Wordpress Güvenliğini Nasıl Sağlıyorsunuz?

Merhabalar,


Başlıktan da anlaşılacağı gibi Wordpress sitenizin güvenliğini hakkında fikir alış-verişinde bulunmak için açtım.

Wordpress yeni gelen güncellemelerle sürekli mevcut açıklarını kapatıyor fakat yeterli bulmayıp kendinizde ayarlamalar yapıyor musunuz? Yapıyorsanız neler bunlar?

Admin paneli adresini değiştir, karmaşık üretilen güvenli şifrelerden kullan ve yaygın kullanıcı adlarını tercih etme hocam admin vb. Bu 3 güvenlik önlemi fazlasıyla yetiyor :)

halilyc Teşekkür ederim hocam ben de ekstra güvenlik eklentileri kurmakla kurmamak arasında kalmıştım, malum ne kadar eklenti o kadar sunucu yükü olduğu için.. Yorumunuzu dikkate alacağım :)

1- Wallarm + WAF
2- Wordfence
3- NAXSI
4- PHP Hardening
5- Port Filter
6- Request Limit
7- Monitoring
8- Log Management
9- Admin Area IP Filtering
10- Strong Password

Mrtcn hocam güzel bir liste paylaşmış. Elinize sağlık.

Ben de şunu eklemek istiyorum. Site/sistem güvenliği yöneticiden başlar. Yani bir sistemdeki en büyük açık insandır. Söylemek istediğim mesela mail adresinize gelen mesajlardaki bilmediğiniz bağlantılara tıklamayın veya warez eklenti-yazılım kesinlikle kullanmayın vs.

Bunun dışında en bilindik hack yöntemlerine karşı önlem alın. Bu hacklenme riskini minimuma indirir. Mesela brute-force için admin girişlerinde re-captha kullanın gibi.

iyi forumlar.

Wordpress hacklenmesinde ençok şu yöntemleri tercih ediyorlar ,

yüklü eklentilerde açıklar , o yüzden saldırgan elindeki yazılım ile öncelikle hangi plugin lere sahip olduğunuzu kontrol edip açıklara göre admin paneline erişiyor dolayısı ile admin yolu ve admin şifresinin ne kadar karışık seçildiği basit saldırgan için koruyucu olabilir ancak bu işi zevk için yapan gelişmiş saldırganda işe yaramıyor

Dışarıdan gelebilecek saldırıları engellemek olduça güçlük veriyor hocam. Ancak aşağıda belirttiğim işlemler ile yok denilecek kadar bu açığı kapatabilirsiniz.

1- Wordpress'i güncel tutmak.
2- Güçlü şifreler ve izinler
3- Wp hosting rolü (Bluehost, Siteground ve Mediatemple firmalarını öneririm.)
4- Wp yedekleme eklentileri. (Vaultpress veya BackupBuddy)
5- Sucuri Scanner
6- WAF etkinleştir.
7- Kullanıcı adı değişikliği.
8- Dosya düzenlemeyi pasif hale bırakın ( Çoğu saldırılar bu yol üzerinden başlatılmaktadır. Drag and Drop sistemleri güvenliği bu işte olduça başarılılar. Mümkün olduğu sürece kod yapısına girmemeye çalışın.)
9- wp-content/uploads klasörünü devre dışı bırakın. Aşağıdaki kodu ekleyerek başlatın.

deny from all

10- Giriş limit denemelerini azaltın. (Login Lockdown tavsiye ediyorum.)
11- wp_ önekini değiştirmek.
12- Normalde, hackerlar wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmaksızın talep edebilirler. Bu, bilgisayar korsanlarının hack hilelerini denemelerine veya DDoS saldırılarını çalıştırmasına izin verir.
Bu istekleri etkili bir şekilde engelleyecek bir sunucu tarafında ek şifre koruması ekleyebilirsiniz.
13- XML-RPC devre dışı bırakmak.
14- Kritik işlemlerden biri ek kullanıcılara otomatik giriş izni sağlayın.


Başlıca yaptığımız işlemler bu şekilde ancak kaynağın nereden geldiğini öğrenmek bazı durumlarda güçlük veriyor. Kendi yapınızı kurmak en iyi çözüm yolu diyebilirim.

Marker çok teşekkür ederim hocam detaylı anlatımınız için..

9. seçenekte yazdığınız dosya düzenlemeyi kapattığımızda, diğer eklentilere bir zararı olur mu? Mesela Litespeed cache 'de bazı ayarları yaptığımızda .htaccess vb. düzenlemeleri de yapıyor. Bu yüzden hiç dokunmamıştım bu seçeneğe ama eğer Cache'yi etkilemezse yapacağım..

Yapiyi gormeden islemi uygulamak dogru olmaz. Ancak yedegi alin bu selilde denryin. Bazi durumlarda SiteLock problem yasatabilir barindiriciniz ile gorusun guvenligi pasif hale gvetirsin bu sekilde deneyin. Zaten dosya duzenleme woocommerce eklentisi ile kaldirildi ancak duzenleme mumkun ilerleyen gunlerde site cokmesine neden olacakttir.

Bu eklentiyi denemenizi tavsiye ederim:
https://webellek.com/wordpress-guvenlik-eklentisi-project-safe/