Adım Adım WordPress Güvenlik Kılavuzu (2020)

Posted by

WordPress güvenliği dünya üzerinde kullanılan en popüler (Control management system)CMS’dir ve bilinen yaklaşık 1.3 milyar kullanıcısı olmasından dolayı da oldukça önemli bir yere sahiptir. Her hafta sadece wordpress üzerinde google’ın verilerine göre 50.000’e yakın farklı saldırı methodları kullanılmakta.

Eğer wordpress kullanılan web sitenizin güvenliğinden endişe duyuyorsanız doğru yere geldiniz, bu rehberde
sizlere sitenizi güvenli bir şekilde yönetebilmeniz için en pratik yöntemleri sunacağım.

Her ne kadar wordpress yüzlerce yazılımcısıyla beraber düzenli güncellemelere yer versede bizim de yapacağımız çok önemli güvenlik önlemleri mevcut.

Web sitenizi güvenlik açıklarına karşı korumak için uygulayabileceğiniz birkaç adımı sizlerle paylaştık.

Hazırsanız başlayalım…

Neden wordpress site güvenliği bu kadar önemli?

Hacklenmiş bir wordpress sitesi işinize çok fazla zarar verebilir, hatta bazen bu durum sizin işinizin sonlanmasına kadar gidebilir.

Google tarafından sağlanan verilere baktığımız zaman 2016 yılında sadece 50 milyona yakın wordpress sitesi hacklendi.

Eğer işinizi wordpress üzerinden yönetiyorsanız bu makaleye ekstra dikkat sağlayın.

Nasıl fiziksel olarak dükkan sahibi olan insanlar onların güvenliğinden sorumluysalar sizde kendi sitenizin güvenliğinden sorumlusunuz! Bunu unutmayın.

WordPressinizi her zaman güncelleyin!

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve istikrarı için çok önemli.
WordPress eklentilerinizin ve temanızın her zaman güncel olduğundan emin olmanız gerekli.

Güçlü şifre kullanımı ve Kullanıcı izinleri

WordPressi hacklemenin en yaygın yolu bilindik şifrelerle sitenize saldırmaktır, bunu engellemek için her zaman
güçlü şifreler belirleyin ve kullanın. Hatta bunu bir alışkanlık haline getirin ve FTP, mysql database, wordpress
host üyeliğinizde de güçlü şifreler kullanın!

Bir çok site sahibi güçlü şifreler kullanmaktan kaçınıyorlar çünkü hatırlaması gerçekten zor oluyor, ama her hangi bir şifre menejeri kullanarak şifrelerinizi hatırlamak zorunda kalmayabilirsiniz!

Risk faktörünü düşürmenin bir başka yolu ise sitenize gerekli olmadığı takdtirde admin hesabınızla giriş yapmamanız, eğer geniş bir takımınız varsa kullanıcı rolleri, izinleri ve kapasitelerini anladığınızdan emin olun.

WordPress hosting sitenizin güvenlikteki rolü

Güvenlik açısından seçeceğiniz hosting firması en önemli rolü oynamakta, benim size önerim ihstelekom olacaktır, iyi hosting firmaları sitenizi korumak için ne gibi önlemler alıyorlar beraber bakalım:

  • Kendi ağlarını şüpheli durumlara karşı sürekli izlerler.
  • İhs telekom gibi iyi hosting firmaları yüksek dozajdaki DDOS saldırılarını savunmak için hazırdırlar.
  • Kullandıkları serverların yazılımsal ve donanımsal servislerini güncel tutarlar.
  • Büyük kazalarda başınıza gelebilecek data kaybını önlemek için gerekli donanıma sahiptirler.

Paylaşılan hosting planında sizin siteniz diğer web siteleri ile beraber aynı serverın kaynaklarını kullanıyor,
yani sizin sitenize yapılan bir sızma testi eğer başarısız olursa aynı serverdaki başka bir siteye sızma testi
yapılabilir ve eğer bu durum başarılı olursa sizin sitenizde hacklenebilir olur.

Basit adımlarla WordPress güvenliği

Yazılımsal ya da donanımsal altyapısı olmayan insanlar için burada uygulayacağımız şeyler biraz ürkütücü gelebilir, ama bu durumda yalnız değilsiniz bir çok wordpress kullanıcısının zaten bu alanda yeteri kadar tecrübesi ve bilgisi yok, onun için adımları çok basit ve sade bir şekilde anlatmaya gayret ettim. Eğer mouseunuz ile masaüstünde bir kaç yere tıklama gerçekleştirebiliyorsanız buradaki güvenlik önlemlerinide yapabilirsiniz.

WordPress yedekleme çözümleri

Her hangi bir saldırıda yedekleme sizin ilk önleminiz, unutmayın ki hiç bir sistem %100 güvenli değildir, eğer
hükümetin siteleri hacklenebiliyorsa sizinki de hacklenebilir.

Yedeklemeler her hangi kötü bir şey olduğundan kolayca ve çabucak sitenizi yenilemenize olanak sağlar. WordPress üzerinden bir çok ücretsiz yedekleme çözümü sunulmuştur, genel olarak yedeklerinizi Amazon, dropbox, yandex ya da kendi bilgisayarınızda saklayabilirsiniz.

İdeal yedekleme süresi genel olarak günde 1 keredir.

Bunu VaultPress ya da UpdraftPlus plugınleri ile kolayca halledebilirsiniz.

En iyi güvenlik eklentisi

Yedekleme işleminiz bittikten sonra yapmamız gereken bir sonraki şey, web sitenizde gerçekleşen her şeyi takip
eden bir denetim ve izleme sistemi kurmaktır.

Buna dosya bütünlüğü izleme, başarısız giriş denemeleri, kötü amaçlı yazılım taraması vb. Dahil.

Bunları Sucuri WordPress plugini ile yapabilirsiniz.

Ücretsiz Sucuri Güvenlik eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için lütfen
bir WordPress eklentisinin nasıl kurulacağına(yakında) ilişkin adım adım kılavuzumuza bakın.

Etkinleştirildikten sonra, WordPress yöneticinizdeki Sucuri menüsüne gitmeniz gerekir. Yapmanız gereken ilk
şey, ücretsiz bir API anahtarı oluşturmaktır. Bu, denetim günlüğü tutma, bütünlük denetimi, e-posta uyarıları ve
diğer önemli özellikleri mümkün kılacaktır.

Yapmanız gereken bir sonraki şey, ayarlar menüsünden “Hardening” sekmesini tıklamaktır. Her seçeneği gözden
geçirin ve “Apply Hardening” düğmesine tıklayın.

Bu seçenekler, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları kilit alanları kilitlemenize yardımcı olur.
Ücretli yükseltme olan tek sertleştirme seçeneği, bir sonraki adımda açıklayacağımız Web Uygulaması Güvenlik Duvarıdır(Firewall), bu yüzden şimdilik atlayın ileride karşımıza tekrar çıkacak.

Hardening bölümünden sonra, varsayılan eklenti ayarları çoğu web sitesi için güvenliği yeterli seviyeye taşır ve herhangi bir değişikliğe gerek yoktur. Özelleştirmenizi tavsiye ettiğim tek şey ‘E-posta Uyarıları’dır.

Son olarak “Alerts” kısmından e-posta ayarlarınızı modifiye etmeniz çünkü sucuri bir çok gereksiz maili size
ulaştırabilir.

WAF(Web Application Firewall) aktivasyonu

Sitenizi korumanın ve WordPress güvenliğinizden emin olmanın en kolay yolu bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.

Bir web sitesi güvenlik duvarı, web sitenize ulaşmadan önce tüm kötü amaçlı trafiği engeller.

DNS Düzeyi Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca gerçek trafik göndermelerine olanak tanır.

Uygulama Düzeyi Güvenlik Duvarı – Bu güvenlik duvarı eklentisi, sunucunuza ulaşan bir ağ paketinin sitenizi indirmeden önce zararlı bir trafiğe sahip olup olmadığını kontrol eder. Bu yöntem, sunucu yükünü azaltmada DNS düzeyi güvenlik duvarı kadar etkili değildir.

DNS Düzeyi Web Sitesi Güvenlik Duvarı kurulumu için cloudflare kullanıcaz, öncelikle sitede üyelik açmamız gerekiyor.

İlk olarak https://dash.cloudflare.com/sign-up adresine gidip kayıt yaptırmamız lazım.

Verilen gerekli parametreleri dolduruyoruz.

Sitemizin adını giriyoruz, “example.com” şeklinde girmemiz önemli.

Ücretsiz olana tıklıyoruz ve “Confirm Plana” basıyoruz.

Bir kaç saniye bekledikden sonra sitenize kayıtlı olan DNS ayarları karşınıza çıkacak sakın korkmayın, aşağıdaki
Continue tuşuna basın.

Bu rehberimizde default yöntemini kullanıcaz bir başka rehberimizdede diğer yöntemi kullanırız.

Şimdi burada cloudflare size 2 tane DNS serveri adresi vericek ve bu adresleri sitenizin güncel DNS adresleriyle güncellemeniz gerekli, hosting firmanızın destek al kısmından bu konuda yardım alabilirsiniz.

DNS ayarlarımızı bitirdikten sonra “Done, Check servers” tuşuna basıyoruz.

Geçmiş olsun WAF güvenlik duvarınız kuruldu.

Sitenizi SSL/HTTPS e taşımak

SSL (Güvenli Shell Katmanı), web siteniz ve kullanıcı tarayıcısı arasında veri aktarımını şifreleyen bir protokoldür.
Bu şifreleme, birisinin site ile aranızdaki bilgileri çalmasını zorlaştırır.

SSL’yi etkinleştirdikten sonra, web siteniz HTTP yerine HTTPS kullanacak, ayrıca tarayıcıda web sitesi adresinizin yanında bir asma kilit işareti göreceksiniz.

SSL sertifikaları genelde 80 dolar ile 300 dolar arasında olmasına rağmen aynı teknolojiyi ücretsiz sunun Lets Encrypti kullanabilirsiniz.

Bir çok hosting firmasının siteniz için Lets Encrpyti ücretsiz kurmasını isteyebilirsiniz, ya da bu konuda onlardan yardım talebinde bulunabilirsiniz.

İlk Adımı bitirdik

Eğer buraya kadar olan bütün adımları yaptıysanız siteniz şu anda güvenli sayılır, ama bu sitenizi daha güvenli hale getiremiyceksiniz demek değil, aşağıdaki bazı adımlar biraz kodlama ya da sistem bilgisi gerektirse de bakmadan geçmeyin!

Dosya düzenlemenin devre dışı bırakılması

WordPress, temanızı ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenizi sağlayan yerleşik bir kod düzenleyicisiyle birlikte gelir. Yanlış ellerde, bu özellik bir güvenlik riski olabilir, bu yüzden kapatmanızı öneririm. https://siteniz.com/wp-admin/theme-editor.php adresine gidin.

wp-config.php dosyasına şu satırları ekleyin:

// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );

Alternatik olarak bunu Sucurinin güvenlik eklentisinden tek tıklamayla gerçekleştirebilirsiniz.

Belirli WordPress Dizinlerinde PHP Dosyalarını Çalıştırmayı Devre Dışı Bırakma

WordPress güvenliğinizi sağlamlaştırmanın bir başka yolu, /wp-content/uploads/ gibi gerekli olmayan dizinlerde PHP dosya yürütülmesini devre dışı bırakmaktır.

  • <Files *.php>
  • deny from all
  • </Files>

Yukarıdaki kodu bir notepade yazarak .htaccess olarak kaydedebilirsiniz. FTP kullanarak bu dosyayı /wp-contents dizinine ekleyebilirsiniz.

Alternatik olarak bunu da Sucurinin güvenlik eklentisinden tek tıklamayla gerçekleştirebilirsiniz.

Giriş denemelerinin sınırlandırılması

Genel olarak WordPress sitenize sınırsız sayıda giriş denemesi hakkı verir. Bu durum sitenizi bruteforce saldırılarına karşı savunmasız kılar. Hackerlar farklı şifre kombinasyonlarını kullanarak giriş bilgilerini bulmaya çalışırlar.

Bunu düzenleyerek kolayca bu saldırılara karşı kendimizi koruyabiliriz.

İlk olarak Login Lockdown pluginini yüklememiz gerekiyor. Buradan Settings » Login LockDown a giderek giriş denemelerimizi sınırlandırabiliriz.

İki Faktörlü Kimlik Doğrulaması Ekleme

İki faktörlü kimlik doğrulama tekniği, kullanıcıların iki adımlı bir kimlik doğrulama yöntemi kullanarak oturum açmasını gerektirir. Birincisi kullanıcı adı ve paroladır ve ikinci adımda ayrı bir cihaz veya uygulama kullanarak kimlik doğrulaması yapmanız gerekir.

Google, Facebook, Twitter gibi en popüler çevrimiçi web siteleri, hesaplarınız için etkinleştirmenize izin verir. Aynı işlevselliği WordPress sitenize de ekleyebilirsiniz.

İlk olarak Two Factor Authentication pluginini indirip aktive etmeniz gerekir, böylece iki faktörlü girişi aktive edebilirsiniz.

Dizin ekleme ve Dizin taramasını devre dışı bırakma

Dizin taraması, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim elde etmek için bu dosyalardan yararlanabilirler.

FTP veya cPanel’in dosya yöneticisini kullanarak web sitenize bağlanmanız gerekir. Ardından, web sitenizin bulunduğu dizindeki .htaccess dosyasını bulun.

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Options -Indexes

.htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın.

WordPress Giriş Ekranına Güvenlik Soruları Ekleme

WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birisinin yetkisiz erişim almasını daha da zorlaştırır.

WP Security Questions eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz. Etkinleştirildiğinde, eklenti
ayarlarını yapılandırmak için Settings » Security Questions sayfasını ziyaret etmeniz gerekir.

Hacklenmiş WordPress Sitesini Düzeltme

Birçok WordPress kullanıcısı, web siteleri saldırıya uğrayana kadar yedeklemelerin ve web sitesi güvenliğinin öneminin farkında değildir.

Bir WordPress sitesini temizlemek çok zor ve zaman alıcı olabilir. İlk tavsiyemiz bir profesyonelin bununla ilgilenmesine izin vermek olacaktır.

Bilgisayar korsanları etkilenen sitelere arka kapı (backdoor) yerleştirir ve bu arka kapılar düzgün bir şekilde düzeltilmezse, web siteniz muhtemelen tekrar saldırıya uğrayacaktır.

Uluslararası platformlarda bilişim güvenlik uzmanları bu tarz servislerin sadece saatine 250$ gibi bir rakam almaktadır.

Hacklenmiş sitelerinizin geri alımı için benimle iletişime geçebilirsiniz.

Makalenin sonuna geldiniz, umarım bu makale size faydalı olabilmiştir, bilişim güvenliğindeki en iyi pratikleri ve trendleri takip etmek için takipte kalın!

Leave a Reply