Wordpress
Trend

WordPress Güvenlik Önlemleri 2024

WordPress Güvenlik Önlemleri hakkında bilgi vermeden wordpress sistemlerin öneminden bahstedelim. WordPress dünyada webmasterlar tarafından en fazla kullanılan CMS (içerik yönetimi) sistemidir. Dünya üzerindeki web sitelerinin yaklaşık % 30’u wordpressten oluşur. Güvenlik kavramının önem kazandığı son yıllarda sitelerinizin güvenlik önlemini aldınız mı?

Eğer almadıysanız ve bu konuda bilginiz yoksa doğru adrestesiniz. Adım adım giderek hep birlikte güvenlik önlemlerini alacağız.

WordPress Güvenlik Önlemleri 

Şimdi sitemize karşı taarruza geçecek art niyetli kullanıcıları, savunmaya geçerek nasıl durduracağımızı öğreneceğiz. Aynı bize saldıracak olan Devletleri S400’lerin durduracağı gibi. WordPress güvenlik önlemleri içeriğimize hadi geçelim.

Kişisel Güvenlik

WordPress güvenlik önlemlerinin ilk başında kişisel güvenlik gelir. Kişisel güvenlik bilgisayarınızda almanız gereken tedbirlerden oluşur. Trojen, keylogger adı verilen yazılımlarla bilgisayarınızdaki konuşmalar, girdiğiniz internet siteleri, şifreleriniz çalınabilir. Bu tür yazılımlara karşı güçlü antivürüsler kullanmak gerekir. Tavsiye olarak Avira‘yı önerebilirim. Alman bu tank gibi…

Seyehat ederken tablet veya bilgisayarlar sunan firmalardan, internet kafe veya akrabalarınızın bilgisayar veya tabletlerinden şifre isteyecek işlemleri yapmamanızda fayda var. Siz ne kadar dikkatli olursanız olun, bir yakınınız Sizin kadar dikkatli olmayabilir. Kısacası şöyle demekte fayda var.

En iyi antivürüs, Sizsiniz…

Güvenilir Hosting Kullanın

Şöyle 2007-2010’lu yıllara gittim de aklıma linux ve windows serverların ne kadar kolay geçildiği geldi.Herhangi bir site üzerinde SQL İnjection, RFİ, LFİ, XSS gibi açık tespit eder, açık bulduğumuz siteye yönetici veya admin girişi sağlayarak shell upload ederdik. Daha sonra shell üzerinden bazı komutlarla ilgili linux kernelini bulup serverları root edip diğer sitelere ulaşıp onları da hacklerdik. Bu şekilde bir gecede yaklaşık 700 ün üzerinde Rus sitesi hacklediğimizi hatırlıyorum. Bunun içerisinde Rusya’nın en büyük üniversitesi ve televizyon kanalları da vardı. O zamanlar Çeçen Lider Şeyh Şamil ve Cevher Dudayev’in yaşantısını örnek aldığımız için Rus sitelerini seçer, hacklediğimiz sitelere bu Yiğitlerin fotoğraflarını koyardık. Bu bizim için bir eğlence olsa da karşı taraftaki markalar ve şirketler için büyük bir itibar kaybıdır.

Eğer ki marka oluşturma yolunda ilerlerken bu tür itibar kaybı yaşamak istemiyorsanız kesinlikle güvenilir hosting firmalarını seçmelisiniz. Eğer paranız çoksa ki bizim insanlarımızda genellikle olsa da yoktur markanıza ait server kiralamanız faydanıza olacaktır.

PHP Sürüm Güncelleme

WordPress sitelerin %57 si halen php sürümü olarak 5.6 veya altını kullandığını biliyor muydunuz? Düşük php versiyonlarının wordpresste kurulmuş olması ileride hem güncelleme yaparken sorun teşkil eder hemde bir çok yeni çıkan eklentiler güncel php versiyonu desteklediği için kurulu wordpressiniz ile uyumsuz olur.

Ayrıca php sürümünün güncel olması daha hızlı bir wordpress kullanmanı sağlar. WordPress site hızlandırma tekniklerden bir tanesi de php sürümünü yükseltmektir. Örneğin PHP 7 sürümü, PHP’nin 5 sürümüne göre saniyede 100 küsürden daha fazla istek sunabiliyor.

Peki php sürümünü nasıl güncelleriz dediğinizi duyar gibiyim. Hadi güncelleme işine geçelim.

Siteniz hangi hosting firmasında ise kullanıcı bilgi ve şifrelerinizi girerek Cpanel’e erişim sağlayın. Cpanel’de Yazılım kısımında bulunan MultiPHP yönetici alanını bularak  giriş sağlayın.

Wordpress Güvenlik Önlemleri 2024 2
PHP Sürümüzü Güncelleyin

Giriş yaptıktan sonra karşınıza çıkan bu alanda görüldüğü üzere;

Wordpress Güvenlik Önlemleri 2024 3
Multiphp Yöneticisi

wpsefi.com ve diğer domainlerim 5.6 sürümünü kullanıyor.  Sağ tarafta bulunan PHP sürümü alanından en son versiyonu seçelim. Ardından da yükseltme yapacağımız tüm domainleri seçelim. Uygula butonuna basarak işlemi tamamlayalım.

Wordpress Güvenlik Önlemleri 2024 4
PHP Sürüm güncelleme

Görüldüğü üzere PHP 7.2 sürümüne geçiş sağladık. Kullanmış olduğunuz hosting php’nin en son hangi sürümünü destekliyorsa onu seçmelisiniz.

Admin Panelinizi Gizleyin

WordPress kurulu sistemlerde default olarak bıraktığınızda admin giriş paneline;

https://www.wpsefi.com/wp-admin

kullanıcılar ulaşabilir. Bu giriş panelimizin yolunun değiştirildiğini biliyor muydunuz?

Hadi gelin panelimizin girişlerini bir eklenti yardımıyla değiştirelim. Bunun için wordpress eklenti yükle kısmına gelerek; Lock down Admin eklentisini kuruyoruz ve etkinleştiriyoruz.

Wordpress Güvenlik Önlemleri 2024 5
Admin Panelinizi Gizleyin

Eklenti etkinleştirildiğinde Fullestop Lock Down kısmına gelerek Plase cheched her to hide wp-admin yazan yerdeki tik kısmını işaretliyoruz ve wordpress login url kısmına geçerek istediğimiz ismi vererek save options butonuna basarak kayıt işlemini tamamlıyoruz. Kayıt işlemi bittikten sonra giriş paneline, https://www.wpsefi.com/onur olarak erişim sağlayabilirsiniz.

Zor Şifreler Kullanın

WordPress kullanıcıların büyük çoğunluğu en üst düzeydeki kurucu adı oluştururken admin olarak oluşturur. Daha sonra ise bir şifre belirler. Eğer ki oluşturulan şifreler sadece rakamlardan oluşuyorsa ise büyük bir tehlike ile karşı karşıyasınız. Admin panelinizi bulan art niyetli kişiler kullanıcı adınızı tespit ederek brute force denilen deneme yanılma yöntemiyle sitenizi hackleyebilir.

Brute Force: Kaba kuvvet saldırısı olarak bilinen brute force art niyetli kullanıcının bir program yardımıyla wordlisteki şifreleri sürekli sitenizde deneme yöntemedir.

Admin panelinizi gizlemek brute force saldırılarına karşı sitenizi korur.

Nulled Tema ve Eklentilerden Uzak Durun

Millet olarak bedavayı çok seviyoruz. WordPress kullanıcılarının hacklenme sebeplerin en başında nulled tema ve eklenti kullanımı geliyor. Web crackerlar kırmış olduğu temalara malware ve rfi açığı oluşturacak kodları ekleyerek piyasa sürüyorlar. Bizim insanımızda iyi niyetli olarak alıp temayı yada eklentiyi kullanıyor. Daha sonra bir gün geliyor bir bakıyor ki site uçmuş, site yok, site tunne (:

Bedava peynir sadece fare kapanında bulunur.

Normalde wordpress tema üreticilerinin ürettikleri temalar uygun fiyata satıyor. Lakin Ülkemizin parası, diğer para birimlerine karşı değersiz olduğu için bize fiyatlar yüksek geliyor. WordPress güvenlik önlemleri içeresinde en önemli başlık benim için aslında bu kısım.

Temanızı ve Eklentilerinizi Sürekli Güncelleyin

WordPress ve eklentilerine sürekli güncelleme geldiğini görürsünüz.

Wordpress Güvenlik Önlemleri 2024 6
Temanızı ve Eklentilerinizi Sürekli Güncelleyin

Bunun 2 sebebi vardır. Birincisi eklentinin gelişen web teknolojilerine ayak uydurması, eksikliklerinin giderilmesi ikinci ise zafiyetlerinin ortadan kaldırılmasıdır. Tema yada eklenti kodlayan kişiler istemeden de olsa kişilerin dışarıdan kod çalıştırabileceği erişim sağlayabileceği açıklar oluşturabilirler. Bu zafiyetleri kullanan kişiler sitenizi sömürebilir. Bunun için her zaman wordpress sürümü, tema ve eklenti güncellemesi geldiğinde büyük bir titizlikle güncelleme işlemi yapılmalıdır.

WordPress Sürümünü Gizleme

WordPress tema ve eklentilerinin güncellemesi gerektiğini yukarıda söylemiştik. WordPress sürümünü gizleme olası bir açık durumunda karşıdaki saldırganın wordpress sürümünü öğrenmesini engeller. Bu aslında wordpress bir site kurup uzun süre girmeyen kaderine terk edilmiş siteler için alınabilecek bir güvenlik önlemidir. WordPress sürümünü gizlemek için, functions.php dosyasına girerek en alt kısmına aşağıdaki kodları ekleyebilirsiniz.

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

Bu işlemi yapmadan önce functions.php dosyasının yedeğini almanızda fayda var.

Kullanmış olduğunuz görsellerin başka bir Webmaster tarafından sitenizden link yoluyla çekilmesi işlemine hotlink denir. Resimlerinizi çalan kişi url yoluyla resimlerini sitesine ekler. Ve kullanıcılar sitedeki konuyu okumaya geldiklerinde resimler sizin sunucunuz üzerinden aktarılır. Buda sitenizin kaynak tüketmesine neden olur.

Wordpress Güvenlik Önlemleri 2024 7
Hotlink Koruması Uygulayın

Aşağıdaki kodları .htaccess’e ekleyerek resimlerinizin başka kişiler tarafından kullanılmasını engelleyebilirsiniz. wpsefi.com yazan yere kendi sitenizin adı ile değiştirmeyi unutmayın.

<IfModule mod_rewrite.c>
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?wpsefi\.com [NC]
RewriteCond %{HTTP_REFERER} !search\?q=cache [NC]
RewriteCond %{HTTP_REFERER} !google\. [NC]
RewriteCond %{HTTP_REFERER} !yahoo\. [NC]
RewriteCond %{HTTP_REFERER} !facebook\. [NC]
RewriteCond %{HTTP_REFERER} !twitter\. [NC]
RewriteCond %{REQUEST_URI}   !^/images/hotlink/hotlink\.png$ [NC]
RewriteRule \.(gif|jpg|png)$ http://siteadresi.com/images/hotlink/hotlink.png [R,NC,L]
</IfModule>

Yukarıdaki kod bloğunun çalışabilmesi için mod_rewrite özelliğinin sunucuda açık ve çalışıyor olması gerekiyor. Bir çok hosting firmasında bu özellik açıktır. Eğer açık değilse hosting firmanızdan açmasını talep edebilir veya httpd.conf dosyanızda mod_rewrite‘ ın başındaki ‘#‘ işaretini kaldırarak serverı yeniden başlatabilirsiniz.

Dikkat Dikkat!
RewriteRule \.(gif|jpg|png)$ http://www.wpsefi/images/hotlink/hotlink.png [R,NC,L]

Bu kısımdaki yola başka kullanıcılar resminizi çektiğinizde görüntülenecek olan resmin yolunu vermelisiniz.

WordPress Dosya Düzenleme Kapatma

WordPress admin girişi yaptıktan sonra Görünüm sekmesinde bulunan tema düzenleyici kısmından kullanmış olduğunuz temanın bütün dosyalarına erişilebilir ve değişiklik yapılabilir. Eğer ki bir saldırgan admin panelinize girmişse shell adı verilelen materyeller kullanmak için ilk bakacağı yer tema düzenleyici kısmı olacaktır. Eğer ki bu kısım php dosyasını düzenlemeye açıksa rahat bir şekilde shell kodlarını enjekte edecektir. Bu kendi sitenizin hacklenmesi bir yana hostingte bulunan diğer siteleriniz içinde sorun teşkil etmektedir. WordPress dosya düzenlemeyi kapatmak için; wordpressin kurulu olduğu dizine girerek wp-config.php dosyasının en alt kısmına

define( 'DISALLOW_FILE_EDIT', true );

bu kodları ekleyerek dosya düzenlemeyi kapatabilirsiniz.

WordPress Dosya İzinleri Düzenleme

WordPress dosya izinleri (chmod) doğru ayarlanmalıdır. Yanlış ayarlanması durumunda saldırganlara davet oluşturmaktadır. Şimdi gelin wordpress dosyalarının izinleri ne olmalı inceleyelim.

Ana dizin : 0755
wp-includes/ : 0755
wp-admin/ : 0755
wp-admin/js/ : 0755
wp-content/ : 0755
wp-content/themes/ : 0755
wp-content/plugins/ : 0755
wp-admin/index.php : 0644
.htaccess : 0644
wp-config.php : 0644

WordPress dosya izinleri yukarıdaki gibi olmalıdır. Bazen eklenti yüklediğinizde yetki problemleri ile karşılaşabilirsiniz bu durumda dosya izinleri bir defaya mahsus 777 yapıp eklentiyi kurabilir tekrar olması gereken chmod değerine çekebilirsiniz.

WordPress htaccess Güvenliği

htaccess: Apache başta olmak üzere çoğu ağ sunucusu tarafından kullanılan web alanı üzerinde ayar değişimleri yapılmasını sağlayan dosyadır.

 .htaccess ile wordpressinizin çok önemli dosyaların güvenliğini alabiliriz. Gelin hep birlikte önemli dosyalarımızın güvenliğini alalım.

Bir hackerın gözünden bakacak olursak saldırıya uğrayacak dosyaların başında veritabanı ile bağlantı kuran wp-config.php dosyası vardır.

.htaccess dosyasına girerek;

<files wp-config.php>
order allow,deny
deny from all
</files>

yukarıdaki kodları en alt kısma ekleyerek wp-config.php dosyamızı dışarıdan çalışmaya karşı koruma altına alabiliriz.

<Files .htaccess>
order allow,deny
deny from all
</Files>

Yukarıdaki kodu .htaccess’e ekleyerek .htaccessi dışarıdan çalışmaya karşı kapatabiliriz.

Ayrıca aşağıdaki kodları .htaccess’e ekleyerek dizin taramayı engelleyebilirsiniz.

Options -Indexes

İki Faktörlü Kimlik Doğrulama (2FA / MFA)

Hesabınız için ikinci bir doğrulama kullanımını önemsiyorsanız bu başlık tam size göre. Art niyetli kullanıcılar ilk giriş şifrelerinizi tahmin ederse hesabınızı 2FA / MFA ile koruyabilirsiniz. Bunun için,

Google Authenticator’ı kullanarak WordPress’e 2FA eklemek için:

Google Authenticator eklentisini İndirin.

https://wordpress.org/plugins/miniorange-2-factor-authentication/

Eklentiyi kurduktan sonra;

Wordpress Güvenlik Önlemleri 2024 8
İki Faktörlü Kimlik Doğrulama (2FA MFA)

Bu kısımdan miniOrange QR Code Authentication kısmını öneririm. Configure sekmesine basıyoruz. Bir hesap oluşturup giriş diyoruz. Daha sonra mobil cihazınız android ise google playe, İos ise Apple markete girerek miniOrange programını indirip kuruyoruz. Daha sonra mobil cihazımızdan programı çalıştırıp wordpress ekranında çıkan QR kısmına tutuyoruz.

Wordpress Güvenlik Önlemleri 2024 9
QR ile İki Faktörlü Kimlik Doğrulama (2FA MFA)

Okuma işlemi tamamlandıktan sonra QR kodunun üzeri yeşil olacaktır. Bu adımdan sonra giriş yapmak istediğinizde iki adımlı doğrulama ile giriş yapabileceksiniz.

Wordpress Güvenlik Önlemleri 2024 10
WordPress İki Adımlı Kimlik Doğrulama

İlk admin şifrenizi girdikten sonra karşınıza bu şekilde doğrulama için QR kodu gelecektir. Telefonunuzdan programı çalıştırıp kameraya QR kodunu okuttuktan sonra admin panelinize erişim sağlayabilirsiniz.

PHP Execution Engelleme

WordPress sitemizin önemli klasörlerinde php uzantılı dosyaların çalıştırma izninin olması, askerin nöbet tutarken uyuması gibidir. Düşman gelir, kuleyi ele geçirir haberin olmaz. WordPressin kök klasörü olan /wp-includes ve wp-content klasörlerinin içine;

<Files *.php>
deny from all
</Files>

yukarıdaki kodları not defterine kopyala yapıştır yapın. Farklı kaydet diyerek kayıt türü kısmına tüm dosyaları seçin ve ismini .htaccess olarak kayıt edin. Kayıt ettiğiniz dosyayı wp-content ve wp-inculudes klasörlerinin içine atarak bu klasörlerde php uzantılı dosyaların çalışmasını engelleyebilirsiniz.

XML-RPC’yi Devre Dışı Bırakın

XML-RPC, HTTP’nin bir tür taşıma mekanizması ve XML’nin kodlama mekanizması şeklinde çalışarak veri transferine olanak tanıyan bir WordPress özelliğidir. Brute force ataklarına davet çıkardığı için kapatmak gerekir. İki şekilde kapatabiliriz.

Birinici yol Disable XML-RPC eklentisini,

Wordpress Güvenlik Önlemleri 2024 11
XML-RPC’yi Devre Dışı Bırakma

yükleyerek devre dışı bırakabilirsiniz.

İkinci yol ise .htaccess dosyasına aşağıdaki kodları ekleyerek kapatabilirsiniz.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

SSL Sertifikası Kullanın

SSL (Taşıma Katmanı Güvenliği), bir web sunucusu ve bir tarayıcı arasında şifreli bir bağlantı kurmak için kullanılan güvenlik teknolojisidir. Bu bağlantı, web sunucusu ve tarayıcılar arasında iletilen tüm verilerin özel ve şifreli kalmasını sağlar.

Wordpress Güvenlik Önlemleri 2024 12
SSL Güvenlik Sertifikası kullanın

e-ticaret sitelerinde kullanılması zorunlu olan ssl artık tüm bloggerlar tarafından kullanılmaya başladı. Google SSL’in bir SEO kriteri olduğundan da bahsetmiştir. Bir çok hosting firması SSL kurulumuna ücretsiz olanak sağlarken bir çoğuda SSL kurulumu için kullanıcıdan ücret talep etmektedir. SSL sertifikaları http protokolünü https protokolüne çevirir.

HTTP: Bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim protokolüdür.

HTTPS: Bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS’te, iletişim protokolü Taşıma Katmanı Güvenliği veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı ile şifrelenir.

WordPress DDOS Saldırı Engelleme

DDOS: Dağıtılmış Ağ Saldırıları, genellikle Dağıtılmış Hizmet Reddi (DDoS) saldırıları adıyla bilinir. Bu tür saldırılar, bir şirketin web sitesini sağlayan altyapı gibi, herhangi bir ağ kaynağı için geçerli olan belirli kapasite sınırlarından faydalanır.

Genellikle Lamer adı verilen şahıslar tarafında uygulanan DDOS saldırılarını cdn kullanarak önleyebilirsiniz.  CDN firmaları içinde en tanınmış olanı cloudflare’dir.

Cloudflare Kurulumu: Nasıl kurulması gerektiğine geçelim:

Öncelikle; https://www.cloudflare.com sitesine girerek, kayıt oluyoruz. Daha sonra;

Wordpress Güvenlik Önlemleri 2024 13
Cloudflare Kurulumu
Wordpress Güvenlik Önlemleri 2024 14
Cloudflare Kurulumu

Add site butonuna basarak devam ediyoruz.

Wordpress Güvenlik Önlemleri 2024 15
Cloudflare Kurulumu

Karşımıza çıkan alanda Next botununa basarak devam ediyoruz.

Wordpress Güvenlik Önlemleri 2024 16
Cloudflare Kurulumu

Karşımıza çıkan tabloda kullanmak istediğiniz sürümler çıkıyor. Free olanı seçiyoruz ve Confirm Plan butonuna basarak devam ediyoruz.

Wordpress Güvenlik Önlemleri 2024 17
Cloudflare Kurulumu

Çıka alanda Devam Et butonuna basarak devam ediyoruz.

Wordpress Güvenlik Önlemleri 2024 18
Cloudflare Kurulumu

Karşımıza çıkan bu alan bizim için önemli.Ben Hosting firması olarak Veridyen Hostingi kullanıyorum. Siz hangi hosting firmasını kullanıyorsanız o firmanın DNS bilgleri çıkacaktır. Cloudflare firmasının DNS bilgileri;

ben.ns.cloudflare.com

leia.ns.cloudflare.com

yukarıdaki gibidir. Şimdi Hosting firmanız hangisiyse Ona giriş yaparak Domain DNS bilgilerinizi, Cloudflare Sunucusunun DNS bilgileri ile değiştireceğiz.

Wordpress Güvenlik Önlemleri 2024 19
Cloudflare Kurulumu

Ben Veridyen Hosting kullanıcısı olduğum için Domain hizmetlerine girerek Cloudflare firmasının vermiş olduğu DNS bilgileri ile değiştirdim. Sizde sitelerinizi barındırmış olduğunuz hosting firması hangisiyse Domain Dns güncelleme kısmından değiştiriniz.  Ve Güncelle butonuna basarak dns yönlendirmemiz yapalım.

DNS yönlendirmemizi yaptık şimdi tekrar Cloudflare kurulum sayfamıza dönelim.

Wordpress Güvenlik Önlemleri 2024 18
Cloudflare Kurulumu

Devam Et butonuna basarak kuruluma devam edelim.

Karşımıza böyle bir alan gelecektir.

Wordpress Güvenlik Önlemleri 2024 21
Cloudflare Kurulumu

Evet kurulum işlemi tamamlanmıştır. 24 saat içerisinde Web sitesi Cloudflare üzerinden yayınlanacaktır.

Şimdi gelelim ince ayar yapımına. Hız sekmesi butonuna tıklayarak Javascript, CSS ve HTML dosyalarını seçerek küçültüyoruz.

Wordpress Güvenlik Önlemleri 2024 22
Cloudflare Kurulumu

Kullanmış olduğunuz cache eklentisinin JS, CSS, HTML küçültme özelliklerinden faydalanıyorsanız devre dışı bırakmalısınız.

Yine hız sekmesinde bulunan mobil hızlandırma Enable Accelerated Mobile Links özelliğini açarak mobil kullanım hızını artırabilirsiniz.

Diğer ayarları default olarak bırakınız…

Dns Yönlendirmesinin aktif olup olmadığını Home sayfasına gelerek görebilirsiniz.

Wordpress Güvenlik Önlemleri 2024 23
Cloudflare Kurulumu

Aktif olduğunda yeşil tik ibaresinin olduğunu göreceksiniz. Böylece DDOS saldırılarından korunabilir, daha hızlı wordpress site kullanabilirsiniz.

WordPress Güvenlik Eklentileri

               Wordpress güvenlik eklentileri: Kişilerin web sitelerinde yayınlayacakları yazıları yazmak için kullandıkları en gelişmiş uygulama olan wordpress, blog sayfalarında yayınlanacak yazılar için gerekli kontrolleri yapan ve en iyi yazıların oluşumunu sağlayarak, web sitesini ön plana çıkaran donanımlı bir uygulamadır. Web sitesi olan kişilerin en çok kullandığı uygulama WordPress uygulamasıdır. Bu denli yaygın olmasının sebepleri arasında, kuruluş yılının eski olması ve yazıların en iyi şekilde hazırlanmasını sağlaması gelmektedir.

                WordPress her ne kadar çok gelişmiş bir uygulama olsa da, çok sık kullanılması ve en başarılı sayfaların bile bu siteyi kullanıyor olması, bazı güvenlik açıklarının oluşmasına neden olmuştur. Kişiler wordpress üzerinde kontrolleri sağlanan ve yazılan yazıları çalarak kendi sitelerine ekleme eğilimine girmeye başlamıştır. Bunun en büyük sebebi, bloglarda yayınlanacak yazılara bir hayli özen gösterme zorunluluğudur. Çoğu kişi bununla zaman kaybetmek yerine, bazı güvenlik açıklarından yararlanarak öne çıkan sayfaların wordpress girişlerini hacklemekte ve bu sayede işlemleri çalarak kendi sayfalarını ön plana çıkarmaktadır.

WordPress oluşan bu güvenlik açıklarını kapatmak ve yazıları en iyi şekilde korumak için, bazıları ücretli olmak üzere bazı eklentiler geliştirmiştir.  Kişiler bu eklentileri satın alarak, güvenliklerini sağlayabilir. Elbette yüzde yüz bir güvenlik sağlamak olanaksızdır, fakat çoğu hacker bu güvenlik eklentilerini kırmayı çok iyi bilmemekte olduğundan, kişiler çoğu hackerden kendini koruyabilir.

Wordfence

                WordPress’in en çok kullanılan güvenlik eklentileri arasında yer almaktadır. Bu denli kullanılmasının sebebi, sistemin hem premium, hem de ücretsiz olarak kullanılabilmesidir. Premium paketleri için ödenmesi gereken ücretin bir hayli düşük olması ve 5 yıllık kullanım ücretinin 1 yıllık kullanım ücretinden gözle görülür derecede daha düşük olması, kişileri bu eklentiyi kullanmaya yöneltmiştir. Kişiler genellikle bu eklentiyi 5 yıllık satın almaktadır, çünkü 5 yıllık kullanım ücreti de sanki ücretsiz bir kullanım sağlıyormuş gibi hissettirecek ve kesinlikle cep yakan bir ücret olmayacaktır.

                Wordfence güvenlik eklentisi, standart bir güvenlik eklentisi değildir. Hem ücreti çok düşüktür, hem de yaptığı işlev bir hayli büyüktür. Wordfence uygulaması, dosya değişikliklerine karşı sistemi taramaktadır. Bunun dışında kod enjeksiyonlarına, malware ve backdoor açıklarına karşı sistemi koruyan uygulama, wordpressin sahip olduğu güvenlik açıklarından büyük bir kısmına karşı sistemi korumaktadır. Esasında backdoor açıklarının tamamına karşı önlem aldığını söylemek mümkün değildir. Fakat bugüne kadar bulunmuş tüm backdoor açıklarını yok etmektedir.

            Premium wordfence uygulaması ise, çok daha geniş bir tarama yapmakta ve neredeyse tüm riskleri ortadan kaldırmaktadır. Dosya değişikliklerini tarayıp IP adreslerini engelleyen uygulamanın, daha sunduğu birçok koruma bulunmaktadır. Firewall ile basit çaplı DDoS engelleme, iki adımlı doğrulama, belli ülkelere engel koyma veya yönlendirme, özel uyarı sistemi gibi yoğun güvenlik önlemleri alan eklenti, pek çok güvenlik seçeneği sunmaktadır.

                Eklentinin kurulumu diğerleri ile kıyaslandığında çok daha kolay ve güvenilirdir. Diğer eklentilere kıyasla kendine özgü yanlarının olduğu ve diğerlerinden daha avantajlı olduğu bir gerçektir. Tüm bunlar dışında, kişilerin kuruluma geçmeden önce sistemin bir yedeğini almaları tavsiye edilir. Bu önlem adına alınmış bir gerekliliktir ve kesinlikle bir zorunluluk teşkil etmemektedir. Sistem herhangi bir arız vermeyecektir, kişiler kurulumu güvenle gerçekleştirebilir.

 Sucuri Security

                WordPress’in en çok tercih edilen güvenlik eklentileri arasında yer alan eklenti son derece başarılıdır. Sucuri Security güvenlik eklentisi ücretsiz bir deneyim sunmaktadır. Kişilerin en çok kullandığı sistemlerden olmasının sebeplerinden bir tanesi de budur. Firmanın kendi web tabanlı arama aracına benzer şekilde çalışan ve potansiyel problemlerle karşılaştığında uyarı vererek kişilere güvenlik sağlayan uygulama 4 tabanda hizmet vermektedir.

  1. WordPress bu eklenti sayesinde tüm işlemleri izleyerek kayıt altında tutmaktadır. Bir nevi güvenlik kamerası gibi çalışan bu sistem sayesinde, sitede ne olup bittiği hakkında bilgi sahibi olabilmek son derece kolaydır.
  2. İlkine benzer bir özellikle çalışan bu tabanda, WordPress dosyaları, temaları ve eklentileri tek tek izlenir. Bu sayede, kişinin bilgisi dışında olan değişiklikler ve yeni ekleme, çıkarmalar kişiye anında bildirilecektir.
  3. Eklentı sucurinin ücretsiz taracıyısından faydalanarak, malware taraması yapmaktadır. Bu sitede herhangi bir olağanüstü durum gerçekleştiğinde kişileri bilgilendirmektedir. Ayrıca herhangi bir arama motoru, siteyi kara listeye almışsa, kişi bu sistem sayesinde bu bilgiden de faydalanabilecektir.
  4. Son tabanda verdiği hizmetleri ise sıralayarak açıklamakta fayda olacaktır.
    • WordPress versiyon bilgisini kaldırarak sayfanın özgünleşmesini sağlar.
    • Upload klasörünü virüslere ve yabancı metaryallere karşı koruyarak, tarayıcıların erişimini engeller.
    • WordPress content ve wordpress include klasörlerine giriş yasağı koyar ve bu klasörlerde PHP çalıştırmayı engeller.
    • Güvenlik anahtarlarını doğrulayarak giriş sağlar, bu sayede yabancı kişilerin erişimi engellenir.
    • Bu uygulama sayesinde wordpress yönetici panelinden, dosya düzenleyicisine giriş yapmak engellenmektedir. Bu sayede üst levellerdeki kişilerin, yeni başlamış kişilerin hesaplarına girmesi engellenir.
    • WordPress paneli sürekli olarak izlenip kaydedilir. Bilinmeyen bir değişiklik gerçekleştiğinde, site mail ile olan bitenden kişileri haberdar etmektedir.
    • Eklentinin firewall özelliği de bulunmaktadır, fakat bu özelliğe erişebilmek için kişilerin mutlaka premium eklenti satın almaları gerekmektedir.

iThemes Security

Hem ücretli, hem ücretsiz seçenekleri olan ve farklı fiyat seçenekleri ile herkesin bütçesine uygun bir seçenek sunan iThemes security, en çok tercih edilen güvenlik eklerinden bir tanesidir.

Kişilerin site sayılarına göre fiyat opsiyonelleri olan eklenti, iki, on ve sınırsız sitede kullanılabilecek avantajlar sağlamaktadır. Kişilerin 10 tane sitesi yoksa bile, daha avantajlı olan onlu ya da sınırsız paketi satın almaları tavsiye edilir. Fakat bir yıl içerisinde, birden fazla site kurmayı düşünmeyen kişiler için böyle bir gereklilik de tabiki yoktur. Çünkü fiyatlar avantajlı olsa da, süre kişiyi sıkıntıya düşürebilir. Kullanımlar 12 aylık olacak şekilde belirlenmiştir.

iThemes Security platformunun sağladığı koruma özelliklerini, şu şekilde sıralamak mümkündür:

  • Sistemi Brute Force dayatmalarına ve saldırılarına karşı korumaktadır.
  • .htaccess – wp-config gibi dosyaların erişimi ve müdahalesi engellenmektedir.
  • WordPress content ve includes dosyaların, başkalarınınerişimi engellenmektedir.
  • Wp-content/uploads/ dizininde .php dosyalarının çalışması engellenmektedir.
  • Temel sistem dosyaları, değişikliğe ve müdahaleye karşı düzenli olarak kontrol edilmektedir.
  • Birden fazla kez yanlış kullanıcı adı ve şifre giren kullanıcılar sistemden atılarak erişimleri engellenmektedir.
  • wp-login.php olan giriş sayfasını değiştirip, farklı bir adres tanımlatarak yabancı kişilerin girişini engeller.
  • /wp-content/ adlı içerik dosyasının adresini değiştirip, kişiye özel hale getirir.
  • Dosya değişikliklerini sürekli olarak tarayarak yabancı bir durumla karşılaşılması durumunda kişiyi bilgilendirir.
  • Güvenli bir şifre oluşturulmasını sağlayarak, kişilerin sistemlerinin daha güvenli bir hale getirir.
  • Programlı bir veritabanı yedeği alarak, dosyaların kaybedilmesini önler.
  • XML ve RPC gibi ekleri engelleyerek, yabancıların saldırısından korur.
  • Premium paket satın alındığında, iki adımlı doğrulama seçeneği eklenir ve bu sayede değişiklik yapmak için her zaman ikinci bir şifre gerekir.
  • Premium pakette kullanıcı hareketlerini takip edip, kamera altında tutarak kişilerin hareketlerini kontrol edebilmesini ve yabancı hareketleri seçebilmesini sağlar.
  • Yine premium pakette destek servisi bulunmaktadır, kişiler uygulamayı kullanamadıkları takdirde gerekli yardımları alabilirler ve bir sorun oluştuğunu düşündüklerinde destek servisine başvurabilirler.

                İthemes security eklentisi 30’dan fazla güvenlik özelliği bulunan, son derece başarılı bir eklentidir. Fakat halihazırda açık bir siteye kurulumu gerçekleştirildiği takdirde, sistemde bazı arızaların meydana gelmesi kaçınılmaz olabilir. Daha çok yeni kurulum yapan kişilerin tercih etmesi ve süreyi olabildiğinde uzatması tavsiye edilmektedir. Kurulum sağlanmadan önce, sistem mutlaka yedeklenmeli ve bilgilerin kaybolması engellenmelidir. Aksi durumda, kişi ciddi anlamda mağdur olabilmektedir. Veritabanında ve wordpress content klasöründe meydana gelen bozulmalar, sistemi parçalayarak, bazı bilgileri yok edebilir.

WordPress Zararlı Botları Engelleme

WordPress sitelerinize gelen zararlı botlar sitelerinizi yavaşlatabilir. WordPress zararlı botları engellemek için .htaccess’e aşağıdaki kodları ekleyerek zararlı botları engelleyebilirsiniz.

# Bazı zararlı botları engelliyoruz
SetEnvIfNoCase User-Agent "AhrefsBot" bad_bots
SetEnvIfNoCase User-Agent "AITCSRobot" bad_bots
SetEnvIfNoCase User-Agent "Alexibot" bad_bots
SetEnvIfNoCase User-Agent "Arachnophilia" bad_bots
SetEnvIfNoCase User-Agent "archive\.org\_bot" bad_bots
SetEnvIfNoCase User-Agent "ASpider" bad_bots
SetEnvIfNoCase User-Agent "BackDoorBot" bad_bots
SetEnvIfNoCase User-Agent "BSpider" bad_bots
SetEnvIfNoCase User-Agent "CFNetwork" bad_bots
SetEnvIfNoCase User-Agent "CyberPatrol" bad_bots
SetEnvIfNoCase User-Agent "DeuSu" bad_bots
SetEnvIfNoCase User-Agent "DotBot" bad_bots
SetEnvIfNoCase User-Agent "EmailCollector" bad_bots
SetEnvIfNoCase User-Agent "Exabot" bad_bots
SetEnvIfNoCase User-Agent "FeedlyBot" bad_bots
SetEnvIfNoCase User-Agent "Genieo" bad_bots
SetEnvIfNoCase User-Agent "Gluten\ Free\ Crawler" bad_bots
SetEnvIfNoCase User-Agent "GrapeshotCrawler" bad_bots
SetEnvIfNoCase User-Agent "MaxPointCrawler" bad_bots
SetEnvIfNoCase User-Agent "meanpathbot" bad_bots
SetEnvIfNoCase User-Agent "MJ12bot" bad_bots
SetEnvIfNoCase User-Agent "PagesInventory" bad_bots
SetEnvIfNoCase User-Agent "Plukkie" bad_bots
SetEnvIfNoCase User-Agent "Qwantify" bad_bots
SetEnvIfNoCase User-Agent "SemrushBot" bad_bots
SetEnvIfNoCase User-Agent "SentiBot" bad_bots
SetEnvIfNoCase User-Agent "SEOkicks\-Robot" bad_bots
SetEnvIfNoCase User-Agent "SeznamBot" bad_bots
SetEnvIfNoCase User-Agent "spbot" bad_bots
SetEnvIfNoCase User-Agent "WeSEE\_Bot" bad_bots
SetEnvIfNoCase User-Agent "Wget" bad_bots
SetEnvIfNoCase User-Agent "worldwebheritage\.org" bad_bots
SetEnvIfNoCase User-Agent "Xenu\ Link\ Sleuth" bad_bots
SetEnvIfNoCase User-Agent "Yahoo!\ Slurp" bad_bots
SetEnvIfNoCase User-Agent "Zeus" bad_bots
SetEnvIfNoCase User-Agent "facebookexternalhit" bad_bot
SetEnvIfNoCase User-Agent "Twitterbot" bad_bot
SetEnvIfNoCase User-Agent "MetaURI" bad_bot
SetEnvIfNoCase User-Agent "mediawords" bad_bot
SetEnvIfNoCase User-Agent "FlipboardProxy" bad_bot
<Limit GET POST HEAD>
    Order Allow,Deny
    Allow from all
    Deny from env=bad_bots
</Limit>

Belirli Spam siteleri engellemek için yine htaccesse aşağıdaki kodları ekleyebilirsiniz.

#Belirli spam botları engelliyoruz
RewriteCond %{HTTP:User-Agent}
RewriteCond %{HTTP_USER_AGENT} ^(aesop_com_spiderman|alexibot|backweb|bandit|batchftp|bigfoot) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(black.?hole|blackwidow|blowfish|botalot|buddy|builtbottough|bullseye) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(cheesebot|cherrypicker|chinaclaw|collector|copier|copyrightcheck) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(cosmos|crescent|curl|custo|da|diibot|disco|dittospyder|dragonfly) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(drip|easydl|ebingbong|ecatch|eirgrabber|emailcollector|emailsiphon) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(emailwolf|erocrawler|exabot|eyenetie|filehound|flashget|flunky) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(frontpage|getright|getweb|go.?zilla|go-ahead-got-it|gotit|grabnet) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(grafula|harvest|hloader|hmview|httplib|httrack|humanlinks|ilsebot) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(infonavirobot|infotekies|intelliseek|interget|iria|jennybot|jetcar) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(joc|justview|jyxobot|kenjin|keyword|larbin|leechftp|lexibot|lftp|libweb) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(likse|linkscan|linkwalker|lnspiderguy|lwp|magnet|mag-net|markwatch) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(mata.?hari|memo|microsoft.?url|midown.?tool|miixpc|mirror|missigua) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(mister.?pix|moget|mozilla.?newt|nameprotect|navroad|backdoorbot|nearsite) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(net.?vampire|netants|netcraft|netmechanic|netspider|nextgensearchbot) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(attach|nicerspro|nimblecrawler|npbot|octopus|offline.?explorer) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(offline.?navigator|openfind|outfoxbot|pagegrabber|papa|pavuk) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(pcbrowser|php.?version.?tracker|pockey|propowerbot|prowebwalker) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(psbot|pump|queryn|recorder|realdownload|reaper|reget|true_robot) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(repomonkey|rma|internetseer|sitesnagger|siphon|slysearch|smartdownload) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(snake|snapbot|snoopy|sogou|spacebison|spankbot|spanner|sqworm|superbot) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(superhttp|surfbot|asterias|suzuran|szukacz|takeout|teleport) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(telesoft|the.?intraformant|thenomad|tighttwatbot|titan|urldispatcher) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(turingos|turnitinbot|urly.?warning|vacuum|vci|voideye|whacker) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(libwww-perl|widow|wisenutbot|wwwoffle|xaldon|xenu|zeus|zyborg|anonymouse) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^web(zip|emaile|enhancer|fetch|go.?is|auto|bandit|clip|copier|master|reaper|sauger|site.?quester|whack) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(craftbot|download|extract|stripper|sucker|ninja|clshttp|webspider|leacher|collector|grabber|webpictures).*$ [NC]
RewriteRule . - [F,L]
</IfModule>

WordPress Yedek Alma

Çoğu hosting firması site yedeklemelerini 1 ay gibi bir sürede yapmaktadır. Her ne kadar günlük yedekleme yapan hosting firmaları olsa da yedek işlemi yapmayan bu tür hususlarda kullanıcıların sorumluluğunda olduğunu belirten hosting firmaları da mevcut. Olası bir problemden önce yedek almanız büyük önem taşımaktadır. Yedekleme işlemini manuel olarak yapabildiğiniz gibi, wordpress eklentileriylede yapabilirsiniz. Eklenti ile yedekleme işlemleri için olarak all in migration eklentisini kullanabilirsiniz.

WordPress güvenlik önlemleri, WordPress güvenlik eklentileri, wordpress zararlı bot engelleme adlı içeriğimiz umarım sizin için faydalı olmuştur.

Daha Fazla Göster

Onur YILMAZER

Adım Onur YILMAZER Wpşefinin kurucusuyum. Öylesine biriyim işte...

19 Yorum

  1. Selamlar
    Öncelikle süper bir içerik olmuş, emeğinize sağlık bir kaç sorum olacak,
    Hiç bir warez tema eklenti kullanmadığım halde, tüm klasorlere farklı index sayfaları atmışlardı ve hepsini tek tek temizledim ve veritabanını kontrol ederek yine temizlik yaptım manuel olarak, ve sizin yazınızdaki önerilerin hepsini yaptım sadece bir tanesi kaldır.
    1- cloudflare.com yönlendirmesi yaptığımızda aktif olan sitede kapanma gibi bir durum oluyor mu ? Yani dns değiştirdik bir problem yaşar mıyız .

    2- Orjinal wp rocket eklentsi kullanıyorum, sizin dediğiniz gibi bu eklentiyi iptal edip, cloudflare daki sıkıştırma işlemlerinimi yapmam lazım

    1. Aleyküm Selam Kardeşim

      Teşekkür ederim. Cloudflare kullanırken DNS yönlendirmesi yaptığınızda site kapanmaz. Wp rocket eklentisini silerseniz Cloudflare üzerinden sıkıştırma ve optimize işleri yapmanız gerekir. Bunun yerine Wp rocket eklentisini silmeyip CDN kısmına girerek İçerik dağıtım ağını etkinleştir özelliğini kapatırsanız sorunsuz kullanabilirsiniz. Buradaki mantık şu olmalı: Wp rocket ile cloudflare üzerindeki optimize ayarları birbiriyle çakışmamalıdır. Örneğin Wp rocketin css, js, html sıkıştırması yapıp cloudflare üzerindede bu sıkıştırmaları yapmak doğru olmaz randıman vermez.

    1. Cloudflare kullanımı hem güvenlik açısından hemde hız açısından önemlidir. Faydalı olabilmişsek ne mutlu bize…

  2. Merhaba onur bey elinize sağlık baştan sona okudum. İster İstemez kafamda şöyle soru işaretleri oluştu
    Ben daha sitemi yapım aşamasındayım ve içerik girmeden evvel önceliğim güvenliktir. Kod yapısına çok hakim değilim profesyonel anlamda. Ben İThemes securuity eklentisi kursam ve . Htaccess, admin panel gizliliği, bruteForce, xss, sql girişimlerine karşı koruma gibi, xml-rpc, son olarakta bot sitelere karşı eklemeleri işlemlerini tek tek yapmak yerine buradan yapabilir miyiz?
    Bu anlattıklarınız root kökündeki değil dimi?
    Wp-admin klasörü içindeki . Htaccess dosyasından mı bahsediyorsunuz?
    Eklentinin dışında kalan Manuel girilecek olan script kodları(bot,spam, php execution) buradan(yani=. Htaccess klasörüne kendim ) girsem uygun olur mu?
    Size mail ile ulaşabilme şansım varsa bana yol yordam gösterirseniz memnun olurum. Teşekkür ederim. ?

    1. Wordfence, İThemese göre daha kullanışlıdır. Manuel olarak girmek yerine wordfenceyi kullanarak XSS, Brute Force, SQL gibi açıkları engelleyebilirsiniz. htaccess wordpressin kurulu olduğu dizinde bulunur. Buradan manüel ekleme yaparakta önlem alabilirsiniz. Wordfence kurduğunuzda güvenlik kodları otomatik olarak .htaccesse kendiliğinden eklenecektir.

  3. Çok faydalı bir içerik ne zamandır böyle bir çalışma arıyordum. Sitenizi gördüm içeriği inceledim. Her sitem için ayrı ayrı yapıyorum.
    Teşekkür ederim..

  4. Merhabalar, wp-content, wp-content/uploads ve wp-includes klasörlerinde .php yürütmesini devre dışı bırakmak;

    SEO’yu etkiler mi?
    Google dizininde herhangi bir problem oluşturur mu?

    1. Devrem teşekkür ederim, hele bir whatsapptan yaz nerdesin, nerelerdesin, seoya devam mı. Bende tüm numaralar gitti (:

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu