WordPress Siteleriniz İçin 8 Güvenlik Önlemi (Bölüm 1)

Dünya’da WordPress ile kurulmuş internet sitelerinin sayısı oldukça fazladır. Bu sebepten dolayı saldırıya maruz kalma ihtimali yüksek olanlar arasında ön sıralarda WordPress ile kurulmuş internet siteleri yer almaktadır. Günlerce belki haftalarca emek harcayarak ortaya çıkardığımız sitelerimizin bir gün kötü niyetli biri tarafından çöp haline getirilmesini elbette istemeyiz. Bu yüzden çeşitli güvenlik önlemlerini önceden almak internet sitemizi daha korunaklı hale getirecektir.

WordPress sitemizi daha güvenli hale getirmek için uygulayacağımız yöntemler an itibarı ile bizi avantajlı kılacaktır. Ancak bu avantajın sağlanmasında site sahibinin de ilgili davranması ve özellikle eklentilerini özenle seçerek kullanması önemlidir. Çünkü WordPress’in ana haliyle güvenlik açığı bulundurma sorunu yok denebilecek kadar azdır.

1. Önlem – Tema ve Eklenti Editörlerini Devre Dışı Bırakmak

İlk önlemimiz mutlaka basit bir yönetici şifresi kullanmamak olacaktır. Ancak bir şekilde yönetici panelimize ulaştıklarını varsayacak olursak ilk savunmasız nokta tema ve eklentileri düzenleyebileceğimiz editör alanlarıdır. Bunları kapatmak güvenliği sağlamamız açısından faydalı olacaktır. Çünkü sitemiz üzerinden hacklink (farklı sitelere isteğimiz dışında bağlantı sağlanması) sağlanabilir, backdoor (arka kapı)  oluşturularak tamamen sunucu dosyaları ve hatta sunucudaki diğer sitelere de zarar verilebilir. Editörü kapatmak için aşağıdaki kodu WordPress ana dizininde bulunan wp-config.php içerisine eklememiz yeterli olacaktır.

define( ‘DISALLOW_FILE_EDIT’, true );

2. Önlem – İki Faktörlü Kimlik Doğrulama Yöntemi

İkinci önlemimiz Bruteforce olarak adlandırılan saldırı yöntemini etkisiz kılmak adına önemlidir. Bruteforce olarak adlandırılan bu saldırı yöntemi durmaksızın farklı kombinasyonlar ile sitemize giriş sağlamaya çalışmak olarak açıklanabilir. Bunun önüne geçmek için WordPress admin paneline giriş yaparken örneğin Gmail ile giriş yapmayı koşul olarak sunmak bu saldırıları bertaraf etmek için önemli bir taktik olacaktır. Bu yöntem içinde aşağıdaki eklentilerden uygun gördüğünüzü yüklemek ve yapılandırmasını yapmanız yeterli olacaktır.

Google Authenticator

Authy

Clef

3. Önlem-  Hatalı Giriş Sayısını Sınırlandırmak

Bu yöntem sayesinde hatalı giriş denemelerini IP bazlı sınırlandırmak mümkün. Örneğin kötü niyetli biri çeşitli kombinasyonları deneyerek WordPress admin panelimize sızmaya çalışıyor. Tabi ki kombinasyonları başarılı sonuçlandırmak kolay bir yöntem değil ancak kullanacağımız bu yöntem caydırıcı olacaktır. Kullanıcı 3 kez giriş yapmayı dener ve 3 giriş denemesi sonucunda da hatalı olarak geri dönüş alırsa belirleyeceğimiz süre ya da otomatik olarak tanımlanan 5 dakika süresince giriş yapma denemesinde bulunması engellenecek.  Bu sayede sitemize gelecek istekler azaltılacak ve daha az kaynak tüketmiş olacağız.

Bu yöntemi kullanmak için WordPress Jetpack eklentisinden faydalanabiliriz. Eklenti yükleme alanından Jetpack olarak arayabilir ve kurabilirsiniz.

4. Önlem – Açıklarınızın Olup Olmadığını Kontrol Edin

Bu yöntem WordPress sitelerinizde açıkların var olup olmadığını kontrol etmeniz üzerine bir önlemdir. Örneğin WordPress versiyonunuzda bir açık olabilir ya da kullandığınız eklentiler de yeni bir açık bulunmuş olabilir. Bunun saptanması için güvenlik taraması yapan ve bize sonuca göre rapor sunan eklentiler kullanabiliriz. Güvenlik taraması yapan eklentileri aşağıdaki bağlantılardan indirebilir ve inceleyebilirsiniz.

Sucuri Security Scanner

Acunetix WP Security

Yazının devamı için : WordPress Siteleriniz İçin 8 Güvenlik Önlemi (Bölüm 2)

Kimler Neler Demiş?

avatar
  Subscribe  
Bildir