WordPress web sitenizi güvende ve emniyette tutmak her web sitesi sahibi için önemlidir. Tıpkı evinizi veya iş yerinizi koruduğunuz gibi, web sitenizi de çevrimiçi tehditlerden korumanız gerekir.
Web sitenizin güvenliğini sağlamak için doğru adımları atmazsanız, risk altında olabilir. Google her gün binlerce web sitesini kötü amaçlı yazılım ve diğer güvenlik sorunları nedeniyle engelliyor.
WPBeginner’ı uzun yıllar boyunca tekrarlanan saldırılara karşı başarıyla güvende tuttuk. Bunu en iyi güvenlik eklentilerini kullanarak ve en iyi WordPress güvenlik uygulamalarını takip ederek yapıyoruz.
Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olacak en iyi ipuçlarımızı ve WordPress güvenlik kontrol listemizi paylaşacağız.
WordPress çekirdek yazılımı çok güvenli ve yüzlerce geliştirici tarafından düzenli olarak denetleniyor olsa da, sitenizi güvende tutmak için yapılması gereken çok şey var.
WPBeginner’da güvenliğin sadece riskleri ortadan kaldırmakla ilgili olmadığına inanıyoruz. Aynı zamanda risk azaltma ile de ilgilidir. Bir web sitesi sahibi olarak, teknoloji meraklısı olmasanız bile WordPress güvenliğinizi artırmak için yapabileceğiniz çok şey var.
Bu nedenle, web sitenizi güvenlik açıklarına karşı korumak için atabileceğiniz uygulanabilir adımlardan oluşan bir WordPress güvenlik kontrol listesi hazırladık.
Bunu kolaylaştırmak için, nihai WordPress güvenlik kılavuzumuzda kolayca gezinmenize yardımcı olacak bir içindekiler tablosu oluşturduk.
İçindekiler
WordPress Güvenliğinin Temelleri
- WordPress Güvenliği Neden Önemlidir?
- WordPress’i Güncel Tutun
- Güçlü Parolalar ve Kullanıcı İzinleri Kullanın
- WordPress Hosting’in Rolünü Anlayın
Kolay Adımlarla WordPress Güvenliği (Kodlama Yok)
- Bir WordPress Yedekleme Çözümü Kurun
- Saygın Bir WordPress Güvenlik Eklentisi Yükleyin
- Bir Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirin
- WordPress Sitenizi SSL/HTTPS’ye Taşıyın
Kendin Yap Kullanıcıları için WordPress Güvenliği
- Varsayılan Yönetici Kullanıcı Adını Değiştirme
- Dosya Düzenlemeyi Devre Dışı Bırak
- Belirli WordPress Dizinlerinde PHP Dosyası Yürütmeyi Devre Dışı Bırakma
- Oturum Açma Girişimlerini Sınırla
- İki Faktörlü Kimlik Doğrulama (2FA) Ekleme
- WordPress Veritabanı Önekini Değiştirme
- WordPress Yönetici ve Giriş Sayfasını Parola ile Koruma
- Dizin İndeksleme ve Taramayı Devre Dışı Bırakma
- WordPress’te XML-RPC’yi devre dışı bırakma
- WordPress’te Boşta Kalan Kullanıcıların Oturumunu Otomatik Olarak Kapatma
- WordPress Girişine Güvenlik Soruları Ekleme
- WordPress’i Kötü Amaçlı Yazılımlara ve Güvenlik Açıklarına Karşı Tarayın
- Saldırıya Uğramış WordPress Sitesini Düzeltme
Hazır mısınız? Hadi başlayalım.
Web Sitesi Güvenliği Neden Önemlidir?
Saldırıya uğramış bir WordPress web sitesi, işletmenizin gelirine ve itibarına ciddi zarar verebilir. Bilgisayar korsanları kullanıcı bilgilerini ve şifrelerini çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.
En kötüsü, kendinizi web sitenize yeniden erişim sağlamak için bilgisayar korsanlarına fidye yazılımı öderken bulabilirsiniz.
Google her gün 12-14 milyon kullanıcıyı ziyaret etmeye çalıştıkları bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıyor.
Ayrıca, Google her gün yaklaşık 10.000’den fazla web sitesini kötü amaçlı yazılım veya kimlik avı nedeniyle kara listeye almaktadır.
Tıpkı fiziksel bir yere sahip işletme sahiplerinin mülklerini koruma sorumluluğuna sahip olması gibi, çevrimiçi işletme sahiplerinin de WordPress güvenliklerine ekstra dikkat etmeleri gerekir.
WordPress’i Güncel Tutun
WordPress açık kaynaklı bir yazılımdır ve düzenli olarak bakımı yapılır ve güncellenir. WordPress varsayılan olarak küçük güncellemeleri otomatik olarak yükler.
Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.
WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeler yayınlayan üçüncü taraf geliştiriciler tarafından korunur.
Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve istikrarı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.
Güçlü Parolalar ve Kullanıcı İzinleri Kullanın
En yaygın WordPress hackleme girişimleri çalıntı şifreler kullanır. Web sitenize özgü daha güçlü parolalar kullanarak bunu zorlaştırabilirsiniz.
Sadece WordPress yönetici alanından bahsetmiyoruz. FTP hesaplarınız, veritabanlarınız, WordPress barındırma hesaplarınız ve sitenizin alan adını kullanan özel e-posta adresleriniz için güçlü parolalar oluşturmayı unutmayın.
Yeni başlayanların çoğu hatırlaması zor olduğu için güçlü parolalar kullanmaktan hoşlanmaz. İyi olan şey ise artık şifreleri hatırlamanıza gerek kalmamasıdır çünkü sadece bir şifre yöneticisi kullanabilirsiniz.
Daha fazla bilgi için WordPress parolalarını yönetme kılavuzumuza bakın.
Riski azaltmanın bir başka yolu da kesinlikle mecbur kalmadıkça kimseye WordPress yönetici hesabınıza erişim izni vermemektir.
Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress’teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun.
WordPress Hosting’in Rolünü Anlayın
WordPress barındırma hizmetiniz, WordPress sitenizin güvenliğinde en önemli rolü oynar. Hostinger, Bluehost veya SiteGround gibi iyi bir paylaşımlı barındır ma sağlayıcısı, sunucularını yaygın tehditlere karşı korumak için ekstra önlemler alır.
İşte iyi web hosting şirketlerinin web sitelerinizi ve verilerinizi korumak için arka planda çalıştığı birkaç yol:
- Şüpheli faaliyetler için ağlarını sürekli olarak izlerler.
- Tüm iyi hosting şirketlerinin büyük ölçekli DDoS saldırılarını önlemek için araçları vardır.
- Bilgisayar korsanlarının eski bir sürümdeki bilinen bir güvenlik açığından yararlanmasını önlemek için sunucu yazılımlarını, PHP sürümlerini ve donanımlarını güncel tutarlar.
- Büyük bir kaza durumunda verilerinizi korumalarına olanak tanıyan, kullanıma hazır felaket kurtarma ve kaza planlarına sahiptirler.
Paylaşımlı bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bir bilgisayar korsanının web sitenize saldırmak için komşu bir siteyi kullanabileceği siteler arası bulaşma riski vardır.
Buna karşın, yönetilen bir WordPress barındırma hizmeti kullanmak web siteniz için daha güvenli bir platform sağlar. Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar
Siteground ‘u tercih ettiğimiz yönetimli WordPress barındırma sağlayıcısı olarak öneriyoruz. Duyarlı destekleri, hızlı sunucuları ve mükemmel güvenilirlikleri var.
Özel Siteground kuponumuzu kullanarak en iyi teklifi aldığınızdan emin olun.
Birkaç Kolay Adımda WordPress Güvenliği (Kodlama Yok)
WordPress güvenliğini artırmanın yeni başlayanlar için, özellikle de teknik bilginiz yoksa, korkutucu bir düşünce olabileceğini biliyoruz. Tahmin edin ne oldu – yalnız değilsiniz.
Binlerce WordPress kullanıcısına WordPress güvenliklerini güçlendirmelerinde yardımcı olduk.
Size WordPress güvenliğinizi sadece birkaç tıklama ile nasıl geliştirebileceğinizi göstereceğiz (kodlama gerekmez).
Eğer işaretle ve tıkla yapabiliyorsanız, bunu da yapabilirsiniz!
1. Bir WordPress Yedekleme Çözümü Kurun
Yedekler herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey %100 güvenli değildir. Eğer devlet siteleri hacklenebiliyorsa, sizinki de hacklenebilir.
Yedeklemeler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.
Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedekleme konusunda bilmeniz gereken en önemli şey, tam site yedeklerini düzenli olarak uzak bir konuma (hosting hesabınıza değil) kaydetmeniz gerektiğidir.
Amazon, Dropbox gibi bir bulut hizmetinde veya Stash gibi özel bulutlarda saklamanızı öneririz.
Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar günde bir kez veya gerçek zamanlı yedeklemeler olabilir.
Neyse ki bu işlem Duplicator, UpdraftPlus veya BlogVault gibi eklentiler kullanılarak kolayca yapılabilir. Her ikisi de güvenilirdir ve en önemlisi kullanımı kolaydır (kodlama gerektirmez).
Daha fazla ayrıntı için WordPress web sitenizi nasıl yedekleyeceğinize ilişkin kılavuzumuza bakın.
Saygın Bir WordPress Güvenlik Eklentisi Yükleyin
Yedeklemelerden sonra yapmamız gereken bir sonraki şey, web sitenizde olan her şeyi takip eden bir denetim ve izleme sistemi kurmaktır.
Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması ve daha fazlası dahildir.
Neyse ki Sucuri gibi en iyi WordPress güvenlik eklentilerinden birini yükleyerek bu sorunu kolayca çözebilirsiniz.
Ücretsiz Sucuri Security eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için lütfen WordPress eklentisi yükleme ile ilgili adım adım kılavuzumuza bakın.
Şimdi, eklentinin WordPress kodunuzda herhangi bir sorun bulup bulmadığını görmek için Sucuri Security ” Dashboard ‘a gidebilirsiniz.
Yapmanız gereken bir sonraki şey Sucuri Security ” Ayarlar sayfasına gitmek ve ‘Sertleştirme’ sekmesine tıklamak.
Varsayılan ayarlar çoğu web sitesi için iyi çalışır, bu nedenle devam edebilir ve her seçenek için ‘Güçlendirmeyi Uygula’ düğmesine tıklayarak bunları etkinleştirebilirsiniz.
Bu, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları kilit alanları kilitlemenize yardımcı olur.
İpucu: Bu makalenin ilerleyen bölümlerinde veritabanı önekini ve yönetici kullanıcı adını değiştirmek gibi web sitenizi güçlendirmenin diğer yollarını ele alacağız. Ancak bunlar daha tekniktir ve kodlama bilgisi gerektirebilir.
Sertleştirme kısmından sonra, eklentinin diğer varsayılan ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişiklik gerektirmez.
Özelleştirmenizi önerdiğimiz tek şey, ayarlar sayfasının ‘Uyarılar’ sekmesinde bulunabilen e-posta uyarılarıdır.
Varsayılan olarak, gelen kutunuzu karıştırabilecek çok sayıda e-posta uyarısı alırsınız.
Uyarıları yalnızca eklenti değişiklikleri ve yeni kullanıcı kayıtları gibi haberdar olmak istediğiniz önemli eylemler için etkinleştirmenizi öneririz.
Bu WordPress güvenlik eklentisi çok güçlüdür, bu nedenle kötü amaçlı yazılım taraması, denetim günlükleri, başarısız giriş denemesi izleme ve daha fazlası gibi yaptığı her şeyi görmek için tüm sekmelere ve ayarlara göz atın.
Daha fazla bilgi için detaylı Sucuri incelememize bakabilirsiniz.
Bir Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirin
Sitenizi korumanın ve WordPress güvenliğinizden emin olmanın en kolay yolu bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.
Bir web sitesi güvenlik duvarı, tüm kötü niyetli trafiği web sitenize ulaşmadan önce engeller.
- DNS düzeyinde bir web sitesi güvenlik duvarı, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca gerçek trafik göndermesini sağlar.
- Uygulama düzeyinde bir güvenlik duvarı trafiği sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS düzeyindeki güvenlik duvarı kadar etkili değildir.
Daha fazla bilgi edinmek için en iyi WordPress güvenlik duvarı eklentileri listemize bakın.
WPBeginner’da uzun yıllar Sucuri kullandık ve hala WordPress için en iyi web uygulaması güvenlik duvarlarından biri olarak tavsiye ediyoruz. Yakın zamanda Sucuri’den Cloudflare’e geçtik çünkü kurumsal müşterilere daha fazla odaklanan özelliklere sahip daha büyük bir CDN ağına ihtiyacımız vardı.
Sucuri’nin bir ayda 450.000 WordPress saldırısını engellememize nasıl yardımcı olduğunu okuyabilirsiniz.
Sucuri’nin güvenlik duvarının en iyi yanı, aynı zamanda kötü amaçlı yazılım temizleme ve kara liste kaldırma garantisi ile birlikte gelmesidir. Bu, onların gözetimi altında saldırıya uğrarsanız, kaç sayfanız olursa olsun web sitenizi düzeltmeyi garanti ettikleri anlamına gelir.
Bu oldukça güçlü bir garantidir çünkü saldırıya uğramış web sitelerini onarmak pahalıdır. Güvenlik uzmanları normalde saat başına 250 dolardan fazla ücret alırken, Sucuri güvenlik yığınının tamamını bir yıl boyunca 199 dolara alabilirsiniz.
Bununla birlikte, Sucuri piyasadaki tek DNS seviyesinde güvenlik duvarı sağlayıcısı değildir. Diğer popüler rakip Cloudflare’dir. Sucuri ve Cloudflare karşılaştırmamıza bakın (Artıları ve Eksileri).
WordPress Sitenizi SSL/HTTPS’ye Taşıyın
SSL (Secure Sockets Layer), web siteniz ile kullanıcının tarayıcısı arasındaki veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birisinin etrafı koklamasını ve bilgi çalmasını zorlaştırır.
SSL’i etkinleştirdiğinizde, web sitesi adresiniz HTTP yerine HTTPS kullanacaktır. Ayrıca tarayıcıda web sitesi adresinizin yanında bir asma kilit veya benzer bir simge işareti göreceksiniz.
SSL sertifikaları genellikle sertifika yetkilileri tarafından verilir ve fiyatları her yıl 80 dolardan başlayıp yüzlerce dolara kadar çıkar. Ek maliyet nedeniyle, geçmişte çoğu web sitesi sahibi güvensiz protokolü kullanmaya devam etmeyi tercih etti.
Bunu düzeltmek için Let’s Encrypt adlı kar amacı gütmeyen bir kuruluş web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından desteklenmektedir.
Tüm WordPress web siteleriniz için SSL kullanmaya başlamak her zamankinden daha kolay. Birçok hosting şirketi artık WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor.
Hosting şirketiniz sunmuyorsa, Domain.com‘dan bir SSL sertifikası satın alabilirsiniz. Piyasadaki en iyi ve en güvenilir SSL fırsatlarına sahiptirler. Sertifika 10.000 $ güvenlik garantisi ve TrustLogo güvenlik mührü ile birlikte gelir.
Kendin Yap Kullanıcıları için WordPress Güvenliği
Şimdiye kadar bahsettiğimiz her şeyi yaparsanız, o zaman oldukça iyi durumdasınız demektir.
Ancak her zaman olduğu gibi, WordPress güvenliğinizi güçlendirmek için yapabileceğiniz daha çok şey var.
Bu adımlardan bazılarının kodlama bilgisi gerektirebileceğini unutmayın.
Varsayılan Yönetici Kullanıcı Adını Değiştirme
Eski günlerde, varsayılan WordPress yönetici kullanıcı adı ‘admin’ idi. Kullanıcı adları oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bu durum bilgisayar korsanlarının kaba kuvvet saldırıları yapmasını kolaylaştırıyordu.
Neyse ki WordPress bunu değiştirdi ve artık WordPress’i yüklerken özel bir kullanıcı adı seçmenizi gerektiriyor.
Ancak bazı tek tıkla WordPress yükleyicileri varsayılan yönetici kullanıcı adını hala ‘admin’ olarak ayarlamaktadır. Eğer durumun böyle olduğunu fark ederseniz, muhtemelen web hostinginizi değiştirmek iyi bir fikir olacaktır.
WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.
- Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
- Kullanıcı Adı Değiştirici eklentisini kullanın
- phpMyAdmin’den kullanıcı adını güncelleme
Bunların üçünü de WordPress kullanıcı adınızı nasıl değiştireceğinize ilişkin ayrıntılı kılavuzumuzda ele aldık.
Not: Açık olmak gerekirse, bazen ‘admin’ olarak da adlandırılan yönetici kullanıcı rolünü değil, ‘admin’ adlı kullanıcı adını değiştirmekten bahsediyoruz.
Dosya Düzenlemeyi Devre Dışı Bırak
WordPress, tema ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenize olanak tanıyan yerleşik bir kod düzenleyiciyle birlikte gelir.
Yanlış ellerde bu özellik bir güvenlik riski oluşturabilir, bu nedenle kapatmanızı öneririz.
Aşağıdaki kodu wp-config.php dosyanıza ekleyerek veya WPCode gibi bir kod parçacığı eklentisiyle (önerilir) bunu kolayca yapabilirsiniz:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Bunu nasıl yapacağınızı WordPress yönetici panelinden tema ve eklenti düzenleyicilerini devre dışı bırakma kılavuzumuzda adım adım gösteriyoruz.
Alternatif olarak, yukarıda bahsedilen ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak bunu tek tıklamayla yapabilirsiniz.
Belirli WordPress Dizinlerinde PHP Dosyası Yürütmeyi Devre Dışı Bırakma
WordPress güvenliğinizi güçlendirmenin bir başka yolu da /wp-content/uploads/
gibi ihtiyaç duyulmayan dizinlerde PHP dosyalarının çalıştırılmasını devre dışı bırakmaktır.
Bunu Notepad gibi bir metin düzenleyici açıp bu kodu yapıştırarak yapabilirsiniz:
<Files *.php>
deny from all
</Files>
Ardından, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/
klasörüne yüklemeniz gerekir.
Daha ayrıntılı bir açıklama için, belirli WordPress dizinlerinde PHP çalıştırmayı devre dışı bırakma kılavuzumuza bakın.
Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak bunu tek tıklamayla yapabilirsiniz.
Oturum Açma Girişimlerini Sınırla
WordPress varsayılan olarak kullanıcıların istedikleri kadar giriş yapmayı denemelerine izin verir. Bu da WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Bu, bilgisayar korsanlarının farklı kombinasyonlarla giriş yapmayı deneyerek şifreleri kırmaya çalıştığı yerdir.
Bu, bir kullanıcının yapabileceği başarısız giriş denemelerini sınırlandırarak kolayca düzeltilebilir. Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.
Ancak, güvenlik duvarınız kurulu değilse, aşağıdaki adımları kullanarak devam edebilirsiniz.
Öncelikle, ücretsiz Limit Login Attempts Reloaded eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.
Etkinleştirmenin ardından eklenti, kullanıcıların giriş denemelerinin sayısını sınırlamaya başlayacaktır.
Varsayılan ayarlar çoğu web sitesi için işe yarayacaktır, ancak Ayarlar ” Oturum Açma Girişimlerini Sınırla sayfasını ziyaret edip üstteki ‘Ayarlar’ sekmesine tıklayarak bunları özelleştirebilirsiniz. Örneğin, GDPR yasalarına uymak için ‘GDPR uyumluluğu’ onay kutusunu tıklayabilirsiniz.
Ayrıntılı talimatlar için WordPress’te giriş denemelerini nasıl ve neden sınırlandırmanız gerektiğine ilişkin kılavuzumuza göz atın.
İki Faktörlü Kimlik Doğrulama (2FA) Ekleme
İki faktörlü kimlik doğrulama yöntemi, kullanıcıların oturum açması için 2 farklı adım gerektirir:
- İlk adım kullanıcı adı ve paroladır.
- İkinci adım, akıllı telefonunuz gibi bilgisayar korsanlarının erişemeyeceği bir cihazdan veya uygulamadan bir kod kullanmanızı gerektirir.
Google, Facebook ve Twitter gibi en iyi çevrimiçi web sitelerinin çoğu, hesaplarınız için bunu etkinleştirmenize izin verir. Aynı işlevi WordPress sitenize de ekleyebilirsiniz.
İlk olarak, WP 2FA – İki Faktörlü Kimlik Doğrulama eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.
Kullanıcı dostu bir sihirbaz eklentiyi kurmanıza yardımcı olacak ve ardından size bir QR kodu verilecektir.
Telefonunuzda Google Authenticator, Authy ve LastPass Authenticator gibi bir kimlik doğrulayıcı uygulaması kullanarak QR kodunu taramanız gerekecektir.
LastPass Authenticator veya Authy kullanmanızı öneririz çünkü hesaplarınızı buluta yedeklemenize izin verirler. Bu, telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon almanız durumunda çok kullanışlıdır. Tüm hesap girişleriniz kolayca geri yüklenecektir.
Bu uygulamaların çoğu benzer şekilde çalışır ve Authy kullanıyorsanız, kimlik doğrulayıcı uygulamasındaki ‘+’ veya ‘Hesap ekle’ düğmesine tıklamanız yeterlidir.
Bu, telefonunuzun kamerasını kullanarak bilgisayarınızdaki QR kodunu taramanıza izin verecektir. Öncelikle uygulamaya kameraya erişim izni vermeniz gerekebilir.
Hesaba bir isim verdikten sonra kaydedebilirsiniz.
Web sitenize bir sonraki girişinizde, şifrenizi girdikten sonra sizden iki faktörlü kimlik doğrulama kodu istenecektir.
Telefonunuzdaki kimlik doğrulayıcı uygulamasını açtığınızda tek seferlik bir kod göreceksiniz.
Daha sonra oturum açma işlemini tamamlamak için kodu web sitenize girebilirsiniz.
WordPress Veritabanı Önekini Değiştirme
Varsayılan olarak WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_
kullanır.
WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden değiştirmenizi öneririz.
Güvenliği artırmak için WordPress veritabanı önekinin nasıl değiştirileceğine ilişkin adım adım eğitimimizi izleyerek veritabanı önekinizi değiştirebilirsiniz.
Not: Veritabanı önekinin değiştirilmesi düzgün yapılmazsa sitenizi bozabilir. Bunu yalnızca kodlama becerileriniz konusunda kendinizi rahat hissediyorsanız yapın.
WordPress Yönetici ve Giriş Sayfasını Parola ile Koruma
Normalde, bilgisayar korsanları wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmaksızın talep edebilir. Bu, bilgisayar korsanlığı hilelerini denemelerine veya DDoS saldırıları gerçekleştirmelerine olanak tanır.
Sunucu tarafı düzeyinde ek parola koruması ekleyerek bu istekleri etkili bir şekilde engelleyebilirsiniz.
WordPress yönetici (wp-admin) dizininizi nasıl parola ile koruyacağınıza ilişkin adım adım talimatlarımızı izlemeniz yeterlidir.
Dizin İndeksleme ve Taramayı Devre Dışı Bırakma
Web sitenizin klasörlerinden birinin adresini bir web tarayıcısına yazdığınızda, varsa index.html
adlı web sayfası gösterilir. Eğer yoksa, bunun yerine o klasördeki dosyaların bir listesi gösterilir. Bu, dizin taraması olarak bilinir.
Dizin taraması, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim elde etmek için bu dosyalardan yararlanabilirler.
Dizin taraması diğer kişiler tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı ve diğer bilgileri bulmak için de kullanılabilir. Bu nedenle dizin indeksleme ve taramayı kapatmanız şiddetle tavsiye edilir.
FTP veya barındırma sağlayıcınızın dosya yöneticisini kullanarak web sitenize bağlanmanız gerekir. Ardından, web sitenizin kök dizininde .htaccess
dosyasını bulun. Dosyayı orada göremiyorsanız, WordPress’te .htaccess dosyasını neden göremediğinize ilişkin kılavuzumuza bakın.
Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:
Seçenekler -İndeksler
.htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın.
Bu konu hakkında daha fazla bilgi için WordPress’te dizin taramayı devre dışı bırakma makalemize bakın.
WordPress’te XML-RPC’yi devre dışı bırakma
XML-RPC, WordPress sitenizi web ve mobil uygulamalarla bağlamanıza yardımcı olan temel bir WordPress API’sidir. WordPress 3.5’ten beri varsayılan olarak etkinleştirilmiştir.
Ancak, güçlü yapısı nedeniyle XML-RPC, kaba kuvvet saldırılarını önemli ölçüde artırabilir.
Örneğin, bir bilgisayar korsanı geleneksel olarak web sitenizde 500 farklı parola denemek isterse, 500 ayrı giriş denemesi yapması gerekir. Bu durum Limit Login Attempts Reloaded eklentisi tarafından yakalanabilir ve engellenebilir.
Ancak XML-RPC ile bir bilgisayar korsanı system.multicall
işlevini kullanarak örneğin 20 veya 50 istekle binlerce parola deneyebilir.
Bu nedenle XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.
WordPress’te XML-RPC’yi devre dışı bırakmanın 3 yolu vardır ve bunların hepsini WordPress’te XML-RPC’yi devre dışı bırakmaya ilişkin adım adım eğitimimizde ele aldık.
İpucu:.htaccess yöntemi en iyi yöntemdir çünkü en az kaynak yoğun olanıdır. Diğer yöntemler yeni başlayanlar için daha kolaydır.
Alternatif olarak, daha önce bahsettiğimiz gibi bir web uygulaması güvenlik duvarı (WAF) kullanıyorsanız bu otomatik olarak halledilir.
WordPress’te Boşta Kalan Kullanıcıların Oturumunu Otomatik Olarak Kapatma
Oturum açan kullanıcılar bazen ekrandan uzaklaşabilir ve bu bir güvenlik riski oluşturur. Birisi oturumlarını ele geçirebilir, parolalarını değiştirebilir veya hesaplarında değişiklik yapabilir.
Bu nedenle birçok bankacılık ve finans sitesi aktif olmayan bir kullanıcının oturumunu otomatik olarak kapatır. WordPress sitenizde de benzer bir işlevsellik kurabilirsiniz.
Inactive Logout eklentisini yüklemeniz ve etkinleştirmeniz gerekecektir. Etkinleştirmenin ardından, oturum kapatma ayarlarını özelleştirmek için Ayarlar “ Etkin Olmayan Oturum Kapatma sayfasını ziyaret edin.
Sadece süreyi ayarlayın ve bir oturum kapatma mesajı ekleyin. Ardından, ayarlarınızı saklamak için sayfanın altındaki ‘Değişiklikleri Kaydet’ düğmesine tıklamayı unutmayın.
Adım adım talimatlar için lütfen WordPress’te boşta kalan kullanıcıların oturumunu otomatik olarak kapatma hakkındaki kılavuzumuza bakın.
WordPress Giriş Ekranına Güvenlik Soruları Ekleme
WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birinin yetkisiz erişim elde etmesini daha da zorlaştırır.
İki Faktörlü Kimlik Doğrul ama eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz. Etkinleştirmenin ardından, eklentinin ayarlarını yapılandırmak için Multi-factor Authentication ” Two Factor sayfasını ziyaret etmeniz gerekir.
Bu, sitenize güvenlik soruları da dahil olmak üzere çeşitli iki faktörlü kimlik doğrulama türleri eklemenize olanak tanır.
Daha ayrıntılı talimatlar için WordPress giriş ekranına güvenlik sorularının nasıl ekleneceğine ilişkin eğitimimize bakın.
WordPress’i Kötü Amaçlı Yazılımlara ve Güvenlik Açıklarına Karşı Tarayın
Yüklü bir WordPress güvenlik eklentiniz varsa, kötü amaçlı yazılımları ve güvenlik ihlali belirtilerini rutin olarak kontrol edecektir.
Ancak, web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz, kötü amaçlı yazılımları manuel olarak taramak isteyebilirsiniz. Bunu WordPress güvenlik eklentinizi veya en iyi kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanarak yapabilirsiniz.
Bu çevrimiçi taramaları çalıştırmak oldukça basittir. Sadece web sitenizin URL’sini giriyorsunuz ve tarayıcıları bilinen kötü amaçlı yazılımları ve zararlı kodları aramak için web sitenizi tarıyor.
Çoğu WordPress güvenlik tarayıcısının yalnızca sitenizde kötü amaçlı yazılım olup olmadığı konusunda sizi uyarabileceğini unutmayın. Kötü amaçlı yazılımı kaldıramaz veya saldırıya uğramış bir WordPress sitesini temizleyemezler.
Bu da bizi bir sonraki bölüme, kötü amaçlı yazılımları ve saldırıya uğramış WordPress sitelerini temizlemeye getiriyor.
Saldırıya Uğramış WordPress Sitesini Düzeltme
Birçok WordPress kullanıcısı, web siteleri saldırıya uğrayana kadar yedeklemenin ve web sitesi güvenliğinin öneminin farkına varmaz.
Bilgisayar korsanları etkilenen sitelere arka kapılar yükler ve bu arka kapılar düzgün bir şekilde düzeltilmezse, web siteniz muhtemelen tekrar saldırıya uğrayacaktır.
Maceraperest ve kendin yap kullanıcıları için, saldırıya uğramış bir WordPress sitesini düzeltmek için adım adım bir kılavuz derledik.
Ancak bir WordPress sitesini temizlemek çok zor ve zaman alıcı olabilir. Tavsiyemiz, bu işi bir profesyonele bırakmanız olacaktır.
Yukarıda bahsettiğimiz Sucuri güvenlik eklentisini kullanmak için ödeme yapıyorsanız, saldırıya uğramış site onarımı fiyata dahildir.
WPBeginner Pro Services saldırıya uğramış site onarım hizmetini de kullanabilirsiniz. Tek seferlik 249 $ ödeme gerektiren bu hizmet, premium dosya belirleme, kötü amaçlı kod kaldırma, yazılım ve güvenlik güncellemeleri ve temizlenmiş bir site yedeklemesi içerir.
Sitenizi düzeltmeyi veya paranızı geri vermeyi garanti ediyoruz. Ayrıca web sitenizi onarımdan sonra 30 gün boyunca koruyoruz, bu nedenle bu süre zarfında tekrar saldırıya uğrarsanız, düzeltmek için orada olacağız.
WordPress web sitelerini 10 yılı aşkın süredir temizliyor ve güvenliğini sağlıyoruz, bu nedenle Hacklenmiş Site Onarım hizmetimizi kullandığınızda içiniz rahat olacak.
Bonus İpucu: Bir WordPress Bakım Hizmeti Kiralayın
Yoğun bir küçük işletme sahibi olarak, web sitenizin güvenliğini izlemek ve güvenlik açıklarından korumak için zamanınız olmayabilir. Bu nedenle, zihninizi rahatlatmak ve iş yükünüzü hafifletmek için, 7/24 güvenlik izleme için bir WordPress bakım hizmeti kiralayabilirsiniz.
WPBeginner Pro Services, uygun bir fiyata kapsamlı WordPress web sitesi bakımı sunar. Güvenlik izleme, rutin bulut yedeklemeleri, WordPress güncellemeleri, çalışma süresi izleme ve çok daha fazlasını içerir.
İhtiyaçlarınıza uygun bir aylık bakım hizmeti paketi seçerek daha güvenli bir WordPress sitesine ve işinizin diğer yönleri üzerinde çalışmak için ekstra boş zamana sahip olursunuz.
Başka öneriler de isterseniz, WordPress için en iyi web sitesi bakım hizmetleri seçimlerimizi görebilirsiniz.
WordPress Güvenliği Hakkında SSS
WordPress güvenliği çok önemli olduğu için bize düzenli olarak bu konuda sorular soruluyor. WordPress web sitelerini saldırılara karşı güvende tutmakla ilgili sıkça sorulan soruların yanıtlarını burada bulabilirsiniz.
WordPress Kullanımı Güvenli mi?
WordPress güvenli olacak şekilde tasarlanmıştır, özellikle de düzenli olarak güncel tutarsanız. Ancak çok popüler olduğu için bilgisayar korsanları sıklıkla WordPress web sitelerini hedef almaktadır.
Yine de endişelenmeyin. Bu makaledekiler gibi basit güvenlik ipuçlarını takip ederek, birilerinin web sitenizi hackleme olasılığını büyük ölçüde azaltabilirsiniz.
WordPress Web Sitemi Ne Riske Atabilir?
Bilgisayar korsanlarının web sitelerine erişim sağlamaya çalıştıkları farklı yollar vardır. Bazı yaygın tehditler arasında şifreleri tahmin etmek, zararlı yazılımlar (kötü amaçlı yazılımlar) yüklemek ve bilgi çalmak veya kontrolü ele geçirmek için web sitenizin kodunda zayıflıklar bulmak yer alır.
WordPress Web Sitemi Ne Sıklıkta Güncellemeliyim?
WordPress web sitenizi, temalarınızı ve eklentilerinizi güncel tutmak çok önemlidir. Yeni güncellemeler genellikle güvenlik sorunları için düzeltmeler içerir. Otomatik güncellemeleri kullanmaya çalışın veya haftada en az bir kez güncellemeleri kendiniz kontrol edin ve bunları hızlı bir şekilde yükleyin.
Güvenlik için Özel Bir Eklentiye İhtiyacım Var mı?
Bir güvenlik eklentisi kullanmak zorunda değilsiniz, ancak web sitenizi çok daha güvenli hale getirebilirler. Güvenlik eklentileri web siteniz için ekstra korumalar gibi davranarak sizi bilgisayar korsanlarından ve kötü amaçlı yazılımlardan korur.
Birinin Web Sitemi Hacklediğini Nasıl Anlarım?
Web sitenizde garip şeyler olduğunu fark ederseniz, bu saldırıya uğradığınızın bir işareti olabilir. Bu, yeni kullanıcılar veya oluşturmadığınız dosyalar görmek, web sitenizin ziyaretçileri farklı web sitelerine göndermesi, web sitenizin yavaş çalışması veya Google’dan veya web barındırma sağlayıcınızdan uyarılar almak olabilir.
Web Sitem Hacklenirse Ne Yapmalıyım?
Web sitenizin saldırıya uğradığını düşünüyorsanız panik yapmayın, ancak hızlı hareket edin. Web barındırma şirketinizle iletişime geçebilir ve yardım isteyebilirsiniz. Ayrıca bir güvenlik eklentisi kullanabilir veya bir güvenlik uzmanından web sitenizi temizlemesini isteyebilirsiniz.
Web sitenizin bir yedeği varsa, bu yedekten geri yükleyin. WordPress yönetici alanınız, veritabanınız ve FTP şifreleriniz de dahil olmak üzere tüm şifrelerinizi değiştirdiğinizden emin olun.
Umarız bu makale web sitenizi korumak için en iyi uygulamaları ve önerilen WordPress güvenlik kontrol listemizi öğrenmenize yardımcı olmuştur. WordPress sitelerinin saldırıya uğramasının en önemli nedenleri listemizi ve en iyi WordPress güvenlik eklentileri uzman seçimlerimizi de görmek isteyebilirsiniz.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Mrteesurez
No serious business will underestimate the power of security concerning websites specifically Wordpress. It’s popularity make it a center of focus for hackers.
I advise newly installed WordPress sites to firstly implement most of these security measures before launching or begin operation.
Kushal Phalak
Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.
Moinuddin Waheed
I have been in the similar sitution where I was working for a reputed institue website.
After making everything final, the director asked me date so that he can schedule a press release.
I confidently suggested him a particualr date and before the schedule date,
my website got corrupted and unfortunately I didn’t have any backup plan ready.
I was completely screwed up and worked the whole day trying to restore to the previous working
like condition.
I think it is necessary that we give heed to each detail related to security.
Ayanda Temitayo
Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login
I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.
What’s your opinion about changing the default login route?
WPBeginner Support
Changing your login URL is personal preference and not specifically for security.
Yönetici
al amin Sheikh
Two important things in a website – Performance and Security.
Nicely explained how we can protect our site from hackers. Thanks, WPB.
WPBeginner Support
You’re welcome
Yönetici
Moinuddin Waheed
Rightly said about the two most important thing of any website.
security and performance.
I think in case of wordpress, these two to a great extent can be achieved through good hosting provider and with the use of good themes and plugins.
Most of the time, a wrong plugin can cause security loophole without you even noticing it.
of course, other aspects are equally important to consider.
mohadese esmaeeli
Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.
WPBeginner Support
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Yönetici
Fajri
Whoa, the method to Disable XML-RPC in WordPress is totally new for me.
I am gonna try to applicate it to add more security for my websites. Thanks for this information team!
WPBeginner Support
Glad you found our article helpful
Yönetici
Murad Prodhan
WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.
WPBeginner Support
You’re welcome, glad the guide was helpful
Yönetici
Jiří Vaněk
This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.
WPBeginner Support
You’re welcome, glad our guide was helpful
Yönetici
Etop Udoekene
Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
I am really grateful.
WPBeginner Support
You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.
Yönetici
Mark Ellsworth
Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.
WPBeginner Support
Glad you found our security guide helpful
Yönetici
Ifakayode Femi
I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way
Thanks for taking your time to compose this
Thanks a million times
WPBeginner Support
Glad you found our guide and recommendations helpful!
Yönetici
Nikhil
thankyou sir it’s information is to important thankyou so much sir
WPBeginner Support
You’re welcome, glad to hear our article was helpful!
Yönetici
Yasin
I am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support
You’re welcome glad you found our guide helpful!
Yönetici
Belinda Viret
Thank you for the great advice!
WPBeginner Support
You’re welcome!
Yönetici
Marko Kozlica
Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!
WPBeginner Support
Glad you found our article helpful!
Yönetici
Federico
Really good guide, very useful!
WPBeginner Support
Glad you think so!
Yönetici
Claudio Lopes
Following the tips and feeling that my site is more secure.
WPBeginner Support
Glad to hear our guide could help you!
Yönetici
Bob De Maria
Hi,
I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.
I can’t thank you enough for a very well written and much appreciated tutorial.
Best Regards,
Bob De Maria
WPBeginner Support
Glad to hear our guide was helpful!
Yönetici
Kimberly
FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.
WPBeginner Support
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Yönetici
MS
Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???
WPBeginner Support
These should not cause a major change to your site’s speed.
Yönetici
john
nice Article ,
Do use reCAPTCHA in forms is helpful in securing?
WPBeginner Support
reCAPTCHA is for preventing spam more than security.
Yönetici
tim jackz
Hello team,
If i install two security plugin in my wordpress website, is there any disadvantages for my website?
WPBeginner Support
You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.
Yönetici
Diego
My Wordpress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current Wordpress version is 5.6.2.
I don’t quite understands all these different branches of WP.
Should I still need to upgrade?
WPBeginner Support
Rather than upgrade, you need to update your site, you can take a look at our guide below for how to safely update your site:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Yönetici
Julia
So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.
WPBeginner Support
That would be a WordPress.com limitation, for the difference between WordPress.com and WordPress.org we would recommend taking a look at our article below:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Yönetici
Trisha
Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?
WPBeginner Support
That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.
Yönetici
Ish
I took over a word press site how would i know if my site has a cloud backup account prior before me?
WPBeginner Support
You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.
Yönetici
Lu
How can you find out if your site uses XML-RPC? Really useful as always. Thank you.
WPBeginner Support
If your version of WordPress is up to date it should be active on your site normally.
Yönetici
Julie Taylor
Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?
WPBeginner Support
The security recommendations should not affect your site’s SEO
Yönetici
MooN Minhas
Thanks for sharing nice information.
WPBeginner Support
Glad you found it helpful
Yönetici
Samuel
is this guide also applies to WordPress.com users?
WPBeginner Support
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Yönetici