WordPress Güvenlik
Web siteniz saldırıya uğradığında (hack’lendiğinde) sayfalara virütik yazılımlar yerleştirilmesi, mevcut içeriğin değiştirilmesi, kaybolması, verilerin çalınması ve aktif olmadığı sürede verdiği zayiat oldukça büyüktür. Bu nedenle web sitenizin güvenliğini sağlamak; itibarınızı korumak ve mümkün olabilecek en iyi hizmeti sağlayarak ziyaretçilerin güvenini kazanmak konusunda firmanıza yardımcı olacaktır.
WordPress, günümüzde kullanılan en popüler içerik yönetim platformu olduğu için, web siteleri güvenlik açıklarından ve zayıflıklarından yararlanmak isteyen insanların hack saldırılarına sık sık hedef olmaktadır.
İnsanlar çoğu zaman güvenlik önlemleri almayı, çok geç olana kadar erteler. Fakat web sitenizin güvenliğini sağlamak için birkaç işlem yeterlidir.
Ayrıca, web siteniz saldırıya uğramasa dahi, sitenizin bulunduğu sunucularda yapılan periyodik bakım ve sürüm yükseltme çalışmalarından da etkilenebilir.
WordPress platformu, her sene içerisinde birkaç kez periyodik olarak sürüm yükseltir ve bu sayede hem sunucularınızda yapılan sürüm yükseltmeleri ile paralel olarak gelişir, hem de hacker’lar tarafından yapılması muhtemel saldırılara karşı güvenlik önlemlerini artırır.
Hacker saldırılarından korunmak için bir WordPress web sitesinde uygulanması gereken güvenlik önlemleri şunlardır:
1.“Admin” Kullanıcı Adını Silin
Hacker’lar web sitelerinde standart olarak seçilen yönetici kullanıcı adı ile ihtiyaçları olan önemli bilgilere erişim ihtimallerini artırırlar. Kullanıcı adınızı “Admin” olarak bırakırsanız, bir hacker’a önemli ölçüde zaman kazandırmış olursunuz. Bundan sonra yapmaları gereken tek şey şifrenizi çözmek olacaktır. Bu da olduktan sonra web sitenize girerek istediklerini yapabilirler.
Web sitenizi güvenli hale getirebilmek için atacağınız ilk adım kendinize ait yeni bir kullanıcı profili oluşturmak ve varsayılan yönetici adını silmektir. Bu, firmanızın web sitesinin hack’lenmesini belirli bir ölçüde zorlaştıracaktır.
Yeni bir kullanıcı profilini, WordPress yönetici panelini açtıktan sonra “Users” kısmından “Add New” seçeneği ile oluşturabilirsiniz. Ardından bilgilerinizi doldurarak, web sitenizde değişiklikler yapmak için kendinize yönetici rolünü verdiğinizden emin olun.
Yeni kullanıcı adınızı oluşturduktan sonra WordPress’in dashboard oturumundan çıkış yapın ve yeni kullanıcı bilgilerinizle tekrar giriş yapın. Ardından “Users” sayfasına dönerek varsayılan yöneticiyi silmeniz gerekmektedir. Bu aşamada, WordPress size “Admin” kullanıcısı tarafından hazırlanan mesajları yeni profile aktarmak için seçenek sunar. Böylece herhangi bir içerik ya da veri kaybetmemiş olursunuz.
2. Güçlü Bir Kullanıcı Şifresi Kullanın
Tek bir basit şifre kullanmanın tehlikesi kullanıcılar tarafından her ne kadar bilinse de, insanlar hatırlamak amacıyla genelde birçok hesabında aynı şifreyi kullanmayı tercih eder. Ne yazık ki bu durum şifrelerin kırılmasını kolaylaştırmaktadır.
Web sitesi yöneticilerinin güvenlik açısından güçlü bir şifre kullanması oldukça önemlidir. Bu şifre; harfler, sayılar ve özel karakterler içermeli ve en az 8 karakter uzunluğunda olmalıdır.
WordPress şifrenizi daha güçlü bir karakter dizisi ile değiştirmek için “Users” kısmından profilinizi seçin ve sayfanın alt kısmında bulunan “New Password” alanlarını doldurun.
Bunu web sitesini kullanan her yönetici için bir gereklilik olarak düşünebilirsiniz. Çünkü hacker’lar herhangi bir hesaptan giriş yapmaya çalışabilir.
3. WordPress’in Son Sürümümü Kullanın
WordPress yazılımındaki güvenlik açıkları, tema ve eklentileri, düzenli olarak güncellenmektedir. WordPress güncellendiğinde yeni sürüm, yönetim panelinin üst kısmında çıkan bir uyarı ile size bildirilmektedir.
Güncelleme; yönetim paneli üzerinden yeni sürüm kurulumu yapabileceğiniz bir süreçtir, tarayıcınızı değiştirmeniz ya da FTP üzerinden manuel bir yükleme yapmanız gerekmez. Ancak, sitenizin arayüzü yani sayfa tasarımları için kullandığınız tema şablonu kodları, yeni sürümle uyumsuzluk yaratabilir ve sayfalarda ciddi görünüm sorunları ile karşılaşabilirsiniz. Bu açıdan, wordpress sürüm güncellemesi ile beraber tema şablonlarının da güncellemesini yapmanız gerekebilir.
4. Web Sitenizin Veritabanını Yedekleyin
Veritabanını yedeklemek web sitenizi güvenli tutmanın önemli bir parçasıdır. Sitenizde olası bir saldırı veya sunucu kaynaklı kritik durumlarlar oluşursa, tüm site içeriğinizi baştan yüklemeniz gerekebilir. Eğer elinizde bir veritabanı yedekleme (backup) dosyası yoksa, tüm sitenizi ciddi anlamda riske ediyorsunuz demektir.
WordPress yedeklemeyi kolaylaştıran ücretli ve ücretsiz seçeneklere sahiptir. Örneğin WP-DB-Backup yeni başlayan kullanıcılar için ücretsiz bir seçenek olmakla birlikte WordPress yedekleme eklentileri arasında en çok indirilenlerden biridir.
WP-DB-Backup yüklemek için, panelde “Plugins” bölümünden “Add New” seçeneğini kullanabilirsiniz. Burada arama kısmına “WP-DB-Backup” yazarak eklentiyi bulduktan sonra “Click Install Now” butonuna tıklayarak eklentiyi kurabilirsiniz. Bir sonraki adım olarak “Plugins” ekranından bu eklentiyi aktive etmeniz gerekmektedir.
Eklenti aktivasyonundan sonra, panelde “Tools” kısmında “Backup” isimli yeni bir araç göreceksiniz. “Backup” ile hızlı bir şekilde verilerinizi yedeklerken aynı zamanda da bu yedeklemeyi düzenli bir program haline getirebilirsiniz. Backup dosyalarını sabit diskinize indirebilir ya da emailinize gönderebilirsiniz.
Web sitenizi yedekleyerek, olası bir saldırı veya sunucu kaynaklı kritik durumlarda içeriklerinizi kaybetme riskini ortadan kaldırmış olursunuz.
5. Bir Eklenti Kullanarak Oturum Açma Girişimlerini Engelleyin
Oturum açma girişimlerini engelleyen eklenti, özellikle yanlış bilgilerle giriş yapma denemeleri gibi kuvvetli hacker saldırılarını defetmek konusunda kullanışlı olmaktadır. Yönetici olarak, kaç oturum açma girişiminden sonra eklentinin girişimi engelleyeceğine karar vermeniz de mümkündür.
Bu eklentiyi de “Plugins” sekmesinden “Add New” bölümüne girip “Limit Login Attempts” adıyla arama yaparak kurabilirsiniz. Eklentiyi veri yedekleme eklentileri gibi aktive etmenizin ardından ayarlarınız arasında “Limit Login Attempts” seçeneğini görmüş olacaksınız. Oturum açma girişimleri ve diğer sınırlamaları ayarlamak için bu eklentiyi kullanabilir ve yaptığınız değişiklikleri kaydetmek için “Change Options” butonuna tıklayabilirsiniz.
Son olarak unutmamalısınız ki WordPress güvenlik önlemleri kapsamında size gerekli olacak olan herhangi bir eklentiyi araştırmaktan kaçınmayın. Fakat bu, web sitenize saldırı yapmak isteyen kişilerin kullandığı bir taktiktir. Dolayısıyla eklentileri yüklerken saygın bir kaynaktan indirin ve eklenti hakkında WordPress.org üzerindeki değerlendirmeleri kontrol edin.