WordPress Sitelerinin Hacklenmesinin 11 Başlıca Nedeni (ve Nasıl Önlenir)

Geçenlerde bir okuyucumuz WordPress sitelerinin neden saldırıya uğradığını sordu.

WordPress sitenizin saldırıya uğradığını fark etmek sinir bozucudur. Bilgisayar korsanları tüm web sitelerini hedef alsa da, web sitenizi saldırılara karşı savunmasız bırakan bazı hatalar yapıyor olabilirsiniz.

Bu makalede, WordPress sitelerinin saldırıya uğramasının en önemli nedenlerini paylaşacağız, böylece bu hatalardan kaçınabilir ve web sitenizi koruyabilirsiniz.

WordPress Neden Bilgisayar Korsanları Tarafından Hedef Alınıyor?

İlk olarak, bu sadece WordPress değil. İnternet üzerindeki tüm web siteleri hack girişimlerine karşı savunmasızdır.

WordPress web sitelerinin yaygın bir hedef olmasının nedeni, WordPress’in dünyanın en popüler web sitesi oluşturucusu olmasıdır. Tüm web sitelerinin %43’ünden fazlasına, yani dünya genelinde yüz milyonlarca web sitesine güç sağlamaktadır.

Bu muazzam popülerlik, bilgisayar korsanlarına daha az güvenli olan web sitelerini bulup onları istismar edebilmeleri için kolay bir yol sunuyor.

Bilgisayar korsanlarının bir web sitesini hacklemek için çeşitli nedenleri vardır. Bazıları daha az güvenli sitelerden faydalanmayı yeni öğrenen acemilerdir. Diğerleri ise kötü amaçlı yazılım dağıtmak, diğer web sitelerine saldırmak ve spam göndermek gibi kötü niyetli amaçlara sahiptir.

Bununla birlikte, WordPress sitelerinin saldırıya uğramasının en önemli nedenlerinden bazılarına bakalım, böylece web sitenizin saldırıya uğramasını nasıl önleyebileceğinizi öğrenebilirsiniz.

1. Güvensiz Web Barındırma

Tüm web siteleri gibi WordPress siteleri de bir web sunucusunda barındırılır. Bazı barındırma şirketleri barındırma platformlarını düzgün bir şekilde güvence altına almaz. Bu da sunucularında barındırılan tüm web sitelerini bilgisayar korsanlığı girişimlerine karşı savunmasız hale getirir.

Web siteniz için en iyi WordPress barındırma sağlayıcısını seçerek bu durumdan kolayca kaçınabilirsiniz. Uygun şekilde güvenli sunucular, WordPress sitelerine yönelik en yaygın saldırıların çoğunu engelleyebilir.

Ekstra önlemler almak istiyorsanız, yönetilen bir WordPress barındırma sağlayıcısı kullanmanızı öneririz.

2. Zayıf Şifreler Kullanmak

Parolalar WordPress sitenizin anahtarıdır. Aşağıdaki hesapların her biri için güçlü ve benzersiz bir parola kullandığınızdan emin olmanız gerekir, çünkü bunların tümü bir bilgisayar korsanına web sitenize tam erişim sağlayabilir:

• WordPress yönetici hesabınız
• Web barındırma kontrol paneli hesabınız
• FTP hesaplarınız
• WordPress siteniz için kullanılan MySQL veritabanı
• WordPress yönetimi ve barındırma için kullanılan tüm e-posta hesapları

Tüm bu hesaplar şifrelerle korunmaktadır. Zayıf parolalar kullanmak, bilgisayar korsanlarının bazı temel bilgisayar korsanlığı araçlarını kullanarak parolaları kırmasını kolaylaştırır.

Her hesap için benzersiz ve güçlü parolalar kullanarak bunu kolayca önleyebilirsiniz. Tüm bu güçlü parolaları nasıl yöneteceğinizi öğrenmek için WordPress’e yeni başlayanlar için parolaları yönetmenin en iyi yolu hakkındaki kılavuzumuza bakın.

3. WordPress Yöneticisine Korumasız Erişim (wp-admin)

WordPress yönetici alanı, bir kullanıcıya WordPress sitenizde farklı eylemler gerçekleştirme erişimi sağlar. Aynı zamanda bir WordPress sitesinin en sık saldırıya uğrayan alanıdır.

Korumasız bırakmak, bilgisayar korsanlarının web sitenizi kırmak için farklı yaklaşımlar denemesine olanak tanır. Yönetici dizininize kimlik doğrulama katmanları ekleyerek bunu onlar için zorlaştırabilirsiniz.

İlk olarak, WordPress yönetici alanınızı parola ile korumalısınız. Bu ekstra bir güvenlik katmanı ekler ve WordPress yöneticisine erişmeye çalışan herkes ekstra bir şifre sağlamak zorunda kalacaktır.

Çok yazarlı veya çok kullanıcılı bir WordPress sitesi işletiyorsanız, sitenizdeki tüm kullanıcılar için güçlü parolalar uygulayabilirsiniz. Ayrıca bilgisayar korsanlarının WordPress yönetici alanınıza girmesini daha da zorlaştırmak için iki faktörlü kimlik doğrulama (2FA) ekleyebilirsiniz.

4. Yanlış Dosya İzinleri

Dosya izinleri, web sunucunuz tarafından kullanılan bir dizi kuraldır. Bu izinler, web sunucunuzun sitenizdeki dosyalara erişimi kontrol etmesine yardımcı olur. Yanlış dosya izinleri, bir bilgisayar korsanına bu dosyaları yazma ve değiştirme erişimi verebilir.

Tüm WordPress dosyalarınız dosya izni olarak 644 değerine sahip olmalıdır. WordPress sitenizdeki tüm klasörlerin dosya izni 755 olmalıdır.

Bu dosya izinlerinin nasıl uygulanacağını öğrenmek için WordPress’te resim yükleme sorununun nasıl çözüleceğine ilişkin kılavuzumuza bakın.

5. WordPress’i Güncel Tutmamak

Bazı WordPress kullanıcıları WordPress web sitelerini güncellemekten korkarlar. Bunu yapmanın web sitelerini bozacağından korkarlar.

WordPress’in her yeni sürümü hataları ve güvenlik açıklarını düzeltir. WordPress’i güncellemiyorsanız, sitenizi kasıtlı olarak savunmasız bırakıyorsunuz demektir.

Bir güncellemenin web sitenizi bozacağından korkuyorsanız, güncellemeyi çalıştırmadan önce eksiksiz bir WordPress yedeği oluşturabilirsiniz. Bu şekilde, bir şey çalışmazsa, önceki sürüme kolayca geri dönebilirsiniz.

WordPress’i nasıl güvenli bir şekilde güncelleyebileceğinize ilişkin yeni başlayanlar için hazırladığımız kılavuzda daha fazla bilgi edinebilirsiniz.

6. Eklentileri veya Temayı Güncellememek

Tıpkı çekirdek WordPress yazılımı gibi, temanızı ve eklentilerinizi güncellemek de aynı derecede önemlidir. Güncel olmayan bir eklenti veya tema kullanmak sitenizi savunmasız hale getirebilir.

WordPress eklentilerinde ve temalarında sık sık güvenlik açıkları ve hatalar keşfedilir. Genellikle tema ve eklenti yazarları bunları düzeltmekte hızlı davranırlar. Ancak, bir kullanıcı temasını veya eklentisini güncellemezse, bu konuda yapabileceği hiçbir şey yoktur.

WordPress temanızı ve eklentilerinizi güncel tuttuğunuzdan emin olun. WordPress, eklentiler ve temalar için doğru güncelleme sırası hakkındaki kılavuzumuzda nasıl yapılacağını öğrenebilirsiniz.

7. SFTP/SSH yerine Düz FTP Kullanımı

FTP hesapları, bir FTP istemcisi kullanarak web sunucunuza dosya yüklemek için kullanılır. Çoğu barındırma sağlayıcısı farklı protokoller kullanarak FTP bağlantılarını destekler. Düz FTP, SFTP veya SSH kullanarak bağlanabilirsiniz.

Sitenize düz FTP kullanarak bağlandığınızda, şifreniz sunucuya şifrelenmeden gönderilir. Bu da casusluk yapılabileceği ve kolayca çalınabileceği anlamına gelir. FTP kullanmak yerine her zaman SFTP veya SSH kullanmalısınız.

FTP istemcinizi değiştirmenize gerek yok. Çoğu FTP istemcisi web sitenize SSH’ın yanı sıra SFTP üzerinden de bağlanabilir. Web sitenize bağlanırken protokolü ‘SFTP – SSH’ olarak değiştirmeniz yeterlidir.

8. WordPress Kullanıcı Adı Olarak Admin Kullanma

WordPress kullanıcı adınız olarak ‘admin’ kullanmanız önerilmez. Yönetici kullanıcı adınız ‘admin’ ise, bunu derhal farklı bir kullanıcı adıyla değiştirmelisiniz.

Ayrıntılı talimatlar için WordPress kullanıcı adınızı nasıl değiştireceğinize ilişkin eğitimimize göz atın.

9. Geçersiz Temalar ve Eklentiler

İnternette ücretli WordPress eklentilerini ve temalarını ücretsiz olarak dağıtan birçok web sitesi var. Sitenizde bu nulled eklentileri ve temaları kullanmak için cazip hissedebilirsiniz.

WordPress temalarını ve eklentilerini güvenilir olmayan kaynaklardan indirmek çok tehlikelidir. Yalnızca web sitenizin güvenliğini tehlikeye atmakla kalmaz, aynı zamanda hassas bilgileri çalmak için de kullanılabilirler.

WordPress eklentilerini ve temalarını her zaman geliştiricinin web sitesi veya resmi WordPress depoları gibi güvenilir kaynaklardan indirmelisiniz.

Premium bir eklenti veya tema satın almaya gücünüz yetmiyorsa, bu ürünler için her zaman ücretsiz alternatifler mevcuttur. Bu ücretsiz eklentiler ücretli muadilleri kadar iyi olmayabilir, ancak işinizi görecek ve en önemlisi web sitenizi güvende tutacaktır.

Ayrıca web sitemizdeki fırsatlar bölümünde popüler WordPress ürünlerinin birçoğu için indirimler bulabilirsiniz.

10. wp-config.php WordPress Yapılandırma Dosyasının Güvenliğini Sağlamamak

wp-config.php WordPress yapılandırma dosyası WordPress veritabanı giriş bilgilerinizi içerir. Bu dosya ele geçirilirse, bir bilgisayar korsanına web sitenize tam erişim sağlayabilecek bilgileri açığa çıkaracaktır.

.htaccess kullanarak wp-config dosyasına erişimi reddederek ekstra bir koruma katmanı ekleyebilirsiniz. Bu kodu .htaccess dosyanıza eklemeniz yeterlidir:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. WordPress Tablo Önekinin Değiştirilmemesi

Birçok uzman varsayılan WordPress tablo önekini değiştirmenizi önermektedir. Varsayılan olarak WordPress, veritabanınızda oluşturduğu tablolar için önek olarak wp_ kullanır. Kurulum sırasında bunu değiştirme seçeneğine sahip olursunuz.

Daha karmaşık bir önek kullanmanız önerilir. Bu, bilgisayar korsanlarının veritabanı tablo adlarınızı tahmin etmesini zorlaştıracaktır.

Ayrıntılı talimatlar için, güvenliği artırmak için WordPress veritabanı önekinin nasıl değiştirileceğine ilişkin kılavuzumuza bakın.

Saldırıya Uğramış Bir WordPress Sitesini Temizleme

Saldırıya uğramış bir WordPress sitesini temizlemek acı verici olabilir. Ancak, bu yapılabilir.

İşte saldırıya uğramış bir WordPress sitesini temizlemeye başlamanızı sağlayacak bazı kaynaklar:

• WordPress sitenizin saldırıya uğradığına dair işaretler (ve nasıl düzeltileceği)
• WordPress sitenizi potansiyel olarak zararlı kodlara karşı tarama
• Saldırıya uğramış bir WordPress sitesinde arka kapı nasıl bulunur ve düzeltilir
• WordPress yöneticisi (wp-admin) dışında kaldığınızda ne yapmalısınız?
• WordPress’in yedekten nasıl geri yükleneceğine dair başlangıç kılavuzu

Bonus İpucu

Kaya gibi sağlam bir güvenlik için Sucuri, web sitenizi en yaygın tehditlere karşı koruyacak bir web sitesi güvenlik duvarının yanı sıra kötü amaçlı yazılım algılama ve kaldırma hizmetleri de sağlar.

Sucuri’nin 3 ayda 450.000 WordPress saldırısını engellememize nasıl yardımcı olduğunun hikayesini okuyun.

Alternatif olarak, uygun fiyatlı WPBeginner Profesyonel Hizmetlerimizden yararlanabilirsiniz.

Web siteniz saldırıya uğradıysa, uzman ekibimiz hassas verilerinizin güvende olduğundan emin olmak için kötü amaçlı kodları, dosyaları ve kötü amaçlı yazılımları temizleyebilir. Fiyatlandırma 249$’dan başlamaktadır.

Bu makalenin bir WordPress sitesinin saldırıya uğramasının en önemli nedenlerini öğrenmenize yardımcı olduğunu umuyoruz. Blog trafiğinizi nasıl artıracağınıza ilişkin kılavuzumuzu veya WordPress performansını hızlandırmak için uzman ipuçlarımızı da görmek isteyebilirsiniz.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.