Bir barındırma sunucusuna yüklenen İçerik Yönetim Sistemlerini (CMS) korumak, günümüzün sürekli büyüyen dünya çapındaki web’inde çok önemlidir, ancak WordPress web sitemi kısıtlı bir bütçeyle nasıl koruyup güvenli hale getirebilirim?
Bu cephede tonlarca seçenek mevcuttur, ancak web sitesi koruması konusunda bütçenize uyan doğru kararı vermek bunaltıcı olabilir. Bununla birlikte, bu makalede, WordPress web sitenizi hiçbir ücret ödemeden verimli bir şekilde korumanın temellerini ele alacağız.
WordPress Kötü Amaçlı Yazılım ve Güvenlik Açığı Tarayıcıları
Web siteniz için doğru tarayıcıyı bulmak, kaç seçeneğin mevcut olduğu göz önüne alındığında, ilk başta biraz bunaltıcı görünebilir. Web’de bulunan tarayıcılar için alarmlar değişiklik gösterecektir, bu nedenle öncelikle temelleri ele almak faydalı olacaktır. En azından, herhangi bir şüpheli davranışı tamamlamak ve sizi uyarmak için düzenli taramalar planlamalısınız.
Örneğin, ücretsiz Sucuri WordPress tarama eklentisiyle, bu tarayıcıların çalışacağı belirli bir zaman aralığı planlayabileceksiniz. Bu taramaların ne kadar kaynak ürettiğini de düşünün.
Güvenlik açığı taramalarıyla ilgili olarak, bir tarayıcının güncel olmayan temalar, eklentiler ve yazılımlar açısından optimum algılamaya sahip olduğundan emin olmak önemlidir. Güncellemelerin düzenli olarak yapılmasını sağlamak, web sitesi güvenliği için çok önemlidir. Bir eklentiyi güncellemek, önce yerel olarak test edilmezse sitede sorunlara neden olabilir.
Ancak, bir şeylerin kötüye gitmesi durumunda yedek oluşturmak size çok yardımcı olacaktır.
WordPress Giriş Koruması
WordPress wp-admin Captcha
Yönetici oturum açma panelinizi korumak, herhangi bir web sitesi için zorunlu olmaya devam ediyor. İlk kez web sitesi kullanıcılarının ilk hatası, birden çok platformda aynı zayıf parolaları kullanmaktır. Elbette hatırlaması kolay, ama diyelim ki kayıt olduğunuz birçok siteden birinde rezil bir veri ihlali var. Parolanız artık herhangi bir bilgisayar korsanının elde etmesi için web dünyasının derinliklerine bırakıldı.
Oluşturulan güçlü parolalar, sonuç olarak kimlik avı kampanyaları, kimlik sahtekarlığı, sosyal mühendislik vb. bilgisayar korsanlarından birinin bu daha zayıf, tekrarlanan parolaları kullanma riskini azaltmaya yardımcı olur.
Bununla birlikte, bir parola yöneticisi yüklemek ve ana anahtarı güvenli ve özel bir yerde saklamak iyi bir çözüm olacaktır.
Oturum açma paneliniz için izin verilenler/engellenenler listeleri altında IP adresleri ayarlamak, şüpheli IP’lerin yönetici kontrol panelinize erişmesini önlemeye yardımcı olur. Yönetici kontrol paneli varsayılan olarak /wp-admin’dir, ancak bilgisayar korsanları genellikle önce Brute Force’u girmeye çalışır. WordPress oturum açma URL’nizi markanıza daha özel bir şeyle değiştirmek, bu girişimlerin önlenmesine yardımcı olacaktır.
WordPress kullanıcısının ayrıcalık düzeyine bağlı olarak, bu hesaplara 2FA eklemek, kimsenin kendi kimliğiyle oturum açmaya çalışmamasını sağlayacaktır. Güvenlik soruları eklemek de yararlıdır. Bilgisayar korsanları genellikle Brute Force saldırıları gerçekleştiğinde bunu tahmin edeceğinden, birincil yönetici varsayılan olarak kullanıcı adı olarak “admin” kullanmamalıdır.
Giriş denemelerini sınırlamak, bu saldırıları da önlemeye yardımcı olur. Ek kullanıcıların yalnızca kesinlikle gerekli ayrıcalıklara ihtiyaç duyduğundan emin olun ve kullanılmayanları kaldırın.
Sitede formlar ve oturum açma panelleri içeren bölümler için bir CAPTCHA yapılandırmak, botların kötü amaçlı kod eklememesini sağlar. Yüklü tüm CAPTCHA eklentilerinin, diğer tüm eklentiler, temalar veya uzantılar gibi güvenilir ve güvenilir olduğundan emin olun.
Bu ek şeyleri yüklemeden önce bir yedekleme yapmak da elbette faydalıdır. Ancak bu kurulumların minimumda tutulduğundan emin olun, bir siteyi katlanarak yavaşlatabilecek çok fazla kaynak kullanmak istemezsiniz.
SSL Sertifikaları
Sitenize aktarılan verilerin korunması, tüm e-ticaret siteleri için zorunlu olmaya devam ediyor. SSL Sertifikası Nedir? SSL Sertifikası Neden Önemlidir? yazımızda anlatılan adımları sağladığınızda, bir SSL sertifikası yüklemek aslında oldukça basit olabilir. Aslında, bir SSL sertifikası günümüzün çevrimiçi ortamında o kadar önemli olmuştur ki, bir sitenin SEO sıralaması bunun yerine yalnızca HTTP kullanılarak etkilenebilir.
Kullanıcı Etkinliğini İzleme
Web sitenizdeki kullanıcı etkinliğini düzenli olarak takip etmek önemlidir ve bunu sizin yerinize yapacak ve şüpheli bulunan her şey için uyarı gönderecek pek çok ücretsiz seçenek vardır. Tabii ki izleme sadece ilk adımdır. Dağıtılmış Hizmet Reddi (DDoS) veya Kaba Kuvvet Saldırısı ile ilişkili kötü amaçlı trafiğin geldiğini fark ederseniz, bir güvenlik duvarı koruma hizmetine yatırım yapmanız önemle tavsiye edilir .
Web Hosting (Barındırma) Revizyonları
Artık siteyi taramanın, oturum açma bölümünü korumanın, iletilen verilerin şifrelenmesini sağlamanın ve kullanıcı etkinliğini izlemenin temellerini ele aldık. Backend tarafında hala yapılabilecek ince ayarlar var. Aşağıda web hosting için önerilen revizyonlardan bazılarının bir listesi bulunmaktadır:
- Savunmasız JS kütüphanelerinden kaçının
- PHP Raporlamayı Devre Dışı Bırak
- Dosya Düzenlemeyi Kapat
- .htaccess’e erişimi sınırlayın
- Veritabanındaki wp_ önekini revize edin
- XML-RPC’yi devre dışı bırak
- WordPress sürümünü gizleyin
- Dosya izinlerini yönet
- Dizin İndeksleme ve Taramayı Devre Dışı Bırak
Sonuç olarak
Sağlanan bu öneriler ve ipuçları, umarım gereksiz bütçe oluşturmadan önce size web sitesi güvenliğinin temelleri hakkında daha iyi, genel bir fikir verecektir. Unutulmamalıdır ki hiçbir şey %100 güvenli değildir. Zaman zaman sıfır gün (zero day) istismarları ortaya çıkar, ancak hata düzeltmelerinin ve gelen uyarıların üstünde kalmak yararlı olacaktır.
Web sitenizi ücretsiz olarak güvence altına almak için bazı daha fazla seçenek için blog sayfamızda bulunan diğer makalelere göz atabilirsiniz.
Bununla birlikte, şu anda düzeltilmesi gereken bir saldırı yaşıyorsanız yada WordPress sitenizi nasıl güvenli hale getireceğinizden emin değilseniz, lütfen bununla sizin için ilgilenmemizi istemekten çekinmeyin.
Yorumlar