WordPress Sağlamlaştırma: Web Sitenizin Güvenliğini Sağlamlaştırmanın 18 Yolu

Hacklenmesi zor sistemler vardır, ancak çoğu zaman web siteleri saldırıya açık oldukları için saldırıya uğrarlar ve yerinde temel güvenlikleri yoktur.

Bu yazıda, WordPress sitenizi nasıl sağlamlaştıracağınız hakkında konuşacağız.

TL; DR: Web sitenizi WordPress için hepsi bir arada güvenlik paketi olan MalCare ile koruyun. MalCare ile WordPress güvenliğini tek tıklamayla da güçlendirebilirsiniz.

Sen başlamadan önce

Listeyi uygulama kolaylığına göre düzenledik, böylece en baştan başlayıp listede aşağı doğru ilerleyebilirsiniz. MalCare'i yükleyerek ve oradaki Site Sertleştirme seçeneğini kullanarak başlamanızı öneririz. Bu doğru yönde atılmış büyük bir adım ve sonra daha fazla önlem almak için buraya geri dönebilirsiniz.

Profesyonel ipucu: Herhangi bir değişiklik yapmadan önce web sitenizi yedeklemenizi öneririz, hatta güvenlikle ilgili olanları bile. Eşeği sağlam kazığa bağlamak!

WordPress sitenizi sağlamlaştırmanın 5 KOLAY yolu

Bu listeye düşük asılı meyvelerle başlayalım. Bu temel ayarları aradan çıkarın ve WordPress'i sertleştirme konusunda ilerleme kaydetme konusunda hepimiz iyi hissedeceğiz.

Güçlü şifreler belirleyin

Parolalar, belki de tüm düşük asılı meyvelerin en düşük asılı olanlarıdır. Muhtemelen bu yüzden sıklıkla görmezden gelinirler. İşte bu yüzden WordPress site listenizi nasıl sağlamlaştıracağınız konusunda en üstteler.

Parolaları hatırlamak zordur ve evet, en iyi uygulamalardan bazıları yorucudur: yinelenen parolalar yok; kolay şifreler değil; harfler, sayılar ve sembollerin bir karışımı; Liste gerçekten göz korkutucu, özellikle de kaç tane hizmet kullandığınızı saymayı bıraktığınızda.

Anlıyoruz ve bu nedenle LastPass gibi bir şifre yöneticisi kullanmanızı öneririz. Hesabınızı güvende tutmak için otomatik olarak oluşturulmuş bir sayı, harf ve sembol dizisini kullanın. Olasılıklar küçük olsa da, kaba kuvvet saldırıları artık parolaları tahmin etmek için sözlük saldırılarını kullanıyor.

Güçlü parolaların kullanılmasını gerektir

Güçlü parolalar temamızla devam edersek, bunun yapılacaklar listenizdeki bir sonraki öğe olması gerekiyor.

Web sitenizi yöneten birden fazla kullanıcınız olduğunda, her kullanıcının güçlü bir parolaya sahip olduğundan ve bunu düzenli olarak değiştirdiğinden emin olmanız gerekir. Şimdi, bu küçük ölçekte daha kolay olabilir, ancak daha büyük bir takım söz konusu olduğunda, bunu sizin için otomatikleştirecek bir yazılıma sahip olmak daha iyi olur.

Zayıf bir şifre seçerseniz WordPress varsayılan olarak sizi uyaracaktır:

Ancak, 'zayıf parola kullanımını onayla' seçeneğini işaretleyerek geçersiz kılmayı seçebilirsiniz. Bunu yaparak, web sitenizi saldırılara karşı savunmasız bırakıyorsunuz.

Kullanıcıları şifrelerini güncellemeye zorlamak için Expire passwords gibi eklentiler vardı. Parolanın süresi dolmadan önce maksimum gün sayısı belirlemenize izin verir. Ancak, bu eklentilerin çoğu uzun süredir güncellenmedi, bu yüzden onları kullanmanızı tavsiye etmiyoruz.

En az ayrıcalık izinlerini uygulayın

Bir WordPress web sitesinde sahip olabileceğiniz 6 önceden tanımlanmış rol vardır: Süper Yönetici, Yönetici, Düzenleyici, Yazar, Katkıda Bulunan ve Abone. Her rolün bir dizi izni vardır ve bu nedenle bazı görevleri gerçekleştirebilir. Bu görevlere yetenekler denir. Roller ve yeteneklerin tam listesi burada.

Not: Tek bir web sitesi için yönetici rolü en güçlü olanıdır, oysa çoklu site için süper yönetici rolüdür.

Tek bir web siteniz varsa, yalnızca sınırlı sayıda yöneticiye ihtiyacınız vardır. Aslında, buradaki temel kural, yönetebileceğiniz kadar az yöneticiye sahip olmaktır. Nedeni basit: bilgisayar korsanlarının yönetici kimlik bilgilerini çalma riskini azaltıyorsunuz.

SSL'yi yükleyin

SSL, verileri kullanıcıdan sunucuya ve tekrar şifreli bir bağlantı üzerinden güvenli bir şekilde iletmenin bir yoludur.

Google, iyi bir güvenlik uygulaması olmasının yanı sıra, web sitelerinin SSL olmasını şart koşar. Bir web sitesinin HTTP yerine HTTPS üzerinde çalıştığını gösteren hoş yeşil kilit yerine tarayıcıda “Güvenli değil” göstererek web sitelerini cezalandırma eğilimindedir.

Eskiden bir SSL sertifikası yüklemek oldukça karmaşıktı ama artık değil. SSL kurmak için eksiksiz bir kılavuzumuz ve tüm sayfalarınızın HTTPS olduğundan emin olmak için başka bir kılavuzumuz var.

Bir WordPress güvenlik eklentisi kurun

Bu noktaya kadar listemizdeki diğer tüm girişler, web sitenize yaptığınız manuel eklemelerdir. Emin olun, bunlar çok fazla yapılandırma veya eklenti yüklemesi gerektirmeyen kolay olanlardır.

Bu listenin geri kalanı o kadar basit değil. Önlemlerin çoğu MalCare'in Site Sertleştirme özelliğine dahil edilmiştir.

Eklentiyi yükleyerek ve önlemleri ayarlamak için kontrol panelimizi kullanarak önemli miktarda zaman kazanacaksınız. Şimdi dene.

WordPress'i güçlendirmek için 6 ORTA önlem

Bu bölüme dahil ettiğimiz WordPress güçlendirme önlemlerinin her biri, bir eklentinin kurulumunu içerir. Genellikle güvenlik açıkları içerdiklerinden ve bulaşmaya giriş noktaları olduklarından, eklentileri hafifçe yüklemenizi önermiyoruz. Aşağıdaki güvenlik önlemlerini uygulamak için bir eklenti seçerken lütfen sağduyulu davranın.

2 faktörlü kimlik doğrulama

Bilgisayar korsanlarının web sitelerine girmesinin en yaygın yollarından biri giriş sayfasıdır. Bir web sitesinin oturum açma bilgilerini tahmin etmek için botları kullandıkları kaba kuvvet saldırıları adı verilen bir teknik kullanırlar. Bilgisayar korsanlarının içeri girmesinin başka bir yolu da verilerinizin başka bir web sitesinden sızdırılmış olmasıdır. Bilgisayar korsanları, birçok kişinin internet üzerinden birden fazla hesap için aynı kullanıcı adını ve şifreyi kullandığının farkındadır ve bu nedenle tahmin oyunu oynamak daha kolay hale gelir!

Kendinizi korumak için, Süper Yönetici, Yönetici, Editör, Yazar, Katkıda Bulunan veya Abone olsunlar, her kullanıcı için iki faktörlü doğrulama ekleyebilirsiniz.

Birçok web sitesi, örneğin Gmail, kullanıcılara hesaplarına giriş yapmak için 2 adımlı doğrulama seçeneği sunar. Bu, kullanıcının önce oturum açma ayrıntılarını girmesini ve ardından gerçek zamanlı olarak oluşturulan bir parola girmesini gerektirir (genellikle kayıtlı telefon numarasına gönderilen bir kerelik parola). Hesabınızı bilgisayar korsanlarının kırmasını veya WordPress kontrol panelinize erişmelerini zorlaştırır.

Giriş denemelerini sınırla

Web sitelerinin, özellikle bankaların, kullanıcılara kullanıcı adlarını ve şifrelerini doğru almak için yalnızca üç deneme vermelerinin bir nedeni var. Bundan sonra, size 'Şifremi unuttum' seçeneği sunulur, hatta hesaplarınız kilitlenir. Aşağıdaki resim, kullanıcı yanlış kimlik bilgileriyle oturum açmaya çalıştığında oluşturulan ve oturum açma ekranında görüntülenen bir uyarı örneğidir.

Bu temelde kaba kuvvet saldırılarını ortadan kaldırmak ve bilgisayar korsanlarının ve dolandırıcıların başarısını azaltmak içindir.

Varsayılan olarak, WordPress sınırsız sayıda giriş denemesine izin verir. Web sitenizde sınırlı oturum açma denemelerini etkinleştirmek, güvenliğini artırır ve bilgisayar korsanlarının girmek için binlerce kombinasyonu deneyememesini sağlar. Web sitenizdeki oturum açma girişimlerini sınırlandırmanın üç yolu vardır.

• Limit Login Attempts Reloaded gibi bir eklenti yükleyebilirsiniz.
• Web sitenizde zaten MalCare güvenlik eklentisi etkinse, başarısız denemelere karşı otomatik olarak sınırlı oturum açma korumanız olur. Eklenti, kötü botların sitenize erişmesini önleyecek captcha tabanlı koruma uygular.
• Function.php dosyasına manuel olarak kod ekleyerek. Bir WordPress eylemi eklemeniz ve karşılık gelen bir geri arama işleviyle kanca filtresi eklemeniz gerekir. Bu yöntem teknik ve risklidir. Kodlama konusunda bilgili değilseniz, bunu denememek en iyisidir.

Üçüncü seçeneğin kodunu ve giriş denemelerini sınırlama hakkındaki makalemizde daha ayrıntılı bir açıklama bulacaksınız.

Bir denetim günlüğü tutun

Bu, başlı başına bir WordPress sertleştirme önlemi olmayabilir, ancak kesinlikle sahip olunması gereken bir güvenlik önlemidir.

Web sitenizde olan her şeyi izleyecek WP Security Audit Log gibi bir eklenti kurmanız yeterlidir. Ve bu şekilde, kullanıcılarınızın tam olarak ne yaptığını ve ne zaman yaptığını bileceksiniz. Daha sonra web sitenizde neler olduğunu izleyebilir ve kullanıcıları eylemlerinden sorumlu tutabilirsiniz.

Eklenti, oturum açmalar, oturum kapatmalar, yapılan değişiklikler, oluşturmalar, değişiklikler, silmeler, eklemeler, güncellemeler vb. gibi her şeyi takip edecektir. Saldırıya uğradıysanız, herhangi bir şüpheli etkinliği veya yapılan değişiklikleri belirlemek için etkinlik günlüğüne başvurabilirsiniz.

Web sitenizde herhangi bir kritik değişiklik yapıldıysa anında bildirim alabilirsiniz. Ayrıca herhangi bir kullanıcıyı sadece bir tıklama ile kapatabilir veya engelleyebilirsiniz.

Otomatik çıkış etkin olmayan kullanıcılar

Bu özellik, öncelikle bir süre işlem yapılmadığında oturumunuzu kapatan banka web sitelerinde ve uygulamalarda görülür. Bu, hesabınızı yetkisiz erişime karşı korumak içindir.

Bunu ayarlamak için boşta oturum kapatma özelliğine sahip bir eklenti kullanabilirsiniz.

Şüpheli WordPress girişleri için uyarılar ayarlayın

Bilgisayar korsanları sürekli olarak güvenlik özelliklerini atlamanın yollarını buluyor ve bu nedenle uyanık olmamız gerekiyor. Herhangi bir şüpheli etkinlik olduğunda ve gerçekleştiğinde haberdar olmak için web sitenizde uyarılar kurmanız önerilir.

Bunu yapmak için MalCare gibi bir güvenlik eklentisi kullanmanız gerekir. Sitenizi sürekli olarak tarar ve herhangi bir kötü amaçlı yazılım veya şüpheli bir şey tespit ederse sizi uyarır.

Bir web uygulaması güvenlik duvarı kurun

Bir web uygulaması güvenlik duvarı, bilgisayar korsanlarını web sitenizi ziyaret etmeden önce bile engeller. Bunu, internete bağlı her cihaza atanan sayısal bir tanımlayıcı olan IP adreslerini izleyerek yaparlar.

IP daha önce kötü niyetli faaliyetler gerçekleştirmişse, işaretlenir ve sitenize gelmeleri engellenir.

Bir güvenlik eklentisi kullanarak bir güvenlik duvarı kurun ve web siteniz için mümkün olan en iyi korumaya sahip olduğunuzdan emin olun.

7 KOMPLEKS WordPress sertleştirme yöntemleri

Şimdi WordPress'i sertleştirmek için gerçek hurda şeylere geliyoruz. Aşağıdaki önlemler biraz kodlama veya geliştirme deneyimi gerektirir, aksi takdirde hatalar site çökmelerine ve bozulmalara neden olabilir.

Bu sertleştirme yöntemlerini biraz dikkatli bir şekilde uygulayın ve henüz yapmadıysanız, lütfen web sitenizi yedekleyin.

Güvenilmeyen klasörlerde PHP yürütmesini engelle

Bu biraz teknik ama mümkün olduğunca basitleştirmeye çalışalım.

Öncelikle PHP'nin web geliştirmede kullanılan bir betik dili olduğunu bilmeniz gerekir. PHP işlevi, belirli bir görevi gerçekleştirmek için yürütülebilen bir programda yazılmış bir kod bloğudur. Ardından, WP web siteniz dosya ve klasörlerden oluşur. Ancak, yalnızca belirli dosya ve klasörler php işlevlerini kullanır. Bir bilgisayar korsanı web sitenize eriştiğinde, kendi klasörlerini oluşturabilir veya PHP işlevlerini mevcut klasörlerinize ekleyebilir.

Böyle bir saldırıyı önlemek için, bilinmeyen herhangi bir klasörden PHP işlevlerinin yürütülmesini engelleyebilirsiniz. Ayrıca, olması gerekmeyen yerlerde PHP yürütmelerini devre dışı bırakabilirsiniz.

Bunun için şu adımları izleyin:

Dikkat: WordPress'in arka uç dosyalarına ve veritabanı tablolarına müdahale etmek riskli bir iştir ve sitenizin bozulmasına neden olabilir. Teknik bilgi gerektirir. Ne yaptığınızı bilmiyorsanız, profesyonel yardım almak en iyisidir.

1. Web sitenizin dosyalarına cPanel > Dosya Yöneticisi aracılığıyla erişin. cPanel'e erişiminiz yoksa FileZilla gibi bir FTP istemcisi kullanabilirsiniz. Dosyalarınıza erişmek için FTP kimlik bilgilerinize ihtiyacınız olacak.

2. public_html'ye gidin ve wp-includes , wp-admin ve wp-content adlı üç klasör göreceksiniz, bunun gibi:

3. Ardından, .htaccess dosyasını arayın. Mevcut değilse, Not Defteri gibi bir metin düzenleyici açıp .htaccess olarak kaydederek bir tane oluşturabilirsiniz.

4. Aşağıdaki kodu .htaccess dosyanıza yapıştırmanız gerekir.

<Dosyalar *.php>
herkesten inkar
</Dosyalar>

5. Yeni bir dosya oluşturuyorsanız, onu iki klasöre yüklemeniz gerekir: wp-includes ve wp-content/uploads

Bu, dosya izinlerini değiştirecek ve herhangi bir PHP dosyasının bu dizinlerde çalışmasını engelleyecektir. Bunların hepsi çok teknikse, MalCare gibi güvenlik eklentileri bunu sizin için otomatik hale getirir.

Dosya düzenleyiciyi devre dışı bırak

Bir bilgisayar korsanı bir WordPress Yönetici hesabına erişirse, web sitenizin tüm kontrolünü ele geçirebilir. Kontrol panelinden, "Editör" seçeneği ile temanızın ve eklentilerinizin kodlamasını düzenleyebilirler. Ayrıca içeriklerini görüntülemek, sitenizi tahrif etmek, kullanıcılarınıza spam göndermek, vb. için kendi komut dosyalarını yükleyebilirler. Bu editörler aracılığıyla gerçekleşen en yaygın saldırılar arasında SQL enjeksiyonları , SEO Spam korsanları ve Japon SEO Spam'i bulunur.

Düzenleyiciyi bulmak için Görünüm > Düzenleyici'ye gidin. Ve Eklentiler > Eklenti Düzenleyici şöyle:

Düzenleyiciyi devre dışı bırakmak için wp-config dosyanıza erişmeniz gerekir. Dosya Yöneticisi veya FTP kullanarak web sitesinin dosyalarına eriştiğimiz şekilde burada da kullanılabilir.

Sonraki kısım teknik kodlama bilgisi gerektirir ve doğru yapılmadığı takdirde sitenizi bozma riskiyle karşı karşıyadır. Ne yaptığınızı bilmiyorsanız, çok kolay görünse de denememek en iyisidir. MalCare'de 'Dosya düzenleyiciyi devre dışı bırak' özelliğini kullanmanızı öneririz.

Manuel yöntemle devam etmek istiyorsanız, gerçekleştirmeniz gereken adımları ayrıntılı olarak açıkladık.

1. Dosya Yöneticinizde wp-config dosyanızı bulun ve Düzenle seçeneğini almak için sağ tıklayın.

2. Burada, bununla ilgili daha fazla bilgi göreceksiniz ve Kodlama Kontrolünü Devre Dışı Bırak'ı seçebilirsiniz. Ardından Düzenle'ye ilerleyin.

3. Şimdi, wp-config dosyanızı açar ve sonra ne yapacağınızı merak etmenizi sağlar! Stres yapma. Aşağı kaydırın ve satırı bulun:

/* Hepsi bu, düzenlemeyi bırakın! Mutlu yayıncılık. */

4. Bunun üzerine aşağıdaki kodu yapıştırın

define('DISALLOW_FILE_EDIT', true );

5. Değişiklikleri kaydedin ve düzenleyiciyi kapatın.

6. Kontrol panelinize döndüğünüzde editör seçeneğini artık almadığınızı göreceksiniz.

Not: cPanel'e erişiminiz yoksa, wp-config dosyanızı FTP yoluyla indirebilirsiniz. Herhangi bir metin düzenleyicide açın ve kod satırını ekleyin. İndirdiğiniz şekilde web sitesine geri yükleyin. Eski dosyanın üzerine yazabilirsiniz.

Güvenlik anahtarlarını değiştir

Kolayca giriş yapmak için WordPress, kimlik bilgilerinizi saklar, böylece her giriş yapmak istediğinizde kimlik bilgilerinizi girmeniz gerekmez. Ancak burada önemli olan şifrelenmiş bir biçimde saklanmasıdır.

Veriler düz metin olarak saklanıyorsa, bir bilgisayar korsanı verileri ele geçirdiğinde sadece okuyabilir. Veriler şifrelenmişse, kullanamayacakları rastgele metin gibi görünecektir.

Verileri şifrelemek için WordPress, güvenlik anahtarları ve tuzlar olarak bilinen bir şey kullanmalıdır. Basit bir ifadeyle, anahtarlar, yönetici kullanıcı adınızı ve parolanızı kodlayan rastgele değişkenlerdir ve tuzlar temel olarak şifrelemeyi bir adım daha ileriye taşımaya yardımcı olur.

Bilgisayar korsanları güvenlik anahtarlarınızı ve tuzlarınızı ele geçirebilirse, şifrelenmiş verilerin şifresini çözebilir ve hesabınızı hackleyebilirler.

Eski anahtarlarınızı ve tuzlarınızı zaman zaman değiştirmeniz önerilir. Yeni bir anahtar ve tuz seti almak için şu bağlantıyı kullanabilirsiniz: Gizli Anahtar. Şuna benzeyen bir sayfa alacaksınız:

Şimdi yukarıdaki aynı yöntemi kullanarak dosyalarınıza erişin ve oluşturulan değerleri wp-config dosyanıza kopyalayıp yapıştırın, burada:

Burada da, kodun değiştirilmesini gerektirdiğinden, WordPress web sitesi sahiplerini teknoloji konusunda bilgili değillerse denememeleri konusunda uyarıyoruz. Bunu sizin için halledecek bir güvenlik eklentisi kullanmak en iyisidir.

Eklenti kurulumlarına izin verme

Bir kullanıcının veya istemcinin, sizin kadar kapsamlı bir şekilde uyumluluğunu veya güvenilirliğini kontrol etmeden bir eklenti yükleyebileceği durumlar vardır. Bu, web sitenizde bir takım sorunlara yol açabilir, bu nedenle onların bunu yapma yeteneğini tamamen kaldırmak en iyisidir.

Eklenti ve tema güncellemelerini ve kurulumlarını iki şekilde devre dışı bırakabilirsiniz:

wp_config php dosyanıza bir satır kod ekleyerek

Önceki bölümde ayrıntılı olarak açıklanan yöntemin aynısını izleyin, aşağıdaki satırı eklemeniz gerekir:

define('DISALLOW_FILE_MODS',true);

Lütfen dikkat: Temaları ve eklentileri güncellemek ve yenilerini yüklemek için geri dönüp bu kod satırını silmeniz gerekeceğini lütfen unutmayın.

Güvenlik eklentisi kullanma

Bu işlevi etkinleştirmenin ve devre dışı bırakmanın en kolay yolu bir eklenti kullanmaktır. MalCare kullanıyorsanız, etkinleştirmek için bir düğmeye tıklamanız ve ardından devre dışı bırakmanız yeterlidir.

Bu aşırı bir önlemdir, ancak sitenizi yöneten çok sayıda kullanıcıya sahip olduğunuz durumlarda gerekli bir önlemdir; veya istemcinizin gereksiz yere eklenti yüklemesini sınırlamak istemeniz durumunda.

wp-config.php dosyanızın güvenliğini sağlayın

WordPress kurulumlarınızdaki en kritik dosyalardan biri olan wp-config.php, bilgisayar korsanları için birincil hedeftir. Web sitenize veritabanı erişim bilgilerini içermenin yanı sıra, wp-config bir WordPress web sitesi işlevi yapmaktan sorumludur.

Dosya düzenlemeyi devre dışı bırakmanın yanı sıra burada iki şey yapabilirsiniz: güvenlik anahtarlarını değiştirmek ve eklenti kurulumuna izin vermemek.

wp-config.php'yi gizle

Birincisi wp-config.php dosyasını bir seviye yukarı taşımaktır. Bu bir güvenlik hamlesi değil, daha çok kötü amaçlı yazılımın dosyayı bulmasını zorlaştırmaya yöneliktir. Dosyayı taşımak onu aşılmaz yapmaz, bu nedenle beklentileri buna göre ayarlayın.

Not: Dosyayı taşımanın iyi bir fikir olup olmadığı konusunda geliştiriciler arasında bir fikir birliği yoktur. Contact Form 7 güvenlik açığı gibi bazı durumlarda bu önlem tamamen etkisiz olabilir. Bununla birlikte, mümkün olduğunca saldırıya uğraması zor olanı yapalım tarafında hata yapmayı severiz.

wp-config.php'ye erişimi engelle

Erişimi reddetmek çok daha somut bir önlemdir ve bunu yaparsanız dosyayı hiç taşımanıza gerek kalmaz. .htaccess dosyanıza gidin ve en üste aşağıdaki kodu ekleyin:

<files wp-config.php>
izin ver, reddet
herkesten inkar
</files>

wp-config.php dosyanızı korumak için yapabileceğiniz birkaç şey var. Bu makale, hepsi için tek bir oturumda çıkarabileceğiniz bir kontrol listesine sahiptir.

Veritabanlarını ayırmak

Ayrı WordPress kurulumlarına sahip birden fazla web sitesi çalıştırıyorsanız, veritabanlarını birbirinden ayrı tutmak ve farklı konumlarda saklamak akıllıca olacaktır. Bu nedenle, bilgisayar korsanları bir web sitesine erişim kazanırsa, diğer web siteleriniz en azından teorik olarak zarar görmez, çünkü çoğu diğer web sitelerinin güvenliğine bağlıdır.

Bu en iyi kurulum sırasında yapılsa da, daha sonra yapılabilir ve çabaya değer. Ancak bu, MySQL ve yapılandırmaları hakkında biraz bilgi sahibi olmayı gerektirir.

wp-admin güvenliğini sağlama

Oturum açma güvenliğini bir sonraki düzeye taşımak için -ki bunu kesinlikle yapmalısınız- oturum açma bilgilerinin SSL üzerinden iletilmesini sağlayabilirsiniz. SSL yüklediğinizden ve karışık içerik sorunlarını giderdiğinizden emin olun.

Ardından, şimdiye kadar rahat olduğunuz wp-config.php dosyasına gidin ve şu kodu ekleyin:

define('FORCE_SSL_ADMIN', true);

Bunun çok basit bir adım olduğunu biliyoruz, ancak burada karmaşık bölüme dahil edilmesinin bir nedeni var. Eklentiler SSL ile her zaman iyi oynamazlar ve bazen SSL alışılmadık şekillerde yapılandırılabilir. Bunun nasıl çalıştığı ve nelere dikkat edilmesi gerektiğine dair tam bir açıklama için bu makaleye göz atın.

WordPress güvenlik eklentisi kullanma

Yukarıda önerdiğimiz şeylerin çoğunu kolay ve hızlı bir şekilde yapmak için MalCare'i yükleyin.

İyi WordPress güvenlik eklentileri, bir web uygulaması güvenlik duvarı, bot koruması ve tarayıcı ile birlikte web sitenize uygulamanız gereken web sitesi sağlamlaştırma önlemlerini birleştirir. Yani şimdi, bunun teknik yönlerini bulmak için çok fazla zaman harcama konusunda endişelenmenize gerek yok.

Ancak, tüm eklentiler aynı kolaylık ve faydaları sunmaz. Orada epeyce eklenti var, ancak MalCare'i öneriyoruz çünkü işi sadece birkaç tıklamayla hızlı ve kolay bir şekilde hallediyor.

Eklentiyi yükledikten sonra, web siteniz zaten güvenlidir. İşte nasıl:

• Web sitenizi düzenli olarak tarar ve herhangi bir şüpheli etkinlik olup olmadığını kontrol eder
• Kötü niyetli trafiğin sitenizi ziyaret etmesini engelleyen proaktif güvenlik duvarı
• Web sitenizde bulunan herhangi bir kötü amaçlı yazılım için gerçek zamanlı bildirimler
• Tek tıklamayla kötü amaçlı yazılım temizleme

Tüm bu özelliklerin dışında, web sitenize uygulayabileceğiniz farklı web sitesi sağlamlaştırma seviyeleri vardır. Bu önlemler isteğe bağlıdır çünkü tüm web sitesi sahipleri bu güvenlik önlemlerini web sitelerinde uygulamak istemeyecektir. İhtiyaçlarınıza göre ne yapacağınızı seçebilirsiniz.

Uygulayabileceğiniz üç web sitesi sağlamlaştırma düzeyi şunlardır:

Temeller

Bu, güvenilmeyen klasörlerde PHP yürütmesini engellemenizi sağlar. Dosya düzenlemeyi de devre dışı bırakabilirsiniz. Daha önce tartıştığımız gibi, bu kesinlikle atmanız gereken bir adımdır.

Normal şartlar altında, aslında WordPress'in dosya ve klasörleriyle uğraşmazsınız. Web sitenizi yalnızca wp-admin panosundan çalıştırırsınız. Ayrıca temaların ve eklentilerin dosya düzenleyicisinde hiçbir şeyi düzenlemeniz gerekmez. Bunları devre dışı bırakmak, bilgisayar korsanlarının sitenize saldırmak için kullanabileceği bazı kapıları kapatır.

ileri

Eklenti ve tema yüklemelerini engelleyebilirsiniz; bu, hiç kimsenin web sitenize yenilerini yükleyemediği anlamına gelir. Bu önlem biraz aşırıdır ve yalnızca bir bilgisayar korsanlığından şüpheleniyorsanız veya web sitesinde çok fazla kişi çalışıyorsa alınmalıdır. Yeni bir eklenti/tema yüklemek istiyorsanız, bunu MalCare panosundan devre dışı bırakmanız gerekir.

paranoyak

Burada güvenlik anahtarlarını değiştirebilir ve tüm kullanıcılar için şifreleri sıfırlayabilirsiniz. Genellikle WordPress web siteleri, her birinin kendi oturum açma bilgilerine sahip olduğu bir ekip tarafından işletilir. Bu, bilgisayar korsanlarının kimlik bilgilerini tahmin etme ve sitenize erişme fırsatlarını artırır.

Tüm güvenlik anahtarlarını ve parolaları düzenli aralıklarla değiştirmek önemlidir. Büyük bir ekibiniz varsa, bu işlemi otomatikleştirmeye ve daha hızlı hale getirmeye yardımcı olur.

Bir saldırıdan kurtuluyorsanız, bu, tekrar saldırıya uğramamanızı sağlamak için atmanız gereken önemli bir adımdır.

Bunun dışında web sitenizde aşağıdaki WordPress güvenlik özelliklerinden yararlanırsınız:

• Sınırlı giriş denemeleri
• CAPTCHA tabanlı oturum açma
• Yetkisiz erişim uyarıları
• Sitenizdeki dosya değişikliklerini/güncellemeleri gösteren bir etkinlik günlüğü
• Ayrıca sizi kaba kuvvet saldırıları gibi saldırılara karşı korumak için her IP talebini analiz eder.
• Ayrıca SQL enjeksiyon saldırıları, SEO spam'ı ve web sitenizin DDOS saldırılarında kullanılması gibi yaygın WordPress güvenlik tehditlerini de önler.

Tam özellikli bir WordPress güvenlik eklentisi, parçalarının toplamından daha fazlasıdır. Bu önlemler tek başına tehditlere karşı etkili bir koruma olsa da, birlikte kullanıldıklarında kötü niyetli faaliyetlere karşı büyük bir engel oluştururlar. MalCare'i şimdi yükleyin ve web sitenizi korumak için elinizden gelenin en iyisini yaptığınızı bilerek içiniz rahat olsun.

Ekstra kredi için

Aşağıdaki ipuçları, WordPress sağlamlaştırma kategorisine girmez, ancak yine de güvenlik bilincine sahip web sitesi yöneticisi için en iyi uygulamalardır. Yukarıdaki listeyi bitirdikten sonra bu önlemleri almanızı şiddetle tavsiye ederiz.

Web sitenizi yedekleyin

Bu listedeki kesinlikle heyecan verici olmayan giriş: yedekler. Biliyoruz; WordPress için sınıfının en iyisi yedekleme eklentisini geliştiriyoruz.

İyi bir yedeklemenin önemi en iyi şekilde kötü bir senaryo ile gösterilir. Web sitenizi oluşturmak için aylarınızı ve yıllarınızı harcadığınızı hayal edin. Müşterileri var, ilgi çekici içerikler, reklamlarla gelir elde ediyor ve bir itibara sahip. Ve puf, bir gün ortadan kayboldu. Kötü amaçlı yazılım bulaşması veya web barındırıcınızda bir sunucu hatası olabilir; milyonlarca nedenden herhangi biri. Düşünmek. Bu şartlar altında bir yedeğe sahip olmak için neler verirdiniz?

Yedeklemeler hayati önem taşır. Bu sadece sağduyu.

Bilgisayarınızı kötü amaçlı yazılımlardan temiz tutun

Bazen bizi alıkoyan bariz şeylerdir. Hangi bilgisayarı kullanırsanız kullanın – veya aslında WiFi – web sitenizin güvenliği üzerinde bir etkiye sahiptir. Bilgisayarınızda bir keylogger varsa, WordPress'i sertleştirmenin bir anlamı yoktur; oturum açma kimlik bilgilerinizi bir bilgisayar korsanına teslim ettiniz.

Her zaman her şeyi güncel tutun

WordPress'in kendisi dışında, temaları ve eklentileri güncel tutmak önemlidir. Güvenlik açıkları her gün keşfedilir ve eklenti geliştiricileri bu güvenlik açıklarını gidermek için yamalar yayınlar.

Herhangi bir eklenti veya tema kullanmıyorsanız, onlardan kurtulun. Tekrar ihtiyacınız olursa, bunları daha sonra her zaman yeniden yükleyebilirsiniz.

Bir kenara, bu, eklentileri satın almak için temel bir nedendir. Ücretli bir eklenti genellikle aktif olarak korunur ve karşılaşabileceğiniz sorunlar için bir destek kanalına sahiptir. MalCare'de, güvenlik eklentimizi her gün geliştirmek için saldırıya uğramış web siteleriyle ilgili deneyimimizi kullanıyoruz. Aktif olarak bakımı yapılan bir eklenti, güvenliğe yapılan bir yatırımdır.

SFTP'yi kullan

Dosyaları sunucunuza aktarmak için FTP kullanıyorsanız, bunun yerine SFTP'ye geçmeyi düşünün. SSH kullanarak yapması dışında, dosyaları aktarmak için hemen hemen aynı şekilde çalışır. Aktarılan veriler şifrelenir ve aktarım sırasında okunamaz. Ayrıca SFTP, hem kullanıcı hem de sunucu için kimlik doğrulaması kullanır.

SFTP yeni standart haline geliyor ve sonuç olarak FTP'nin yerini alıyor. Yapılandırma pratik olarak aynıdır, bu nedenle eski protokollere devam etmek için iyi bir neden yoktur.

Güvenilir bir web barındırıcısı kullanın

Çoğu güvenlik makalesi (bunun gibi), bir web sitesi yöneticisi olarak web sitenizi güvende tutmak için neler yapabileceğinize yoğun bir şekilde odaklanacaktır. Elbette yapabileceğiniz çok şey var ve güvenlik açıklarının çoğu kurulu uygulamalar tarafından ortaya çıkıyor. Ancak bu, sunucunun yenilmez olduğu anlamına gelmez.

Web barındırıcınız sunucularını koruma konusunda üzerine düşeni yapmazsa yapabileceğiniz çok az şey vardır. Sunucular, yalnızca dijital çeşitlilikten değil, saldırılara karşı da savunmasızdır. Örneğin, sunucular fiziksel olarak güvenli bir konumda mı? Bir bilgisayar korsanı odaya erişebilir ve verileri bu şekilde çalabilir mi? Bunlar önemli hususlardır, ancak yine bir web sitesi yöneticisinin bu konuda sınırlı kontrolü vardır.

Peki ne yapabilirsin? Güvenilir bir web barındırıcısı seçin. İyi bir web barındırma, uygulamaları konusunda şeffaftır ve sunucularını saldırılara karşı korumak için aldıkları somut önlemleri içerecektir. Maliyetleri düşürmenin yeri burası değil, çünkü ucuz bir web barındırma uzun vadede çok maliyetli bir karar olabilir.

Çözüm

Bir WordPress güvenlik eklentisi kurmanın önemini yeterince vurgulayamayız.

Kötü amaçlı yazılımın kaldırılması, yanlış adımlara ve maliyetli hatalara tabi olan özenli ve zor bir süreçtir. Süreci yalnızca uzmanlar üstlenmelidir ve bu pahalı bir teklif olabilir. Ayrıca, o noktada zaten veri, trafik, itibar ve çok daha fazlasını kaybetmiş olacaksınız.

Bu yüzden evet, güvenlik konusunda önleyici bir yaklaşım benimseyin ve iyi bir WordPress güvenlik eklentisi kurun. Ardından, bu makaleye geri dönün ve sertleştirme önlemleri uygulayın ve son olarak, yaygın WordPress sertleştirme hatalarını kontrol etmek için web sitenizi denetleyin.

Gelecekteki benliğiniz, öngörünüz için size teşekkür edecek.

SSS