmalısınız. SEO bir yana, HTTPS tüm trafiğinizi şifreli ve meraklı gözlerden uzak tutar. HTTPS kullanmıyorsanız, bir kafede oturan herhangi bir kullanıcı, izlemek isteyen herkese her şeyi yayınlayacaktır.

5. Eklentilerinizi güncel tutun: Sadece en önemli olanları değil, sitenize yüklediğiniz her eklentiyi, her güncellemeyi güncel tuttuğunuzdan emin olmalısınız. Eklentilerinizi güncel tutmak neden önemlidir?

Ana sebep elbette WordPress güvenliğidir. İyi eklenti yazarları, rapor edildiğinde güvenlik WordPress sorunlarını ele alır ve mümkün olan en kısa sürede yamalar yapar. Otomatik güncelleme açıksa eğer hiçbir şey yapmanıza gerek kalmaz. Bunu yapmazsanız, oturum açar açmaz ve güncellemeler olduğunu fark ettiğiniz an, “Eklentiler”e gidin ve güncelleme düğmelerine tıklayın.

Her zaman, her şeyin, en son ve en iyi sürümünü kullandığınızdan ve sitenizdeki önemli eklentilerin sürekli olarak korunduğundan emin olmak için zaman ayırmaya değer. WordPress güvenlik güncellemelerinizin en önemli öncelikleriniz arasında olduğundan emin olun.

Ek Olarak: Yedeklemeler bir güvenlik ağı işlevi görür. Artık WordPress siteniz temiz olduğuna ve bazı önemli saldırı sonrası adımları attığınıza göre, bir yedek oluşturun. Yedeklerinizi site dışı bir yerde saklayın. Yedeklemeleri veya eski sürümleri asla sunucunuzda saklamayın, çünkü bunlar düzgün bir şekilde korunmazlarsa saldırganlar için giriş noktaları olarak kullanılabilir. Neyin ters gidebileceğini asla bilemeyeceğiniz için birçok farklı konumda çalışan yedeklemeler yapmak önemlidir. Yedekleme çözümünüz, web sitenizin ihtiyaçlarına uygun bir sıklıkta otomatik olarak çalışmalıdır. Örneğin, web siteniz sık sık güncellenen haber tabanlı bir siteyse, yedeklemelerinizin de sık sık çalışması gerekir. İyi bir yedekleme stratejisine sahip olmak, iyi bir güvenlik duruşunun merkezinde yer alır!

Site güvenliğiyle ilgili şuan öğrenmiş olduğunuz asıl sır, tek bir büyük şey yapmakla değil, pek çok küçük şey yapmakla ilgili olmasıdır. Bu birkaç kolay adım, WordPress web sitesi güvenliğinizi geliştirmenize yardımcı olacaktır. Gözünüzü korkutmaya ya da pahalı koruma uygulamaları satın almanıza hiç gerek yok. Sitenize eklediğiniz her güvenlik katmanı, saldırganların içeri girmesini biraz daha zorlaştırır. Saldırganlar eninde sonunda yorulur ve daha kolay hedeflere yönelirler.