WordPress Web Sitenizi Nasıl Güvende Tutmazsınız

WordPress Sitenizi Nasıl Güvende Tutmazsınız

WordPress sitenizi güven altına almak istediğinizde ilk yapacağınız şey nedir? En iyi beş güvenlik eklentisini öğrenin, ne kadar uygun fiyatlı olduklarını düşünün ve ardından devam edin ve bir tane yükleyin. Bu bitti, şimdi arkanıza yaslanıp rahatlayabilirsiniz, değil mi? Yanlış!


Güvenlik eklentisi kullanmak güvenliği sağlamaz. Güvenlik mutlak bir şey değildir ve hiç kimse tam güvenliği garanti edemez. Yapabileceğimiz en iyi şey, saldırı riskini azaltmaktır. Popüler inanışın aksine, site sahibinin web sitesinin güvenliğini sağlamada yer alması gerekir. Ne yapmanız ve yapmamanız gerektiğini bilmek önemlidir.

WordPress sitenizi güvende tutmak için ne yapmanız gerektiğine dair birkaç kılavuz olsa da, bunun yerine KAÇINMAYINIZ konusunda size bir rehber sunuyoruz. Buradaki tavsiyenin genel inançla çeliştiğini göreceksiniz. Ancak deneyimlerimize göre, orada çok sayıda tavsiye eski ve yanlış bir güvenlik duygusu sunuyor.

WordPress güvenliği konusu bizim için olduğu kadar sizi rahatsız ediyorsa, aşağıdakilere bir göz atın.

1. Çok Fazla Güvenlik Eklentisi Kullanmayın

Çeşitli özellik kümeleriyle birlikte sunulan çok çeşitli eklentiler göz önüne alındığında, birden fazla WordPress güvenlik eklentisi kullanmak caziptir. Dürüst olmak gerekirse, bu aşırı bir iş. Sitenizin güvenliği konusunda endişeli olmak normaldir, ancak gerçekten birden fazla güvenlik eklentisine ihtiyacınız olup olmadığını kendinize sormanız gerekir? Sitenizin gereksinimi için gerekli özellikler nelerdir? Özellikler birbirlerinin ayak parmaklarına basacak mı??

Örneğin, eklentiler wp-config.php veya htaccess gibi dosyaları değiştirmeye başladığında bir çakışma ortaya çıkabilir. Eklentiler bu dosyalarla kolayca çalışabilir, ancak bunları tek bir oybirliğiyle değiştirmezler. Bu, çakışmalar oluşturabilir ve web sitenizi yavaşlatabilir.

WordPress siteleri ile işler zaman zaman ters gidebilir. Herkes korkunç Beyaz Ölüm Ekranından nefret eder. Web sitenizi derinden etkileyen birden fazla eklentiye sahip olmak hata ayıklama sorunlarını zorlaştırabilir. Şimdi, sadece bir eklenti olsaydı, hatanın nedenini bulmak ve düzeltmek daha kolay ve daha az karmaşık olurdu.

2. DB Ön ekini Değiştirmeyin

Bir WordPress sitesinin güvenliğinin ihlal edilmesinin birkaç yolu vardır. Hacker, SQL enjeksiyon saldırısı yoluyla bir sitenin veritabanına erişebilir. Bir eklenti veya temadaki bir güvenlik açığı sitenin veritabanına girmek için kullanılabilir (bu nedenle bunun yerine bir WordPress veritabanı yedekleme eklentisi benzer tuzaklardan kaçınmak için). Bilgisayar korsanlarının sitenizin daha derinlerine inmesini önlemenin popüler bir yolu, varsayılan tablo önekini değiştirmektir. Aşağıdaki resimde görebileceğiniz gibi, WordPress’de varsayılan tablo öneki ‘wp_’dir. WordPress, belirli tabloları gizlemek için tablo önekini (örneğin,’ xzy_ ‘) değiştirmenize olanak tanır.

WordPress Veritabanı Önekleri

Yüzeyde, bu iyi bir fikir gibi görünüyor. Bilgisayar korsanları tablo adını bilmiyorsa, ondan veri alamazlar. Ancak bu yanlış bir akıl yürütmedir. Birisi veritabanınıza girdiğinde, tabloları bulmanın hala yolları vardır. Bu nedenle, önekin adlarını değiştirmenin bir yararı yoktur. Ayrıca, varsayılan öneki değiştirmek birkaç eklentinin hatalı davranmasına neden olabilir.

Ayrıca, veritabanı ön eki orta uçuşunu değiştirmek zordur ve web sitenizin çökmesine neden olabilir. Çünkü her seviyede yapılması gereken birçok değişiklik var. Süreçteki herhangi bir hata sitenize felaket getirecektir.

3. Giriş Sayfanızı Gizlemekten Kaçının

Her zaman şifrenizi kırarak sitenize girmeye çalışan biri vardır. Kaba kuvvet saldırıları sırasında, bilgisayar korsanları popüler kullanıcı adları ve şifrelerin bir kombinasyonunu kullanarak web sitenize giriş yapmaya çalışır. Peki giriş sayfasını gizlersek ne olur? Bu bir taşla iki kuşu öldürecek, değil mi? Hacker giriş sayfasını bulamaz ve sunucunuzdaki yük azalır.

WordPress’in varsayılan bir giriş sayfası var. Sayfanın URL’si genellikle bu example.com/wp-login.php dosyasına benzer. Web sitenizi kaba kuvvet saldırısından kurtarmanın bilinen bir yolu, varsayılan giriş sayfasını gizlemek veya example.com/mylogin.php gibi başka bir şeye değiştirmektir. Bu kusursuz bir plan gibi görünse de, WordPress sitenizi güvenli tutmak için yöntemin ne kadar etkili olduğunu öğrenelim.

Sunucu Yükünü Azaltma

Giriş sayfanızın konumunu gizledikten veya değiştirdikten sonra, birisi her açmaya çalıştığında 404 hatasıyla karşılaşır. Ancak, giriş denemeleri ağır bir süreçtir. 404 hata sayfası her yüklendiğinde, sunucu kaynaklarınızın çoğunu tüketir. Ve sonunda web sitenizi yavaşlatır. Bu nedenle, giriş sayfanızı gizlemenin sunucudaki yükü azaltacağına dair yaygın inanç yanlıştır.

Alternatif URL Tahmin Etmek Zor Değil

WordPress’in CMS olarak başarısının bir kısmı, bir web sitesinde yapılan değişiklikleri kolaylaştıran eklentilerden kaynaklanmaktadır. Bir sitenin giriş sayfasını gizlemenin popüler bir yolunun bir eklenti kullanmak şaşırtıcı değildir. Bu eklentiler, xzy.com/wplogin.php, vb. Gibi bir dizi varsayılan alternatif giriş URL’si ile birlikte gelir. Sadece varsayılan ayarlarla gitmek için eğitildik. Eklentiyi yükleyip URL’imizi değiştirdikten sonra, fazla düşünmüyoruz. Ancak bir eklentinin sunabileceği çok fazla URL var. Bu önceden ayarlanmış giriş URL’sini bulmak çok zor değil. Bu nedenle, alternatif URL kullanmak çoğu durumda etkili olmayabilir.

Kullanılabilirlik Sorunları

WordPress’in güzelliği, kullanımının kolay olmasıdır. Bu tanıdık bir platform. Çok sayıda kullanıcısı olan bir site için, giriş sayfasını değiştirmek veya gizlemek bazı sorunlar doğurabilir. Birkaç kez WordPress forumlarında kullanıcıların giriş URL’sindeki bir değişiklik nedeniyle kullanıcıların bir siteden kilitlendiği yayınlarla karşılaştık. Çoğu durumda değişiklikler bir eklenti kullanılarak yapıldı ve kullanıcılar kaosa neden olan durumdan haberdar değildi.

4. IP Adreslerini Manuel Olarak Engellemeyin

Sitenize bir güvenlik eklentisi yüklüyse, birisi web sitenize giriş yapmaya çalıştığında size bildirim gönderilir. Bu kötü amaçlı istekleri göndererek IP’yi kolayca alabilirsiniz ve .htaccess dosyasını kullanarak engelle. Manuel olarak yoğun bir çalışma ve çok uygun bir uygulama değil.

Kullanıcı Dostu Değil

.Htaccess dosyalarını değiştirmeye çalışan teknik olmayan bir kişi felaket için bir reçetedir. WordPress gibi bir içerik yönetim sistemi çok sıkı biçimlendirmeye sahiptir. FTP / SFTP gibi en popüler araçları kullanmak bile çok risklidir. Küçük bir hata veya yanlış bir komut yerleşimi sitenin kilitlenmesine neden olabilir.

Engellenecek Çok Fazla IP

Kara listeye alınmasını önlemek için, bilgisayar korsanları dünyanın dört bir yanından IP adresleri kullanır. Daha önce, sürekli sitenize girmeye çalışan IP adreslerini manuel olarak engelleme hakkında tartışıyorduk. İş (daha önce de belirttiğimiz gibi) çok fazla zaman ve çaba gerektirir, ancak tam olarak çok verimli bir zaman kullanımı değildir. Ancak, örneğin Malcare gibi en iyi WordPress güvenlik eklentilerinden herhangi birini kullanırsanız, engelleme işlemini otomatikleştirebilirsiniz. Bu tür güvenlik eklentileri tüm WP güvenlik boşluklarını halleder.

5. WordPress’i Gizleme

CMS’nizi gizlemenin, aşağılık niyeti olan kişilerin sitenize girmesini zorlaştırdığına dair genel bir varsayım vardır. Web sitenizin WordPress’te çalıştığı gerçeğini gizleyebilseydik. Bu, sitenizi ortak güvenlik açıklarından yararlanmak isteyen bilgisayar korsanlarından korur. Bunu yapmanın kolay bir yolu bir eklenti kullanmaktır (tahmin ettiniz). Ancak, bilgisayar korsanları web sitenizin hangi platformda çalıştığını umursamadığında yöntem başarısız olur. Ayrıca, bir sitenin WordPress’te çalışıp çalışmadığını öğrenmenin birçok yolu vardır.

Bir eklenti kullanmanın yanı sıra, işi manuel olarak yapmayı seçebilirsiniz. Ama bu zaman alıcı bir süreç. Tek bir WordPress güncellemesi, çalıştığınız tüm işlemleri birkaç saniye içinde geri alabilir. Bu, işlemi tekrar tekrar tekrarlamanız veya WP güncellemelerinden kaçınmanız gerektiği anlamına gelir. WordPress güncellemelerini atlamak, bir hackerın evinize girmesi için ön kapıyı açmak gibidir.

6. wp-admin Şifre Koruması Çalışmıyor

Varsayılan WordPress giriş sayfası (şuna benzer – example.com/wp-admin) sitenize açılan bir kapıdır. Tipik bir giriş sayfası aşağıdaki resme benziyor.

Burada, WordPress kontrol paneline erişmek için kimlik bilgilerinizi kullanmanız gerekir. Giriş sayfasını parola ile korumak, bu ağ geçidinin gösterge tablosuna gizlenmesine veya korunmasına yardımcı olur. İyi bir fikir ama boşlukları olmadan değil.

LookLinux Parola Koruma Örneği

Resim nezaket: LookLinux

Öncelikle, şifreyi kaybederseniz, korumak veya hatta değiştirmek zordur. Ek güvenlik sağlamada etkisiz olmasının yanı sıra, sitenizde yapılan bu tür değişiklikler çok tehlikeli olabilir. Örneğin, yönetici sayfasını parola ile koruduğunuzda, /wp-admin/admin-ajax.php gibi istekler korumayı atlayamaz. Sitenizin Ajax işlevselliğine bağlı olabilecek eklentiler vardır. Ve bu işlevselliğe erişemedikleri zaman, yanlış davranmaya başlarlar. Bu nedenle, bu web sitesinin bozulmasına neden olabilir.

Sana doğru

Kişinin WordPress sitesini güvence altına almak için nelerden kaçınmanız gerektiği hakkında sorularınız veya önerileriniz varsa, yorumlarda bize bildirin.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map