WordPress'inizi Daha Güvenli Hale Getirecek 10 İpucu

Acı ama gerçek; 2016 Yılını kapsayan bir araştırmaya göre tüm dünyada her gün ortalama olarak 37,000 internet sitesi hackleniyor ve bu sitelerin %25.4’ü altyapı olarak WordPress’i tercih ediyor. Bu da demek oluyor ki, her ne kadar güvenli kabul ediyor olursak olalım her gün yüzlerce WordPress blogu internet korsanlarının saldırısına maruz kalıyor.

WordPress’in kendi yapısı aslında birçok açıdan son derece güvenli ancak elbette yeteri kadar güvenli değil. Neyse ki PHP ile yapılandırılan ve açık kaynaklı bu CMS sistemi bize istediğimiz güvenlik önlemlerini ekstradan alabilme şansı sunuyor. Biliyoruz, Türk geliştiriciler bir şey başına gelene kadar önlemini almama konusunda ısrarcıdır, yine de ne olur ne olmaz diye bu listeye yer imleriniz arasında yer vermeyi deneyebilirsiniz :)

1. WordPress Tema ve Eklenti Düzenleyicisini Devre Dışı Bırakın

WordPress, tema ve editör düzenleyicisi sayesinde bizleri FTP’yi ziyaret etmekten kurtarıyor ve Dashboard üzerinden istediğimiz değişiklikleri yapmamıza olanak tanıyor. Lakin bu özellik zararlı ellere geçtiği anda internet korsanları web sitenize zararlı kodlar enjekte edebiliyor veya web sitenizi tamamen kullanılmaz hale getirecek önemli değişiklikler meydana getirebiliyor.

WordPress’in bu iki özelliğini kapattığınız taktirde internet korsanlarının WordPress paneli üzerinden verebileceği zararı büyük oranda sınırlayabilirsiniz. WordPress’in tema ve eklenti düzenleyicisini devre dışı bırakmak için;

• FTP yardımıyla WordPress’inizin wp-config.php dosyasına erişin.
• define( 'DISALLOW_FILE_EDIT', true ); komutunu dosyanın içerisine yerleştirin.

Artık düzenleme sayfasına erişilmek istendiğinde “Üzgünüz, bu sayfaya erişmenize izin verilmiyor.” mesajıyla karşılaşılacak ve panel üzerinden yapılacak düzenlemelere izin verilmeyecektir.

İlginizi Çekebilir!

Google Adsense Gelirinizi Arttırın!

Google Adsense web sitesinden para kazanmak isteyenler için en iyi yöntemdir. Sanırım hepimiz web sitemizden para kazanmak için debelenip duruyoruz. Peki nasıl daha fazla kazanırız? Bu yazımda size Google Adsense gelirimizi nasıl arttır...

2. İki Adımda Doğrulama Kullanın

İki adımda doğrulama seçeneği ne yazık ki WordPress’in içerisinde yerleşik olarak sunulmuyor. Oysa Google, Facebook, Microsoft ve Apple gibi birçok dev teknoloji şirketi güvenlik protokolü olarak mutlaka iki adımda doğrulama yetkilendirmesini kullanmayı tercih ediyor. Aşağıdaki eklentilerden herhangi birini kullanarak siz de kendi tercihleriniz doğrultusunda iki adımda doğrulama sistemini WordPress blogunuza kazandırabilirsiniz;

• Google Authenticator
• Authy
• Clef
• Rublon

3. Başarısız Girişleri Sınırlandırın

İnternet korsanlarının blogunuzun admin paneline giriş yapmak için deneyebileceği birçok farklı yol var. Bunlardan en önemliler de Bruteforce şeklinde adlandırdığımız farklı şifre kombinasyonları deneme yöntemidir. Çok fazla yazara sahip bloglarda BruteForce yöntemlerinden büyük oranda başarı elde edilirken, basit şifrelere sahip bloglarda da önemli ölçüde başarı sağlanabiliyor.

Varsayılan olarak WordPress yapılan başarısız girişleri sınırlandırmak için herhangi bir şey yapmıyor ancak kuracağınız çeşitli eklentilerle bu sınırlandırmayı sizin sağlayabilmeniz mümkün. Eğer blogunuzda JetPack eklentisini kullanıyorsanız, Jetpack eklentisi yardımıyla da başarısız girişlerin sınırlandırılmasını sağlayabilirsiniz.

4.Düzenli Olarak Blogunuzu Tarayın

Sağlıklı bir blogun tema dosyaları, eklentileri, linkleri ve zararlı görülebilecek daha birçok kriterin düzenli olarak kontrol edilmesi gerekir. İnternet korsanları her zaman blogunuzu devre dışı bırakmak için size saldırmayabilir. Bazen internet korsanlarının asıl amacı sizin blogunuz üzerinden hacklink elde etmek veya zararlı yazılımlarını yaymaktır. Böyle durumlarda çoğunlukla panelinize sızmış olsalar dahi bunu size fark ettirmemek için gizlenmeye çalışırlar.

Elbette bu kontrollerin tümünü birer birer ve düzenli aralıklarla gerçekleştirmek bizim gibi kişisel kullanıcılar için tam bir zaman öğütücüye dönüşebilir. Zamanınızın yok olmasını istemiyorsanız da bu alanda geliştirilen çeşitli güvenlik eklentilerini kullanmayı tercih edebilirsiniz. Örneğin; WordFence eklentisi blogunuzu sürekli olarak tarayan ve dosyalarınız üzerinde herhangi bir değişiklik meydana getirildiği anda size haber veren ücretsiz ve basit bir eklentidir. WordFence’i kullanarak blogunuzda nelerin olup bittiğinden sürekli an be an haberdar olabilirsiniz.

WordFence tarama işlevinin yanı sıra bazı diğer önemli özellikleriyle de öne çıkıyor. Örneğin zararlı yorumları size bildiriyor ve kullandığınız temayı asıl kaynağıyla karşılaştırarak internet korsanlarının sitenizde açık kapı bırakıp bırakmadığını kontrol ediyor.

Tıpkı WordFence gibi tercih edebileceğiniz diğer eklentilerse;

• Sucuri Security Scanner
• Acunetix WP Security
• iThemes Security (Resmi olarak "Better WP Security" adıyla tanınıyor)

5. Hosting & Barındırma Servisinizi Değiştirin

Tüm suçu her zaman WordPress’de aramak olmaz. Bazen WordPress blogunuzun hackleniyor olmasının en önemli nedeni servis sağlayıcınızın sunucu güvenliği konusundaki yetersizliği olabilir. Açıklanan araştırma sonuçlarına göre WordPress sitelerin %41’i hosting veya sunucusunda yer almakta olan güvenlik açıkları nedeniyle hackleniyor. Yani kullandığınız hosting paketi veya sunucunun güvenlik optimizasyonları WordPress blogunuzun hacklenmesinde en önemli etkeni oluşturuyor.

Eğer sürekli blogunuzu açtığınızda farklı bir index ile karşılaşıyorsanız hatayı WordPress’de aramayı bırakıp, blogunuzu yeni ve daha güvenli bir servis sağlayıcısına taşımayı hemen düşünmeye başlamalısınız.

6. WordPress Sürüm Numaranızı Gizleyin

Varsayılan olarak WordPress sürüm numaranıza kolayca ulaşılabiliyor. Oysa bu büyük güvenlik sorunlarının oluşmasında oldukça önemli bir sorun. Çünkü internet korsanları WordPress ile ilgili bir açık ele geçirdiği anda WordPress’in o sürümünü kullanan sitelerin bir listesini hazırlamaya başlıyor. Bu liste hazırlama işlemleri için de farklı otomatikleştirilmiş yazılımların kullanıldığını göz önüne alacak olursak WordPress sürüm numaranızı gizlemek sizi açık hedef haline gelmekten koruyabilir.

WordPress sürüm numaranızı gizlemek için;

• WordPress blogunuzun functions.php dosyasına:
• add_filter( 'the_generator', '__return_null' ); komutunu ekleyin.

7. PHP Hata Raporlarını Kapatın

WordPress blogunuzdaki bir eklenti veya tema tam olarak çalışması gerektiği gibi çalışmamaya başladığı anda bu sorunları anlamanıza yardımcı olan bir hata kaydı dosyası oluşturuyor. Bu size blogunuzda nelerin ters gittiğini haber vermek için iyi bir yöntem olsa bile internet korsanlarının da bu dosyaya kolayca erişebildiğini düşündüğümüz anda büyük bir dezavantaja dönüşüyor.

Bu dosyayı inceleyen internet korsanları WordPress blogunuzdaki hataları analiz edip, olası açıkları tarayarak bu açıkları size karşı kullanabilirler. Bu nedenle PHP hata raporlarını kapatmak size büyük oranda bir avantaj sunabilir.

PHP hata raporlarını kapatmak için;

• WordPress blogunuzun wp-config.php dosyasını açın.
• Aşağıdaki kod satırını uygun bir yere ekleyin;

error_reporting(0);

@ini_set(‘display_errors', 0);

8. Dosya İzinlerini Düzenleyin

WordPress blogunuzu expolit’lerden korumak için dosya ve dizinlerin doğru izin haklarına sahip olduğundan emin olmanız gerekir. Eğer dosya ve dizinler olması gerektiği şekilde doğru çalıştırma haklarına sahip olursa sisteminize sızan bir internet korsanı eklentiler veya temalarınız üzerinden değişiklik yapmakta güçlük çekecektir. Bu da blogunuzun güvende kalabileceği anlamına geliyor.

WordPress blogunuzun dizinleri/klasörleri için gerekli izinlerin 755 veya 750 şeklinde ayarlandığından emin olun. Dosya izinleri 640 veya 644 olarak ayarlanabileceği gibi wp-config.php dosyanız 600 olarak ayarlanmalıdır.

9. Yedeklerinizi Unutmayın

Çok büyük internet siteleri ve WordPress altyapısına sahip blogların bile zaman zaman hacklendiği büyük bir gerçek. Tabii, bu büyük ekipler web sitelerinin yedeklerini her zaman güncel tuttukları için meydana gelebilecek hack olayları bu servislerin çok düşük kayıplar vererek sitelerini tekrardan inşa etmelerine yardımcı olmaktadır.

Siz de düzenli olarak ve sık aralarla WordPress blogunuzun yedeğini alarak olası saldırılardan minimum veri kaybıyla sıyrılmayı başarabilirsiniz. Sürekli yedek almak sizin için hem yorucu hem de sıkıcı hale geliyorsa aşağıdaki Backup eklentilerinden herhangi birini kullanmayı tercih edebilirsiniz;

• BackUpWordPress
• Ready! Backup
• VaultPress
• BackupBuddy

10. Kontrol Sayfasının Erişimini Sınırlayın

Eğer sürekli sabit bir IP adresi üzerinden internet kullanıyorsanız sizin IP adresinize sahip olmayan bilgisayarların tümünün kontrol sayfalarına erişimini sınırlandırabilirsiniz. Tabii, bu işlemi uygulamadan önce sürekli sabit bir IP’nizin olduğundan emin olun. IP filtrelemesini sunucu üzeirndeki farklı yazılımlarla sağlayabileceğiniz gibi .htaccess dosyası yardımıyla da sınırlandırabilirsiniz. Sınırlandırma işlemini yapmak için aşağıdaki kodu .htaccess dosyanızın içerisine yapıştırın ve 1’den 5’e kadar wp-admin.php ve wp-login.php’ye giriş yapabilcek bilgisayarların IP adresini ekleyin. İsterseniz fazlalık sütunları kaldırabilir veya daha çok IP adresi ekleyebilirsiniz;

RewriteEngine on

RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$

RewriteCond %{REMOTE_ADDR} !^Your IP address 1$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 2$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 3$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 4$

RewriteCond %{REMOTE_ADDR} !^ Your IP address 5$

RewriteRule ^(.*)$ - [R=403,L]

Güvenlik önemlidir, özellikle 2016 yılının siber saldırılar konusunda milat olduğunu düşünecek olursak... Siz hangi yöntemleri kullanmayı tercih ediyorsunuz?