WordPress Güvenlik Önlemleri hakkında bilgi vermeden wordpress sistemlerin öneminden bahstedelim. WordPress dünyada webmasterlar tarafından en fazla kullanılan CMS (içerik yönetimi) sistemidir. Dünya üzerindeki web sitelerinin yaklaşık % 30’u wordpressten oluşur. Güvenlik kavramının önem kazandığı son yıllarda sitelerinizin güvenlik önlemini aldınız mı?
Eğer almadıysanız ve bu konuda bilginiz yoksa doğru adrestesiniz. Adım adım giderek hep birlikte güvenlik önlemlerini alacağız.
WordPress Güvenlik Önlemleri
Kişisel Güvenlik
WordPress güvenlik önlemlerinin ilk başında kişisel güvenlik gelir. Kişisel güvenlik bilgisayarınızda almanız gereken tedbirlerden oluşur. Trojen, keylogger adı verilen yazılımlarla bilgisayarınızdaki konuşmalar, girdiğiniz internet siteleri, şifreleriniz çalınabilir. Bu tür yazılımlara karşı güçlü antivürüsler kullanmak gerekir. Tavsiye olarak Avira‘yı önerebilirim. Alman bu tank gibi…
Seyehat ederken tablet veya bilgisayarlar sunan firmalardan, internet kafe veya akrabalarınızın bilgisayar veya tabletlerinden şifre isteyecek işlemleri yapmamanızda fayda var. Siz ne kadar dikkatli olursanız olun, bir yakınınız Sizin kadar dikkatli olmayabilir. Kısacası şöyle demekte fayda var.
Güvenilir Hosting Kullanın
Şöyle 2007-2010’lu yıllara gittim de aklıma linux ve windows serverların ne kadar kolay geçildiği geldi.Herhangi bir site üzerinde SQL İnjection, RFİ, LFİ, XSS gibi açık tespit eder, açık bulduğumuz siteye yönetici veya admin girişi sağlayarak shell upload ederdik. Daha sonra shell üzerinden bazı komutlarla ilgili linux kernelini bulup serverları root edip diğer sitelere ulaşıp onları da hacklerdik. Bu şekilde bir gecede yaklaşık 700 ün üzerinde Rus sitesi hacklediğimizi hatırlıyorum. Bunun içerisinde Rusya’nın en büyük üniversitesi ve televizyon kanalları da vardı. O zamanlar Çeçen Lider Şeyh Şamil ve Cevher Dudayev’in yaşantısını örnek aldığımız için Rus sitelerini seçer, hacklediğimiz sitelere bu Yiğitlerin fotoğraflarını koyardık. Bu bizim için bir eğlence olsa da karşı taraftaki markalar ve şirketler için büyük bir itibar kaybıdır.
Eğer ki marka oluşturma yolunda ilerlerken bu tür itibar kaybı yaşamak istemiyorsanız kesinlikle güvenilir hosting firmalarını seçmelisiniz. Eğer paranız çoksa ki bizim insanlarımızda genellikle olsa da yoktur markanıza ait server kiralamanız faydanıza olacaktır.
PHP Sürüm Güncelleme
WordPress sitelerin %57 si halen php sürümü olarak 5.6 veya altını kullandığını biliyor muydunuz? Düşük php versiyonlarının wordpresste kurulmuş olması ileride hem güncelleme yaparken sorun teşkil eder hemde bir çok yeni çıkan eklentiler güncel php versiyonu desteklediği için kurulu wordpressiniz ile uyumsuz olur.
Ayrıca php sürümünün güncel olması daha hızlı bir wordpress kullanmanı sağlar. WordPress site hızlandırma tekniklerden bir tanesi de php sürümünü yükseltmektir. Örneğin PHP 7 sürümü, PHP’nin 5 sürümüne göre saniyede 100 küsürden daha fazla istek sunabiliyor.
Siteniz hangi hosting firmasında ise kullanıcı bilgi ve şifrelerinizi girerek Cpanel’e erişim sağlayın. Cpanel’de Yazılım kısımında bulunan MultiPHP yönetici alanını bularak giriş sağlayın.
Giriş yaptıktan sonra karşınıza çıkan bu alanda görüldüğü üzere;
wpsefi.com ve diğer domainlerim 5.6 sürümünü kullanıyor. Sağ tarafta bulunan PHP sürümü alanından en son versiyonu seçelim. Ardından da yükseltme yapacağımız tüm domainleri seçelim. Uygula butonuna basarak işlemi tamamlayalım.
Görüldüğü üzere PHP 7.2 sürümüne geçiş sağladık. Kullanmış olduğunuz hosting php’nin en son hangi sürümünü destekliyorsa onu seçmelisiniz.
Admin Panelinizi Gizleyin
WordPress kurulu sistemlerde default olarak bıraktığınızda admin giriş paneline;
https://www.wpsefi.com/wp-admin
kullanıcılar ulaşabilir. Bu giriş panelimizin yolunun değiştirildiğini biliyor muydunuz?
Hadi gelin panelimizin girişlerini bir eklenti yardımıyla değiştirelim. Bunun için wordpress eklenti yükle kısmına gelerek; Lock down Admin eklentisini kuruyoruz ve etkinleştiriyoruz.
Eklenti etkinleştirildiğinde Fullestop Lock Down kısmına gelerek Plase cheched her to hide wp-admin yazan yerdeki tik kısmını işaretliyoruz ve wordpress login url kısmına geçerek istediğimiz ismi vererek save options butonuna basarak kayıt işlemini tamamlıyoruz. Kayıt işlemi bittikten sonra giriş paneline, https://www.wpsefi.com/onur olarak erişim sağlayabilirsiniz.
Zor Şifreler Kullanın
WordPress kullanıcıların büyük çoğunluğu en üst düzeydeki kurucu adı oluştururken admin olarak oluşturur. Daha sonra ise bir şifre belirler. Eğer ki oluşturulan şifreler sadece rakamlardan oluşuyorsa ise büyük bir tehlike ile karşı karşıyasınız. Admin panelinizi bulan art niyetli kişiler kullanıcı adınızı tespit ederek brute force denilen deneme yanılma yöntemiyle sitenizi hackleyebilir.
Admin panelinizi gizlemek brute force saldırılarına karşı sitenizi korur.
Nulled Tema ve Eklentilerden Uzak Durun
Millet olarak bedavayı çok seviyoruz. WordPress kullanıcılarının hacklenme sebeplerin en başında nulled tema ve eklenti kullanımı geliyor. Web crackerlar kırmış olduğu temalara malware ve rfi açığı oluşturacak kodları ekleyerek piyasa sürüyorlar. Bizim insanımızda iyi niyetli olarak alıp temayı yada eklentiyi kullanıyor. Daha sonra bir gün geliyor bir bakıyor ki site uçmuş, site yok, site tunne (:
Normalde wordpress tema üreticilerinin ürettikleri temalar uygun fiyata satıyor. Lakin Ülkemizin parası, diğer para birimlerine karşı değersiz olduğu için bize fiyatlar yüksek geliyor. WordPress güvenlik önlemleri içeresinde en önemli başlık benim için aslında bu kısım.
Temanızı ve Eklentilerinizi Sürekli Güncelleyin
WordPress ve eklentilerine sürekli güncelleme geldiğini görürsünüz.
Bunun 2 sebebi vardır. Birincisi eklentinin gelişen web teknolojilerine ayak uydurması, eksikliklerinin giderilmesi ikinci ise zafiyetlerinin ortadan kaldırılmasıdır. Tema yada eklenti kodlayan kişiler istemeden de olsa kişilerin dışarıdan kod çalıştırabileceği erişim sağlayabileceği açıklar oluşturabilirler. Bu zafiyetleri kullanan kişiler sitenizi sömürebilir. Bunun için her zaman wordpress sürümü, tema ve eklenti güncellemesi geldiğinde büyük bir titizlikle güncelleme işlemi yapılmalıdır.
WordPress Sürümünü Gizleme
WordPress tema ve eklentilerinin güncellemesi gerektiğini yukarıda söylemiştik. WordPress sürümünü gizleme olası bir açık durumunda karşıdaki saldırganın wordpress sürümünü öğrenmesini engeller. Bu aslında wordpress bir site kurup uzun süre girmeyen kaderine terk edilmiş siteler için alınabilecek bir güvenlik önlemidir. WordPress sürümünü gizlemek için, functions.php dosyasına girerek en alt kısmına aşağıdaki kodları ekleyebilirsiniz.
function wp_version_remove_version() { return ''; } add_filter('the_generator', 'wp_version_remove_version');
Bu işlemi yapmadan önce functions.php dosyasının yedeğini almanızda fayda var.
Hotlink Koruması Uygulama
Kullanmış olduğunuz görsellerin başka bir Webmaster tarafından sitenizden link yoluyla çekilmesi işlemine hotlink denir. Resimlerinizi çalan kişi url yoluyla resimlerini sitesine ekler. Ve kullanıcılar sitedeki konuyu okumaya geldiklerinde resimler sizin sunucunuz üzerinden aktarılır. Buda sitenizin kaynak tüketmesine neden olur.
Aşağıdaki kodları .htaccess’e ekleyerek resimlerinizin başka kişiler tarafından kullanılmasını engelleyebilirsiniz. wpsefi.com yazan yere kendi sitenizin adı ile değiştirmeyi unutmayın.
<IfModule mod_rewrite.c>
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?wpsefi\.com [NC]
RewriteCond %{HTTP_REFERER} !search\?q=cache [NC]
RewriteCond %{HTTP_REFERER} !google\. [NC]
RewriteCond %{HTTP_REFERER} !yahoo\. [NC]
RewriteCond %{HTTP_REFERER} !facebook\. [NC]
RewriteCond %{HTTP_REFERER} !twitter\. [NC]
RewriteCond %{REQUEST_URI} !^/images/hotlink/hotlink\.png$ [NC]
RewriteRule \.(gif|jpg|png)$ http://siteadresi.com/images/hotlink/hotlink.png [R,NC,L]
</IfModule>
Yukarıdaki kod bloğunun çalışabilmesi için mod_rewrite özelliğinin sunucuda açık ve çalışıyor olması gerekiyor. Bir çok hosting firmasında bu özellik açıktır. Eğer açık değilse hosting firmanızdan açmasını talep edebilir veya httpd.conf dosyanızda mod_rewrite‘ ın başındaki ‘#‘ işaretini kaldırarak serverı yeniden başlatabilirsiniz.
RewriteRule \.(gif|jpg|png)$ http://www.wpsefi/images/hotlink/hotlink.png [R,NC,L]
Bu kısımdaki yola başka kullanıcılar resminizi çektiğinizde görüntülenecek olan resmin yolunu vermelisiniz.
WordPress Dosya Düzenleme Kapatma
WordPress admin girişi yaptıktan sonra Görünüm sekmesinde bulunan tema düzenleyici kısmından kullanmış olduğunuz temanın bütün dosyalarına erişilebilir ve değişiklik yapılabilir. Eğer ki bir saldırgan admin panelinize girmişse shell adı verilelen materyeller kullanmak için ilk bakacağı yer tema düzenleyici kısmı olacaktır. Eğer ki bu kısım php dosyasını düzenlemeye açıksa rahat bir şekilde shell kodlarını enjekte edecektir. Bu kendi sitenizin hacklenmesi bir yana hostingte bulunan diğer siteleriniz içinde sorun teşkil etmektedir. WordPress dosya düzenlemeyi kapatmak için; wordpressin kurulu olduğu dizine girerek wp-config.php dosyasının en alt kısmına
define( 'DISALLOW_FILE_EDIT', true );
bu kodları ekleyerek dosya düzenlemeyi kapatabilirsiniz.
WordPress Dosya İzinleri Düzenleme
WordPress dosya izinleri (chmod) doğru ayarlanmalıdır. Yanlış ayarlanması durumunda saldırganlara davet oluşturmaktadır. Şimdi gelin wordpress dosyalarının izinleri ne olmalı inceleyelim.
Ana dizin : 0755 wp-includes/ : 0755 wp-admin/ : 0755 wp-admin/js/ : 0755 wp-content/ : 0755 wp-content/themes/ : 0755 wp-content/plugins/ : 0755 wp-admin/index.php : 0644 .htaccess : 0644 wp-config.php : 0644
WordPress dosya izinleri yukarıdaki gibi olmalıdır. Bazen eklenti yüklediğinizde yetki problemleri ile karşılaşabilirsiniz bu durumda dosya izinleri bir defaya mahsus 777 yapıp eklentiyi kurabilir tekrar olması gereken chmod değerine çekebilirsiniz.
WordPress htaccess Güvenliği
.htaccess ile wordpressinizin çok önemli dosyaların güvenliğini alabiliriz. Gelin hep birlikte önemli dosyalarımızın güvenliğini alalım.
Bir hackerın gözünden bakacak olursak saldırıya uğrayacak dosyaların başında veritabanı ile bağlantı kuran wp-config.php dosyası vardır.
.htaccess dosyasına girerek;
<files wp-config.php> order allow,deny deny from all </files>
yukarıdaki kodları en alt kısma ekleyerek wp-config.php dosyamızı dışarıdan çalışmaya karşı koruma altına alabiliriz.
<Files .htaccess> order allow,deny deny from all </Files>
Yukarıdaki kodu .htaccess’e ekleyerek .htaccessi dışarıdan çalışmaya karşı kapatabiliriz.
Ayrıca aşağıdaki kodları .htaccess’e ekleyerek dizin taramayı engelleyebilirsiniz.
Options -Indexes
İki Faktörlü Kimlik Doğrulama (2FA / MFA)
Hesabınız için ikinci bir doğrulama kullanımını önemsiyorsanız bu başlık tam size göre. Art niyetli kullanıcılar ilk giriş şifrelerinizi tahmin ederse hesabınızı 2FA / MFA ile koruyabilirsiniz. Bunun için,
Google Authenticator’ı kullanarak WordPress’e 2FA eklemek için:
Google Authenticator eklentisini İndirin.
https://wordpress.org/plugins/miniorange-2-factor-authentication/
Eklentiyi kurduktan sonra;
Bu kısımdan miniOrange QR Code Authentication kısmını öneririm. Configure sekmesine basıyoruz. Bir hesap oluşturup giriş diyoruz. Daha sonra mobil cihazınız android ise google playe, İos ise Apple markete girerek miniOrange programını indirip kuruyoruz. Daha sonra mobil cihazımızdan programı çalıştırıp wordpress ekranında çıkan QR kısmına tutuyoruz.
Okuma işlemi tamamlandıktan sonra QR kodunun üzeri yeşil olacaktır. Bu adımdan sonra giriş yapmak istediğinizde iki adımlı doğrulama ile giriş yapabileceksiniz.
İlk admin şifrenizi girdikten sonra karşınıza bu şekilde doğrulama için QR kodu gelecektir. Telefonunuzdan programı çalıştırıp kameraya QR kodunu okuttuktan sonra admin panelinize erişim sağlayabilirsiniz.
PHP Execution Engelleme
WordPress sitemizin önemli klasörlerinde php uzantılı dosyaların çalıştırma izninin olması, askerin nöbet tutarken uyuması gibidir. Düşman gelir, kuleyi ele geçirir haberin olmaz. WordPressin kök klasörü olan /wp-includes ve wp-content klasörlerinin içine;
<Files *.php> deny from all </Files>
yukarıdaki kodları not defterine kopyala yapıştır yapın. Farklı kaydet diyerek kayıt türü kısmına tüm dosyaları seçin ve ismini .htaccess olarak kayıt edin. Kayıt ettiğiniz dosyayı wp-content ve wp-inculudes klasörlerinin içine atarak bu klasörlerde php uzantılı dosyaların çalışmasını engelleyebilirsiniz.
XML-RPC’yi Devre Dışı Bırakın
XML-RPC, HTTP’nin bir tür taşıma mekanizması ve XML’nin kodlama mekanizması şeklinde çalışarak veri transferine olanak tanıyan bir WordPress özelliğidir. Brute force ataklarına davet çıkardığı için kapatmak gerekir. İki şekilde kapatabiliriz.
Birinici yol Disable XML-RPC eklentisini,
yükleyerek devre dışı bırakabilirsiniz.
İkinci yol ise .htaccess dosyasına aşağıdaki kodları ekleyerek kapatabilirsiniz.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
SSL Sertifikası Kullanın
SSL (Taşıma Katmanı Güvenliği), bir web sunucusu ve bir tarayıcı arasında şifreli bir bağlantı kurmak için kullanılan güvenlik teknolojisidir. Bu bağlantı, web sunucusu ve tarayıcılar arasında iletilen tüm verilerin özel ve şifreli kalmasını sağlar.
e-ticaret sitelerinde kullanılması zorunlu olan ssl artık tüm bloggerlar tarafından kullanılmaya başladı. Google SSL’in bir SEO kriteri olduğundan da bahsetmiştir. Bir çok hosting firması SSL kurulumuna ücretsiz olanak sağlarken bir çoğuda SSL kurulumu için kullanıcıdan ücret talep etmektedir. SSL sertifikaları http protokolünü https protokolüne çevirir.
HTTP: Bir kaynaktan dağıtılan ve ortak kullanıma açık olan hiperortam bilgi sistemleri için uygulama seviyesinde bir iletişim protokolüdür.
HTTPS: Bir bilgisayar ağı üzerinden güvenli iletişim için internet üzerinde yaygın olarak kullanılan bir HTTP uzantısıdır. HTTPS’te, iletişim protokolü Taşıma Katmanı Güvenliği veya öncesinde, onun öncülü/selefi olan Güvenli Soket Katmanı ile şifrelenir.
WordPress DDOS Saldırı Engelleme
Genellikle Lamer adı verilen şahıslar tarafında uygulanan DDOS saldırılarını cdn kullanarak önleyebilirsiniz. CDN firmaları içinde en tanınmış olanı cloudflare’dir.
Cloudflare Kurulumu: Nasıl kurulması gerektiğine geçelim:
Öncelikle; https://www.cloudflare.com sitesine girerek, kayıt oluyoruz. Daha sonra;
Add site butonuna basarak devam ediyoruz.
Karşımıza çıkan alanda Next botununa basarak devam ediyoruz.
Karşımıza çıkan tabloda kullanmak istediğiniz sürümler çıkıyor. Free olanı seçiyoruz ve Confirm Plan butonuna basarak devam ediyoruz.
Çıka alanda Devam Et butonuna basarak devam ediyoruz.
Karşımıza çıkan bu alan bizim için önemli.Ben Hosting firması olarak Veridyen Hostingi kullanıyorum. Siz hangi hosting firmasını kullanıyorsanız o firmanın DNS bilgleri çıkacaktır. Cloudflare firmasının DNS bilgileri;
ben.ns.cloudflare.com
leia.ns.cloudflare.com
yukarıdaki gibidir. Şimdi Hosting firmanız hangisiyse Ona giriş yaparak Domain DNS bilgilerinizi, Cloudflare Sunucusunun DNS bilgileri ile değiştireceğiz.
Ben Veridyen Hosting kullanıcısı olduğum için Domain hizmetlerine girerek Cloudflare firmasının vermiş olduğu DNS bilgileri ile değiştirdim. Sizde sitelerinizi barındırmış olduğunuz hosting firması hangisiyse Domain Dns güncelleme kısmından değiştiriniz. Ve Güncelle butonuna basarak dns yönlendirmemiz yapalım.
DNS yönlendirmemizi yaptık şimdi tekrar Cloudflare kurulum sayfamıza dönelim.
Devam Et butonuna basarak kuruluma devam edelim.
Karşımıza böyle bir alan gelecektir.
Evet kurulum işlemi tamamlanmıştır. 24 saat içerisinde Web sitesi Cloudflare üzerinden yayınlanacaktır.
Şimdi gelelim ince ayar yapımına. Hız sekmesi butonuna tıklayarak Javascript, CSS ve HTML dosyalarını seçerek küçültüyoruz.
Kullanmış olduğunuz cache eklentisinin JS, CSS, HTML küçültme özelliklerinden faydalanıyorsanız devre dışı bırakmalısınız.
Yine hız sekmesinde bulunan mobil hızlandırma Enable Accelerated Mobile Links özelliğini açarak mobil kullanım hızını artırabilirsiniz.
Diğer ayarları default olarak bırakınız…
Dns Yönlendirmesinin aktif olup olmadığını Home sayfasına gelerek görebilirsiniz.
Aktif olduğunda yeşil tik ibaresinin olduğunu göreceksiniz. Böylece DDOS saldırılarından korunabilir, daha hızlı wordpress site kullanabilirsiniz.
WordPress Güvenlik Eklentileri
Wordpress güvenlik eklentileri: Kişilerin web sitelerinde yayınlayacakları yazıları yazmak için kullandıkları en gelişmiş uygulama olan wordpress, blog sayfalarında yayınlanacak yazılar için gerekli kontrolleri yapan ve en iyi yazıların oluşumunu sağlayarak, web sitesini ön plana çıkaran donanımlı bir uygulamadır. Web sitesi olan kişilerin en çok kullandığı uygulama WordPress uygulamasıdır. Bu denli yaygın olmasının sebepleri arasında, kuruluş yılının eski olması ve yazıların en iyi şekilde hazırlanmasını sağlaması gelmektedir.
WordPress her ne kadar çok gelişmiş bir uygulama olsa da, çok sık kullanılması ve en başarılı sayfaların bile bu siteyi kullanıyor olması, bazı güvenlik açıklarının oluşmasına neden olmuştur. Kişiler wordpress üzerinde kontrolleri sağlanan ve yazılan yazıları çalarak kendi sitelerine ekleme eğilimine girmeye başlamıştır. Bunun en büyük sebebi, bloglarda yayınlanacak yazılara bir hayli özen gösterme zorunluluğudur. Çoğu kişi bununla zaman kaybetmek yerine, bazı güvenlik açıklarından yararlanarak öne çıkan sayfaların wordpress girişlerini hacklemekte ve bu sayede işlemleri çalarak kendi sayfalarını ön plana çıkarmaktadır.
WordPress oluşan bu güvenlik açıklarını kapatmak ve yazıları en iyi şekilde korumak için, bazıları ücretli olmak üzere bazı eklentiler geliştirmiştir. Kişiler bu eklentileri satın alarak, güvenliklerini sağlayabilir. Elbette yüzde yüz bir güvenlik sağlamak olanaksızdır, fakat çoğu hacker bu güvenlik eklentilerini kırmayı çok iyi bilmemekte olduğundan, kişiler çoğu hackerden kendini koruyabilir.
Wordfence
WordPress’in en çok kullanılan güvenlik eklentileri arasında yer almaktadır. Bu denli kullanılmasının sebebi, sistemin hem premium, hem de ücretsiz olarak kullanılabilmesidir. Premium paketleri için ödenmesi gereken ücretin bir hayli düşük olması ve 5 yıllık kullanım ücretinin 1 yıllık kullanım ücretinden gözle görülür derecede daha düşük olması, kişileri bu eklentiyi kullanmaya yöneltmiştir. Kişiler genellikle bu eklentiyi 5 yıllık satın almaktadır, çünkü 5 yıllık kullanım ücreti de sanki ücretsiz bir kullanım sağlıyormuş gibi hissettirecek ve kesinlikle cep yakan bir ücret olmayacaktır.
Wordfence güvenlik eklentisi, standart bir güvenlik eklentisi değildir. Hem ücreti çok düşüktür, hem de yaptığı işlev bir hayli büyüktür. Wordfence uygulaması, dosya değişikliklerine karşı sistemi taramaktadır. Bunun dışında kod enjeksiyonlarına, malware ve backdoor açıklarına karşı sistemi koruyan uygulama, wordpressin sahip olduğu güvenlik açıklarından büyük bir kısmına karşı sistemi korumaktadır. Esasında backdoor açıklarının tamamına karşı önlem aldığını söylemek mümkün değildir. Fakat bugüne kadar bulunmuş tüm backdoor açıklarını yok etmektedir.
Premium wordfence uygulaması ise, çok daha geniş bir tarama yapmakta ve neredeyse tüm riskleri ortadan kaldırmaktadır. Dosya değişikliklerini tarayıp IP adreslerini engelleyen uygulamanın, daha sunduğu birçok koruma bulunmaktadır. Firewall ile basit çaplı DDoS engelleme, iki adımlı doğrulama, belli ülkelere engel koyma veya yönlendirme, özel uyarı sistemi gibi yoğun güvenlik önlemleri alan eklenti, pek çok güvenlik seçeneği sunmaktadır.
Eklentinin kurulumu diğerleri ile kıyaslandığında çok daha kolay ve güvenilirdir. Diğer eklentilere kıyasla kendine özgü yanlarının olduğu ve diğerlerinden daha avantajlı olduğu bir gerçektir. Tüm bunlar dışında, kişilerin kuruluma geçmeden önce sistemin bir yedeğini almaları tavsiye edilir. Bu önlem adına alınmış bir gerekliliktir ve kesinlikle bir zorunluluk teşkil etmemektedir. Sistem herhangi bir arız vermeyecektir, kişiler kurulumu güvenle gerçekleştirebilir.
Sucuri Security
WordPress’in en çok tercih edilen güvenlik eklentileri arasında yer alan eklenti son derece başarılıdır. Sucuri Security güvenlik eklentisi ücretsiz bir deneyim sunmaktadır. Kişilerin en çok kullandığı sistemlerden olmasının sebeplerinden bir tanesi de budur. Firmanın kendi web tabanlı arama aracına benzer şekilde çalışan ve potansiyel problemlerle karşılaştığında uyarı vererek kişilere güvenlik sağlayan uygulama 4 tabanda hizmet vermektedir.
- WordPress bu eklenti sayesinde tüm işlemleri izleyerek kayıt altında tutmaktadır. Bir nevi güvenlik kamerası gibi çalışan bu sistem sayesinde, sitede ne olup bittiği hakkında bilgi sahibi olabilmek son derece kolaydır.
- İlkine benzer bir özellikle çalışan bu tabanda, WordPress dosyaları, temaları ve eklentileri tek tek izlenir. Bu sayede, kişinin bilgisi dışında olan değişiklikler ve yeni ekleme, çıkarmalar kişiye anında bildirilecektir.
- Eklentı sucurinin ücretsiz taracıyısından faydalanarak, malware taraması yapmaktadır. Bu sitede herhangi bir olağanüstü durum gerçekleştiğinde kişileri bilgilendirmektedir. Ayrıca herhangi bir arama motoru, siteyi kara listeye almışsa, kişi bu sistem sayesinde bu bilgiden de faydalanabilecektir.
- Son tabanda verdiği hizmetleri ise sıralayarak açıklamakta fayda olacaktır.
- WordPress versiyon bilgisini kaldırarak sayfanın özgünleşmesini sağlar.
- Upload klasörünü virüslere ve yabancı metaryallere karşı koruyarak, tarayıcıların erişimini engeller.
- WordPress content ve wordpress include klasörlerine giriş yasağı koyar ve bu klasörlerde PHP çalıştırmayı engeller.
- Güvenlik anahtarlarını doğrulayarak giriş sağlar, bu sayede yabancı kişilerin erişimi engellenir.
- Bu uygulama sayesinde wordpress yönetici panelinden, dosya düzenleyicisine giriş yapmak engellenmektedir. Bu sayede üst levellerdeki kişilerin, yeni başlamış kişilerin hesaplarına girmesi engellenir.
- WordPress paneli sürekli olarak izlenip kaydedilir. Bilinmeyen bir değişiklik gerçekleştiğinde, site mail ile olan bitenden kişileri haberdar etmektedir.
- Eklentinin firewall özelliği de bulunmaktadır, fakat bu özelliğe erişebilmek için kişilerin mutlaka premium eklenti satın almaları gerekmektedir.
iThemes Security
Hem ücretli, hem ücretsiz seçenekleri olan ve farklı fiyat seçenekleri ile herkesin bütçesine uygun bir seçenek sunan iThemes security, en çok tercih edilen güvenlik eklerinden bir tanesidir.
Kişilerin site sayılarına göre fiyat opsiyonelleri olan eklenti, iki, on ve sınırsız sitede kullanılabilecek avantajlar sağlamaktadır. Kişilerin 10 tane sitesi yoksa bile, daha avantajlı olan onlu ya da sınırsız paketi satın almaları tavsiye edilir. Fakat bir yıl içerisinde, birden fazla site kurmayı düşünmeyen kişiler için böyle bir gereklilik de tabiki yoktur. Çünkü fiyatlar avantajlı olsa da, süre kişiyi sıkıntıya düşürebilir. Kullanımlar 12 aylık olacak şekilde belirlenmiştir.
iThemes Security platformunun sağladığı koruma özelliklerini, şu şekilde sıralamak mümkündür:
- Sistemi Brute Force dayatmalarına ve saldırılarına karşı korumaktadır.
- .htaccess – wp-config gibi dosyaların erişimi ve müdahalesi engellenmektedir.
- WordPress content ve includes dosyaların, başkalarınınerişimi engellenmektedir.
- Wp-content/uploads/ dizininde .php dosyalarının çalışması engellenmektedir.
- Temel sistem dosyaları, değişikliğe ve müdahaleye karşı düzenli olarak kontrol edilmektedir.
- Birden fazla kez yanlış kullanıcı adı ve şifre giren kullanıcılar sistemden atılarak erişimleri engellenmektedir.
- wp-login.php olan giriş sayfasını değiştirip, farklı bir adres tanımlatarak yabancı kişilerin girişini engeller.
- /wp-content/ adlı içerik dosyasının adresini değiştirip, kişiye özel hale getirir.
- Dosya değişikliklerini sürekli olarak tarayarak yabancı bir durumla karşılaşılması durumunda kişiyi bilgilendirir.
- Güvenli bir şifre oluşturulmasını sağlayarak, kişilerin sistemlerinin daha güvenli bir hale getirir.
- Programlı bir veritabanı yedeği alarak, dosyaların kaybedilmesini önler.
- XML ve RPC gibi ekleri engelleyerek, yabancıların saldırısından korur.
- Premium paket satın alındığında, iki adımlı doğrulama seçeneği eklenir ve bu sayede değişiklik yapmak için her zaman ikinci bir şifre gerekir.
- Premium pakette kullanıcı hareketlerini takip edip, kamera altında tutarak kişilerin hareketlerini kontrol edebilmesini ve yabancı hareketleri seçebilmesini sağlar.
- Yine premium pakette destek servisi bulunmaktadır, kişiler uygulamayı kullanamadıkları takdirde gerekli yardımları alabilirler ve bir sorun oluştuğunu düşündüklerinde destek servisine başvurabilirler.
İthemes security eklentisi 30’dan fazla güvenlik özelliği bulunan, son derece başarılı bir eklentidir. Fakat halihazırda açık bir siteye kurulumu gerçekleştirildiği takdirde, sistemde bazı arızaların meydana gelmesi kaçınılmaz olabilir. Daha çok yeni kurulum yapan kişilerin tercih etmesi ve süreyi olabildiğinde uzatması tavsiye edilmektedir. Kurulum sağlanmadan önce, sistem mutlaka yedeklenmeli ve bilgilerin kaybolması engellenmelidir. Aksi durumda, kişi ciddi anlamda mağdur olabilmektedir. Veritabanında ve wordpress content klasöründe meydana gelen bozulmalar, sistemi parçalayarak, bazı bilgileri yok edebilir.
WordPress Zararlı Botları Engelleme
WordPress sitelerinize gelen zararlı botlar sitelerinizi yavaşlatabilir. WordPress zararlı botları engellemek için .htaccess’e aşağıdaki kodları ekleyerek zararlı botları engelleyebilirsiniz.
# Bazı zararlı botları engelliyoruz SetEnvIfNoCase User-Agent "AhrefsBot" bad_bots SetEnvIfNoCase User-Agent "AITCSRobot" bad_bots SetEnvIfNoCase User-Agent "Alexibot" bad_bots SetEnvIfNoCase User-Agent "Arachnophilia" bad_bots SetEnvIfNoCase User-Agent "archive\.org\_bot" bad_bots SetEnvIfNoCase User-Agent "ASpider" bad_bots SetEnvIfNoCase User-Agent "BackDoorBot" bad_bots SetEnvIfNoCase User-Agent "BSpider" bad_bots SetEnvIfNoCase User-Agent "CFNetwork" bad_bots SetEnvIfNoCase User-Agent "CyberPatrol" bad_bots SetEnvIfNoCase User-Agent "DeuSu" bad_bots SetEnvIfNoCase User-Agent "DotBot" bad_bots SetEnvIfNoCase User-Agent "EmailCollector" bad_bots SetEnvIfNoCase User-Agent "Exabot" bad_bots SetEnvIfNoCase User-Agent "FeedlyBot" bad_bots SetEnvIfNoCase User-Agent "Genieo" bad_bots SetEnvIfNoCase User-Agent "Gluten\ Free\ Crawler" bad_bots SetEnvIfNoCase User-Agent "GrapeshotCrawler" bad_bots SetEnvIfNoCase User-Agent "MaxPointCrawler" bad_bots SetEnvIfNoCase User-Agent "meanpathbot" bad_bots SetEnvIfNoCase User-Agent "MJ12bot" bad_bots SetEnvIfNoCase User-Agent "PagesInventory" bad_bots SetEnvIfNoCase User-Agent "Plukkie" bad_bots SetEnvIfNoCase User-Agent "Qwantify" bad_bots SetEnvIfNoCase User-Agent "SemrushBot" bad_bots SetEnvIfNoCase User-Agent "SentiBot" bad_bots SetEnvIfNoCase User-Agent "SEOkicks\-Robot" bad_bots SetEnvIfNoCase User-Agent "SeznamBot" bad_bots SetEnvIfNoCase User-Agent "spbot" bad_bots SetEnvIfNoCase User-Agent "WeSEE\_Bot" bad_bots SetEnvIfNoCase User-Agent "Wget" bad_bots SetEnvIfNoCase User-Agent "worldwebheritage\.org" bad_bots SetEnvIfNoCase User-Agent "Xenu\ Link\ Sleuth" bad_bots SetEnvIfNoCase User-Agent "Yahoo!\ Slurp" bad_bots SetEnvIfNoCase User-Agent "Zeus" bad_bots SetEnvIfNoCase User-Agent "facebookexternalhit" bad_bot SetEnvIfNoCase User-Agent "Twitterbot" bad_bot SetEnvIfNoCase User-Agent "MetaURI" bad_bot SetEnvIfNoCase User-Agent "mediawords" bad_bot SetEnvIfNoCase User-Agent "FlipboardProxy" bad_bot <Limit GET POST HEAD> Order Allow,Deny Allow from all Deny from env=bad_bots </Limit>
Belirli Spam siteleri engellemek için yine htaccesse aşağıdaki kodları ekleyebilirsiniz.
#Belirli spam botları engelliyoruz RewriteCond %{HTTP:User-Agent} RewriteCond %{HTTP_USER_AGENT} ^(aesop_com_spiderman|alexibot|backweb|bandit|batchftp|bigfoot) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(black.?hole|blackwidow|blowfish|botalot|buddy|builtbottough|bullseye) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(cheesebot|cherrypicker|chinaclaw|collector|copier|copyrightcheck) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(cosmos|crescent|curl|custo|da|diibot|disco|dittospyder|dragonfly) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(drip|easydl|ebingbong|ecatch|eirgrabber|emailcollector|emailsiphon) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(emailwolf|erocrawler|exabot|eyenetie|filehound|flashget|flunky) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(frontpage|getright|getweb|go.?zilla|go-ahead-got-it|gotit|grabnet) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(grafula|harvest|hloader|hmview|httplib|httrack|humanlinks|ilsebot) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(infonavirobot|infotekies|intelliseek|interget|iria|jennybot|jetcar) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(joc|justview|jyxobot|kenjin|keyword|larbin|leechftp|lexibot|lftp|libweb) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(likse|linkscan|linkwalker|lnspiderguy|lwp|magnet|mag-net|markwatch) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(mata.?hari|memo|microsoft.?url|midown.?tool|miixpc|mirror|missigua) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(mister.?pix|moget|mozilla.?newt|nameprotect|navroad|backdoorbot|nearsite) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(net.?vampire|netants|netcraft|netmechanic|netspider|nextgensearchbot) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(attach|nicerspro|nimblecrawler|npbot|octopus|offline.?explorer) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(offline.?navigator|openfind|outfoxbot|pagegrabber|papa|pavuk) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(pcbrowser|php.?version.?tracker|pockey|propowerbot|prowebwalker) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(psbot|pump|queryn|recorder|realdownload|reaper|reget|true_robot) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(repomonkey|rma|internetseer|sitesnagger|siphon|slysearch|smartdownload) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(snake|snapbot|snoopy|sogou|spacebison|spankbot|spanner|sqworm|superbot) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(superhttp|surfbot|asterias|suzuran|szukacz|takeout|teleport) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(telesoft|the.?intraformant|thenomad|tighttwatbot|titan|urldispatcher) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(turingos|turnitinbot|urly.?warning|vacuum|vci|voideye|whacker) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^(libwww-perl|widow|wisenutbot|wwwoffle|xaldon|xenu|zeus|zyborg|anonymouse) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^web(zip|emaile|enhancer|fetch|go.?is|auto|bandit|clip|copier|master|reaper|sauger|site.?quester|whack) [NC,OR] RewriteCond %{HTTP_USER_AGENT} ^.*(craftbot|download|extract|stripper|sucker|ninja|clshttp|webspider|leacher|collector|grabber|webpictures).*$ [NC] RewriteRule . - [F,L] </IfModule>
WordPress Yedek Alma
Çoğu hosting firması site yedeklemelerini 1 ay gibi bir sürede yapmaktadır. Her ne kadar günlük yedekleme yapan hosting firmaları olsa da yedek işlemi yapmayan bu tür hususlarda kullanıcıların sorumluluğunda olduğunu belirten hosting firmaları da mevcut. Olası bir problemden önce yedek almanız büyük önem taşımaktadır. Yedekleme işlemini manuel olarak yapabildiğiniz gibi, wordpress eklentileriylede yapabilirsiniz. Eklenti ile yedekleme işlemleri için olarak all in migration eklentisini kullanabilirsiniz.
WordPress güvenlik önlemleri, WordPress güvenlik eklentileri, wordpress zararlı bot engelleme adlı içeriğimiz umarım sizin için faydalı olmuştur.
Çok faydalı bilgiler var gerçekten yazanın ellerine sağlık
Teşekkür ederim Kardeşim. Okuyup yorum yaptığınız için ben teşekkür ederim.
Çok güzel bilgiler verilmiş. Ellerinize sağlık Onur bey.
Selamlar
Öncelikle süper bir içerik olmuş, emeğinize sağlık bir kaç sorum olacak,
Hiç bir warez tema eklenti kullanmadığım halde, tüm klasorlere farklı index sayfaları atmışlardı ve hepsini tek tek temizledim ve veritabanını kontrol ederek yine temizlik yaptım manuel olarak, ve sizin yazınızdaki önerilerin hepsini yaptım sadece bir tanesi kaldır.
1- cloudflare.com yönlendirmesi yaptığımızda aktif olan sitede kapanma gibi bir durum oluyor mu ? Yani dns değiştirdik bir problem yaşar mıyız .
2- Orjinal wp rocket eklentsi kullanıyorum, sizin dediğiniz gibi bu eklentiyi iptal edip, cloudflare daki sıkıştırma işlemlerinimi yapmam lazım
Aleyküm Selam Kardeşim
Teşekkür ederim. Cloudflare kullanırken DNS yönlendirmesi yaptığınızda site kapanmaz. Wp rocket eklentisini silerseniz Cloudflare üzerinden sıkıştırma ve optimize işleri yapmanız gerekir. Bunun yerine Wp rocket eklentisini silmeyip CDN kısmına girerek İçerik dağıtım ağını etkinleştir özelliğini kapatırsanız sorunsuz kullanabilirsiniz. Buradaki mantık şu olmalı: Wp rocket ile cloudflare üzerindeki optimize ayarları birbiriyle çakışmamalıdır. Örneğin Wp rocketin css, js, html sıkıştırması yapıp cloudflare üzerindede bu sıkıştırmaları yapmak doğru olmaz randıman vermez.
Gerçekten emeğine sağlık üstat,
cloudflare sitenin hızını uçurdu
Cloudflare kullanımı hem güvenlik açısından hemde hız açısından önemlidir. Faydalı olabilmişsek ne mutlu bize…
Merhaba onur bey elinize sağlık baştan sona okudum. İster İstemez kafamda şöyle soru işaretleri oluştu
Ben daha sitemi yapım aşamasındayım ve içerik girmeden evvel önceliğim güvenliktir. Kod yapısına çok hakim değilim profesyonel anlamda. Ben İThemes securuity eklentisi kursam ve . Htaccess, admin panel gizliliği, bruteForce, xss, sql girişimlerine karşı koruma gibi, xml-rpc, son olarakta bot sitelere karşı eklemeleri işlemlerini tek tek yapmak yerine buradan yapabilir miyiz?
Bu anlattıklarınız root kökündeki değil dimi?
Wp-admin klasörü içindeki . Htaccess dosyasından mı bahsediyorsunuz?
Eklentinin dışında kalan Manuel girilecek olan script kodları(bot,spam, php execution) buradan(yani=. Htaccess klasörüne kendim ) girsem uygun olur mu?
Size mail ile ulaşabilme şansım varsa bana yol yordam gösterirseniz memnun olurum. Teşekkür ederim. ?
Wordfence, İThemese göre daha kullanışlıdır. Manuel olarak girmek yerine wordfenceyi kullanarak XSS, Brute Force, SQL gibi açıkları engelleyebilirsiniz. htaccess wordpressin kurulu olduğu dizinde bulunur. Buradan manüel ekleme yaparakta önlem alabilirsiniz. Wordfence kurduğunuzda güvenlik kodları otomatik olarak .htaccesse kendiliğinden eklenecektir.
deneme mesajı
aslında kullanılan yorum eklentisini merak ettim
Jannah temasının kendi yorum eklentisidir hocam, herhangi bir eklenti kullanmıyorum.
Önerilerin hepsini uyguladım önerileriniz için çok teşekkürler.
Çok faydalı bir içerik ne zamandır böyle bir çalışma arıyordum. Sitenizi gördüm içeriği inceledim. Her sitem için ayrı ayrı yapıyorum.
Teşekkür ederim..
Yardımcı olabilmişsem ne ala. Mutlu ve güvenlikli günler dilerim (:
https://www.wpsefi.com/wordpress-guvenlik-onlemleri/#wordpress-surumunu-gizleme
sürüm gizleme: verdiğiniz kod işe yaramıyor whatcms.org versiyonu gösteriyor.
Merhabalar, wp-content, wp-content/uploads ve wp-includes klasörlerinde .php yürütmesini devre dışı bırakmak;
SEO’yu etkiler mi?
Google dizininde herhangi bir problem oluşturur mu?
Merhaba Hocam
SEO açısından sorun olmaz.
Eline sağlık devrem. İlk sıradasın maşaallah. 🙂
Devrem teşekkür ederim, hele bir whatsapptan yaz nerdesin, nerelerdesin, seoya devam mı. Bende tüm numaralar gitti (: