WordPress web sitenizi güvende tutmak, sağlığınıza dikkat etmek gibi devam eden bir süreçtir. WordPress güvenlik göz önünde bulundurularak tasarlanmış olsa da yine de sorunlar ortaya çıkabilir. Bu sorunlara güncel olmayan eklentiler, zayıf şifreler ve hatta web barındırma ayarlarınız neden olabilir.
WPBeginner’da WordPress güvenlik denetimlerini web sitesi kontrolleri olarak düşünüyoruz. Birisi bunlardan yararlanmadan önce zayıflıkları bulmanıza ve düzeltmenize yardımcı olurlar. Sitenizi sağlıklı tutar ve içerdiği bilgileri korurlar.
Bu makale, WordPress web sitenizi herhangi bir soruna veya kesintiye neden olmadan güvenlik sorunlarına karşı nasıl kontrol edeceğinizi gösterecektir.
WordPress Güvenlik Denetimi Nedir?
WordPress web sitenizde bir güvenlik denetimi gerçekleştirmek, sitenizi bir güvenlik ihlali belirtilerine karşı kontrol etmek anlamına gelir. Şüpheli etkinlik, kötü amaçlı kod veya performansta olağandışı bir düşüş aramak için bir WordPress kontrolü gerçekleştirebilirsiniz.
Manuel olarak gerçekleştirebileceğiniz basit adımları takip ederek temel bir güvenlik denetimini nasıl gerçekleştireceğinizi göstereceğiz. Ayrıca, güvenlik kontrollerini otomatik olarak gerçekleştirmek için WordPress güvenlik denetimi araçlarını ve hizmetlerini nasıl kullanacağınızı da göstereceğiz.
Şüpheli bir şey bulursanız, onu izole edebilir, kaldırabilir ve düzeltebilirsiniz.
WordPress Güvenlik Denetimi Ne Zaman Yapılmalı?
En az üç ayda bir WordPress güvenlik denetimi gerçekleştirmelisiniz. Bu sayede her şeyden haberdar olabilir ve güvenlik açıklarını herhangi bir soruna yol açmadan önce kapatabilirsiniz.
Ancak, aşağıdaki gibi şüpheli bir durum fark ederseniz derhal bir güvenlik denetimi gerçekleştirmelisiniz:
- Web siteniz aniden yavaşladı ve halsizleşti.
- Web sitesi trafiğinde bir düşüşe tanık oluyorsunuz.
- Web sitenizde şüpheli yeni hesaplar, unutulan şifre talepleri veya giriş denemeleri var.
- Web sitenizde şüpheli bağlantıların göründüğünü görüyorsunuz.
Bununla birlikte, WordPress güvenlik denetiminin nasıl kolayca gerçekleştirilebileceğine bir göz atalım.
Temel Bir Manuel WordPress Güvenlik Denetimi Gerçekleştirme
Burada, web sitenizde temel bir manuel WordPress güvenlik denetimi gerçekleştirmek için atabileceğiniz bazı adımların bir kontrol listesi bulunmaktadır.
1. WordPress Çekirdeğini, Eklentilerini ve Temalarını Güncelleyin
WordPress güncellemeleri web sitenizin güvenliği ve istikrarı için gerçekten önemlidir. Güvenlik açıklarını kapatır, yeni özellikler getirir ve performansı artırırlar.
WordPress çekirdek yazılımınızın, tüm eklentilerinizin ve temalarınızın güncel olduğundan emin olun. Bunu WordPress yönetici alanındaki Kontrol Paneli ” Güncellemeler sayfasını ziyaret ederek kolayca yapabilirsiniz.
WordPress herhangi bir güncellemenin mevcut olup olmadığına bakacak ve ardından yüklemeniz için bunları listeleyecektir. Daha fazla yardıma ihtiyacınız varsa, WordPress’in nasıl düzgün şekilde güncelleneceği ve WordPress eklentilerinin nasıl düzgün şekilde güncelleneceği hakkındaki kılavuzlarımıza bakın.
2. Kullanıcı Hesaplarını ve Parolalarını Kontrol Edin
Ardından, Kullanıcılar ” Tüm Kullanıcılar sayfasını ziyaret ederek WordPress kullanıcı hesaplarını gözden geçirmeniz gerekir. Orada olmaması gereken şüpheli kullanıcı hesaplarını arayın.
Bir çevrimiçi mağaza, üyelik sitesi işletiyorsanız veya çevrimiçi kurslar satıyorsanız, müşterilerinizin oturum açması için kullanıcı hesaplarınız olabilir.
Ancak, bir blog veya işletme web sitesi işletiyorsanız, yalnızca kendiniz veya manuel olarak eklediğiniz diğer kullanıcılar için kullanıcı hesaplarını görmelisiniz.
Şüpheli kullanıcı hesapları görürseniz, bunları silmeniz gerekir.
Şimdi, web siteniz kullanıcıların bir hesap oluşturmasını gerektirmiyorsa, Ayarlar ” Genel sayfasını ziyaret etmeniz ve ‘Herkes kaydolabilir’ seçeneğinin yanındaki kutunun işaretli olmadığından emin olmanız gerekir.
Ekstra bir önlem olarak WordPress yönetici şifrenizi değiştirmeniz gerekir. Sitenizdeki şifre güvenliğini güçlendirmek için iki faktörlü kimlik doğrulama eklemenizi şiddetle tavsiye ederiz.
3. WordPress Güvenlik Taraması Çalıştırın
Bir sonraki adım web sitenizde güvenlik açıkları olup olmadığını kontrol etmektir. Neyse ki, kötü amaçlı yazılımları kontrol etmek için kullanabileceğiniz birkaç çevrimiçi güvenlik tarayıcısı vardır.
Web sitenizi kötü amaçlı yazılım ve diğer güvenlik açıklarına karşı kontrol eden IsItWP Güvenlik Tarayıcısını kullanmanızı öneririz.
Bu araçlar iyidir, ancak yalnızca web sitenizin herkese açık sayfalarını tarayabilirler. Bu makalenin ilerleyen bölümlerinde daha derin denetimlerin nasıl yapılacağını göstereceğiz.
4. Web Sitesi Analizlerinizi Kontrol Edin
Web sitesi analizleri, web sitenizin trafiğini takip etmenize yardımcı olur. Ayrıca web sitenizin sağlığının oldukça iyi bir göstergesidir.
Web siteniz arama motorları tarafından kara listeye alınmışsa, web sitenizin trafiğinde ani bir düşüş göreceksiniz. Web siteniz yavaşsa veya yanıt vermiyorsa, genel sayfa görüntülemeleriniz düşecektir.
Web sitenizin trafiğini takip etmek için MonsterInsights ‘ı kullanmanızı öneririz. Yalnızca genel sayfa görüntülemelerinizi göstermekle kalmaz, aynı zamanda kayıtlı kullanıcıları, WooCommerce müşterilerinizi, form dönüşümlerini ve daha fazlasını izlemek için de kullanabilirsiniz.
5. WordPress Yedeklerini Kurun ve Kontrol Edin
Henüz yapmadıysanız, hemen bir WordPress yedekleme eklentisi kurmanız gerekir. Bu, herhangi bir şeyin yanlış gitmesi durumunda sitenizin her zaman bir yedeğine sahip olmanızı sağlar.
Yeni başlayanların çoğu WordPress yedekleme eklentisini kurduktan sonra unutur. Bazen yedekleme eklentileri herhangi bir bildirimde bulunmadan çalışmayı durdurabilir. Yedekleme eklentinizin hala çalıştığından ve yedekleri kaydettiğinden emin olmak iyi bir fikirdir.
Otomatik WordPress Güvenlik Denetimi Gerçekleştirme
Yukarıdaki kontrol listesi, bir güvenlik denetiminin en önemli yönlerini gözden geçirmenizi sağlar. Ancak, bu çok kapsamlı bir süreç değildir, bu da web sitenizin hala savunmasız olabileceği anlamına gelir.
Örneğin, tüm kullanıcı etkinliklerinin, dosya farklılıklarının, şüpheli kodların ve daha fazlasının manuel kaydını tutmak zordur. İşte bu noktada güvenlik denetimini otomatikleştirmek ve her şeyin kaydını tutmak için bir eklentiye ihtiyaç duyarsınız.
Bu işlemi birkaç WordPress güvenlik eklentisi yardımıyla otomatikleştirebilirsiniz.
1. WP Etkinlik Günlüğü ile Otomatik Olarak Güvenlik Denetimi Gerçekleştirme
WP Activity Log, piyasadaki en iyi WordPress etkinlik izleme eklentisidir.
Web sitenizdeki tüm kullanıcı etkinliklerini takip etmenizi sağlar. Tüm kullanıcı girişlerini, IP adreslerini ve web sitenizde neler yaptıklarını görüntüleyebilirsiniz.
Web sitenizde hesabı olan WooCommerce kullanıcılarını, editörleri, yazarları ve diğer üyeleri takip edebilirsiniz.
Ayrıca izlemek istediğiniz olayları açabilir ve izlemek istemediğiniz olayları kapatabilirsiniz.
Eklenti ayrıca web sitenize giriş yapan tüm kullanıcıların canlı bir görünümünü gösterir. Şüpheli bir hesap görürseniz, oturumlarını hemen sonlandırabilir ve onları dışarıda bırakabilirsiniz.
WP Activity Log kullanarak WordPress’te kullanıcı etkinliğinin nasıl izleneceğine ilişkin kılavuzumuzda daha fazla bilgi edinebilirsiniz.
2. Sucuri ile Otomatik Olarak Güvenlik Denetimi Gerçekleştirmek
Sucuri piyasadaki en iyi WordPress güvenlik duvarı eklentisidir ve aynı zamanda web siteniz için alabileceğiniz en iyi hepsi bir arada WordPress güvenlik çözümüdür.
Şüpheli etkinlikleri web sitenize ulaşmadan önce engelleyerek DDoS saldırılarına karşı gerçek zamanlı koruma sağlar. Bu, sunucunuzdaki yükü kaldırır ve web sitenizin hızını/performansını artırır.
WordPress dosyalarınızı şüpheli kodlara karşı kontrol eden yerleşik bir güvenlik eklentisi ile birlikte gelir. Ayrıca web sitenizdeki kullanıcı etkinliğine ayrıntılı bir bakış elde edersiniz.
En önemlisi, Sucuri tüm ücretli planlarında ücretsiz olarak kötü amaçlı yazılım temizleme hizmeti sunuyor. Bu, web siteniz zaten etkilenmiş olsa bile, güvenlik uzmanlarının sizin için temizleyeceği anlamına gelir.
Bonus: WordPress Bakım Hizmeti Kiralama
Web sitesi güvenliğini kendiniz yönetmek, özellikle teknoloji bilmeyen kullanıcılar için zaman alıcı ve karmaşık olabilir. Bu nedenle, zamandan tasarruf etmek ve iş yükünüzü hafifletmek için 7/24 güvenlik takibi sağlayan bir WordPress bakım hizmeti kiralamayı düşünebilirsiniz.
WPBeginner Pro Services, uygun fiyatlarla güvenilir WordPress Bakım Hizmetleri sunar. Güvenlik izleme, rutin yedeklemeler, güncellemeler, çalışma süresi izleme ve çok daha fazlasını içerir.
Sadece aylık bir bakım paketi seçin ve web sitenizin güvenliğinin uzmanlar tarafından sağlandığını bilerek rahatlayın.
WordPress Güvenliği Hakkında Uzman Kılavuzları
Umarız bu makale web sitenizde nasıl WordPress güvenlik denetimi yapacağınızı öğrenmenize yardımcı olmuştur. WordPress güvenliği ile ilgili diğer bazı kılavuzları da görmek isteyebilirsiniz:
- WordPress’te Kullanıcıları Güçlü Parolalara Zorlama
- WordPress Sitenizi Brute Force Saldırılarından Nasıl Korursunuz?
- WordPress Sitelerinin Hacklenmesinin En Önemli Nedenleri (ve Nasıl Önlenir)
- WordPress Sitenizin Hacklendiğine Dair İşaretler (Uzman İpuçları)
- WordPress Sitenizi Potansiyel Olarak Kötü Amaçlı Kodlara Karşı Tarama
- Saldırıya Uğramış Bir WordPress Sitesindeki Arka Kapı Nasıl Bulunur ve Düzeltilir
- WordPress Felaket Kurtarma Planı Nasıl Yapılır?
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Eva
1st step to fight daily brute force attacks attempts is to change the default login url.
WPBeginner Support
Instead of changing the login url we would normally recommend using a plugin like limit login attempts as changing the login URL has a higher chance of causing problems for beginners.
Yönetici
Eva
Well, I do both! And many more. Security is my number one priority. I see what you mean, but most words are as easy to memorize as /wp-admin or /wp-login especially for beginners in my opinion.
WPBeginner Support
It is less about remembering the login URL and more about if there are any errors when trying to change the URL, most beginners don’t have the tools to fix the login address.
Eva
I see, good point! In many cases, just renaming the plugin directory by FTP is enough to disable it and access again through /wp-login. But I get it, it is not beginner-friendly!
DW
Yeah, doing the login URI really doesn’t do much. It’s a technique known as “security by obscurity” – basically security by “hiding”.
If someone is determined to get into your website, using these “Security by obscurity” techniques would at best slow them down by a few minutes. It’s not really a substitute for properly securing your website.
You’re far better off securing your website properly. Techniques like plugins to prevent brute force attacks, enforcing strong passwords, enforcing multi-factor authentication for at the very least admin accounts, and if you have the luxury of having a Static IP address creating an .htaccess file that only allows access to the admin page from your IP address are all far better solutions.