En İyi WordPress Güvenlik Rehberi (2021)

24

WordPress güvenlik, her web sitesi sahibi için büyük önem taşıyan bir konudur. Google, her gün kötü amaçlı yazılımlar için yaklaşık 10.000’den fazla web sitesini ve her hafta kimlik avı için yaklaşık 50.000 web sitesini kara listeye alır.

Web siteniz konusunda ciddiyseniz, WordPress güvenlik en iyi uygulamalarına dikkat etmeniz gerekir. Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olacak en iyi WordPress güvenlik ipuçlarını paylaşacağız.

WordPress çekirdek yazılımı çok güvenli olsa ve yüzlerce geliştirici tarafından düzenli olarak denetlense de sitenizi güvende tutmak için yapılabilecek çok şey var.

WPBeginner’da güvenliğin sadece risklerin ortadan kaldırılmasıyla ilgili olmadığına inanıyoruz. Aynı zamanda risk azaltma ile ilgili. Bir web sitesi sahibi olarak, WordPress güvenliğinizi geliştirmek için yapabileceğiniz çok şey var (teknoloji konusunda bilgili olmasanız bile).

Web sitenizi güvenlik açıklarına karşı korumak için uygulayabileceğiniz bir dizi uygulanabilir adımımız var.

Web Sitesi Güvenliği Neden Önemlidir?

Saldırıya uğramış bir WordPress sitesi, işletme gelirinize ve itibarınıza ciddi zarar verebilir. Bilgisayar korsanları, kullanıcı bilgilerini ve parolaları çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

En kötüsü, web sitenize yeniden erişim sağlamak için kendinizi bilgisayar korsanlarına fidye yazılımı öderken bulabilirsiniz.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Mart 2016’da Google, 50 milyondan fazla web sitesi kullanıcısının, ziyaret ettikleri bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıldığını bildirdi.

Ayrıca Google, her hafta yaklaşık 20.000 web sitesini kötü amaçlı yazılımlar için ve yaklaşık 50.000 web sitesini kimlik avı için kara listeye alır.

Web siteniz bir işletmeyse, WordPress güvenliğinize ekstra dikkat etmeniz gerekir.

İşletme sahiplerinin fiziksel mağaza binalarını koruma sorumluluğuna benzer şekilde, çevrimiçi işletme sahibi olarak işletme web sitenizi korumak sizin sorumluluğunuzdadır.

WordPress’i Güncel Tutmak

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

WordPress, düzenli olarak bakımı yapılan ve güncellenen açık kaynaklı bir yazılımdır. Varsayılan olarak, WordPress küçük güncellemeleri otomatik olarak yükler. Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.

WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeler yayınlayan üçüncü taraf geliştiriciler tarafından korunur.

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve kararlılığı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.

Güçlü Parolalar ve Kullanıcı İzinleri

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

En yaygın WordPress hackleme girişimleri çalınan şifreleri kullanır. Web siteniz için benzersiz olan daha güçlü şifreler kullanarak bunu zorlaştırabilirsiniz. Yalnızca WordPress yönetici alanı için değil, aynı zamanda FTP hesapları, veritabanı, WordPress barındırma hesabı ve sitenizin alan adını kullanan özel e-posta adresleriniz için.

Yeni başlayanların çoğu, hatırlamaları zor olduğu için güçlü parolalar kullanmayı sevmez. İşin iyi yanı, artık şifreleri hatırlamanıza gerek kalmamasıdır. Bir şifre yöneticisi kullanabilirsiniz. WordPress şifrelerinin nasıl yönetileceğine ilişkin kılavuzumuza bakın .

Riski azaltmanın bir başka yolu da, kesinlikle gerekmedikçe WordPress yönetici hesabınıza kimsenin erişmesine izin vermemektir . Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress’teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun .

WordPress Barındırma Rolü

Kişisel WordPress barındırma hizmeti WordPress sitenizin güvenliğinde en önemli rol oynar. Bluehost veya Siteground gibi iyi bir paylaşımlı barındırma sağlayıcısı , sunucularını yaygın tehditlere karşı korumak için ekstra önlemler alır.

İyi bir web barındırma şirketinin web sitelerinizi ve verilerinizi korumak için arka planda nasıl çalıştığı aşağıda açıklanmıştır.

  • Şüpheli etkinlikler için ağlarını sürekli olarak izlerler.
  • Tüm iyi barındırma şirketlerinin büyük ölçekli DDOS saldırılarını önlemek için araçları vardır.
  • Bilgisayar korsanlarının eski bir sürümde bilinen bir güvenlik açığından yararlanmasını önlemek için sunucu yazılımlarını, php sürümlerini ve donanımlarını güncel tutarlar.
  • Büyük bir kaza durumunda verilerinizi korumalarını sağlayan olağanüstü durum kurtarma ve kaza planlarını uygulamaya hazırlar.

Paylaşılan bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bu, bir bilgisayar korsanının web sitenize saldırmak için komşu bir siteyi kullanabileceği siteler arası kontaminasyon riskini açar.

Yönetilen bir WordPress barındırma hizmeti kullanmak , web siteniz için daha güvenli bir platform sağlar. Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar.

Tercih edilen yönetilen WordPress barındırma sağlayıcımız olarak WPEngine’i öneriyoruz . Aynı zamanda sektördeki en popülerler.

WP Engine için iyi bir alternatif olan Liquid Web’i de deneyebilirsiniz

Kolay Adımlarda WordPress Güvenliği (Kodlama Yok)

WordPress güvenliğini iyileştirmenin yeni başlayanlar için korkunç bir düşünce olabileceğini biliyoruz. Özellikle teknik adam değilseniz. Bil bakalım ne oldu – yalnız değilsin.

Binlerce WordPress kullanıcısına WordPress güvenliğini güçlendirmede yardımcı olduk.

Sadece birkaç tıklamayla (kodlama gerektirmez) WordPress güvenliğinizi nasıl iyileştirebileceğinizi göstereceğiz.

İşaretle ve tıklatabiliyorsanız, bunu yapabilirsiniz!

Bir WordPress Yedekleme Çözümü Kurun

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Yedeklemeler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey %100 güvenli değildir. Devlet web siteleri saldırıya uğrayabiliyorsa, sizinki de saldırıya uğrayabilir.

Yedeklemeler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.

Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedeklemeler söz konusu olduğunda bilmeniz gereken en önemli şey, tam site yedeklemelerini düzenli olarak uzak bir konuma (barındırma hesabınıza değil) kaydetmeniz gerektiğidir.

Amazon, Dropbox gibi bir bulut hizmetinde veya Stash gibi özel bulutlarda saklamanızı öneririz.

Web sitenizi ne sıklıkta güncellediğinize bağlı olarak ideal ayar, günde bir kez veya gerçek zamanlı yedeklemeler olabilir.

Neyse ki bu, UpdraftPlus veya BlogVault gibi eklentiler kullanılarak kolayca yapılabilir . Her ikisi de güvenilirdir ve en önemlisi kullanımı kolaydır (kodlama gerektirmez).

En İyi WordPress Güvenlik Eklentisi

Yedeklemelerden sonra yapmamız gereken bir sonraki şey, web sitenizde olan her şeyi takip eden bir denetleme ve izleme sistemi kurmaktır.

Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması vb. dahildir.

Neyse ki, tüm bunlar en iyi ücretsiz WordPress güvenlik eklentisi Sucuri Scanner tarafından halledilebilir .

Ücretsiz Sucuri Security eklentisini kurmanız ve etkinleştirmeniz gerekir . Daha fazla ayrıntı için lütfen bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın .

Etkinleştirdikten sonra, WordPress yöneticinizdeki Sucuri menüsüne gitmeniz gerekir . Yapmanız istenecek ilk şey, ücretsiz bir API anahtarı oluşturmaktır. Bu, denetim günlüğü, bütünlük denetimi, e-posta uyarıları ve diğer önemli özellikleri etkinleştirir.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Yapmanız gereken bir sonraki şey, ayarlar menüsünden ‘Sertleştirme’ sekmesine tıklamak. Her seçeneği gözden geçirin ve “Sertleştirme Uygula” düğmesine tıklayın.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Bu seçenekler, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları önemli alanları kilitlemenize yardımcı olur. Ücretli bir yükseltme olan tek sağlamlaştırma seçeneği, bir sonraki adımda açıklayacağımız Web Uygulaması Güvenlik Duvarı’dır, bu yüzden şimdilik atlayın.

Eklenti kullanmadan yapmak isteyenler veya “Veritabanı Öneki değişikliği” veya “Yönetici Kullanıcı Adını Değiştirme” gibi ek adımlar gerektirenler için bu “Sertleştirme” seçeneklerinin çoğunu bu makalenin ilerleyen kısımlarında ele aldık.

Sertleştirme bölümünden sonra, varsayılan eklenti ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişikliğe ihtiyaç duymaz. Özelleştirmenizi önerdiğimiz tek şey ‘E-posta Uyarıları’dır.

Varsayılan uyarı ayarları, gelen kutunuzu e-postalarla karıştırabilir. Eklentilerdeki değişiklikler, yeni kullanıcı kaydı vb. gibi önemli eylemler için uyarılar almanızı öneririz. Uyarıları Sucuri Ayarları » Uyarılar’a giderek yapılandırabilirsiniz.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Bu WordPress güvenlik eklentisi çok güçlüdür, bu nedenle Kötü Amaçlı Yazılım taraması, Denetim günlükleri, Başarısız Giriş Denemesi izleme vb. gibi tüm yaptıklarını görmek için tüm sekmelere ve ayarlara göz atın.

Web Uygulaması Güvenlik Duvarını (WAF) Etkinleştir

Sitenizi korumanın ve WordPress güvenliğinizden emin olmanın en kolay yolu bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.

Bir web sitesi güvenlik duvarı, tüm kötü niyetli trafiği web sitenize ulaşmadan önce engeller.

DNS Düzeyinde Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca gerçek trafik göndermelerine olanak tanır.

Uygulama Düzeyi Güvenlik Duvarı – Bu güvenlik duvarı eklentileri, trafiği sunucunuza ulaştığında, ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS düzeyindeki güvenlik duvarı kadar verimli değildir.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Sucuri’nin güvenlik duvarının en iyi yanı, kötü amaçlı yazılım temizleme ve kara liste kaldırma garantisiyle birlikte gelmesidir. Temel olarak, onların gözetimi altında saldırıya uğrarsanız, web sitenizi düzelteceklerini garanti ederler (kaç sayfanız olursa olsun).

Bu oldukça güçlü bir garantidir çünkü saldırıya uğramış web sitelerini onarmak pahalıdır. Güvenlik uzmanları normalde saatte 250 dolar ücret alır. Oysa Sucuri güvenlik yığınının tamamını yılda 199 $ karşılığında alabilirsiniz.

WordPress Sitenizi SSL/HTTPS’ye Taşıyın

SSL (Güvenli Yuva Katmanı), web siteniz ve kullanıcı tarayıcısı arasındaki veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birinin etrafını koklamasını ve bilgi çalmasını zorlaştırır.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

SSL’yi etkinleştirdiğinizde, web siteniz HTTP yerine HTTPS kullanacak, ayrıca tarayıcıda web sitenizin adresinin yanında bir asma kilit işareti göreceksiniz.

SSL sertifikaları genellikle sertifika yetkilileri tarafından verilir ve fiyatları her yıl 80 dolardan yüzlerce dolardan başlar. Ek maliyet nedeniyle, çoğu web sitesi sahibi güvenli olmayan protokolü kullanmaya devam etmeyi seçti.

Bunu düzeltmek için Let’s Encrypt adlı kar amacı gütmeyen bir kuruluş, web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından destekleniyor.

Artık tüm WordPress web siteleriniz için SSL kullanmaya başlamak hiç olmadığı kadar kolay. Birçok barındırma şirketi artık WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor .

Barındırma şirketiniz bir tane sunmuyorsa, Domain.com’dan bir tane satın alabilirsiniz . Piyasadaki en iyi ve en güvenilir SSL anlaşmasına sahipler. 10.000 $ güvenlik garantisi ve TrustLogo güvenlik mührü ile birlikte gelir.

Kendin Yap Kullanıcıları için WordPress Güvenliği

Buraya kadar saydığımız her şeyi yaparsanız, oldukça iyi durumdasınız demektir.

Ancak her zaman olduğu gibi, WordPress güvenliğinizi güçlendirmek için yapabileceğiniz daha çok şey var.

Bu adımlardan bazıları kodlama bilgisi gerektirebilir.

Varsayılan “yönetici” kullanıcı adını değiştirin

Eski günlerde, varsayılan WordPress yönetici kullanıcı adı “admin” idi. Kullanıcı adları, oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bu, bilgisayar korsanlarının kaba kuvvet saldırıları yapmasını kolaylaştırdı.

Neyse ki, WordPress o zamandan beri bunu değiştirdi ve şimdi WordPress’i kurarken özel bir kullanıcı adı seçmenizi gerektiriyor .

Ancak, bazı tek tıklamalı WordPress yükleyicileri, yine de varsayılan yönetici kullanıcı adını “admin” olarak ayarlar. Durumun böyle olduğunu fark ederseniz, muhtemelen web barındırma hizmetinizi değiştirmek iyi bir fikirdir .

WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.

  1. Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
  2. Kullanıcı Adı Değiştirici eklentisini kullanın
  3. phpMyAdmin’den kullanıcı adını güncelle

Not: Yönetici rolünden değil, “admin” adlı kullanıcı adından bahsediyoruz.

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, temanızı ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenize olanak tanıyan yerleşik bir kod düzenleyiciyle birlikte gelir. Yanlış ellerde bu özellik bir güvenlik riski oluşturabilir, bu yüzden kapatmanızı öneririz.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Aşağıdaki kodu wp-config.php dosyanıza ekleyerek bunu kolayca yapabilirsiniz .

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Alternatif olarak yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak 1 tıklama ile bunu yapabilirsiniz.

Belirli WordPress Dizinlerinde PHP Dosya Yürütmesini Devre Dışı Bırakın

WordPress güvenliğinizi güçlendirmenin başka bir yolu, /wp-content/uploads/ gibi gerekli olmayan dizinlerde PHP dosya yürütmesini devre dışı bırakmaktır.

Bunu Notepad gibi bir metin düzenleyici açıp şu kodu yapıştırarak yapabilirsiniz:

<Files *.php>
deny from all
</Files>

Ardından, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/ klasörlerine yüklemeniz gerekir .

Daha ayrıntılı açıklama için, belirli WordPress dizinlerinde PHP yürütmesinin nasıl devre dışı bırakılacağına ilişkin kılavuzumuza bakın.

Alternatif olarak yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak 1 tıklama ile bunu yapabilirsiniz.

Giriş Denemelerini Sınırla

Varsayılan olarak, WordPress, kullanıcıların istedikleri kadar oturum açmaya çalışmasına izin verir. Bu, WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Hackerlar farklı kombinasyonlarla giriş yapmaya çalışarak şifreleri kırmaya çalışırlar.

Bu, bir kullanıcının yapabileceği başarısız oturum açma denemelerini sınırlayarak kolayca düzeltilebilir. Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.

Ancak, güvenlik duvarı kurulumunuz yoksa aşağıdaki adımlarla devam edin.

Öncelikle Login LockDown eklentisini kurmanız ve etkinleştirmeniz gerekir .

Etkinleştirmeden sonra , eklentiyi kurmak için Ayarlar »Oturum Açma Kilidi sayfasını ziyaret edin .

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

İki Faktörlü Kimlik Doğrulama Ekle

İki faktörlü kimlik doğrulama tekniği, kullanıcıların iki aşamalı bir kimlik doğrulama yöntemi kullanarak oturum açmasını gerektirir. İlki, kullanıcı adı ve şifredir ve ikinci adım, ayrı bir cihaz veya uygulama kullanarak kimlik doğrulamanızı gerektirir.

Google, Facebook, Twitter gibi en iyi çevrimiçi web siteleri, hesaplarınız için etkinleştirmenize izin verir. Aynı işlevi WordPress sitenize de ekleyebilirsiniz.

Öncelikle Two Factor Authentication eklentisini kurmanız ve etkinleştirmeniz gerekiyor . Aktivasyon üzerine, WordPress yönetici kenar çubuğundaki ‘Two Factor Auth’ bağlantısını tıklamanız gerekir.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Ardından, telefonunuza bir kimlik doğrulama uygulaması yüklemeniz ve açmanız gerekir. Google Authenticator, Authy ve LastPass Authenticator gibi birkaç tane mevcut.

Her ikisi de hesaplarınızı buluta yedeklemenize izin verdiği için LastPass Authenticator veya Authy’yi kullanmanızı öneririz . Bu, telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon satın almanız durumunda çok kullanışlıdır. Tüm hesap girişleriniz kolayca geri yüklenecektir.

Eğitim için LastPass Authenticator’ı kullanacağız. Ancak, talimatlar tüm auth uygulamaları için benzerdir. Kimlik doğrulama uygulamanızı açın ve ardından Ekle düğmesine tıklayın.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Bir siteyi manuel olarak taramak mı yoksa barkodu taramak mı istediğiniz sorulacaktır. Barkod tara seçeneğini seçin ve ardından telefonunuzun kamerasını eklentinin ayarlar sayfasında gösterilen QR koduna doğrultun.

Hepsi bu, kimlik doğrulama uygulamanız şimdi onu kaydedecek. Web sitenize bir sonraki girişinizde, şifrenizi girdikten sonra iki faktörlü auth kodu istenecektir.

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Telefonunuzda kimlik doğrulama uygulamasını açın ve üzerinde gördüğünüz kodu girin.

WordPress Veritabanı Önekini Değiştirin

Varsayılan olarak, WordPress, WordPress veritabanınızdaki tüm tablolar için ön ek olarak wp_ kullanır . WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden değiştirmenizi öneririz.

Not: Bu, düzgün yapılmazsa sitenizi bozabilir. Yalnızca kodlama becerilerinizde kendinizi rahat hissediyorsanız devam edin.

Parola Korumalı WordPress Yönetici ve Giriş Sayfası

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Normalde bilgisayar korsanları wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmaksızın talep edebilir. Bu, bilgisayar korsanlığı numaralarını denemelerine veya DDoS saldırıları gerçekleştirmelerine olanak tanır.

Sunucu tarafı düzeyinde, bu istekleri etkili bir şekilde engelleyecek ek parola koruması ekleyebilirsiniz.

Dizin İndeksleme ve Taramayı Devre Dışı Bırakın

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Dizine göz atma, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim elde etmek için bu dosyalardan yararlanabilirler.

Dizine göz atma, diğer kişiler tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı ve diğer bilgileri bulmak için de kullanılabilir. Bu nedenle dizin indekslemeyi ve taramayı kapatmanız şiddetle tavsiye edilir.

FTP veya cPanel’in dosya yöneticisini kullanarak web sitenize bağlanmanız gerekir. Ardından, web sitenizin kök dizinindeki .htaccess dosyasını bulun. 

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Options -Indexes

.htaccess dosyasını kaydedip sitenize geri yüklemeyi unutmayın.

WordPress’te XML-RPC’yi devre dışı bırakın

XML-RPC, WordPress sitenizi web ve mobil uygulamalarla bağlamaya yardımcı olduğu için WordPress 3.5’te varsayılan olarak etkinleştirilmiştir.

Güçlü doğası nedeniyle, XML-RPC kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Örneğin, geleneksel olarak, bir bilgisayar korsanı web sitenizde 500 farklı şifre denemek isterse, giriş kilitleme eklentisi tarafından yakalanacak ve engellenecek 500 ayrı giriş denemesi yapmak zorunda kalacaktı.

Ancak XML-RPC ile bir bilgisayar korsanı, örneğin 20 veya 50 istekle binlerce parolayı denemek için system.multicall işlevini kullanabilir .

Bu nedenle, XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.

İpucu: .htaccess yöntemi en iyisidir çünkü kaynak kullanımı en az olan yöntemdir.

Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu güvenlik duvarı tarafından halledilebilir.

WordPress’te Boşta Kalmış Kullanıcıların oturumunu otomatik olarak kapatın

Giriş yapan kullanıcılar bazen ekrandan uzaklaşabilir ve bu bir güvenlik riski oluşturur. Birisi oturumunu ele geçirebilir, şifrelerini değiştirebilir veya hesabında değişiklik yapabilir.

Bu nedenle birçok bankacılık ve finans sitesi, etkin olmayan bir kullanıcının oturumunu otomatik olarak kapatır. Benzer işlevleri WordPress sitenize de uygulayabilirsiniz.

Inactive Logout eklentisini kurmanız ve etkinleştirmeniz gerekecek . Etkinleştirmeden sonra, eklenti ayarlarını yapılandırmak için Ayarlar » Etkin Olmayan Oturumu Kapat sayfasını ziyaret edin .

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Sadece süreyi ayarlayın ve bir çıkış mesajı ekleyin. Ayarlarınızı kaydetmek için değişiklikleri kaydet düğmesine tıklamayı unutmayın.

WordPress Giriş Ekranına Güvenlik Soruları Ekleyin

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birinin yetkisiz erişim almasını daha da zorlaştırır.

WP Security Questions eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz . Aktivasyon üzerine, eklenti ayarlarını yapılandırmak için Ayarlar » Güvenlik Soruları sayfasını ziyaret etmeniz gerekir.

WordPress’i Kötü Amaçlı Yazılımlar ve Güvenlik Açıkları için Tarama

WordPress Hocasi En İyi WordPress Güvenlik Rehberi  (2021)

Yüklü bir WordPress güvenlik eklentiniz varsa, bu eklentiler rutin olarak kötü amaçlı yazılım ve güvenlik ihlali belirtileri olup olmadığını kontrol eder.

Ancak, web sitesi trafiğinde veya arama sıralamalarında ani bir düşüş görürseniz, manuel olarak bir tarama yapmak isteyebilirsiniz. WordPress güvenlik eklentinizi kullanabilir veya bu kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanabilirsiniz .

Bu çevrimiçi taramaları çalıştırmak oldukça basittir, web sitenizin URL’lerini girmeniz yeterlidir ve tarayıcıları bilinen kötü amaçlı yazılımları ve kötü amaçlı kodları aramak için web sitenizi inceler.

Şimdi, çoğu WordPress güvenlik tarayıcısının web sitenizi tarayabileceğini unutmayın. Kötü amaçlı yazılımı kaldıramaz veya saldırıya uğramış bir WordPress sitesini temizleyemezler.

Bu bizi bir sonraki bölüme, kötü amaçlı yazılımları ve saldırıya uğramış WordPress sitelerini temizlemeye getiriyor.

Saldırıya Uğramış Bir WordPress Sitesini Düzeltme

Birçok WordPress kullanıcısı, web siteleri saldırıya uğrayana kadar yedeklemelerin ve web sitesi güvenliğinin önemini anlamaz.

Bir WordPress sitesini temizlemek çok zor ve zaman alıcı olabilir. İlk tavsiyemiz, bir profesyonelin bununla ilgilenmesine izin vermek olacaktır.

Bilgisayar korsanları , etkilenen sitelere arka kapılar yükler ve bu arka kapılar düzgün bir şekilde düzeltilmezse, web siteniz büyük olasılıkla tekrar saldırıya uğrayacaktır.

Sucuri gibi profesyonel bir güvenlik şirketinin web sitenizi düzeltmesine izin vermek , sitenizin tekrar güvenle kullanılmasını sağlayacaktır. Ayrıca sizi gelecekteki saldırılara karşı da koruyacaktır.

Hepsi bu kadar, bu makalenin en iyi WordPress güvenlik uygulamalarını öğrenmenize ve web siteniz için en iyi WordPress güvenlik eklentilerini keşfetmenize yardımcı olduğunu umuyoruz.