Öncelikle eklentileri ve özelliklerini inceleyelim:
Login Lockdown
Login Lockdown eklentisi web sitenizin yönetici paneline giriş yaparken belirleyeceğiniz sayıda hatalı giriş yapıldığında hatalı giriş yapan bilgisayarı geçici olarak bloklamaktadır.
Eklentiyi yükleyip etkinleştirdiğinizde WordPress yönetici panelinizdeki “Ayarlar” menüsünde bulunan “Login LockDown” sayfasından eklentinin ayarlarını düzenleyebilirsiniz.
Eğer 3 kez hatalı giriş yapılması sizin için az veya fazla değer olarak görünüyorsa ayarlardaki “Max Login Retries” kısmındaki “3” değerini güncelleyebilirsiniz. Bu değer maksimum giriş denemesini ifade etmektedir. Bu ayarı “3” değerinde bırakmanız ve WordPress yönetici panelinizin giriş sayfasında 3 kez hatalı giriş yaptığınızda “We’re sorry, but this IP range has been blocked due to too many recent failed login attempts. Please try again later.” uyarısı görünecektir.
Blok süresi varsayılan olarak 60 dakika şeklindedir; ancak bu değeri değiştirmek isterseniz “Lockout Length (minutes)” kısmında “60” değerini değiştirebilirsiniz. Bu ayar hatalı giriş yapıldıktan sonra bloklanan kişinin sisteme girişinin kaç dakika boyunca engelleneceğini ifade etmektedir.
Ayarları düzenledikten sonra “Update Settings” tuşuna tıklayıp ayarlardaki değişikliklerinizi kaydedebilirsiniz.
“Currently Locked Out” kısmında ise web sitenize hatalı giriş yaptıktan sonra bloklanan IP adreslerini ve bloklama işleminin sona ermesi için kalan süreyi kontrol edebilirsiniz.
Bad Behavior
Bad Behavior eklentisi web siteniz için spam düşmanı bir eklentidir. Eklenti, web sitenize giriş yapan spam ziyaretleri ve yorumları engellemektedir. Akismet eklentisinin alternatifi olarak da ifade edebiliriz.
Eklentinin ayarlarını yönetici panelinizdeki “Ayarlar” menüsünde bulunan “Bad Behavior” sayfasından değiştirebilirsiniz. Eğer beyaz listeye tanımlama yapmak isterseniz “Ayarlar” menüsündeki “Bad Behavior” sayfasını kullanabilirsiniz.
Acunetix WP Security
Acunetix WP Security eklentisi, web siteniz ile ilgili bazı güvenlik işlemleri uygulayabilmekte ve web sitenizin güncel durumu hakkında raporlar verebilmektedir. WordPress sitenizin kurulumunu tamamladıktan sonra bu eklentiyi kullanmanız halinde eklenti size yapmanız ve yapmamanız gereken işlemler konusunda bilgiler sunmaktadır. Örneğin FTP’deki dosyalarınızın CHMOD değerlerini incelemekte ve bu değerler ile birlikte eklentinin önerdiği CHMOD değerlerini de belirtmektedir. Eğer FTP’de dosyalar ile tek tek uğraşmak istemezseniz eklenti size tek tuş ile önermiş olduğu CHMOD değerlerini kullanarak güncelleme işlemi yapabilmenizi sunmaktadır.
Eklentinin sunduğu özellikler bununla sınırlı kalmıyor. Web siteniz ile ilgili PHP versiyonu, MySQL versiyonu, PHP Memory Limit, PHP Max Upload Size, PHP Max Post Size, PHP Max Script Execute Time gibi bilgileri sunabilmektedir.
Bir diğer özellik ise web sitenize giriş yapan ziyaretçilerin listelenmesidir. Bu özellik sayesinde web sitenizin ziyaretçilerinin hangi ülkeden, ne zaman, hangi IP adresiyle, hangi sayfalara giriş yaptıklarını inceleyebilirsiniz.
Eklentinin veritabanı yedekleme özelliği de bulunmaktadır; ancak herhangi bir sorun yaşamamanız için MySQL veritabanı yedekleme işleminizi bu sayfadaki anlatıma göre de uygulamanızı önermekteyiz.
Eklentiyi kurduktan sonra WordPress yönetici panelinizdeki menüde bulunan “WP Security” kısmını kullanarak eklentinin özelliklerini kullanabilirsiniz.
Rublon Eklentisi
Belirtilen eklentilere ek olarak Rublon eklentisini de incelemenizi öneririz. Bu eklenti WordPress sitenizde giriş ve çıkışları kontrol etmektedir. Eklenti hakkında ayrıntılı bilgi için buraya tıklayabilirsiniz.
Tabi web sitemizin güvenliğini sadece eklenti kullanarak sağlayamayabiliriz. Bu nedenle WordPress sitenizin güvenliği için birkaç konuya daha değinmek istiyorum.
“Admin” Kullanıcı Adını Silin
Web sitenizin kurulumunu tamamladınız ve web siteniz kullanıma hazır durumda; ancak atlamamanız gereken bir nokta var. Birçok web site sahibi, web sitelerinde “admin” kullanıcı adını kullanmaktadır. “admin” kullanıcı adı yerine farklı kullanıcı adları kullanmanızı öneriyoruz. “admin” kullanıcı adını “admin” hesabına giriş yaparak silmeniz mümkün değildir. Bu nedenle öncelikle WordPress yönetici panelinizdeki “Kullanıcılar” menüsünde bulunan “Yeni ekle” sayfasından yeni yönetici hesabı tanımlamanız gerekmektedir. Hesabı tanımlarken “Rol” kısmında “Yönetici” seçeneğini seçmeniz gerekmektedir. Yeni yönetici hesabınızı tanımladıktan sonra “Kullanıcılar” menüsüne yeni yönetici hesabınız üzerinden giriş yapınız ve eski yönetici hesabınızı siliniz. Silme işlemi yaparken “Tüm içeriği bağla” bölümünde yeni yönetici hesabınızı seçip yazılarınızın yeni yönetici hesabınıza yazılarınızın transfer edilmesini sağlayabilirsiniz.
Belli Aralıklarla Şifrelerinizi Güncelleyin
Web sitenizin güvenliğine katkıda bulunmanın en etkili yollarından birisi de sürekli aynı şifreyi kullanmamaktır. WordPress yönetici hesabı, MySQL veri tabanı ve FTP şifrelerinizi düzenli olarak güncellemenizi, şifrelerinizin en az 8 karakterli olacak şekilde büyük-küçük harf ve sayı içermesini öneririz. Belirleyeceğiniz şifrelerin birbirinden farklı olmasında fayda vardır. Tabi şifrenizi güncelleyeceğiniz sistem özel karakter kullanmanıza izin veriyorsa şifrenizde “?”, “*”, “_” gibi karakterler kullanmanız da faydalı olacaktır.
Yönetici Hesabınıza Özel E-Posta Hesabı Açın
Web sitenizdeki yönetici hesabınıza özel e-posta hesabı açın ve mümkünse web hosting hizmetinizde sunulan “@siteadresiniz.com” uzantılı e-posta hesabı açın. Bu e-posta hesabınızın şifresini önceki önerimizde de belirttiğimiz gibi sık sık güncelleyin.
Yönetici Panelinizin Girişine Ekstra Şifre Tanımlayın
Yönetici panelinize giriş yapılmasında ekstra şifre kullanarak yönetici paneliniz için güvenlik önlem alabilirsiniz. Tabi burada kullanacağınız kullanıcı adı ve şifrenin WordPress yönetici hesabınızdaki kullanıcı adı ve şifreden farklı olmasını öneriyoruz.
Ekstra şifreleme işlemi için öncelikle http://www.htaccesstools.com/htpasswd-generator/ adresine giriş yapıyoruz. “Username” kısmına ekstra şifre için kullanmak istediğiniz kullanıcı adınızı yazınız. Bu kullanıcı adının web sitenizdeki kullanıcılar içerisinde yer alması gerekli değildir, herhangi bir kullanıcı adı yazabilirsiniz. “Password” kısmına ise ekstra şifre penceresinde kullanmak istediğiniz şifresi yazınız ve “Create .htpasswd file” tuşuna tıklayınız. Tıkladıktan sonra “kullanıcıadınız:şifrenizinşifrelenmişhali” şeklinde bir şifre size sunulacaktır. Bu metni kopyalayınız ve yeni bir metin dosyasına yapıştırınız. Dosyayı “.htpasswd” ismiyle kaydediniz.
Kaydettiğiniz dosyayı FTP’deki “httpdocs” klasörünün bulunduğu dizine(root dizinine) yükleyiniz.
“.htpasswd” dosyasını yükledikten sonra “.htaccess” dosyası hazırlamamız gerekecektir. Bunun için yeni bir metin belgesi daha açınız ve aşağıdaki kodları yapıştırınız. Eğer mevcut olarak bu dosyanız varsa dosyayı açıp düzenleyiniz; ancak dosyada bulunan eski kodlarda düzenleme yapmayınız, dosyayı düzenlemeden önce eski halini mutlaka yedekleyiniz ve “natro.com” kısmını kendi web sitenize göre düzenlemeyi unutmayınız. Aşağıdaki kodları “.htaccess” dosyanıza yapıştırdıktan sonra yönetici panelinize giriş yaparken “.htpasswd” dosyanıza tanımlanan kullanıcı adı ve parola sorulmuş olacaktır.
ErrorDocument 401 default
AuthUserFile /home/natro.com/.htpasswd
AuthName “Site”
AuthType Basic
require valid-user
Eğer .htaccess dosyasını yükledikten sonra web sitenizdeki yazılar açılmıyorsa “Ayarlar” menüsündeki “Kalıcı Bağlantılar” sayfasında bulunan “Genel ayarlar” bölümünden sizin için uygun olan link yapılandırmasını seçiniz ve ayarları kaydediniz. Ayarlarınızı kaydettikten sonra FTP’deki .htaccess dosyanız bu ayarlar için otomatik olarak güncellenecektir. FTP’de bulunan ve düzenlediğiniz ayarlar ile otomatik olarak güncellenen .htaccess dosyasına az önce belirtilen kodları tekrar eklemeniz halinde hem yazılarınızın görünmeme sorunu çözülecektir hem de yönetici panelinize giriş yaparken ekstra kullanıcı adı ve şifre penceresi görünecektir.
Güncellemeleri Takip Edin
WordPress sitenizin güvenliğine katkıda bulunan farklı bir konu ise WordPress sürümünüzün güncel olup olmadığını kontrol etmenizdir. Güncellemeleri WordPress sitenizin yönetici paneli üzerinden veya WordPress’in destek sitesinden takip edebilirsiniz. Bu durum WordPress sitenizde kullandığınız eklentiler için de geçerlidir. Kullandığınız eklentilerin sürümlerinin güncel olduğuna emin olunuz. Güncellemeleri takip etme önerimiz sadece WordPress yazılımı için değil; Joomla, SMF vb yazılımlar için de geçerlidir.
Çıkış Yapın
Dışarıda herhangi bir yerde size ait olmayan bir bilgisayar üzerinden web siteniz için işlem yapmanız gerekebilir. Bu durumda şifre gibi önemli bilgileri kullanırken ekran klavyesi kullanmanızı öneriyoruz. Eğer bu önerimiz sizin için sıkıcı bir öneri gibi geliyorsa web siteniz ile ilgili işlemleri yaptıktan sonra web sitenizin yönetici panelinden mutlaka çıkış yapmanızı ve kullandığınız internet tarayıcısının geçmişini silmenizi öneriyoruz.
Lisanslı İşletim Sistemi ve Güvenlik Yazılımları Kullanın
Bilgisayarınıza yüklemiş olduğunuz işletim sisteminin lisanslı işletim sistemi olmasını öneriyoruz. Tabi sadece lisanslı işletim sistemi kullanmanız yeterli olmayacaktır. Lisanslı işletim sistemi önerimize ek olarak lisanslı güvenlik yazılımları kullanmanızı da öneriyoruz. Kullandığınız lisanslı güvenlik yazılımıyla belli aralıklarla bilgisayarınızda geniş çaplı taramalar yapmanızda fayda vardır. Lisanslı yazılımları internetteki e-ticaret siteleri ve size yakın bir teknoloji mağazasından satın alabilirsiniz.
Şifre Korumalı Kablosuz Ağ Kullanın
Bilgisayarınızı bağlamış olduğunuz kablosuz ağın şifre korumalı olup olmadığını kontrol ediniz(WPA, WPA2 gibi)
Faydalı olması dileğiyle…
Kaynak: Hosting Blog - Natro
