Bir Web Sitesini Nasıl Güvenli Hale Getirirsiniz? (Komple Web Sitesi Güvenlik Kılavuzu)

Tamamen önlenebilir nedenlerden dolayı birkaç saldırı meydana gelir: zamanında yapılmayan güncellemeler, güvenli olmayan şifreler vb.

Bunu nasıl biliyoruz? 25000'den fazla saldırıya uğramış siteye yardım ettik ve web sitesi güvenliği konusunda önemli deneyime sahibiz.

Bu web sitesi güvenliği temel kılavuzunda, size bir web sitesinin güvenliğini nasıl sağlayacağınızı göstereceğiz:

• Web sitesi güvenliği konusunda yeniyseniz ve bunun ne anlama geldiğini tam olarak anlamamış olsanız bile;
• Daha önce web sitenizin güvenliğini sağlamaya çalışmış ve başarısız olmuş olsanız bile;
• Bunalmış olsanız ve nereden başlayacağınız hakkında hiçbir fikriniz olmasa bile;
• “Bilgisayar korsanlarının dengi değilim – öyleyse neden denemiyorsunuz?” diye düşünmüş olsanız bile.

Ama daha da önemlisi, ilk etapta web sitesi güvenliği hakkında nasıl düşünüleceği hakkında konuşacağız. Bu şekilde, web siteniz için doğru kararları verecek donanıma sahip olursunuz.

TL;DR: Web sitenizi korumanın en kolay yolu bir güvenlik eklentisi kurmaktır. Web sitesi güvenliğiyle ilgilenmeye vakti olmayanlar için mükemmeldir. Sadece eklentiyi kurun ve unutun. Ancak zaman ve bant genişliğini karşılayabiliyorsanız, bu önlemleri okumanızı ve uygulamanızı öneririz.

Web sitesi güvenliği nedir?

Web sitenizi güvenli hale getirmek için adımlar atıyor olmanız harika olsa da, web sitesi güvenliğinin sürekli bir süreç olduğunu anlamak önemlidir. Bilgisayar korsanları yaratıcı bir topluluktur, bu nedenle tehditler sürekli gelişir.

Aşağıdaki makalede, iyi bir güvenlik eklentisinin kötü amaçlı yazılım açısından ağır kaldırmanın çoğunu yapacağını göreceksiniz, ancak dikkatli ve uyanık olmak web sitesi güvenliğini perçinleyen şeydir.

Bir web sitesi bilgisayar korsanlarından nasıl korunur? (İşlem Yapılabilir Adımlar)

Web sitenizi güvence altına almak için eyleme geçirilebilir bir plana sahip olmak için ilk adım, web sitelerinin nasıl saldırıya uğradığını anlamaktır. Araştırmamıza göre, web siteleri öncelikle aşağıdaki 3 yöntemle saldırıya uğrar:

• %90+ → Bir eklenti veya temada güvenlik açığı
• %5+ → Güvenliği ihlal edilmiş kullanıcı adı ve/veya şifre
• <1% → Kötü web barındırma hizmetleri

Bu dağıtım, web sitenizin güvenliğini nasıl planladığınızın ve en çok zaman ve kaynağın nereye tahsis edileceğinin temelini oluşturmalıdır.

1. Web sitenizi güvenlik açıklarından koruyun

Bilgisayar korsanları, savunmasız web siteleri için sürekli bir arayış içindedir. Web sitesinin büyük veya küçük olması fark etmez. Hemen hemen her web sitesini hackleyerek kazanacakları çok şey var. Deneyimlerimize göre, tüm hack'lerin %90'ından fazlası, bilgisayar korsanlarının bir güvenlik açığı tespit etmesi ve bunu kullanması nedeniyle gerçekleşir.

Güvenlik açıklarının ne olduğuna biraz daha yakından bakalım. Gelecekte web sitesi güvenlik stratejinizi dikkatli bir şekilde şekillendirebilmeniz için bunu anlamak çok önemlidir.

Güvenlik açığı tam olarak nedir?

Web siteniz 3 ana bileşenden oluşur: WordPress, eklentiler ve temalar. Bunların hepsi temelde yazılımdır ve herhangi bir yazılım gibi, ara sıra arızalanmalarına neden olan hatalar içerirler.

Hataların çeşitli sonuçları olabilir: bazıları web sitenizin yavaşlamasına veya birisi ziyaret ettiğinde hata vermesine neden olur. Bunlar can sıkıcı ve problemlidir, ancak daha ciddi olanları yetkisiz kullanıcıların (yani bilgisayar korsanlarının) web sitenize erişmesine izin verir. Bu tür bir hata, güvenlik açığı olarak bilinir.

Güvenlik açığı türleri

Güvenlik açıkları, önceki paragrafta yaptığımız gibi koddaki hatalar olarak özetlenebilir. Bununla birlikte, diğerlerinden daha sık ortaya çıkan birkaç özel tür vardır:

• Eski yazılımlar: Çekirdeği, eklentileri ve temaları güncel tutmak önemlidir.
• Kötü kullanıcı rolü yönetimi: Her kullanıcıya tam yönetici erişimi vermeyin.
• Temizlenmemiş girişler: Giriş alanlarının, depolama ve/veya yürütmeden önce girişi kontrol etmesi gerekir.

Güvenli olmayan bir web sitesinde olası saldırılar

Güvenlik açıkları, izin verdikleri saldırı türleriyle yakından bağlantılıdır ve genellikle birbirinin yerine kullanılır. WordPress'in karşılaştığı en yaygın saldırılar şunlardır:

• Kod enjeksiyonları: Kötü amaçlı kodun giriş alanları aracılığıyla eklendiği ve web sitesi kodu veya veritabanı tarafından yürütüldüğü yer. Özellikle WordPress gibi veritabanına dayalı uygulamalar için korkunç olan bir SQL enjeksiyonunda kod yerleştirmenin sık görülen bir çeşidi
• Siteler arası komut dosyası çalıştırma saldırıları: Bu tür güvenlik açığı, kullanıcının kimliğine bürünmek veya hatta oturumu ele geçirmek için kullanıcı tanımlama bilgilerini çalar. Hedeflenen kullanıcının erişimi daha sonra web sitenize saldırmak için kullanılır
• Kaba kuvvet saldırıları: Adından da anlaşılacağı gibi, bu saldırı türünde incelik yoktur. Bilgisayar korsanı, doğru olanı ortaya çıkarmak için giriş sayfanızı kullanıcı adı ve şifre kombinasyonlarıyla bombalar.
• SEO spam: Tüm spam ciddidir, ancak bu saldırı web sitesine en çok zarar verdiği yeri vurur: SEO. Web sitesi sahipleri, yalnızca bir bilgisayar korsanının yasadışı veya gri pazar öğelerine pop-up'lar ve bağlantılar ekleyerek gereksiz avantajlar elde etmesi için SEO'ları üzerinde çalışarak kaynakları harcar. SEO spam saldırılarını da tespit etmek zordur ve genellikle web siteleri, virüs bulaştığını fark etmeden önce spam'in zararlı etkilerini yaşar.
• Kimlik avı saldırıları: Bu saldırılarda, bilgisayar korsanı, bir kullanıcıyı bilgilerini isteyerek bırakması için kandırmak için meşru bir varlığın kimliğine bürünmeye çalışır. Kimlik avı, bu kimlik bilgilerini almak için e-posta ve saldırıya uğramış bir web sitesi üzerinden birlikte çalışır.

Bir güvenlik açığının etkisi nedir?

Eklentiler ve temalar binlerce web sitesine yüklenir, bu nedenle bu tek kusurun etkisi büyük ölçüde artar.

Sorumlu eklenti ve tema geliştiricileri, güncellemeler yayınlayarak ürünlerindeki bu güvenlik açıklarını kapatmaya çalışır. Bu aslında, mümkün olduğunda premium eklentileri tercih etmenizi önermemizin temel bir nedenidir. Düzenli yazılım bakımı, bir web sitesi güvenlik stratejisinde yeterince vurgulanamaz.

Harika, yani hata düzeltildi. Artık güvendeyiz, değil mi? Pek iyi değil. Bir güvenlik açığının keşfedilmesi, web sitesi sahipleri için tehlikeli bir zamandır.

Bir güvenlik açığı keşfedildiğinde ne olur?

Güvenlik açıkları genellikle güvenlik araştırmacıları tarafından keşfedilir. Bulduklarını eklenti veya tema geliştiricisine açıklarlar. Önceki bölümde söylediğimiz gibi, sorumlu geliştiriciler sorunu çözmek ve bir güncelleme yayınlamak için yarışacaklar.

Güvenlik açığı giderildiğinde, güvenlik araştırmacısı bulgularını yayınlayacaktır. Geliştirici bir düzeltme yayınladı, bu nedenle web siteleri güvenli, değil mi?

Pek değil.

Bilgisayar korsanları ayrıca güvenlik açığını okur ve sürümlerini güncellememiş web sitelerini arar. Genel güvenlik açıkları, acemi bilgisayar korsanlarını (komut dosyası çocukları olarak da bilinir) cezbetme eğilimindedir, çünkü artık web sitelerini çaba harcamadan kullanabilirler. Hedefin nerede olduğunu kesin olarak biliyorlar.

Siteyi güvenlik açıklarına karşı korumak için yapmanız gerekenler

Şimdi web sitesi güvenliğini sağlamak ve siteyi bilgisayar korsanlarından korumak için atabileceğiniz somut adımlar hakkında konuşuyoruz. Bu adımlar basit görünebilir, ancak web sitenizi güvende tutmanın güçlü yollarıdır.

1. Yedek alın

Yedeklemeler, bir güvenlik stratejisinin en önemsiz kısmıdır. Düzenli yedekleme almanın önemini yeterince vurgulayamayız. Onlar sizin güvenlik ağınız, işler kötüye gittiğinde güvenebileceğiniz tek şey. Yedeklemeler, hızla ayağa kalkmanıza yardımcı olur.

Ancak, tüm yedekleme eklentileri eşit şekilde oluşturulmaz. Birçoğu, onlara en çok ihtiyacınız olduğunda başarısız olur: restorasyon sırasında. Doğru eklentiyi seçmenin birkaç faktörü vardır. Bu kriterleri kesinlikle göz önünde bulundurarak, mevcut en iyi WordPress yedekleme eklentilerini inceledik.

2. Eklentileri ve temaları güncel tutun

Bu, özellikle güncellemelerin ne kadar önemli olduğuyla ilgili önceki bölümü okursanız, kulağa çok açık gelebilir. Ancak, daha acil bir şey yapmak için gösterge tablosundaki kırmızı bildirimi görmezden gelmek çok kolaydır.

Bu nedenle, tekrar edeceğiz. Eklenti ve tema geliştiricileri, güvenlik düzeltmeleriyle güncellemeler yayınlar. Güncellemeleri yüklemeyi erteleseniz bile (lütfen yapmayın), en azından bunu sürüm notlarını gözden geçirdikten sonra yapın.

3. Kaliteli eklentiler ve temalar seçin

Bu noktada, merkezi eklentilerin ve temaların web siteniz için ne kadar önemli olduğunu fazlasıyla gösterdik. Tamamen kusursuz bir yazılım parçası olması pek olası olmasa da, web siteniz için doğru eklentileri ve temaları seçerken akılda tutulması gereken önemli faktörler vardır:

• Eklenti düzenli olarak güncelleniyor mu : Sürekli olarak geliştiricisi tarafından bakımı yapılan bir eklenti veya tema, bir güvenlik açığı keşfedilirse bir güvenlik düzeltme eki alabilir.
• Eklenti popüler mi : Bu iki ucu keskin bir kılıçtır. Milyonlarca yüklemeye sahip popüler bir eklenti, bilgisayar korsanlarının hedefi olacaktır. Ancak bu eklentiler aynı zamanda daha güvenli olma eğilimindedir çünkü çok daha fazla insan onları izlemektedir.
• Premium bir eklenti mi : Ücretli eklentiler geliştiricilerin çalışmalarını destekler ve bu nedenle ücretsiz bir eklentiden çok daha az terk edilme olasılığı daha düşüktür. Bu, açık kaynaklı yazılımın asla güvenli olmadığı anlamına gelmez, ancak birinci sınıf bir ürünle müşteri desteği ve ürün kalitesi için ödeme yaparsınız.
• Hiçbir zaman boş eklentiler ve temalar yüklemeyin : Ücretsiz olarak sunulan premium yazılım birçok düzeyde sorunludur. Nulled yazılımlar genellikle, yüklendikten sonra bilgisayar korsanlarının web sitenize erişmesine izin verecek kötü amaçlı yazılımlara veya arka kapılara sahiptir.

4. Güvenlik duvarı kullanın

Bilgisayar korsanlarının veya tasarladıkları botların sizinki gibi web sitelerine saldırmasını engellemenin kusursuz bir yolu yoktur. Ancak bir güvenlik duvarı kurarak olasılığı önemli ölçüde azaltabiliriz.
İşte aralarından seçim yapabileceğiniz en iyi WordPress güvenlik duvarlarının bir listesi.

2. Kullanıcı adınızı ve şifrenizi koruyun

Saldırıya uğramış web sitelerinin yaklaşık %5'inin zayıf parolalar nedeniyle saldırılara açık olduğunu tespit ettik. Bu, tamamen kötü niyetli faaliyetlerle karşılaştırıldığında küçük bir sayı gibi görünebilir, ancak yine de dikkatinizi çekecek kadar önemlidir.

Sitenizin yönetici şifresini kaybetmek, evinizin veya arabanızın anahtarlarını kaybetmek gibidir. Anahtar ile hırsız, değerli eşyalarınız üzerinde tam kontrole sahiptir. Aynı şekilde, şifre ile bilgisayar korsanları web sitenize tam erişime sahiptir. Bu noktada bir güvenlik duvarı veya güvenlik eklentisi bile bilgisayar korsanlarının web sitenize zarar vermesini engelleyemez.

Güçlü parolalara duyulan ihtiyaç çok güçlü bir şekilde savunulmaya devam ediyor, ancak bununla ilgili zorluklar nedeniyle web sitesi kullanıcıları tarafından genellikle göz ardı ediliyor.

Güçlü kimlik bilgilerine sahip olmak için mekanizmalara girmeden önce, insanların onlar hakkında sahip olduğu bazı yaygın soruları ele alalım.

Şifre çalmak nasıl mümkün olabilir?

Cevap sürpriz olabilir: bilgisayar korsanı şifreyi tahmin etmeye çalışır. Bununla çeşitli şifreleri manuel olarak denediklerini kastetmiyoruz, ancak bunu yapacak botlar var. Bu aynı zamanda kaba kuvvet saldırısı veya bot kelimeleri tahmin ediyorsa sözlük saldırısı olarak da bilinir.

Bu saldırılar birkaç nedenden dolayı çok iyi çalışır:

• Tahmin edilmesi kolay şifreler: ortak kelimeler, kısa kelimeler, farklı permütasyonlarda 'parola' kelimesinin kendisi
• Önceki saldırılardan elde edilen veriler: İnsanların farklı hizmetler ve web siteleri için farklı şifreler kullanmanızı önermesinin bir nedeni var

Şifre hırsızlığına karşı nasıl korunulur

1. Güçlü bir parola kullanın

Güçlü parolalar, kırılması zor olduğu için rastgele yapılandırmalarda harfler, sayılar ve simgelerden oluşan bir kombinasyon kullanır. Hacker botlarının doğru olanı bulması yıllar alabilir.

Kendi başınıza güçlü bir şifre oluşturmayı deneyebilir veya bir şifre üreticisi kullanabilirsiniz. Ardından, güçlü şifreleri zorlamak için eklentileri kullanabilirsiniz.

Güçlü, kırılması zor şifreleri hatırlamak zor olabilir, bu nedenle LastPass gibi şifre yöneticileri kullanmanızı öneririz.

2. Giriş denemelerini sınırlayın

Bir kaba kuvvet saldırısını engellemenin iyi bir yolu, birden fazla başarısız oturum açma girişiminden sonra saldırganları engellemektir. Bu etkili bir mekanizmadır, çünkü bu tür bir saldırı, bilgisayar korsanlarının tekrar tekrar farklı şifreler deneyen botlarından oluşur.

MalCare güvenlik duvarı bu özellikle entegre olarak gelir. Giriş denemelerini sınırlamak, web sitenizi pek çok olumsuzluk olmadan korumanın oldukça etkili bir yoludur.

Yetkili bir kullanıcı yanlışlıkla bu noktaya geldiyse, gerçekten insan olduklarını onaylayan bir captcha bulmak için bağlantıya tıklayabilir.

3. İki faktörlü kimlik doğrulamayı uygulayın

Birkaç hizmet, oturum açma işlemi sırasında iki faktörlü kimlik doğrulama kullanır; bu, esasen, hesabınıza erişmek için iki (ideal olarak) ayrı jetona sahip olmanız gerektiği anlamına gelir. En yaygın olarak, bunlar bir parola kombinasyonunu ve e-postanıza veya cihazınıza gönderilen pin kodu veya QR kodu gibi sınırlı süreli bir belirteç içerir.

İki faktörlü kimlik doğrulama veya 2FA uygulayan birkaç eklenti vardır ve bunlar sağladıkları hizmetlere göre değişir. 2FA, MalCare'in güvenlik paketine de entegre olarak gelir.

4. CAPTCHA korumasını uygulayın

CAPTCHA'lar yalnızca insanlar tarafından çözülebilir. Hacker botlarının bir hesaba erişmesini önlemek için tasarlanmıştır. Web sitenizi korumak için kullanabilirsiniz.

İşte Kinsta'dan başlamanıza yardımcı olacak güzel bir makale.

5. Güvenlik duvarı kullanın

MalCare'inki gibi belirli web sitesi güvenlik duvarları da küresel düzeyde kötü amaçlı IP'leri takip eder. Güvenlik duvarı, eklentinin kurulu olduğu tüm sitelerden öğrenir. Daha sonra, şifrenizi kırmaya çalışmadan önce bile kötü IP'leri otomatik olarak engeller. Bu, limitli oturum açma özelliğiyle birlikte sitenizi içeri girmeye çalışan bilgisayar korsanlarından koruyabilir.

3. İyi bir web barındırma sağlayıcısı seçin

Bir web sitesinde yanlış giden herhangi bir şey için web barındırıcısını suçlama eğilimi vardır. Web sunucuları genellikle bir web sitesinin birçok yönünden sorumlu olsa da, bir web sitesi saldırıya uğradığında nadiren hatalı olurlar.

Aslında, bunun tersi genellikle doğrudur, web barındırıcıları web sitesi güvenliğini artırır.

Elbette, sunucularında barındırılan web sitelerinin tehlikeye girmesinde rol oynayan bazı web barındırıcıları vardır. Nadiren olur, ancak gerçekleştiğinde binlerce web sitesini tehlikeye atan büyük bir olaydır.

4. Bir SSL sertifikası yükleyin

Daha yaygın olarak SSL olarak bilinen Güvenli Yuva Katmanı, bir web sitesine gelen ve giden tüm iletişimi şifreleyen bir güvenlik protokolüdür. Kurulduktan sonra, web sitenizin URL'sinin başında bir asma kilit olarak görünür.

SSL sertifikası kullanmanın faydaları aşağıdaki gibidir:

• Web sitenize ve sitenizden geçen tüm veriler şifrelenir
• Web siteniz için bir güven rozetidir. Aslında, çoğu tarayıcı SSL olmayan siteleri adres çubuğunda 'Güvenli değil' olarak işaretler.
• Google, SSL sertifikasına sahip web sitelerini sever ve hatta onları daha yüksek bir sıralama ile ödüllendirir.

Web sitenize kolayca bir SSL sertifikası yükleyin. Çok az zaman alır ve harcanan çabaya değer.

İyi web sitesi güvenlik uygulamaları

Başta söylediğimiz gibi, web sitesi güvenliği devam eden bir uygulamadır. Bu bölümde, genel web sitesi güvenlik stratejinize aşılamak için iyi olan uygulamaları listeliyoruz. Bunu bir kez alışkanlık haline getirdiğinizde, zamanınızın ve emeğinizin küçük bir yatırımı, güvenli bir web sitesi ile defalarca kendini amorti edecektir.

1. Şifrenizi sık sık değiştirin

Tahmin edilmesi zor parolalar belirlemenin zor olduğunu anlıyoruz, çünkü bunlar genellikle hatırlanması zor parolalarla eş anlamlıdır. Ayrıca, bu en mükemmel şifreyi düzenli olarak değiştirmenizin istenmesinin yarattığı dehşeti de hayal edebiliyoruz.

Bunun nedeni, parolaların güvenlikteki en zayıf halka olmasıdır; özellikle birden fazla hesap için aynı şifreleri kullanıyorsanız. Bir site bir ihlalle karşılaşsa bile, tüm hesaplarınızın potansiyel olarak güvenliğinin ihlal edildiğini güvenle varsayabilirsiniz. Birkaç haftada bir ihlallerle ilgili haberler var ve bunlar sadece bildirilenler. Akılda tutulması gereken bir şey.

Düzenli olarak da farklı insanlar için farklı şeyler ifade edebilir. Bankalar gibi bazı finansal kuruluşlar, şifrelerin her 90 günde bir değiştirilmesini zorunlu kılar. Bir parola yöneticisi kullanmak ileriye giden yoldur.

2. Web sitesi kullanıcılarını inceleyin + yeni yönetici kullanıcıları izleyin

Bilgisayar korsanları, bir siteye yeniden erişim sağlayabilmeleri için genellikle yönetici kullanıcıları geride bırakır. Bu nedenle, yönetici kullanıcıları düzenli olarak gözden geçirmek web sitesi güvenliğini artırabilir.

İkincisi, web sitesi ortak çalışanları değişebilir. Bir kullanıcının artık erişime ihtiyacı yoksa, erişimini kaldırmak en iyisidir. Bunun iki nedeni vardır: Kullanıcının web sitenizde daha fazla değişiklik yapmasını istemezsiniz; etkin olmayan hesapları, bilgisayar korsanları tarafından ele geçirilebilir.

Zamanla, sitemizi daha yeni içerik ve tasarımla oluştururken, sitemize yeni kullanıcılar eklemeye devam ediyoruz. Bu kullanıcıları periyodik olarak gözden geçirmeliyiz. Kendiniz iyi güvenlik uygulamaları izliyor olabilirsiniz, ancak başka bir kullanıcının güvenliğinin ihlal edilmesi sitenizin etkilenmesine neden olacaktır.

Kullanıcı eklerken, mümkün olduğunca yalnızca gerekli erişim düzeylerini verin. Örneğin, birisi yalnızca makale yazıyorsa, onlara yönetici erişimi vermeyin.

3. Sitenizde etkinlik günlüğünü ayarlayın

Web sitemiz için etkinlik günlüklerine sahip olmanın büyük hayranlarıyız. Pastırmamızı defalarca kurtardı.

Bilgisayar korsanları bir web sitesini değiştirmek için temel WordPress API'lerini kullanmazlar, bu nedenle yaptıkları değişikliklerin çoğu bir etkinlik günlüğüne yansımaz. Ancak, siteye erişmek için kendilerine yönetici hesapları oluşturmak gibi ayak izleri bırakabilirler. Bu beklenmedik eylemler, bilgisayar korsanlarının tespit edilmesine yardımcı olabilir.

Tersine, değişiklikler bir ortak çalışan tarafından yapılırsa, etkinlik günlükleri, web sitenizde yapılan değişiklikleri gördüğünüzde gereksiz paniği önlemeye yardımcı olabilir.

4. Yüklemeler klasöründe PHP'yi engelleyin

Tüm bir güvenlik açığı sınıfı (kesin olarak Uzaktan Kod Yürütme), bilgisayar korsanlarının Yüklemeler klasörüne kötü amaçlı PHP dosyaları yüklemesine olanak tanır. Bilgisayar korsanı daha sonra web sitenizde istedikleri herhangi bir kodu yürütmek için kullanabilir. Başka bir deyişle, web siteniz üzerinde tam kontrole sahipler.

Yüklemeler klasöründeki PHP dosyalarının yürütülmesini engellerseniz, saldırı etkili bir şekilde kısırlaştırılabilir. Merak etme. PHP dosyalarının Yüklemeler klasöründe engellenmesi güvenlidir, çünkü öncelikle orada bulunmamaları gerekir. Yüklemeler klasörü, komut dosyalarını değil, medyanızı depoladığınız yerdir.

MalCare güvenlik eklentisi kullanıyorsanız, bir düğmeye tıklayarak Yüklemeler klasöründe PHP yürütmesini engelleyebilirsiniz. Apache/Litespeed tabanlı siteler için, bu korumayı uygulamak için htaccess'e kurallar ekleyebiliriz.

Web sitenizi güvence altına alırken kaçınılması gerekenler

Hızlı bir Google araması, web sitenizi güvence altına almak için size çok sayıda ipucu ve strateji verecektir. Birkaç güvenlik eklentisi de sitenizi şifre kırıcılara karşı korumak için birden fazla seçenek sunacaktır. Web sitenizin güvenliğini sağlamak, yapmanız gerekenler konusunda çok önemlidir; bununla birlikte, kaçınmanız gereken bazı şeyler de vardır.

Aşağıda bahsettiğimiz noktaların her biri için nedenler değişir, ancak özünde, önlemlerinizin somut bir güvenlik avantajı olmalıdır – özellikle de kullanıcılarınızdan ek güvenlik çemberlerinden atlamalarını istiyorsanız. Örneğin, hem captcha hem de 2 faktörlü kimlik doğrulamayı uygularsanız, sitenize girmek çok az ek fayda ile denemeye dönüşür.

Mevcut tüm seçenekleri uygulayarak ek bir güvenlik duygusu elde edebilirsiniz, ancak maliyet-fayda analizinde hardal kesmezler.

1. wp-giriş sayfasını gizle

Bunu birçok forumda göreceksiniz: wp-login sayfasını siteniz için özel bir URL ile değiştirin. Mantık şu ki, bilgisayar korsanları giriş sayfasını bulamazlarsa, sitenize girmek için kaba kuvvet saldırıları kullanamazlar.

Bununla ilgili birkaç kusur var:

• WordPress ayrıca XML-RPC kullanarak oturum açmanıza izin verir
• Sitenizin kullanımını zorlaştıracaktır. Wp-login yerine kendiniz için oluşturduğunuz özel URL'yi unutursanız, bundan kurtulmak zor olabilir.
• Ortak bir URL veya güvenlik eklentisiyle birlikte gelen varsayılanı kullanırsanız, bilgisayar korsanlarının yine de tahmin etmesi kolay olacaktır, bu nedenle amacı tamamen ortadan kaldıracaktır.
• Bu sayfayı gizlemek, sitenize başka beklenmedik yan etkilere neden olabilecek karmaşık ayarların uygulanmasını içerir.

Bu nedenle, bizce, çabaya değmez.

2. Coğrafi engelleme

Yaygın olarak önerilen bir başka güvenlik önlemi de coğrafi engellemedir. Belirli ülkelerden yasal trafiğe ihtiyaç duymayabilir veya bu trafiği beklemeyebilirsiniz ve bu nedenle erişimi kısıtlamaya karar verebilirsiniz. MalCare bu özelliği destekler, ancak bunu yapmanızı önermiyoruz çünkü:

• Bölgeler için IP'ler mükemmel değildir ve hatalar içerebilir.
• Kendinizi yanlışlıkla bloke ederseniz, bunu geri almak zor olacaktır.
• Google gibi sitenize zarar verebilecek iyi botları engelleyebilirsiniz.

İyi bir güvenlik duvarı, web sitenizi kötü niyetli botlara ve istenmeyen trafiğe karşı koruyabilir ve koruyacaktır. Güvenlik duvarlarının faydalarını bir önceki bölümde ele aldık.

3. Şifre korumalı wp-admin dizini

wp-admin klasörü, web sitenizdeki en önemli klasörlerden biridir. Doğal olarak, bilgisayar korsanlarından çok fazla ilgi görüyor. Bu nedenle, onu bir parola ile korumak parlak bir hareket gibi görünebilir, ancak ters etki yapar.

Wp-admin dizininizi koruyan parola, WordPress web sitenizdeki AJAX işlevselliğini bozar. AJAX, o anda görüntülenen sayfayı değiştirmeden web sitenizin bölümlerini sunucudan yükleyen bir kodlama tekniğidir.

Bu kulağa saçma sapan gibi geliyorsa, esasen, bir şey değiştiğinde kullanıcılar için sürekli olarak yeniden yüklemeden web sitenizi dinamik hale getirdiği anlamına gelir.

Bir sosyal ağ sitesinin haber akışında gezinmeyi düşünün. Yeni hikayeler veya tweet'ler, halihazırda ekranınızda olanları okurken yüklenir ve yeni içeriği yüklemek istediğinizde haber akışını yenileyebilirsiniz.

4. WordPress sürümünü gizleyin

Web sitenizin WordPress sürümünü gizlemenin mantığı güvenlik güncellemeleriyle ilgilidir. Web sitenizde WordPress'in en son sürümü yoksa, bir bilgisayar korsanı daha eski bir sürümde bulunan bir güvenlik açığından yararlanabilir.

Ancak, WordPress sürümünüzü gizlemenin hiçbir faydası yoktur. Bir web sitesinin WordPress sürümünü belirlemenin birkaç yolu vardır: sitenin ön uç kodunu incelemek, RSS beslemesini kontrol etmek vb. Bunların hepsi tesadüfen meşrudur.

Eski sürümlerdeki WordPress güvenlik açıklarıyla mücadele etmenin yolu, sürümünüzü en son sürüme güncel tutmaktır. Birçok web sitesi yöneticisi, canlı bir siteyi güncellemenin bir şeylerin bozulmasına neden olabileceğinden korkar. Bu nedenle, bunu önce bir hazırlama sitesinde yapmak en iyisidir.

Web siteniz saldırıya uğradıysa ne yapmalısınız?

Siteniz yakın zamanda saldırıya uğradıysa, sitenizin güvenliği konusunda son derece titiz davranmanız sizin için daha da önemlidir. Doğru yapılmazsa, sitenin defalarca saldırıya uğramasına ve tüm durumun tam bir kabusa dönüşmesine neden olabilir.

• Önce kötü amaçlı yazılımı temizleyin: Kötü amaçlı yazılımları iz bırakmadan otomatik olarak kaldırmak için MalCare gibi iyi bir güvenlik eklentisi kullanın.

• Her şeyi güncelleyin : Daha önce de söylediğimiz gibi, yazılım güncellemeleri hayati önem taşır. WordPress'in, temaların ve eklentilerin en son sürümlerine sahip olduğunuzdan emin olun. Bunu yapmazsanız, web sitenizin ilk etapta saldırıya uğramasının nedeni bu olabilir.

• Her yönetici kullanıcıyı inceleyin: Her yönetici hesabını dikkatlice inceleyin. Bunu bu makalede zaten söyledik, ancak bilgisayar korsanları, kötü amaçlı yazılımın keşfedilmesi durumunda saldırıya uğradıkları bir web sitesine yeniden erişim sağlamak için yönetici hesapları oluşturur.

• Tüm parolaları değiştirin: Kimlik bilgilerinizin ele geçirildiğini varsayın ve parolaları değiştirin. Umarım farklı ürün ve hizmetler için aynı şifreyi kullanmazsınız, aksi takdirde bu şifreleri de değiştirmelisiniz.

• DB kimlik bilgilerini değiştirin (mümkünse): wp-config.php dosyası, WordPress sitesinin sitenin veritabanına bağlanmak için kullandığı kimlik bilgilerini içerir. Çoğu durumda, veritabanı kimlik bilgilerinin güvenliği ihlal edilmiş olsa bile veritabanına erişim kısıtlanır. Ancak, bazı ana bilgisayarlarda bilgisayar korsanları bu bilgileri doğrudan veritabanını değiştirmek için kullanabilir. Bu, sitenin yeniden enfekte olmasına neden olabilir.

• Güvenlik anahtarlarını değiştirin: WordPress, oturum açmış kullanıcıların oturumlarını yönetmek için güvenlik anahtarlarını kullanır. Ne oldukları ve bir web sitesini değiştirerek onları nasıl güvenli hale getirebileceğiniz hakkında daha fazla bilgi edinin.

• Bir WordPress güvenlik duvarı kurun: Bunu bu makalede ayrıntılı olarak ele aldık. Bir WordPress güvenlik duvarı, kötü niyetli botlara ve kötü trafiğe karşı en iyi savunmanızdır.

Çözüm

Bu makaleye, bir web sitesinin nasıl güvenli hale getirileceğine dair net bir işaret levhası ile başladık: ilk adım, web sitesi güvenliğini doğru şekilde düşünmektir. Devam eden bir süreçtir. Herhangi bir kuruluşta olması gereken iyi bir standart uygulama, periyodik web sitesi güvenlik denetimleri yapmaktır.

Tehdit ortamı sürekli değişiyor ve bilgisayar korsanları savunmaları yenmek için daha yaratıcı yollar bulacak. Güvenlik uzmanları sürekli tetiktedir ve bu, yıllarca süren araştırmalarımızda öğrendiklerimizin ana çıkarımıdır: kayıtsız kalmayın.

Paylaşacak düşünceleriniz mi var? Bize bir satır bırakın veya bizimle sosyal medyada bağlantı kurun. Düşüncelerinizi duymayı seviyorum.

SSS