Nihai WordPress Güvenlik Rehberi – Adım Adım (2024)

WordPress güvenliği her web sitesi sahibi için büyük önem taşıyan bir konudur.

Web siteniz konusunda ciddiyseniz, WordPress’in en iyi güvenlik uygulamalarına dikkat etmeniz gerekir. Aksi takdirde, kötü amaçlı yazılım ve kimlik avı nedeniyle Google’ın her gün kara listeye aldığı 10.000’den fazla web sitesinden biri olabilirsiniz.

Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olacak en iyi WordPress güvenlik ipuçlarımızı paylaşacağız.

WordPress çekirdek yazılımı çok güvenli ve yüzlerce geliştirici tarafından düzenli olarak denetleniyor olsa da, sitenizi güvende tutmak için yapılması gereken çok şey var.

WPBeginner’da güvenliğin sadece riskleri ortadan kaldırmakla ilgili olmadığına inanıyoruz. Aynı zamanda risk azaltma ile de ilgilidir. Bir web sitesi sahibi olarak, teknoloji meraklısı olmasanız bile WordPress güvenliğinizi artırmak için yapabileceğiniz çok şey var.

Bu makalede, web sitenizi güvenlik açıklarına karşı korumak için atabileceğiniz uygulanabilir adımların bir listesini hazırladık.

Bunu kolaylaştırmak için, nihai WordPress güvenlik kılavuzumuzda kolayca gezinmenize yardımcı olacak bir içindekiler tablosu oluşturduk.

İçindekiler

WordPress Güvenliğinin Temelleri

• WordPress Güvenliği Neden Önemlidir?
• WordPress’i Güncel Tutun
• Güçlü Parolalar ve Kullanıcı İzinleri Kullanın
• WordPress Hosting’in Rolünü Anlayın

Kolay Adımlarla WordPress Güvenliği (Kodlama Yok)

• Bir WordPress Yedekleme Çözümü Kurun
• Saygın Bir WordPress Güvenlik Eklentisi Yükleyin
• Bir Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirin
• WordPress Sitenizi SSL/HTTPS’ye Taşıyın

Kendin Yap Kullanıcıları için WordPress Güvenliği

• Varsayılan Yönetici Kullanıcı Adını Değiştirme
• Dosya Düzenlemeyi Devre Dışı Bırak
• Belirli WordPress Dizinlerinde PHP Dosyası Yürütmeyi Devre Dışı Bırakma
• Oturum Açma Girişimlerini Sınırla
• İki Faktörlü Kimlik Doğrulama (2FA) Ekleme
• WordPress Veritabanı Önekini Değiştirme
• WordPress Yönetici ve Giriş Sayfasını Parola ile Koruma
• Dizin İndeksleme ve Taramayı Devre Dışı Bırakma
• WordPress’te XML-RPC’yi devre dışı bırakma
• WordPress’te Boşta Kalan Kullanıcıların Oturumunu Otomatik Olarak Kapatma
• WordPress Girişine Güvenlik Soruları Ekleme
• WordPress’i Kötü Amaçlı Yazılımlara ve Güvenlik Açıklarına Karşı Tarayın
• Saldırıya Uğramış WordPress Sitesini Düzeltme

Hazır mısınız? Hadi başlayalım.

Web Sitesi Güvenliği Neden Önemlidir?

Saldırıya uğramış bir WordPress web sitesi, işletmenizin gelirine ve itibarına ciddi zarar verebilir. Bilgisayar korsanları kullanıcı bilgilerini ve şifrelerini çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

En kötüsü, kendinizi web sitenize yeniden erişim sağlamak için bilgisayar korsanlarına fidye yazılımı öderken bulabilirsiniz.

Google her gün 12-14 milyon kullanıcıyı ziyaret etmeye çalıştıkları bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıyor.

Ayrıca, Google her gün yaklaşık 10.000’den fazla web sitesini kötü amaçlı yazılım veya kimlik avı nedeniyle kara listeye almaktadır.

Tıpkı fiziksel bir yere sahip işletme sahiplerinin mülklerini koruma sorumluluğuna sahip olması gibi, çevrimiçi işletme sahiplerinin de WordPress güvenliklerine ekstra dikkat etmeleri gerekir.

[Başa Dön ↑]

WordPress’i Güncel Tutun

WordPress açık kaynaklı bir yazılımdır ve düzenli olarak bakımı yapılır ve güncellenir. WordPress varsayılan olarak küçük güncellemeleri otomatik olarak yükler.

Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.

WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeler yayınlayan üçüncü taraf geliştiriciler tarafından korunur.

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve istikrarı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.

[Başa Dön ↑]

Güçlü Parolalar ve Kullanıcı İzinleri Kullanın

En yaygın WordPress hackleme girişimleri çalıntı şifreler kullanır. Web sitenize özgü daha güçlü parolalar kullanarak bunu zorlaştırabilirsiniz.

Sadece WordPress yönetici alanından bahsetmiyoruz. FTP hesaplarınız, veritabanlarınız, WordPress barındırma hesaplarınız ve sitenizin alan adını kullanan özel e-posta adresleriniz için güçlü parolalar oluşturmayı unutmayın.

Yeni başlayanların çoğu hatırlaması zor olduğu için güçlü parolalar kullanmaktan hoşlanmaz. İyi olan şey ise artık şifreleri hatırlamanıza gerek kalmamasıdır çünkü sadece bir şifre yöneticisi kullanabilirsiniz.

Daha fazla bilgi için WordPress parolalarını yönetme kılavuzumuza bakın.

Riski azaltmanın bir başka yolu da kesinlikle mecbur kalmadıkça kimseye WordPress yönetici hesabınıza erişim izni vermemektir.

Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress’teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun.

[Başa Dön ↑]

WordPress Hosting’in Rolünü Anlayın

WordPress barındırma hizmetiniz, WordPress sitenizin güvenliğinde en önemli rolü oynar. Hostinger, Bluehost veya SiteGround gibi iyi bir paylaşımlı barındır ma sağlayıcısı, sunucularını yaygın tehditlere karşı korumak için ekstra önlemler alır.

İşte iyi web hosting şirketlerinin web sitelerinizi ve verilerinizi korumak için arka planda çalıştığı birkaç yol:

• Şüpheli faaliyetler için ağlarını sürekli olarak izlerler.
• Tüm iyi hosting şirketlerinin büyük ölçekli DDoS saldırılarını önlemek için araçları vardır.
• Bilgisayar korsanlarının eski bir sürümdeki bilinen bir güvenlik açığından yararlanmasını önlemek için sunucu yazılımlarını, PHP sürümlerini ve donanımlarını güncel tutarlar.
• Büyük bir kaza durumunda verilerinizi korumalarına olanak tanıyan, kullanıma hazır felaket kurtarma ve kaza planlarına sahiptirler.

Paylaşımlı bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bir bilgisayar korsanının web sitenize saldırmak için komşu bir siteyi kullanabileceği siteler arası bulaşma riski vardır.

Buna karşın, yönetilen bir WordPress barındırma hizmeti kullanmak web siteniz için daha güvenli bir platform sağlar. Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar

Tercih ettiğimiz yönetimli WordPress barındırma sağlayıcısı olarak WP Engine ‘i öneriyoruz. Ayrıca sektördeki en popüler sağlayıcıdır.

Özel WP Engine kuponumuzu kullanarak en iyi teklifi aldığınızdan emin olun.

[Başa Dön ↑]

Birkaç Kolay Adımda WordPress Güvenliği (Kodlama Yok)

WordPress güvenliğini artırmanın yeni başlayanlar için, özellikle de teknik bilginiz yoksa, korkutucu bir düşünce olabileceğini biliyoruz. Tahmin edin ne oldu – yalnız değilsiniz.

Binlerce WordPress kullanıcısına WordPress güvenliklerini güçlendirmelerinde yardımcı olduk.

Size WordPress güvenliğinizi sadece birkaç tıklama ile nasıl geliştirebileceğinizi göstereceğiz (kodlama gerekmez).

Eğer işaretle ve tıkla yapabiliyorsanız, bunu da yapabilirsiniz!

1. Bir WordPress Yedekleme Çözümü Kurun

Yedekler herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey %100 güvenli değildir. Eğer devlet siteleri hacklenebiliyorsa, sizinki de hacklenebilir.

Yedeklemeler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.

Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedekleme konusunda bilmeniz gereken en önemli şey, tam site yedeklerini düzenli olarak uzak bir konuma (hosting hesabınıza değil) kaydetmeniz gerektiğidir.

Amazon, Dropbox gibi bir bulut hizmetinde veya Stash gibi özel bulutlarda saklamanızı öneririz.

Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar günde bir kez veya gerçek zamanlı yedeklemeler olabilir.

Neyse ki bu işlem Duplicator, UpdraftPlus veya BlogVault gibi eklentiler kullanılarak kolayca yapılabilir. Her ikisi de güvenilirdir ve en önemlisi kullanımı kolaydır (kodlama gerektirmez).

Daha fazla ayrıntı için WordPress web sitenizi nasıl yedekleyeceğinize ilişkin kılavuzumuza bakın.

[Başa Dön ↑]

Saygın Bir WordPress Güvenlik Eklentisi Yükleyin

Yedeklemelerden sonra yapmamız gereken bir sonraki şey, web sitenizde olan her şeyi takip eden bir denetim ve izleme sistemi kurmaktır.

Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması ve daha fazlası dahildir.

Neyse ki Sucuri gibi en iyi WordPress güvenlik eklentilerinden birini yükleyerek bu sorunu kolayca çözebilirsiniz.

Ücretsiz Sucuri Security eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için lütfen WordPress eklentisi yükleme ile ilgili adım adım kılavuzumuza bakın.

Şimdi, eklentinin WordPress kodunuzda herhangi bir sorun bulup bulmadığını görmek için Sucuri Security ” Dashboard ‘a gidebilirsiniz.

Yapmanız gereken bir sonraki şey Sucuri Security ” Ayarlar sayfasına gitmek ve ‘Sertleştirme’ sekmesine tıklamak.

Varsayılan ayarlar çoğu web sitesi için iyi çalışır, bu nedenle devam edebilir ve her seçenek için ‘Güçlendirmeyi Uygula’ düğmesine tıklayarak bunları etkinleştirebilirsiniz.

Bu, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları kilit alanları kilitlemenize yardımcı olur.

Sertleştirme kısmından sonra, eklentinin diğer varsayılan ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişiklik gerektirmez.

Özelleştirmenizi önerdiğimiz tek şey, ayarlar sayfasının ‘Uyarılar’ sekmesinde bulunabilen e-posta uyarılarıdır.

Varsayılan olarak, gelen kutunuzu karıştırabilecek çok sayıda e-posta uyarısı alırsınız.

Uyarıları yalnızca eklenti değişiklikleri ve yeni kullanıcı kayıtları gibi haberdar olmak istediğiniz önemli eylemler için etkinleştirmenizi öneririz.

Bu WordPress güvenlik eklentisi çok güçlüdür, bu nedenle kötü amaçlı yazılım taraması, denetim günlükleri, başarısız giriş denemesi izleme ve daha fazlası gibi yaptığı her şeyi görmek için tüm sekmelere ve ayarlara göz atın.

Daha fazla bilgi için detaylı Sucuri incelememize bakabilirsiniz.

Bir Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirin

Sitenizi korumanın ve WordPress güvenliğinizden emin olmanın en kolay yolu bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.

Bir web sitesi güvenlik duvarı, tüm kötü niyetli trafiği web sitenize ulaşmadan önce engeller.

• DNS düzeyinde bir web sitesi güvenlik duvarı, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca gerçek trafik göndermesini sağlar.
• Uygulama düzeyinde bir güvenlik duvarı trafiği sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS düzeyindeki güvenlik duvarı kadar etkili değildir.

Daha fazla bilgi edinmek için en iyi WordPress güvenlik duvarı eklentileri listemize bakın.

WPBeginner’da uzun yıllar Sucuri kullandık ve hala WordPress için en iyi web uygulaması güvenlik duvarlarından biri olarak tavsiye ediyoruz. Yakın zamanda Sucuri’den Cloudflare’e geçtik çünkü kurumsal müşterilere daha fazla odaklanan özelliklere sahip daha büyük bir CDN ağına ihtiyacımız vardı.

Sucuri’nin bir ayda 450.000 WordPress saldırısını engellememize nasıl yardımcı olduğunu okuyabilirsiniz.

Sucuri’nin güvenlik duvarının en iyi yanı, aynı zamanda kötü amaçlı yazılım temizleme ve kara liste kaldırma garantisi ile birlikte gelmesidir. Bu, onların gözetimi altında saldırıya uğrarsanız, kaç sayfanız olursa olsun web sitenizi düzeltmeyi garanti ettikleri anlamına gelir.

Bu oldukça güçlü bir garantidir çünkü saldırıya uğramış web sitelerini onarmak pahalıdır. Güvenlik uzmanları normalde saat başına 250 dolardan fazla ücret alırken, Sucuri güvenlik yığınının tamamını bir yıl boyunca 199 dolara alabilirsiniz.

Bununla birlikte, Sucuri piyasadaki tek DNS seviyesinde güvenlik duvarı sağlayıcısı değildir. Diğer popüler rakip Cloudflare’dir. Sucuri ve Cloudflare karşılaştırmamıza bakın (Artıları ve Eksileri).

[Başa Dön ↑]

WordPress Sitenizi SSL/HTTPS’ye Taşıyın

SSL (Secure Sockets Layer), web siteniz ile kullanıcının tarayıcısı arasındaki veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birisinin etrafı koklamasını ve bilgi çalmasını zorlaştırır.

SSL’i etkinleştirdiğinizde, web sitesi adresiniz HTTP yerine HTTPS kullanacaktır. Ayrıca tarayıcıda web sitesi adresinizin yanında bir asma kilit veya benzer bir simge işareti göreceksiniz.

SSL sertifikaları genellikle sertifika yetkilileri tarafından verilir ve fiyatları her yıl 80 dolardan başlayıp yüzlerce dolara kadar çıkar. Ek maliyet nedeniyle, geçmişte çoğu web sitesi sahibi güvensiz protokolü kullanmaya devam etmeyi tercih etti.

Bunu düzeltmek için Let’s Encrypt adlı kar amacı gütmeyen bir kuruluş web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından desteklenmektedir.

Tüm WordPress web siteleriniz için SSL kullanmaya başlamak her zamankinden daha kolay. Birçok hosting şirketi artık WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor.

Hosting şirketiniz sunmuyorsa, Domain.com‘dan bir SSL sertifikası satın alabilirsiniz. Piyasadaki en iyi ve en güvenilir SSL fırsatlarına sahiptirler. Sertifika 10.000 $ güvenlik garantisi ve TrustLogo güvenlik mührü ile birlikte gelir.

Kendin Yap Kullanıcıları için WordPress Güvenliği

Şimdiye kadar bahsettiğimiz her şeyi yaparsanız, o zaman oldukça iyi durumdasınız demektir.

Ancak her zaman olduğu gibi, WordPress güvenliğinizi güçlendirmek için yapabileceğiniz daha çok şey var.

Bu adımlardan bazılarının kodlama bilgisi gerektirebileceğini unutmayın.

Varsayılan Yönetici Kullanıcı Adını Değiştirme

Eski günlerde, varsayılan WordPress yönetici kullanıcı adı ‘admin’ idi. Kullanıcı adları oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bu durum bilgisayar korsanlarının kaba kuvvet saldırıları yapmasını kolaylaştırıyordu.

Neyse ki WordPress bunu değiştirdi ve artık WordPress’i yüklerken özel bir kullanıcı adı seçmenizi gerektiriyor.

Ancak bazı tek tıkla WordPress yükleyicileri varsayılan yönetici kullanıcı adını hala ‘admin’ olarak ayarlamaktadır. Eğer durumun böyle olduğunu fark ederseniz, muhtemelen web hostinginizi değiştirmek iyi bir fikir olacaktır.

WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.

1. Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
2. Kullanıcı Adı Değiştirici eklentisini kullanın
3. phpMyAdmin’den kullanıcı adını güncelleme

Bunların üçünü de WordPress kullanıcı adınızı nasıl değiştireceğinize ilişkin ayrıntılı kılavuzumuzda ele aldık.

[Başa Dön ↑]

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, tema ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenize olanak tanıyan yerleşik bir kod düzenleyiciyle birlikte gelir.

Yanlış ellerde bu özellik bir güvenlik riski oluşturabilir, bu nedenle kapatmanızı öneririz.

Aşağıdaki kodu wp-config.php dosyanıza ekleyerek veya WPCode gibi bir kod parçacığı eklentisiyle (önerilir) bunu kolayca yapabilirsiniz:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Bunu nasıl yapacağınızı WordPress yönetici panelinden tema ve eklenti düzenleyicilerini devre dışı bırakma kılavuzumuzda adım adım gösteriyoruz.

Alternatif olarak, yukarıda bahsedilen ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak bunu tek tıklamayla yapabilirsiniz.

[Başa Dön ↑]

Belirli WordPress Dizinlerinde PHP Dosyası Yürütmeyi Devre Dışı Bırakma

WordPress güvenliğinizi güçlendirmenin bir başka yolu da /wp-content/uploads/ gibi ihtiyaç duyulmayan dizinlerde PHP dosyalarının çalıştırılmasını devre dışı bırakmaktır.

Bunu Notepad gibi bir metin düzenleyici açıp bu kodu yapıştırarak yapabilirsiniz:

<Files *.php>
deny from all
</Files>

Ardından, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/ klasörüne yüklemeniz gerekir.

Daha ayrıntılı bir açıklama için, belirli WordPress dizinlerinde PHP çalıştırmayı devre dışı bırakma kılavuzumuza bakın.

Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak bunu tek tıklamayla yapabilirsiniz.

[Başa Dön ↑]

Oturum Açma Girişimlerini Sınırla

WordPress varsayılan olarak kullanıcıların istedikleri kadar giriş yapmayı denemelerine izin verir. Bu da WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Bu, bilgisayar korsanlarının farklı kombinasyonlarla giriş yapmayı deneyerek şifreleri kırmaya çalıştığı yerdir.

Bu, bir kullanıcının yapabileceği başarısız giriş denemelerini sınırlandırarak kolayca düzeltilebilir. Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.

Ancak, güvenlik duvarınız kurulu değilse, aşağıdaki adımları kullanarak devam edebilirsiniz.

Öncelikle, ücretsiz Limit Login Attempts Reloaded eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.

Etkinleştirmenin ardından eklenti, kullanıcıların giriş denemelerinin sayısını sınırlamaya başlayacaktır.

Varsayılan ayarlar çoğu web sitesi için işe yarayacaktır, ancak Ayarlar ” Oturum Açma Girişimlerini Sınırla sayfasını ziyaret edip üstteki ‘Ayarlar’ sekmesine tıklayarak bunları özelleştirebilirsiniz. Örneğin, GDPR yasalarına uymak için ‘GDPR uyumluluğu’ onay kutusunu tıklayabilirsiniz.

Ayrıntılı talimatlar için WordPress’te giriş denemelerini nasıl ve neden sınırlandırmanız gerektiğine ilişkin kılavuzumuza göz atın.

[Başa Dön ↑]

İki Faktörlü Kimlik Doğrulama (2FA) Ekleme

İki faktörlü kimlik doğrulama yöntemi, kullanıcıların oturum açması için 2 farklı adım gerektirir:

1. İlk adım kullanıcı adı ve paroladır.
2. İkinci adım, akıllı telefonunuz gibi bilgisayar korsanlarının erişemeyeceği bir cihazdan veya uygulamadan bir kod kullanmanızı gerektirir.

Google, Facebook ve Twitter gibi en iyi çevrimiçi web sitelerinin çoğu, hesaplarınız için bunu etkinleştirmenize izin verir. Aynı işlevi WordPress sitenize de ekleyebilirsiniz.

İlk olarak, WP 2FA – İki Faktörlü Kimlik Doğrulama eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.

Kullanıcı dostu bir sihirbaz eklentiyi kurmanıza yardımcı olacak ve ardından size bir QR kodu verilecektir.

Telefonunuzda Google Authenticator, Authy ve LastPass Authenticator gibi bir kimlik doğrulayıcı uygulaması kullanarak QR kodunu taramanız gerekecektir.

LastPass Authenticator veya Authy kullanmanızı öneririz çünkü hesaplarınızı buluta yedeklemenize izin verirler. Bu, telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon almanız durumunda çok kullanışlıdır. Tüm hesap girişleriniz kolayca geri yüklenecektir.

Bu uygulamaların çoğu benzer şekilde çalışır ve Authy kullanıyorsanız, kimlik doğrulayıcı uygulamasındaki ‘+’ veya ‘Hesap ekle’ düğmesine tıklamanız yeterlidir.

Bu, telefonunuzun kamerasını kullanarak bilgisayarınızdaki QR kodunu taramanıza izin verecektir. Öncelikle uygulamaya kameraya erişim izni vermeniz gerekebilir.

Hesaba bir isim verdikten sonra kaydedebilirsiniz.

Web sitenize bir sonraki girişinizde, şifrenizi girdikten sonra sizden iki faktörlü kimlik doğrulama kodu istenecektir.

Telefonunuzdaki kimlik doğrulayıcı uygulamasını açtığınızda tek seferlik bir kod göreceksiniz.

Daha sonra oturum açma işlemini tamamlamak için kodu web sitenize girebilirsiniz.

[Başa Dön ↑]

WordPress Veritabanı Önekini Değiştirme

Varsayılan olarak WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_ kullanır.

WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden değiştirmenizi öneririz.

Güvenliği artırmak için WordPress veritabanı önekinin nasıl değiştirileceğine ilişkin adım adım eğitimimizi izleyerek veritabanı önekinizi değiştirebilirsiniz.

[Başa Dön ↑]

WordPress Yönetici ve Giriş Sayfasını Parola ile Koruma

Normalde, bilgisayar korsanları wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmaksızın talep edebilir. Bu, bilgisayar korsanlığı hilelerini denemelerine veya DDoS saldırıları gerçekleştirmelerine olanak tanır.

Sunucu tarafı düzeyinde ek parola koruması ekleyerek bu istekleri etkili bir şekilde engelleyebilirsiniz.

WordPress yönetici (wp-admin) dizininizi nasıl parola ile koruyacağınıza ilişkin adım adım talimatlarımızı izlemeniz yeterlidir.

[Başa Dön ↑]

Dizin İndeksleme ve Taramayı Devre Dışı Bırakma

Web sitenizin klasörlerinden birinin adresini bir web tarayıcısına yazdığınızda, varsa index.html adlı web sayfası gösterilir. Eğer yoksa, bunun yerine o klasördeki dosyaların bir listesi gösterilir. Bu, dizin taraması olarak bilinir.

Dizin taraması, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim elde etmek için bu dosyalardan yararlanabilirler.

Dizin taraması diğer kişiler tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı ve diğer bilgileri bulmak için de kullanılabilir. Bu nedenle dizin indeksleme ve taramayı kapatmanız şiddetle tavsiye edilir.

FTP veya barındırma sağlayıcınızın dosya yöneticisini kullanarak web sitenize bağlanmanız gerekir. Ardından, web sitenizin kök dizininde .htaccess dosyasını bulun. Dosyayı orada göremiyorsanız, WordPress’te .htaccess dosyasını neden göremediğinize ilişkin kılavuzumuza bakın.

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Seçenekler -İndeksler

.htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın.

Bu konu hakkında daha fazla bilgi için WordPress’te dizin taramayı devre dışı bırakma makalemize bakın.

[Başa Dön ↑]

WordPress’te XML-RPC’yi devre dışı bırakma

XML-RPC, WordPress sitenizi web ve mobil uygulamalarla bağlamanıza yardımcı olan temel bir WordPress API’sidir. WordPress 3.5’ten beri varsayılan olarak etkinleştirilmiştir.

Ancak, güçlü yapısı nedeniyle XML-RPC, kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Örneğin, bir bilgisayar korsanı geleneksel olarak web sitenizde 500 farklı parola denemek isterse, 500 ayrı giriş denemesi yapması gerekir. Bu durum Limit Login Attempts Reloaded eklentisi tarafından yakalanabilir ve engellenebilir.

Ancak XML-RPC ile bir bilgisayar korsanı system.multicall işlevini kullanarak örneğin 20 veya 50 istekle binlerce parola deneyebilir.

Bu nedenle XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.

WordPress’te XML-RPC’yi devre dışı bırakmanın 3 yolu vardır ve bunların hepsini WordPress’te XML-RPC’yi devre dışı bırakmaya ilişkin adım adım eğitimimizde ele aldık.

Alternatif olarak, daha önce bahsettiğimiz gibi bir web uygulaması güvenlik duvarı (WAF) kullanıyorsanız bu otomatik olarak halledilir.

[Başa Dön ↑]

WordPress’te Boşta Kalan Kullanıcıların Oturumunu Otomatik Olarak Kapatma

Oturum açan kullanıcılar bazen ekrandan uzaklaşabilir ve bu bir güvenlik riski oluşturur. Birisi oturumlarını ele geçirebilir, parolalarını değiştirebilir veya hesaplarında değişiklik yapabilir.

Bu nedenle birçok bankacılık ve finans sitesi aktif olmayan bir kullanıcının oturumunu otomatik olarak kapatır. WordPress sitenizde de benzer bir işlevsellik kurabilirsiniz.

Inactive Logout eklentisini yüklemeniz ve etkinleştirmeniz gerekecektir. Etkinleştirmenin ardından, oturum kapatma ayarlarını özelleştirmek için Ayarlar “ Etkin Olmayan Oturum Kapatma sayfasını ziyaret edin.

Sadece süreyi ayarlayın ve bir oturum kapatma mesajı ekleyin. Ardından, ayarlarınızı saklamak için sayfanın altındaki ‘Değişiklikleri Kaydet’ düğmesine tıklamayı unutmayın.

Adım adım talimatlar için lütfen WordPress’te boşta kalan kullanıcıların oturumunu otomatik olarak kapatma hakkındaki kılavuzumuza bakın.

[Başa Dön ↑]

WordPress Giriş Ekranına Güvenlik Soruları Ekleme

WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birinin yetkisiz erişim elde etmesini daha da zorlaştırır.

İki Faktörlü Kimlik Doğrul ama eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz. Etkinleştirmenin ardından, eklentinin ayarlarını yapılandırmak için Multi-factor Authentication ” Two Factor sayfasını ziyaret etmeniz gerekir.

Bu, sitenize güvenlik soruları da dahil olmak üzere çeşitli iki faktörlü kimlik doğrulama türleri eklemenize olanak tanır.

Daha ayrıntılı talimatlar için WordPress giriş ekranına güvenlik sorularının nasıl ekleneceğine ilişkin eğitimimize bakın.

[Başa Dön ↑]

WordPress’i Kötü Amaçlı Yazılımlara ve Güvenlik Açıklarına Karşı Tarayın

Yüklü bir WordPress güvenlik eklentiniz varsa, kötü amaçlı yazılımları ve güvenlik ihlali belirtilerini rutin olarak kontrol edecektir.

Ancak, web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz, kötü amaçlı yazılımları manuel olarak taramak isteyebilirsiniz. Bunu WordPress güvenlik eklentinizi veya en iyi kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanarak yapabilirsiniz.

Bu çevrimiçi taramaları çalıştırmak oldukça basittir. Sadece web sitenizin URL’sini giriyorsunuz ve tarayıcıları bilinen kötü amaçlı yazılımları ve zararlı kodları aramak için web sitenizi tarıyor.

Çoğu WordPress güvenlik tarayıcısının yalnızca sitenizde kötü amaçlı yazılım olup olmadığı konusunda sizi uyarabileceğini unutmayın. Kötü amaçlı yazılımı kaldıramaz veya saldırıya uğramış bir WordPress sitesini temizleyemezler.

Bu da bizi bir sonraki bölüme, kötü amaçlı yazılımları ve saldırıya uğramış WordPress sitelerini temizlemeye getiriyor.

[Başa Dön ↑]

Saldırıya Uğramış WordPress Sitesini Düzeltme

Birçok WordPress kullanıcısı, web siteleri saldırıya uğrayana kadar yedeklemenin ve web sitesi güvenliğinin öneminin farkına varmaz.

Bilgisayar korsanları etkilenen sitelere arka kapılar yükler ve bu arka kapılar düzgün bir şekilde düzeltilmezse, web siteniz muhtemelen tekrar saldırıya uğrayacaktır.

Maceraperest ve kendin yap kullanıcıları için, saldırıya uğramış bir WordPress sitesini düzeltmek için adım adım bir kılavuz derledik.

Ancak bir WordPress sitesini temizlemek çok zor ve zaman alıcı olabilir. Tavsiyemiz, bu işi bir profesyonele bırakmanız olacaktır.

Yukarıda bahsettiğimiz Sucuri güvenlik eklentisini kullanmak için ödeme yapıyorsanız, saldırıya uğramış site onarımı fiyata dahildir.

WPBeginner Pro Services saldırıya uğramış site onarım hizmetini de kullanabilirsiniz. Tek seferlik 249 $ ödeme gerektiren bu hizmet, premium dosya belirleme, kötü amaçlı kod kaldırma, yazılım ve güvenlik güncellemeleri ve temizlenmiş bir site yedeklemesi içerir.

Sitenizi düzeltmeyi veya paranızı geri vermeyi garanti ediyoruz. Ayrıca web sitenizi onarımdan sonra 30 gün boyunca koruyoruz, bu nedenle bu süre zarfında tekrar saldırıya uğrarsanız, düzeltmek için orada olacağız.

WordPress web sitelerini 10 yılı aşkın süredir temizliyor ve güvenliğini sağlıyoruz, bu nedenle Hacklenmiş Site Onarım hizmetimizi kullandığınızda içiniz rahat olacak.

[Başa Dön ↑]

Bonus İpucu: Bir WordPress Bakım Hizmeti Kiralayın

Yoğun bir küçük işletme sahibi olarak, web sitenizin güvenliğini izlemek ve güvenlik açıklarından korumak için zamanınız olmayabilir. Bu nedenle, zihninizi rahatlatmak ve iş yükünüzü hafifletmek için, 7/24 güvenlik izleme için bir WordPress bakım hizmeti kiralayabilirsiniz.

WPBeginner Pro Services, uygun bir fiyata kapsamlı WordPress web sitesi bakımı sunar. Güvenlik izleme, rutin bulut yedeklemeleri, WordPress güncellemeleri, çalışma süresi izleme ve çok daha fazlasını içerir.

İhtiyaçlarınıza uygun bir aylık bakım hizmeti paketi seçerek daha güvenli bir WordPress sitesine ve işinizin diğer yönleri üzerinde çalışmak için ekstra boş zamana sahip olursunuz.

Başka öneriler de isterseniz, WordPress için en iyi web sitesi bakım hizmetleri seçimlerimizi görebilirsiniz.

[Başa Dön ↑]

Umarız bu makale WordPress güvenliği için en iyi uygulamaları öğrenmenize ve web siteniz için en iyi WordPress güvenlik eklentilerini keşfetmenize yardımcı olmuştur. SEO sıralamanızı iyileştirmek için nihai WordPress SEO kılavuzumuzu ve WordPress’i nasıl hızlandıracağınıza dair uzman ipuçlarımızı da görmek isteyebilirsiniz.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.