WordPress Güvenlik Önlemleri ( Kapsamlı Rehber)

WordPress’i Hatırlayalım

WordPress, açık kaynak kodlu bir içerik yönetim sistemidir. Dünya üzerinde kullanımı giderek artmakta olan WordPress, webmasterlar tarafından çok çeşitli avantajlarından ötürü sıklıkla tercih edilen bir sistemdir.  WordPress üzerine detaylı bilgiler verdiğimiz ve WordPress site nasıl kurulur anlattığımız wordpress nedir konulu yazımızı ziyaret ederek daha detaylı bilgi sahibi olabilirsiniz. Bugünkü yazımızda ise çok detaylı olarak WordPress üzerinden nasıl sitemizin güvenliğini sağlarız, WordPress güvenlik önlemleri nelerdir gibi konulara değineceğiz.

WordPress Güvenlik Önlemleri Nelerdir?

Bugünkü yazımızın temel konusu WordPress sitelerinin güvenliği. WordPress sitelerin güncelliğini ve güvenliğini sağlamak için yapılması gerekenleri içeren bu yazımızı lütfen dikkatle okuyun. Adım adım anlattığımız bu güvenlik önlemleri sayesinde herhangi bir hacker saldırısına veya site çökmesi gibi durumlarla karşılaşma şansınız büyük oranda azalacaktır. WordPress güvenliği gerek eklentiler gerekse site üzerinde bizim yapacağımız belli başlı ayarlar ile sağlanacaktır. WordPress’te güvenlik ayarlamaları yapılırken özellikle eklentiler bize çok yardımcı olacaktır. WordPress’in bu kadar tercih edilmesinin en büyük sebeplerinden biriside işte bu eklenti tabanlı kolay kullanım avantajıdır.

WordPress Sitenizi Güncel Tutun

WordPress‘de güncellemeleri yakından takip etmek ve hem WordPress’in kendisini hemde site içerisinde yüklü içerikleri düzenli olarak güncellemek çok önemlidir. WordPress’de yüklü eklentilerinizin programlamasını yapan ekip veya kişi genellikle ilgili eklentinin güncelliği ve hata ayaklamaları ile yakından ilgilenecektir. Çünkü ilgili eklentilerin kullanıcılardan olumlu yorum alması, çok sayıda indirilme elde etmenin en temel anahtarıdır. Bu sebeple sitenizde yüklü eklentiler gerek WordPress güncellemeleri sonrası gerekse ilgili programda bulunan teknik sıkıntılar, güvenlik açıkları, uyum sorunları gibi sebeplerden ötürü geliştiriciler tarafından düzenli olarak güncellenecektirler. WordPress’in gerek sağlıklı kullanımı gerekse güvenliğin tam anlamıyla sağlanabilmesi açısından WordPress’in hem kendisinin hemde eklentilerin güncel olması son derece önemlidir. Özellikle WordPress son çıkardığı güncellemeler ile WordPress içerisinde arka kapı açarak sitelere saldırılar düzenleyen hackerları ve onların yöntemlerini engellemeyi hedeflemektedir.

WordPress Giriş Bilgilerinizin Güvenliğini Arttırın

WordPress sitenizde oluşturacağınız admin bilgilerinin her biri için sık kullanmadığınız ve çok sayıda harf, noktalama işaretleri içeren şifreler kullanın. WordPress üzerinde ayarlar bölümünde genel kısmından veya doğrudan profiliniz üzerinden admin bilgilerinizi güncelleyebilir ve yeni şifre belirleyebilirsiniz. Dijitalzade.com olarak bizim tavsiyemiz sitenize WordPress’i ilk kurarken oluşturduğunuz admin kullanıcı adı ve şifrenizin giriş bilgilerini değiştirerek çok uzun şifre ve kullanıcı adı belirlemeniz. Daha sonra site içerisinden yeni bir kullanıcı ekleyip burada site ile alakalı olmayan bir kullanıcı adı, yani nedir bu site alakalı olmayan kullanıcı adı dediğinizi duyar gibiyiz. Pek çok sitede admin kullanıcı adları genelde site ile alakalı olur. Örnek olarak dijitalzade.com sitesinin sahibinin admin hesabının kullanıcı adının admin, Dijitalzade veya dijitalzadeadmin gibi seçeneklerden biri olma ihtimali yüksektir. Bunu bilen hackerlar giriş denemelerinde özellikle bu tarz kullanıcı adlarına ağırlık vermektedir. Sitenizde admin(yönetici) hesaplarına kesinlikle site adını yada site ile ilgili herhangi bir kelimeyi içeren isim vermemeye dikkat edin. Yönetici hesabının şifresini ise özellikle çok sayıda harf ve noktalama işareti içeren uzun şifrelerden oluşturmaya çalışın. Sizin aklınıza bu tarz şifreler gelmiyor ise doğrudan şifre oluşturma araçlarındanda faydalanabilirsiniz. İlgili şifreleri bir kenara not almayı sakın unutmayın!

WordPress Sitenizi Güvenlik Önlemleri Yüksek Bir Sunucuya Taşıyın

WordPress sitenizi kesinlikle güvenlik önlemleri yüksek ve dünyaca bilinen hosting firmalarına taşıyın. hosting firmasının ne katkısı olabilirki sonuçta iş sitenin kendisinde bitiyor olarak düşünmeyin. Yakın zamanda belki hatırlayanlarınız çıkacaktır türkiye merkezli bir hosting firmasının sunucuları hacklenmiş ve kullanıma kapatılmıştı. Sunucuların tekrar eski performansına döndürülmesi için geçen sürede ilgili firmaya kayıtlı binlerce websitesine ulaşılamamış ve sitelerin indeksleri arama motorlarından düşmüştü.  Web sitenizin kayıtlı olduğu sunucuya yapılacak herhangi bir yavaşlatma, kapatma gibi saldırılarda doğrudan sitenizi etkileyecek ve kullanıma kapatacaktır. Sunucu güvenliği = Web site güvenliği olduğunu tekrar hatırlatıyor sunucu seçiminde ne yapılması gerektiği ile ilgili çok detaylı bir araştırma yapmanızı tavsiye ediyoruz. Sunucu hizmeti alacağınız hosting firmasının seçimi ile ilgili çok kapsamlı bir yazı çok yakında siz sevgili okurlarımız ile paylaşılacaktır.

Sitenizin Günlük, Haftalık ve Aylık Yedeklemelerini Gerçekleştirin

Gerek WordPress gerekse farklı siteler içinde çok önemli olan bir diğer konu yedeklemeler konusudur. Sitenizin belirli aralıklarda yedeklenmesi sitenizin güvenliği açısından çok önemlidir. Özellikle günlük alınan yedekler sitenize olası bir saldırının başarılı olduğu durumda veya site içerisindeki herhangi bir hatadan kaynaklanan site çökmeleri durumunda, sitenizdeki içeriklere olan erişiminizi kaybetmemek ve sitenizi hızlıca geri getirebilmek adına yedeklemelerinizin hazır bulunması çok önemlidir. Sitenizin olası bir hacker saldırısından zarar gördüğü durumlarda olabilecek en hızlı şekilde sitenizi geri getirip ilgili saldırının hasarlarını onaramazsanız Google tarafından kalite puanınız düşürülür ve sitenizin saldırı almış hali Google tarafından indexlenir(yayınlanır). Bu durumda hem size duyulan kullanıcı güvenini hemde site kalite skorunuzu ciddi oranda kaybedersiniz. Peki yedeklemeleri hangi eklentiler ile yapmalısınız? Gelin beraber inceleyelim.

All in One WP Migration

Üreticileri tarafındanda alt açıklamasında özetlendiği üzere, son derece kullanışlı bir programdır. Programı WordPress admin panelinde eklentiler bölümünden all in one wp migration diye aratarak bulabilir ve yükleyebilirsiniz. Sol taraftaki resimde görüldüğü üzere son derece yüksek kullanıma sahip ve iyi derecelendirilmiş bir program olan all in one wp migration çok kısa sürede manuel olarak site yedeklemesi almanıza ve hızlıca geri yüklemeye olanak sağlamaktadır. Bu eklenti özellikle sitesini farklı bir domain’e yada localhost üzerinde sitesinin temel ayarlarını yapan kullanıcıların sitenin bitmiş versiyonunu sitenin asıl domainine taşımalarında kullanılmaktadır. Sitenizde çok kapsamlı ve anlık bir yedekleme yapmak istediğiniz durumlarda son derece güvenli şekilde bu eklentiyi kullanıp sitenizin yedeğini alabilirsiniz. Eklentiyi kurup yükleyip aktifleştirdikten sonra eklenti WordPress admin menüsü üzerinde sol tarafa gelecektir. İlgili eklentiye giriş yaptığınızda hemen alt kısımda yer alan görseldeki gibi bir ekran karşınıza gelecektir. Burada yedeklemeyi düşünmediğiniz tüm seçenekleri seçip, ilgili yedek dosyasının versiyonunu seçtikten sonra yedeklemeyi başlatıp dosyayı indirebilirsiniz. WordPress sitenize tekrar all in one wp migration eklentisini kullanarak indirdiğiniz yedeğinizi içe aktar seçeneği üzerinden kurabilir ve kaldığınız yerden yayın hayatınıza devam edebilirsiniz.

BackupWordpress Günlük, Haftalık ve Aylık Yedekleme Eklentisi

WordPress üzerinde günlük, haftalık ve aylık yedeklemelerin ne kadar önemli olduğundan hemen yukarıda bahsetmiştik. Manuel olarak yedekleme ile uğraşamam o kendisi alsın ve bana mail göndersin isterim diyorsanız, Bu eklenti tam size göre. Eklentiler bölümünden yeni ekle kısmına girerek backupwordpress anahtar kelimesi ile arattığınızda hemen soldaki görseldeki şekilde karşınıza gelecek olan bu eklenti sitenizin tam kapsamlı olarak yedeğini istediğiniz gün hafta ve saatte sizin için alarak belirteceğiniz email adresine ilgili yedeğin indirme linkini yolluyor. Gönderdiği bu linke ek olarak 7 adet güncel yedeği sitenizin serverında saklıyor ve her yeni gelen yedeklemeden sonra en eski yedeği site sisteminden kaldırıyor. Bu sebeple kesinlikle gereksiz alan kaplama gibi bir durum bu eklenti ile söz konusu değildir. Dijitalzade.com olarak sizler için çok yoğun araştırmalar ve denemeler ile bulduğumuz bu eklentiyi kesinlikle tavsiye ediyoruz. İlgili eklentiyi kurup etkinleştirdikten sonra eklenti araçlar bölümüne backups adıyla gelecektir. Backups yazısına tıklayıp eklentinin kullanım paneline giriyoruz. Aşağıdaki görselde görünen kullanım paneli önümüze gelecektir. Burada setting kısmına tıklayıp ayarlar panelini açıyoruz. İlgili panelde haftalık, günlük veya aylık olarak neleri yedeklemek istediğinizi size soracaktır. İhtiyacınız doğrultusunda seçiminizi yapın. Bizim tavsiyemiz bizim görselde paylaştığımız şekilde hepsini yedekle olarak seçmenizdir. Daha sonra yedeğin kaç gün aralıklarla yada ne zaman alınacağını seçiyoruz ve saat belirtiyoruz.  Sonrasında kaç adet yedeğin belirtilen bölümde saklanacağını belirtikten sonra, en alt kısımda ise yedeğin hangi e-posta adresine gönderileceğini belirtip kaydet diyoruz ve uygulama çalışmaya başlıyor. İstersek manuel olarak hemen bir yedekleme alıp mail adresimize gönderebiliyoruz.

WordPress Admin Paneline Harici Ulaşımı Kapatın

WordPress sitelerde admin paneline ulaşmak sitenizin anasayfa adresine /wp-admin yazmak yeterlidir. Burada admin kullanıcı adı ve şifre isteyen kısım bizi karşılıyor. İlgili bilgileri yazdıktan sonra WordPress’in klasik admin kullanıcı paneline erişim sağlamaktayız. Ancak ilgili panele sizin ulaşabildiğiniz gibi pek çok kötü niyetli kişide doğrudan wp-admin yazarak ulaşabilmektedir. Pek çok kaliteli websitesi WordPress tabanı üzerine kurulsada kesinlikle wp-admin yazarak ilgili sitenin admin giriş paneline ulaşamamaktayız. Bunun sebebi ilgili sitelerin gerek geliştiricileri gerekse web yöneticilerinin tarafından ilgili giriş paneline ulaşımın engellenmesidir. Bunu yapmanın iki yolu vardır birincisi basit bir kodlama ile Wp-admin paneline giriş sadece belirli iplere özel hale getirebiliyor. Kodlama sistemi ile sizin belirteceğiniz iplerin haricindeki herhangi hiç bir ip wp-admin yazdığı zaman ilgili admin giriş panelini göremeyecektir. Ancak bu kullanım tarzının önemli bir dezavantajı sadece kısıtlı ipler üzerinden ulaşım sağlanabilmesidir. Evinizde bulunmadığınız ve acil bir müdahalenin gerekli olduğu durumda rastgele bir bilgisayardan sitenize ulaşamayacak ve hiç bir müdahalede bulunamayacaksınız. Biz bu tarz durumları önemsediğimizden dijitalzade.com olarak bu kodlamanın uygulanmasını pek tavsiye etmiyoruz. Bunun yerine burada paylaşacağımız eklenti çok daha işlevli ve çok daha kolay bir şekilde ilgili panele harici ulaşımı kapatacak ve güvenliğinizi sağlayacaktır.

Lockdown WP Eklentisi

Lockdown WP Admin eklentisi, son derece kullanışlı ve dijitalzade.com olarak bizim kullanımını önerdiğimiz bir eklentidir. Sean fisher tarafından geliştirilen bu eklenti sayesinde wp-admin yazarak ulaştığımız admin giriş paneline farklı bir isim belirleyebiliyoruz. Bu sayede yetkili olarak giriş yapmamış herhangi bir kullanıcı wp-admin yazarak panele ulaşmaya çalıştığında 404 sayfası ile karşılayacak yada 301 yönlendirmesi ile siz ilgili kullanıcıyı anasayfaya yönlendirebileceksiniz. WP admin panelinizin adını örnek.com.tr/örnek olarak değiştirirseniz, sitenize hali hazırda giriş yapmadığınız durumlarda sizde wp-admin yazdığınızda 404 sayfası ile karşılaşırsınız. Bu sistem sayesinde kötü niyetli ve harici kullanıcıların sitenizin wp-admin paneline ulaşımını engellemiş olursunuz. Güvenlik önlemi olarak basit ama etkili olan bu yöntem aynı zamanda profesyonellik açısından etkilidir. Mercedes’in sitesine girip wp-admin paneline tek tuşla ulaşabildiğinizi düşünün? Ne hissedersiniz? Aynısı uzun vadede sizin siteniz içinde geçerlidir. İlgili eklentiyi kurup etkinleştirdikten sonra eklenti lockdown WP adıyla admin menüsünü üzerinde belirecektir. Eklentinin üzerine gelip lockdown wp kısmına giriş yaptığınızda çok basit bir şekilde websitenizin adresi/ kısmı karşınıza çıkacak ve oraya bir ifade yazmanız istenecektir. Bu bölüme wp-admin paneline ulaşmak için yazmayı düşündüğünüz kelimeyi yazdıktan sonra aşağıdan save settings’e tıklayarak işlemi gerçekleştirmiş oluyorsunuz. Bu işlemden sonra harici kişiler hiç bir şekilde wp-admin panelinize siz söylemediğiniz sürece ulaşamayacaktır.

Sitenize Aktif Bir Güvenlik Eklentisi Kurun

WordPress tabanlı sitelerin güvenliği için en etkili yöntemlerden biride çok sayıda web yöneticisi tarafından kullanılan güvenlik eklentilerini kullanarak aktif hale getirmektir. Güvenlik eklentileri sisteminiz üzerinde taramalar yaparak hatalı veya virüslü dosyaları belirler, güvenlik duvarı oluşturur, sitenize gelen istekleri tarar ve admin giriş panelizi koruma altına alırlar. Php tabanlı bir sistem olan WordPress’de backdoor denilen arka kapılar açarak hackleme işlemi gerçekleştiren kötü niyetli kullanıcı sayısı çok fazladır. Bu tarz saldırı girişimlerinden korunmak adına güvenlik eklentilerini yüklemeli ve aktif olarak güncellemelerini takip etmelisiniz. Sitenizde sık sık virüs taraması yaparak site içerisine yüklenen yada yüklediğiniz dosyaları taramalı ve zararlı içerikleri ortadan kaldırmalısınız.

Wordfence Güvenlik Eklentisi 

Wordfence, WordPress üzerinde en yaygın olarak kullanılan 3 güvenlik eklentisinden biridir. Dijitalzade.com olarak özellikle kullanımını önerdiğimiz bu eklenti, çok detaylı bir tarama sistemine, bot saldırı korumasına ve admin giriş paneli korumasına  sahiptir. Özellikle Rusya ve Çin merkezli kullanıcı adı ve şifre deneme methoduyla yapılan hackleme girişimlerine karşı çok başarılı olan bu eklenti sayesinde sitenizi kapsamlı bir koruma güvencesi altına alabilirsiniz. 3 milyondan fazla kullanıma ve 5 yıldız ( tam puan) kullanıcı geri dönüşe sahip olan bu eklenti ile site içerisinde A’dan Z’ye tarama yapabilir ve site içerisindeki hatalı çalışan kodlarda dahil olmak üzere pek çok içeriğe ulaşabilirsiniz. Ücretsiz ve ücretli kullanımı bulunan bu eklentinin ücretsiz versiyonu ile sitenizi pek ala koruyabilirsiniz. Pro sürümünde ise komple ülke engelleme başta olmak üzere ücretsiz versiyonda sunulan özelliklerin çok daha kapsamlı versiyonları yer almaktadır. İlgili eklentiyi kurup etkinleştirdikten sonra eklenti Wordfence adıyla admin menüsünde görünecektir. Wordfence içerisinden scan, firewall, dashboard, tools gibi eklenti ile alakalı ve sitenizin güvenlik ayarlarının girildiği bölümler bulunmaktadır. Wordfence’de sitenize özel ayarlayabileceğiniz çok sayıda öznel ayarlamalar mevcuttur. Bot saldırı durumlarında ne yapılması gerektiği, şifre denemelerinde yanlış deneme sınırlaması, yanlış deneme yapanların ne süre ile yasaklanacağı veya sistemden kickleneceği gibi çok sayıda işlem ile ilgili ayarlama yapabilirsiniz. Eklenti üzerinden scan bölümüne geldiğinizde sitenizi A’dan Z’ye taratabilir ve varsa hataları, virüslü dosyaları bulup inceleyebilirsiniz. Burada önemli nokta bulduğunuz dosyaları onarmadan yada silme işleminden geçirmeden önce mutlaka sitenizin yedeğini almanız çünkü uygulamanın virüs bulaştığını belirlediği veya hatalı düzenlenmiş olarak diye belirttiği dosyalar bazı durumlarda sitenizin hayati dosyaları olabilir bunları sildiğiniz durumlarda ise sitenize ulaşamayabilirsiniz. Güvenlik sebebi ile biz dashboard kısmındaki ayarlarımıza ait bölümün görselini paylaşamıyoruz. Ancak genel hatlarıyla dashboard bölümünde sırasıyla; Firewall ayarları, Brute yani saldırı durumunda uygulanacak işlemlerle ilgili ayarların bulunduğu bölüm, Ek güvenlik ayarlarının bulunduğu kısım, Rate limiting yani bot, tarama kısıtlamalarının yapıldığı bölüm ve beyaz liste durumlarını belirlediğiniz alanlar yer almakta. Dijitalzade.com olarak bu eklentiyi son derece beğeniyoruz ve siz değerli kullanıcılarımıza öneriyoruz. Bu eklentinin kurulumu ile ilgili internet ortamında videolu herhangi bir türkçe anlatım olmadığından sizler ile paylaşamıyoruz ancak yakın zaman içerisinde Wordfence kullanımı ile alakalı çok daha detaylı bir yazıyı sizler ile paylaşacağız.

Çift Doğrulamalı Admin Paneli Girişi Uygulayın

WordPress admin paneline girişte kesinlikle kullanmanız gereken bir diğer uygulama ise çift doğrulamalı admin paneli girişidir. Eklentiler bölümünden yeni ekle kısmına gelip keyy two factor olarak arattığınızda karşınıza çıkacak olan bu eklenti, Son derece kullanışlı ve etkilidir. Eklenti yüklenip, etkinleştirildikten sonra sol taraftaki admin menüsü üzerine keyy login olarak eklenecektir. Eklentiye ilgili menüden giriş yaptığımızda karşımıza taratılmak üzere bir kod bulunan uygulamanın ana menüsü gelecektir. Telefonumuza apple store’dan veya android telefonların ilgili uygulama panelinden Keyy uygulamasını indiriyoruz ve yukarıda belirttiğim kodu, uygulama vasıtasıyla taratıyoruz. Ardından işlem tamam sitemiz koruma altına alınıyor. Bu işlemden sonra hiç bir şekilde harici, kötü niyetli kullanıcılar bizim telefon onayımız olmadan şifremizi ele geçirseler dahi admin paneline ulaşım sağlayamayacaklardır. Çok yeni olarak piyasaya sürülmüş bu uygulamayı ilk piyasaya çıktığından beri kullanmaktayız henüz bir negatif etkisi görmedik. Piyasadaki koruyucu uygulamaların pek çoğundan daha basit ve etkili bir uygulama olması sebebiyle güvenliği arttırabilmeniz adına denemenizi tavsiye ederiz.

HTTPS Protokolüne Geçiş Yapın (SSL Kullanın)

WordPress site güvenliğini hem kendiniz hemde kullanıcılarınız için arttırmanızın en önemli adımlarından bir taneside sitenize SSL kurulumu gerçekleştirmektir.

SSL sitenizin HTTP protokolünü HTTPS’e (Hyper Text Transfer Protocol Secure) mekanizmasına geçirerek sunucunuz ile kullanıcılarınızın tarayıcısı arasında gerçekleşen bilgi alışverişinin şifreli bir şekilde tamamlanmasını sağlar.

Genellikle sitelerinde kredi kartı bilgisi toplamayan yada alışverişe yer vermeyen sitelerin SSL sertifikasına ve HTTPS protokolüne ihtiyaç duymadığına yönelik yaygın bir bilgi kirliliği vardır ancak bu yanlıştır. Kredi kartı bilgisi toplayıp toplamadığınız fark etmeksizin SSL sertifikası kullanımı websiteleri için olmazsa olmaz güvenlik işlemlerinin başında gelir.

Bunun en temel sebeplerini 6 temel başlık altında sayabiliriz.

1 – Güvenlik

SSL sertifikasının websiteleri için önemli olmasının en temel sebebi pek tabiki sağladığı güvenli giriş ve şifreli bilgi akış garantisidir. SSL sertifikaları en temelde websiteleri üzerinde gerçekleştirilen ticari faaliyetleri güvence altına almak amacıyla kulllanılsalarda, websitenizde çok sayıda kullanıcı ve personel girişi mevcut ise ve sitede kullanıcı kaynaklı bilgi alışverişi yoğun olarak gerçekleşiyor ise SSL sertifikası sizin siteniz içinde şarttır.

SSL sertifikası kullanımının sağladığı https protokolü ile sitenize giriş yaparken verdiğiniz giriş bilgileri, tarayıcı ile sunucu arasında şifrelenmiş şekilde gönderilir ve bilgileriniz, man in the middle gibi saldırılar ile bilgi hırsızlığı yapmaya çalışan hackerlara karşı güvence altına alınmış olur.

Bu noktada e-ticaret sitesi, blog sitesi yada herhangi bir ajans sitesi sahibi olup olmadığınız fark etmeksizin SSL sertifikası kullanarak sitenizde gerçekleşen bilgi alışverişini güvence altına alabilirsiniz.

2 – SEO

Google tarafından pek çok kaynakta yapılan resmi duyurulara göre HTTPS protokolü kullanımı Google tarafından sıralama faktörü olarak kullanılmakta. Sıralamanın belirlenmesinde diğer pek çok metriğe göre sağladığı avantaj küçük olsada HTTPS kullanımı, rakiplerinizi geçme noktasında kesinlikle katkı sağlayabilecek önemli bir adımdır.

3 – Güvenilirlik

SSL sertifikası kullanımı ile gelen HTTPS protokolü sayesinde sitenize giriş yapıldığında hemen hemen tüm tarayıcılarda sol tarafta yeşil bir ifade belirir. Bu ifade sitede gerçekleşen bilgi alışverişinin SSL sertifikası ile şifrelendiği ve güvenli şekilde gerçekleştiği manasına gelir.

Günümüz internet çağında artan rekabet ve küçük farkların kullanıcı güveni üzerinde yarattığı etki düşünüldüğünde kullanıcılarınızın güvenini kazanma noktasında SSL sertifikası kullanımı oldukça önemlidir.

4 – Referans Veri Kaybı

Pek çok website sahibinin dikkatini çekmesede HTTPS protokolünden HTTP’ye verilen link referansları ve veri alışverişleri Google tarafından net olarak aktarılmamaktadır.

Özellikle Google analytics üzerinde rahatlıkla gözlemleyebileceğiniz bu durumda, https siteden http bir sayfaya yönlendirme verildiğinde referral bilgisi olarak yönlendirmeyi veren site yerine direkt trafik bilgisi verilmektedir.

Bu noktada özellikle referal yani referans veri sistemi üzerine bir sistem kurmayı planlıyorsanız sitenizde mutlaka HTTPS kullanımına yer vermelisiniz.

5 – Tarayıcılarda Bu Site Güvenli Değildir Uyarıları

Gelişen tarayıcı teknolojisi ile birlikte günümüzde hemen hemen bütün tarayıcılarda https protokolü kullanmayan siteler “not secure” yani güvenli olmayan siteler olarak işaretlenmektedirler.

Özellikle Google chrome üzerinde oldukça dikkat çekici şekilde karşılabileceğiniz bu site güvenli değildir uyarısı siteye giriş yapmak isteyen kullanıcının fikrini ciddi derece etkilemektedir.

2018 yılında Google chrome 68 ve üstünü kullanan tarayıcılarda aktifleştirilen bu uyarı ile HTTP protokolünü kullanan websitesine bağlanmak isteyen kullanıcılar chrome tarafından uyarılmakta ve kullanıcının o siteye girişi engellenmeye çalışılmaktadır.

Websitelerinin yeğane amacının siteye kullanıcı çekmek olduğu düşünüldüğünde bu uyarının kullanıcı üzerinde yarattığı etkinin getireceği kullanıcını kaybının önüne geçmenin ne kadar önemli olduğu açıkca ortadadır.

6 – Performans

HTTPS protokolünü kullanan siteler HTTP/2 teknolojisinin avantajlarından faydalanarak çok daha hızlı açılış hızlarına sahip olabilirler. HTTPS protokolünün sağladığı tarayıcı desteği ile HTTP/2 protokolü sitelerde çalışmak için HTTPS protokolüne ihtiyaç duyar ve sitelerin açılışda gerçekleştirdiği http isteklerinin sayısını azaltır.

wp-config.php Güvenlik Anahtarlarını Güncelleyin

Sunucunuzun root dizininde yer alan wp.config.php içerisinde bulunan ve WordPress 2.7 yayınlandığından beri toplamda 4 ana anahtardan (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY) oluşan güvenlik anahtarlarını güncelleyebilirsiniz.

Güvenlik anahtarları, WordPress sitenizi ilk oluşturduğunuzda WordPress tarafından rastgele şekilde oluşturulur. Ancak zaman içerisinde sitenizi çok sayıda farklı sunucuya taşıdığınızda veya sitenizi bir başkasından satın aldığınızda bu güvenlik şifrelerini güncellemeniz faydalı olacaktır.

Şifreleri random şekilde güncellemek için WordPress tarafından oluşturulmuş bu sayfayı kullanabilirsiniz; Tıklayınız.

Oluşturduğunuz yeni şifreleri, sitenizin sunucusu üzerinde root dizininde bulunan wp.config.php dosyası üzerinde eskileri ile değiştirebilirsiniz.

WP-load.php Dosyasına Erişimi Engelleyin

Güvenli bir wordpress sitesinin önemli adımlarından bir taneside wp-load.php dosyasına erişimi engellemektir. wp.config.php dosyasına erişimi engellediğimiz gibi .httaccess dosyasını kullanarak wp-load.php dosyasına erişimide engelleyebiliriz. Bunun için aşağıda yer alan kodu sitenizin root dizininde yer alan .httaccess dosyanızın içerisine ekleyin.

<files wp-load.php>
order allow,deny
deny from all
</files>

WordPress Otomatik Güncellemeleri Açın

Tüm sistemlerde olduğu gibi WordPress’de de yer alan açıkların kapatılması için güncellemeler düzenli olarak çıkarılmaktadır. Bu güncellemeleri hızlı şekilde indirmek ve sisteminizi pro aktif bir şekilde güncel tutmak için WordPress otomatik güncelleme özelliğini açmalısınız.

Aşağıda yer alan kodu wp-config.php dosyanıza ekleyin ve otomatik güncellemelerin keyfini çıkarın.

define(‘WP_AUTO_UPDATE_CORE’, true);

Sunucu Dosya İzinlerini Değiştirin

WordPress sitelerin son derece önemli bilgilerini barındıran root dizininde yer alan dosyaların izinleri genellikle 644 olarak ayarlanmış şekildedir. Bu izinlerin yanlış ayarlandığı durumlarda istenmeyen gruplarda yer alan kullanıcılar dahi sunucunuzun dosyalarını okuma ve editleme yapabilme yetkisine sahip olur.

Bu durumda sunucu izinleriniz, istemediğiniz kişi yada kişilerin sunucu dosyalarınızı görüntülemesine, okumasına ve hatta değişiklik yapması izin verdiğinden websitesinde kötü amaçlı saldırılara malzeme olmasına sebebiyet verebilir.

Bu nedenle sitenizin önemli bilgilerini korumak amacı ile sunucunuzda yer alan WordPress dosyalarınızdan özellikle wp-config.php vb dosyalarınızın izinlerini 440 veya 400 ile değiştirerek kullanıcıların okuma ve editleme yapma işlemlerinin önüne geçebilirsiniz.

Sunucunuzda yer alan dosyaların izinleri ile alakalı teknik bilgi yeterliliğiniz yok ise hangi dosyaların izinlerinin yanlış düzenlendiğini öğrenmek için ithemes security eklentisini kullanabilir ve hızlıca riskli şekilde ayarlanmış dosya izinlerinizi görüntüleyebilirsiniz.

Sitenizde yer alan dosyaların izinlerinin uygunluk durumlarını kontrol etmek ve potansiyel risklerin önüne geçmek için yukarıdaki görselde yer alan ithemes security eklentisini kullanabilirsiniz. İndirmek için TIKLAYINIZ.

Sunucu izinlerini değiştirmek için ftp client araçlarını veya varsa cpanelinizi kullanabilirsiniz.

 XML-RPC Özelliğini Devre Dışı Bırakın

XML-RPC, WordPress sitelerde kullanılan ve site ile siteye işlem yapmak isteyen kullanıcı arasında komutlar vasıtasıyla uzaktan veri alışverişinin sağlanması için oluşturulmuş bir mekanizmadır.

XML-RPC kullanılarak kullanıcı ile site arasında veri alışverişi gerçekleştirilmekte ve websitesine uzaktan yönlendirmeler ile işlemler yaptırılabilmektedir.

Doğru kullanıldığında tek bir http istek ile site üzerinden çok sayıda response yani cevap alınarak işlem yaptırabilindiğinden oldukça avantajlıdır. Ancak uzaktan erişim ve çok sayıda işlem yapabilme avantajı ile tehlikeli ataklara kapı açan XML-RPC, özellikle geçtiğimiz son bir kaç yıl içerisinde WordPress sitelere yapılan brute force saldırılarının ana hedef kaynağı haline geldi.

Sitenizde uzaktan erişim ile işlem yapmaya ihtiyaç duyan jetpack ve türevi eklentiler mevcut değil ise XML-RPC özelliğini sitenizde kapatarak bu tarz saldırıların önüne geçebilirsiniz.

Websitenizde XML-RPC özelliğinin çalışıp çalışmadığını öğrenmek için XML-RPC Validator isimli siteyi kullanabilirsiniz; Kontrol aracına erişmek için tıklayınız.

XML-RPC sitenizde aktif ise kapatmak için linkte yer alan Disable XML-RPC wordpress eklentisini kullanabilirsiniz.

WordPress Versiyonunu Gizleyin

Herhangi bir işlem yapmadığınız durumda sitenizin WordPress versiyonu sitenin kaynak kodlarının üst bölümünde yer alan header kısmında  görüntülenebilmektedir.

Kötü niyetli saldırganların siteniz ile alakalı bilgileri öğrenerek eksiklerinize yönelik işlem gerçekleştirmesini önleyebilmek adına sitenizin bu tarz kritik bilgilerini kaynak kodlarından gizlemelisiniz.

WordPress sitenizin mevcut versiyonunu gizlemek için aşağıda yer alan kodu sitenizin functions.php dosyasının en altına ekleyebilirsiniz.

function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version')

WordPress Versiyon Gizleme Güncellemesi

18.06. 2021 tarihi itibariyle üstte paylaştığımız WordPress’in versiyonunu gizlemede kullanılan kodun bazı site senaryoları için sızıntıyı komple engellemede yeterli olmadığını gözlemledik. Bu noktada özellikle güncel WordPress versiyonlarında yeni eklenen özellikler ile birlikte WordPress’in versiyonunun belirlenmesinde farklı teknikler ortaya çıktığından sızıntıyı engellemek için farklı müdahalelerin hayata geçirilmesi ihtiyacı doğmuştur.

Örneğin: RSS (feed), sitede kullanılan statik kaynaklar (CSS,JS) gibi etmenler güncel olarak WordPress versiyonunuzun belirlenebilmesine sebebiyet verebilmektedir. Bu noktada özellikle üstte paylaştığımız kod ile versiyon generatör’ün engellenmesine ek olarak burada yer alan kod ile de RSS feed, ve statik kaynaklardaki olası versiyon sızmalarını önleyebilirsiniz.

// RSS'den versiyonları siler
add_filter('the_generator', '__return_empty_string');

// Script ve CSS kodlarından WordPress Versiyonlarını Siler
function shapeSpace_remove_version_scripts_styles($src) {
	if (strpos($src, 'ver=')) {
		$src = remove_query_arg('ver', $src);
	}
	return $src;
}
add_filter('style_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);

Burada yer alan kodu yine functions.php dosyanızın içerisine eklemeniz yeterli olacaktır.

En Son HTTP Güvenlik Başlıklarını (Header) Yükleyin

WordPress siteninizin güvenlik katmanını kalınlaştırmak için atabileceğiniz bir diğer adımda HTTP güvenlik başlıklarını yüklemektir. Bu başlıklar genellikle sunucu tarafında yüklenen ve tarayıcıya sitenizin içeriklerini görüntülerken nasıl davranması gerektiğini belirten alanlardır.

HTTP güvenlik başlıkları olarak kullanabileceğiniz çok sayıda başlık var olsada en önemli olarak görülen toplamda 6 başlık mevcuttur.

• Content Security Policy (CSP)
• X-XSS-Protection
• Strict-Transport-Security
• Public-Key-Pins
• X-Frame-Options
• X-Content-Type

Websitenizde kullanılan güvenlik başlıklarını kontrol etmek için Google chrome dev tools üzerinde yer alan headers bölümünü kontrol edebilirsiniz.

Ek olarak harici bir site olan securityheaders.com websitesini kullanarak da sitenizde aktif olan güvenlik başlıklarını görüntüleyebilirsiniz.

İlgili alanlardan sitenizi kontrol ettiğinizde güvenlik başlıklarının tamamının yada bir kaçının eksik olduğunu görüntülerseniz; Kurulum ile alakalı hosting şirketinizden yada harici çalışan uzmanlardan destek alabilirsiniz.

Veritabanı (Database) Güvenliğini Arttırın

Veritabanı ismini güncelleyin

WordPress sitenizi ilk oluştururken site isminiz gümüş kolyeler ise sitenizin veritabanı isminin otomatik olarak gumuskolyeler olarak oluşturulması oldukça normal ve olasıdır. Bu durum kötü niyetli saldırganlar tarafından bilindiğinden sitenizin veritabanınına ulaşmak amacıyla kullanabilmektedir.

Bu durumun önüne geçmek için websitenizin veritabanı ismini çok daha komplex ve karışık bir hale getirerek saldırganların erişmesinin önüne geçebilirsiniz.

Veritabanınızın ismini değiştirmek için ilk yapmanız gereken işlem phpmyadmin’e erişmektir. Cpanel üzerinde görselde kırmızı daire içerisinde görebileceğiniz şekilde görünmektedir.

Açılan phpmyadmin ekranında görselde görebileceğiniz şekilde 2 ile gösterilen işlemlere tıklayıp sırasıyla 3’e yeni veritabanı isminini yazdıktan sonra 4 de yer alan git butonuna basarak veritabanı isim değişikliğini halledebilirsiniz.

Veritabanı Ön Ekini (Prefix) Güncelleyin

Veritabanı güvenlik önlemlerinin ikinci adımı olan (prefix) ön ek güncellemesi sitenin güvenliğinin sağlanmasında önemli adımlardan bir tanesidir.

WordPress sitenizi oluşturduğunuzda WordPress tarafından veritabanı ön eki, default olarak wp_ olarak ayarlanmaktadır. Kötü niyetli saldırganlar bu default ön ek isimlendirmesini bildiklerinden saldırılarını bu bilgiye göre gerçekleştirmektedirler.

İşte tamda bu noktada saldırıların önüne geçmek için veritabanı ön ekini çok daha kompleks rakamlar ve işaretler içeren bir isimli ile değiştirmek oldukça önemlidir.

Veritabanı ön ekini güncellemek için aşağıda yer alan ingilizce videodaki adımları izleyebilirsiniz.

Hotlink Kullanımını Engelleyin

Hotlink kullanımı internet üzerinde çok sık rastladığımız ancak pek çok kullanıcı tarafından dikkat edilmeyen bir uygulamadır. Hotlink, en temelde internet üzerinde gördüğümüz bir dosyanın barınma linkini site sahibinden izinsiz şekilde kendi sitemize yerleştirmek ve ilgili içeriğin barındırma işlemini karşı tarafa yaptırmaktır.

Websitelerinizden hotlink kullanımını engellemeyi ihmal ederseniz sitenizde barınan görsel içerikleriniz başka siteler tarafından embeded kodlar ile sitelerine eklenerek kullanılabilir ve ilgili görse içeriklerin barınma ve trafik kullanımları sunucunuza yansıtılabilir.

İlk bakışta çok ciddi bir problem olarak görünmeyen bu durum özellikle çok sayıda görsel içerik barındıran websitelerinde cdn kullanan veya barındırma işlemi için ekstra sunucular kiralayan website sahipleri için çok daha yüksek maliyetler doğurabilir.

Apache Serverlarda Hotlink Koruma

Apache sunucularda hotlink kullanımını engellemek için aşağıda yer alan kodu .httaccess dosyanıza ekleyebilirsiniz.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

İlgili kod satırında yourdomain.com kısmına websitenizin adresini eklemeyi unutmayın. Eğer görsellerinizi birden fazla sitede kullanılabilir yapmak istiyorsanız ikinci satırdaki kodu çoğaltarak alt alta yeni site adresleri ile ekleyebilirsiniz.

NGINX’de Hotlink Koruma

Hotlink kullanımını NGINX’de engellemek için aşağıda yer alan kodu config dosyanıza ekleyebilirsiniz.

location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}

cPanel ile Hotlink Koruma

Websitenizi barındırdığınız sunucunuzda cPanel kullanıyorsanız hotlink korumasını aktif etmek için hemen her hosting panelinde bulunan hotlink koruması alanını kullanabilirsiniz.

cPanel üzerinde görselde görebileceğiniz şekilde görüntülenen hotlink koruması genellikle panellerin güvenlik alanlarının altında yer alır.

İlgili alana tıklayıp giriş yaptığınızda karşınıza görseldeki gibi bir ekran gelecektir. Bu ekran üzerinde üst kısımda 2 numaralı alanda yer alan etkinleştir butonuna basarak hotlink korumasını aktif hale getirebilirsiniz. Hotlink korumasını aktif ettikten sonra sunucunuzda yer alan resimlere hangi urllerin erişebileceğini alt kısımda yer alan yapılandır bölümüne girebilirsiniz.

DDos Koruması Aktif Edin

DDOS, bir çeşit sistemi devre dışı bırakma (DOS) saldırı çeşididir. İlk defa 2000 li yılların başında uygulanan bu saldırı yöntemi, en temelde çok sayıda sistemin kullanılarak tek bir ağ’a veya sunucuya saldırılması ile uygulanan son derece etkili bir saldırıdır.

Diğer pek çok hack saldırısının aksine bu saldırı çeşidinde siteniz teknik olarak kalıcı bir zarar ile karşılaşmaz. Bu saldırıda amaç site üzerinde kalıcı hasar bırakmak yerine siteyi belirli bir süre için devre dışı bırakmaktır. Çok kuvvetli şekilde gerçekleştirilen bir DDOS saldırısında gerekli önlemleriniz olsa dahi sunucunuz saatlerce devre dışı kalabilir.

Bu noktada websitenizin korunması için cloudflare, sucuri benzeri 3.cü taraf koruma şirketleri ile çalışabilirsiniz. Özellikle Amerika Birleşik Devletleri merkezli cloudflare firması kısıtlıda olsa ücretsiz olarak sunduğu SSL sertifikası, site hızlandırma işlemleri ve DDos koruması ile çoğu websitesinin kurtarıcısı olmuş durumda.

Cloudflare’in premium koruma paketlerine geçerseniz çok ciddi bir ddos koruma kalkanı altına girmiş olursunuz. SYN/ACK ve Layer 7 attaklarıda dahil olmak üzere tüm DDOS ataklarını başarılı şekilde geri püskürtebilirsiniz.

DDos korumasının aktif edilmesi websiteleri için olmazsa olmaz güvenlik önlemlerinin başında gelir. Websitenizin, istemediğiniz saldırganlar tarafından kapatılması, sunucu yükünüzün arttırılması ve sunucu trafik limitlerinizin boş yere tüketilmesi sitenizde görünür yaralar bırakmasada arka planda sunucunuzun üzerinde ciddi etkiler bırakarak işlerinizi belirli bir süre boyunca aksatabilir.

Gereksiz Eklentileri Kaldırın

WordPress tabanlı siteleri hedef alan saldırganlar genellikle site içerisindeki gereksiz ve devre dışı kalmış eklentilere saldırırlar. Hatta WordPress’in resmi olarak yayınladığı eklentilerde bu saldırı listesine dahildir. Hackerlar sitenizde yüklü eklentilerde açıklar arayarak sitenizin admin paneline doğrudan ulaşıp site içerisinde arka kapı açacak scriptleri sitenize yerleştirmeye çalışırlar. Bu sebeple sitenizde gerekli görmediğiniz eklentileri ve kullanımına güvenmediğiniz eklentileri sitenizden kaldırın. Özellikle yeni bir eklenti kurarken ilgili eklentinin kaç kez indirildiğine, ne sıklıkla güncelleme aldığına, yorumlarına ve yıldız sayısına çok dikkat etmelisiniz. Güncellenme oranı yüksek olsada 500 kişi tarafından indirilmiş ve 10 kez oylanmış bir eklenti henüz deneme aşamasındadır ve saldırılara açıktır. Bu sebeple kesinlikle bu tarz uygulamaları indirip sisteminizin bir parçası haline getirmeyin. Sitenize yükleyip sildiğiniz eklentilerin dahi sitenizde kalıntılar bıraktığınız Biliyormuydunuz? WordPress sitelerde eklenti kalıntılarını temizleme isimli makalemizi okuyarak detaylı bilgi sahibi olabilirsiniz.

Tema Düzenleyici Bölümüne Ulaşımı Kapatın

Admin menüsü üzerinde görünüm bölümüne geldiğimizde tema düzenleyici bölümü karşımıza çıkacaktır. İlgili bölüm üzerinde kolayca sitenizde bulunan özellikleri değiştirebilirsiniz. Ancak şunu özellikle belirtmekte fayda var; css, html ve javascript kodlamayı bilmiyorsanız veya herhangi bir deneyiminiz yoksa bu bölümde değişiklik yapmamanızı tavsiye ederiz. Kötü niyetli bir saldırgan sitenizin admin paneline giriş yapmayı veya sızmayı bir şekilde başardığında sitenize shell adı verilen materyaller yerleştirerek sitenizi ele geçirmeyi düşünecektir. Bu sebeple ilk bakacağı ve saldıracağı nokta görünüm sekmesindeki tema düzenleyici bölümü olacaktır. Saldırganlar bu alan üzerinden doğrudan ftp dizinine ulaşım sağlamadan site ile ilgili temel ayarları değiştirebilir ve sitenizi ele geçirebilir. Saldırı ihtimaline ek olarak, sitenizde 1 den fazla sayıda yönetici hesabı olduğu durumda site üzerinde diğer yöneticilerin harici değişiklik yapmalarını önlemek adına tema düzenleyici bölümünü komple kapatmayı düşünebilirsiniz. Bunun için yapmanız gereken ftp üzerinden veya doğrudan cpanel aracılığıyla dosya düzenleyiciye girerek, public-html bölümünde wp-config.php dosyasına ulaşıp ilgili dosyanın en alt bölümüne burada paylaştığımız kodu girmeniz yeterli olacaktır. ( Tema düzenleyici bölümüne ulaşımı tekrar aktif etmek istediğinizde ilgili kodda yer alan true bölümünü false yapmanız veya kodu silmeniz yeterli olacaktır.)

define( 'DISALLOW_FILE_EDIT', true );

Sonuç

WordPress kullanımı giderek artmakta olan bir bir sistem olduğundan, hackerlarında WordPress sitelere yönelik iştahı giderek artmakta. Her geçen gün iyiler ve kötü olarak tabir ettiğimiz hackerlar arasındaki savaş kızışmakta ve yeni yöntemler ortaya çıkmaktadır. Hackerlar yeni bir sistem üretiyor, İyi yazılımcılar dediğimiz insanlar bir güvenlik önlemi üretiyor. Bu iş çok uzun yıllardan beridir bu şekilde devam etmekte. Biz ise sizlere WordPress sitenizi koruma noktasında hızlıca yapabileceğiniz ve son derece etkili belli başlı yöntemleri sunduk. Bu yöntemleri uyguladıktan sonra ortalama bir saldırganın sizin sitenizi saldırıp alt etmesi çok zordur. Ancak yinede eklenti yüklerken, şifrelerinizi paylaşırken ve site üzerinde bir değişiklik yaparken çok dikkatli olun ve belirttiğimiz şekillerde yedeklemeler almayı unutmayın. Özellikle .htaccess dosyanıza hiç bir şekilde bilmediğiniz bir kod yazmayın. İnternet üzerinde giderek yaygınlaşan .htaccess önerilerinin pek çoğu sitelerin kendilerine has ve öznel kodlardan oluşmaktadır. Sitenizin .htaccess yedeğini almadan kesinlikle bu tarz internet üzerinden aldığınız kodları sisteminize girmeyin.

Umarız hiç bir şekilde bir hacker saldırısına maruz kalmazsınız.

Sitenizin güvenliğini sağlamak için yapmanız gerekenleri anlattığımız bu yazıda aklınıza takılan herhangi bir soru, öneri, şikayet veya teknik destek için bizlere iletişim sayfamızdan ulaşabilirsiniz.