WordPress Güvenlik İçin Bilmeniz Gereken Her Şey

WordPress güvenlik denildiğinde aklımıza hemen WordPress alt yapısının güvenli mi değil mi sorusu gelmekte. İstatistiklere göre, 2020 yılında en çok saldırı yapılan alt yapıların başında WordPress gelmektir. Bu yüzden WordPress güvenlik eklentileri ile mutlaka sitenizi güçlendirmelisiniz. Bu makalede bugüne kadar yaşadığım tüm deneyim ve tecrübelerime dayanarak WordPress sitenizi nasıl güvenli hale getirebilirsiniz anlatmaya çalışacağım.

Eğer WordPress içerik yönetimi ile kurulmuş bir websiteniz varsa bu yazı ilginizi çekecektir. Zaman kaybetmeden sitemizi nasıl daha güvenli hale getirebiliriz adım adım anlatmaya başlayalım.

Sizler için bir Youtube videosu hazırladım;

WordPress Güvenli mi Değil mi?

WordPress her ne kadar güvenli bir alt yapı sunsada güvenlik açıklarının kapatılması gereklidir. Her alt yapıda olduğu gibi WordPress’te saldırıya uğrayabilir. Bu saldırıları en aza indirmek için yapmanız gereken bir çok adım vardır. Özellikle kullanılan tema ve eklentiler en çok güvenlik açıklarını barındıran alanlardır. WordPress destek hizmeti sunduğum müşterilerimin büyük bir çoğunluğu sitelerinin güvenliğinden şikayetçi.

Aslında durum oldukça basit. WordPress açık kaynak bir kod yapısına sahip olduğu için her türlü saldırıya karşı savunmasız. Madem bu sistem bu kadar savunmasız, bunu önlemek için neler yapmalı birlikte inceleyelim.

WordPress Güvenlik Önlemleri

İçeriğin devamında WordPress siteniz için yapmanız gereken tüm adımları tek tek anlatmaya çalışacağım. Eğer güvenli bir site istiyorsanız uygulamanız gereken adımlar şu şekilde listelenebilir;

  • İyi bir hosting firması ile çalışın
  • Sitenize SSL kurun (güvenlik sertifikası)
  • htaccess ile dosya ve klasörlere erişimi kapatın
  • wp-config.php ile dosya düzenlemeyi kapatın
  • Dosya ve klasörlerin izinlerini yönetin
  • Temalarınızı, eklentilerinizi ve WordPress’inizi her zaman güncel tutun
  • Kullanılmayan tema ve eklentileri mutlaka silin
  • ASLA lisanssız eklenti yada tema kullanmayın
  • Güvenlik eklentisi kullanın
  • Eşsiz bir kullanıcı adı ve şifre kullanın (admin kullanıcı adından uzak durun)
  • Girişleri kısıtlandırın
  • WordPress yönetim paneli ve giriş bağlantısını gizleyin (wp-admin ve wp-login.php)
  • Google Captcha kullanın
  • Sitenizi yeni kayıtlara kapatın
  • Akismet kullanın yada sitenizi yorumlara kapatın

1. İyi bir hosting firması ile çalışın

Websitelerin saldırıya uğramasında ki en önemli hususlardan birisi, gelişi güzel seçilmiş web barındırma şirketleridir. Çok reklam yapan değil gerçek hizmet sunan kaliteli web hosting firmaları ile çalışmalısınız. WordPress ile tanışan kullanıcıların büyük bir çoğunlu ilk hosting deneyimlerinden genellikle mutlu değildir. O yüzden her zaman reklamlar ile tanıştığınız web hosting firmalarının Google üzerindeki incelemelerini ve müşteri yorumlarını muhakkak okuyun.

Üzülerek belirtmem gerekir ki bir çok web hosting firması siteler saldırıya uğradığı zaman suçu kullanılan yazılıma ve dolayısıyla yazılımcıya atar. İyi bir hosting firmasında olması gereken özelliklerin en başında sağlam bir DDOS koruması ve antispam hizmetinin yer almasıdır. “Ne kadar çok para öderseniz o kadar fazla güvenlikli bir siteniz olur” algısı tamamen yanlıştır. Tekrar belirtmek gerekirki bir hosting paketi satın almadan önce mutlaka müşteri yorumlarını okumaya gayret gösterin. Web hosting konusunda kendi başarısını ispat etmiş Türkiye’nin en önemli web hosting firmalarından birisi olan Turhost WordPress hosting sayfasını inceleyebilirsiniz.

2. Sitenize SSL kurun (güvenlik sertifikası)

Sitenize SSL kurun

WordPress sitenizde mutlaka SSL kullanın. SSL (Secure Sockets Layer) sertifikaları, web sitesi güvenliğinin en önemli parçasıdır ve bir internet bağlantısını güvenli tutmak ve iki sistem arasında gönderilen hassas verileri korumak amaçlı uygulanan şifreleme sistemidir.

Bir çok hosting firması sundukları hosting paketlerinde ücretsiz SSL hizmeti sunmaktadır. Eğer web hosting paketiniz ücretsiz SSL desteği sunmuyorsa mutlaka satın almanız gereklidir. Ortalama SSL fiyatı senelik $20 – $90 arasındadır. Eğer websitenizde SSL yoksa adres çubuğunda “Güvensiz Bağlantı” ibaresi yer alır ve buda ziyaretçilerinizin paniğe kapılmasına neden olacaktır.

3. htaccess ile dosya ve klasörlere erişimi kapatın

Bazı durumlarda web hosting alanınızda yer alan dosya ve klasörler tarayıcıdan girildiğinde görünür olmaktadır. Bu sorun sitenizin saldırı altında kalmasına neden olabilir. Dosya ve klasörleriniz görünür olsada olmasada mutlaka aşağıda yer alan kodu htaccess dosyanızın müsait bir yerine eklemelisiniz.

htaccess dosyasına ulaşmak için FTP aracılığı ile yada CPANEL ile sitenizin dosyalarının yer aldığı ana dizine bağlanın ve .htaccess dosyasını bir yazı editörü ile düzenle seçeneğini seçin. Ardından aşağıdaki kodu bu dosyaya ekleyin ve geri yükleyin. Bunun nasıl yapacağınızı bilmiyorsanız mutlaka bir uzmandan yada web hosting firmanızdan destek alın.

Önemli: Bir çok hosting firmasında htaccess gizli olabilir bunun için gizli dosyaları göster seçeneğinden faydalanmalısınız.

Options All -Indexes

4. wp-config.php ile dosya düzenlemeyi kapatın

Eğer bir hacker sitenizin yönetim paneline ulaştıysa mutlaka WordPress dosyalarınızı düzenleyebilir ve sitenize zararlı kodlar ekleyebilir. Bunun önüne geçebilmek için mutlaka dosya ve klasör düzenlemeyi wp.config.php dosyası ile engelleyin. Bunun için aşağıdaki kodu wp-config.php dosyasının en altına ekleyin. Bu sayede WordPress dosyalarınız düzenlemeye kapatılmış olacaktır. En az bir önceki adım kadar önemli bir adımdır.

define('DISALLOW_FILE_EDIT', true);

5. Dosya ve klasörlerin izinlerini yönetin

WordPress dosya ve klasörü izinlerinizi düzenleyerek sitenizin ulaşılmaz olmasını sağlayabilirsiniz. Tüm dosya izinleriniz 644 ve tüm klasör izinleriniz 755 olmalıdır. Aşağıdaki görselde WordPress klasör izinlerini nasıl ayarlayabileceğinizi göstermeye çalıştım;

Dosya ve klasörlerin izinlerini yönetin

Yukarıdaki video bize klasörlerin izinlerini değiştirmeyi göstermektedir. Bu işlem bittikten sonra dosya izinlerinizide 644 olarak düzenlemeniz gerekmektedir. Yukarıdaki işleme alternatif olarak tüm klasör ve dosyaları seçin ve 755 yerine 644 yapın. Ardından “yalnız klasörlere uygula” yerine “yalnız dosyalara uygula” seçeneğini seçerek işlemi başlatın.

Bu işlem çok risklidir ve ne yaptığınızı bilmiyorsanız mutlaka bir uzmandan yada hosting sağlayıcınızdan destek alın.

6. Temalarınızı, eklentilerinizi ve WordPress’inizi her zaman güncel tutun

WordPress çoğu zaman otomatik güncellenir. Eğer güncellenmiyorsa bu işlemi manuel olarak yapmanız gerekmektedir. Yönetim paneli → Başlangıç → Güncellemeler sekmesinde tüm güncellemeleri görebilirsiniz.

Temalarınızı, eklentilerinizi ve WordPress'inizi her zaman güncel tutun

Sitenizde kullandığınız tema ve eklentileride her zaman güncel tutmaya özen gösterin. Güncelleme yapmadan önce her zaman yedek almayı unutmayın. Çoğu zaman güncellemeler sorunsuz çalışacaktır fakat bazı durumlarda sitenizde tasarımsal bozulmalar yada hatalar meydana gelebilir. Bu durumda aldığınız yedekten geri yükleme yapmanız kolay olacaktır. Bu tip durumlarda hosting firması sorumluluk kabul etmez. O yüzden eğer bütçeniz müsaitse mutlaka hosting satın alırken günlük / haftalık yedek alma desteği veren paketleri inceleyin.

7. Kullanılmayan tema ve eklentileri mutlaka silin

Hem sitenizin güvenliğine hemde hızına etki edecek en önemli hususlardan biriside kullanılmayan temaları ve eklentileri silmenizdir.

Çoğu zaman eklentiler etkisizleştirilip “eklentiler” sekmesinde unutulmaktadır. Güncellemesi gelen bu eklentilerin en büyük sorunları ise güvenlik sorunları yaratmalarıdır. Bu durumun önüne geçmek için mutlaka kullanılmayan tüm eklenti ve temaları sitenizden kaldırın.

8. ASLA lisanssız eklenti yada tema kullanmayın

Bir önemli husus ise yasa dışı dağıtılan temaları ve eklentileri kullanmaktır. Yaşadığım tecrübelere dayanarak söylemem gerekirki yaşanılan tüm güvenlik sorunları lisanssız kullanılan tema ve eklentilerden kaynaklanmaktadır.

no warez

Kötü niyetli insanlar özellikle bu tarz yasa dışı dağıtılan tema ve eklentilerin içerisine virüslü dosyalar eklemektedir. Bu virüslü dosyalar belirli zamanlarda sitenizin diğer dosyalarına bulaşarak özellikle cinsel içerikli sitelere reklamlar çıkar. Hem kullanıcılarınıza karşı mahçup olabilirsiniz hemde Google’dan komple silinebilirsiniz. Çok riskli bir durumdur ve lütfen çalıştığınız web tasarımcıların yasa dışı ürünler kullanmamasına özen gösterin.

9. WordPress Güvenlik eklentisi kullanın

WordPress sitenizi güvende tutmanın bir diğer yoluda güvenlik eklentisi kullanmaktır. Eğer destek alabileceğiniz bir uzman yoksa kendinizde sitenizdeki sorunları tespit etmek için bazı eklentilerden faydalanabilirsiniz. Benim size tavsiyem Wordfence Security eklentisidir. Bu eklentinin en büyük özellikleri şu şekilde listelenebilir;

  • Web Uygulaması Güvenlik Duvarı kötü amaçlı trafiği tanımlar ve engeller. 0 WordPress güvenliğine odaklanan büyük bir ekip tarafından oluşturulmuştur ve geliştirilmeye devam etmektedir.
  • [Ücretli] Tehdit Savunma Feed’i aracılığıyla gerçek zamanlı güvenlik duvarı kuralı ve kötü amaçlı yazılım imza güncellemeleri (ücretsiz sürüm 30 gün geciktirilir).
  • [Ücretli] Gerçek Zamanlı IP Kara Listesi, en kötü niyetli IP’lerden gelen tüm talepleri engeller ve yükü azaltırken sitenizi korur.
  • Sitenizi uç noktada korur ve WordPress ile derin entegrasyon sağlar. Bulut alternatiflerinin aksine şifrelemeyi bozmaz, atlanamaz ve veri sızdıramaz.
  • Tümleşik kötü amaçlı yazılım tarayıcı, kötü amaçlı kod veya içerik içeren istekleri engeller.
  • Giriş denemelerini sınırlandırarak kaba kuvvet saldırılarına karşı koruma.

Benim müşterilerimin websitelerindeki virüsleri tespit etmemdeki en büyük yardımcı bu eklentidir. Özellikle “SCAN” özelliğini kullanarak siteye bulaşmış virüslerin yerlerini tespit ediyorum. Ayrıca bu eklenti sayesinde yerleri tespit edilmiş virüsleri direk olarak silebilir yada karantinaya alabilirsiniz. Örnek bir ekran görüntüsü için bakınız;

Wordfence Scan WP

10. Eşsiz bir kullanıcı adı ve şifre kullanın (admin kullanıcı adından uzak durun)

WordPress siteleri için en popüler hack girişim yöntemi “Brute-Force” uygulamasıdır. Brute-Force ile hackerlar sitenizdeki kullanıcıların kullanıcı adlarını tespit ederler ve ellerinde bulunan şifre kombinasyonları ile sitenizin yönetim paneline erişmeye çalışırlar.

WordPress varsayılan olarak “admin” kullanıcı adı ile kurulduğu için tespit edilmesi en kolay kullanıcı adıda budur. Sitenizi sıfırdan kuruyorsanız sakın “admin” kullanıcı adını kullanmayın. Bunun yerine e-posta yada benzersiz bir kullanıcı adı seçin.

Ayrıca istatistiklere göre dünya genelince kullanıcıların kullandıkları şifreler genelde birbirine benzemektedir. Sosyal medyanında oldukça yaygın olduğu günümüzde kötü niyetli insanların doğum tarihinizi tespit etmeleri çok zor olmasa gerek. O yüzden şifrenizi tekrarlanan rakamlardan yada doğum tarihiniz gibi basit tahmin edilebilir şifrelerden oluşturmayın.

11. Girişleri kısıtlandırın

Bir diğer etkili yöntem ise “WP Limit Login Attempts” eklentisini kullanmaktır. Özellikle Brute-Force hack girişimini engellemenin en önemli çözümü bu eklentidir. Bu eklenti ile WordPress yönetim panelinize yapılan giriş denemelerini sınırlandırabilirsiniz. Örneği bir kullanıcı en fazla 4 deneme yapabilir bu denemelerden sonra o kullanıcın IP adresine 20 dakikalık bir kısıtlama getirebilirsiniz.

Eğer çok fazla giriş denemesi devam ederse otomatikman giriş denemelerini ana sayfaya yönlendirerek hack girişiminin önüne geçebilirsiniz.

12. WordPress yönetim paneli ve giriş bağlantısını gizleyin (wp-admin ve wp-login.php)

Ücretsiz bir eklenti olan “Titan Anti-spam & Security” eklentisi ile websitenize yüksek güvenlik önlemleri alabilirsiniz. Bu eklentinin en büyük özelliği wp-admin ve wp-login.php gibi sitenizin yönetim paneline erişebilen bağlantıların adlarını değiştirebiliyor olmanızdır.

Burda dikkat etmeniz gereken en önemli husus, yönetim paneli adresini değiştirdikten sonra bu ismi unutmamanızdır. Zira bu adı unutursanız sitenizin yönetim paneline erişemiyebilirsiniz. Örnek bir kullanım için aşağıdaki görsele göz atın;

WordPress yönetim paneli ve giriş bağlantısını gizleyin

Ayrıca bu eklentinin anti-spam, firewall güvenlik duvarı özelliğindende faydalanabilirsiniz. Wordfence eklentisine eş değerde site içerisinde yer alan virüslü dosyalarıda tespit etmek için “Site Checker” sekmesini ziyaret etmenizi öneririm.

13. Google Captcha kullanın

Bir diğer önemli eklenti ise “Simple Google reCAPTCHA” eklentisidir. Bu eklenti ile websitenizde yer alan tüm formlara Google reCAPTCHA özelliği ekleyebilirsiniz. Bu sayede olası hack girişimlerinin rahatlıkla önüne geçmiş olursunuz. Google’ın diğer özelliklerinde olduğu gibi bu eklentide 0 ücretsizdir ve hem ticari hemde kişisel projelerinizde kullanabilirsiniz.

14. Sitenizi yeni kayıtlara kapatın

Eğer kurumsal bir websiteniz varsa yada kişisel bir blog sahibiyseniz ve sizden başka herhangi bir yazar alımı yoksa, sitenizi yeni kayıtlara kapatabilirsiniz. Bu genellikle sorunu kökten çözecektir. Benimde yapmış olduğum tüm çalışmalarda uyguladığım en etkili yöntemlerden birisi sitemi yeni kayıtlara kapatmaktır.

Lütfen dikkat: Eğer e-ticaret sitesi sahibiyseniz bu işlem size uygun değildir.

WordPress yönetim paneli → Ayarlar → Genel → Üyelik alanından “isteyen herkes kayıt olabilsin” sekmesindeki tıkı kaldırın.

Sitenizi yeni kayıtlara kapatın

15. Akismet kullanın yada sitenizi yorumlara kapatın

Bir diğer hack girişimide sitenize bırakılan spam yorumlar ile yapılmaktadır. Eğer sadece hizmet satıyorsanız ve sitenize yorum beklentiniz yoksa, sitenizi komple yorumlara kapatmak etkili bir yöntem olacaktır. Eğer siteme yorumda yapılsın diyorsanız WordPress kullanıcılarının en büyük dostu Akismet eklentisini kurabilirsiniz. Sitenizi tamamen yorumlara kapatmak için;

WordPress yönetim paneli → Ayarlar → Tartışma → Varsayılan yazı ayarları → İnsanların yeni yazılara yorum yapmasına izin ver alanındaki tıkı kaldırmanız yeterli olacaktır. Ayrıca isterseniz bu ayarı istediğiniz yazı ve sayfada kapatarak ilgili sayfaya yorum yapılmasını sağlayabilirsiniz.

Akismet sitenizdeki sayfa ve blog yazılarına yapılan kötü yorumları tespit eder ve otomatikman spam klasörüne taşır. Daha sonra düzenli olarak spamdan bu yorumları temizler ve sizin hiç haberiniz olmadan sitenize gelen binlerce spam yorumu engeller. Akismet resmi WordPress spam yorum engelleme eklentisidir. Akismet kullanabilmeniz için bir WordPress.com hesabına ihtiyacınız vardır. Hesap ile Akismet sayfasına giriş yaptıktan sonra ücretsiz olarak API kodu alarak sitenize entegre edebilirsiniz.

Akismet eklentisi

Sonuç

Bu yazıda 15 adımda WordPress güvenlik sorunlarını nasıl çözebileceğinizden bahsetmeye çalıştım. Yukarıda anlattıklarımın tamamını sitenize uygulayabilirsiniz yada sadece ihtiyacınız olan adımları gerçekleştirebilirsiniz. WordPress güvenlik oldukça karmaşık bir iştir. Eğer neyi nasıl yaptığınızı biliyorsanız, siteniz büyük oranda kötü niyetli insanlardan kurtuşmuş olacaktır.

WordPress güvenlik için hazırladığım bu yazıyı faydalı bulduysanız sosyal medya hesaplarınızda bana destek olmanızı rica ediyorum. Ayrıca eksik kaldığım bir konu olduysa yada sizlerinde eklemek istedikleriniz varsa lütfen yorum alanından bana katılın.

WordPress ile hazırlanmış harika bir websitesine sahip olmak ister misin? Hemen iletişime geç!
Facebook
Twitter
LinkedIn
WhatsApp
Halim
Halim
WordPress ve web tasarım uzmanıdır. Eğitim videoları 500.000’in üzerinde izlenme almıştır. Türkiye’nin en iyi WordPress destek sitelerinden WP Servis‘in kurucusu ve sektörün gelişmesi için gece gündüz çalışan genç bir girişimcidir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir