WordPress, dünyanın en popüler içerik yönetim sistemlerinden biridir. Ancak bu popülarite, WordPress sitelerini siber saldırılara karşı daha fazla hedef haline getirir. Bu yüzden WordPress güvenlik önlemleri almak çok önemlidir.

WordPress Güvenlik Önlemleri Nelerdir?

WordPress güvenlik önlemleri, sitenizi kötü amaçlı yazılımlardan, spam yorumlardan, brute force saldırılarından, SQL injection saldırılarından ve diğer tehditlerden korumak için alabileceğiniz tedbirlerdir. WordPress güvenlik önlemleri şunları içerir:

• – Güçlü bir şifre ve kullanıcı adı seçmek
• – WordPress, tema ve eklentileri düzenli olarak güncellemek
• – Güvenilir kaynaklardan tema ve eklenti indirmek
• – SSL sertifikası kullanmak
• – Güvenlik eklentileri kurmak
• – Yedekleme yapmak
• – Dosya izinlerini doğru ayarlamak
• – wp-config.php dosyasını korumak
• – XML-RPC özelliğini devre dışı bırakmak
• – .htaccess dosyasını düzenlemek

Güçlü Bir Şifre ve Kullanıcı Adı Seçmek

WordPress sitenizin güvenliği, kullandığınız şifre ve kullanıcı adına bağlıdır. Şifreniz kolay tahmin edilebilir kelime ise, saldırganlar bunu kırmak için otomatik araçlar kullanabilir. Bu yüzden şifreniz uzun, karmaşık ve rastgele olmalıdır. Büyük ve küçük harfler, rakamlar ve semboller içermelidir.

Kullanıcı adınız da önemlidir. Varsayılan olarak WordPress, ilk kullanıcı adını “admin” olarak atar. Bu da saldırganların işini kolaylaştırır. Bu yüzden kullanıcı adınızı “admin” yerine benzersiz bir isim olarak değiştirmelisiniz. Bunu yapmak için yeni bir yönetici hesabı oluşturabilir ve eski hesabı silebilirsiniz.

WordPress, Tema ve Eklentileri Düzenli Olarak Güncellemek

WordPress, tema ve eklentilerinizin güncel olması, sitenizin performansını ve güvenliğini artırır. WordPress geliştiricileri, yeni sürümlerde güvenlik açıklarını kapatır, hata düzeltmeleri yapar ve yeni özellikler ekler. Tema ve eklenti geliştiricileri de benzer şekilde güncellemeler yapar.

Güncellemeleri kaçırmamak için WordPress yönetici panelinizdeki bildirimleri takip edebilirsiniz. Ayrıca otomatik güncelleme özelliğini de etkinleştirebilirsiniz. Böylece WordPress, tema ve eklentileriniz kendiliğinden güncellenir. (Bazı durumlarda otomatik güncellemeler çalışmayabilir. Örneğin kullandığınız sunucuya bağlı olarak otomatik güncellemeler başarısız olabilir. Bu yüzden sitenizin panelini belli aralıklarla ziyaret etmeniz önerilir.)

Güvenilir Kaynaklardan Tema ve Eklenti İndirmek

WordPress sitenize tema veya eklenti kurarken dikkatli olmalısınız. Tema veya eklentinin kaynağına, yorumlarına, puanlarına, indirme sayısına ve son güncelleme tarihine bakmalısınız. Güvenilir olmayan kaynaklardan indirdiğiniz tema veya eklentiler kötü amaçlı kod içerebilir veya sitenizi yavaşlatabilir.

"Geçenlerde bu konuyla ilgili bir talihsizlik yaşadım. Sitelerden birinin kurulu olduğu kök dizinine erişmem gerekiyordu. Erindiğim için FTP bağlantısı kurmadan işin kolayına kaçıp WordPress eklenti marketinden bir dosya yöneticisi kurdum. Daha sonra eklentinin virüs barındırdığını fark ettim. Hemen eklentinin marketteki detaylarına baktım ve son yorumlarda onlarca kişinin virüs şikayetini gördüm."

Tema veya eklenti indirmek için en iyi kaynaklar WordPress.org resmi dizinleri veya tanınmış geliştiricilerin siteleridir. Bu kaynaklar tema ve eklentileri kalite standartlarına göre denetler ve günceller. (Bu rağmen yukarıdaki olay başıma gelmişti. Bu da ayrı bir konu:) )

SSL Sertifikası Kullanmak

SSL sertifikası, sitenizin ve ziyaretçilerinizin arasındaki veri akışını şifreleyen bir güvenlik katmanıdır. SSL sertifikası sayesinde, sitenize giren kullanıcı adı, şifre, kredi kartı bilgisi gibi hassas veriler üçüncü taraflar tarafından ele geçirilemez.

SSL sertifikası kullanmak, sitenizin güvenilirliğini ve SEO performansını da artırır. Zira Google, SSL sertifikası olan siteleri daha üst sıralarda gösterir. Ayrıca ziyaretçileriniz de sitenizin adres çubuğunda yeşil bir kilit simgesi gördüğünde daha güvenli hisseder.

SSL sertifikası almak için web hosting sağlayıcınızla iletişime geçebilirsiniz. Bazı hosting firmaları ücretsiz SSL sertifikası sunar. Ayrıca Let’s Encrypt gibi kuruluşlardan da ücretsiz SSL sertifikası alabilirsiniz.

Güvenlik Eklentileri Kurmak

WordPress sitenizi korumak için güvenlik eklentileri de kullanabilirsiniz. Güvenlik eklentileri, sitenizi saldırılara karşı izler, güvenlik açıklarını tespit eder, yedekleme yapar, spam yorumları engeller, güvenlik duvarı oluşturur ve diğer önlemleri alır.

WordPress dizininde birçok güvenlik eklentisi bulabilirsiniz. Bunlardan bazıları şunlardır:

– Wordfence Security: Sitenizi gerçek zamanlı olarak korur, saldırıları engeller, kötü amaçlı yazılımları temizler ve performansınızı artırır.

– iThemes Security: Sitenizi 30’dan fazla güvenlik önlemiyle korur, şifreleri güçlendirir, dosya izinlerini düzenler, wp-config.php dosyasını korur ve daha fazlasını yapar.

– Sucuri Security: Sitenizi kötü amaçlı yazılımlardan, DDoS saldırılarından, brute force saldırılarından ve diğer tehditlerden korur, güvenlik duvarı oluşturur ve sitenizi hızlandırır.

– All In One WP Security & Firewall: Sitenizin güvenlik seviyesini ölçer, kullanıcı hesaplarını, veritabanını, dosyaları ve diğer alanları korur, güvenlik duvarı kurar ve spam yorumları engeller.

Yukarıdaki seçenlerden Wordfence Security eklentisini kullandığım bir web sitem var. Oldukça memnun kaldığım bir eklenti. Sitenizde ki uçan kuştan haberdar olmak istiyorsanız tavsiye ederim. Örneğin değişen dosya isimleri, sitenize illegal giriş yapmak isteyen bölgeleri ve IP adreslerine kadar haftalık rapor alabiliyorsunuz mailinize. 

Yedekleme Yapmak

WordPress sitenizi korumanın en önemli adımlarından biri de yedekleme yapmaktır. Yedekleme sayesinde, siteniz herhangi bir sorun yaşarsa veya veri kaybederse kolayca geri yükleyebilirsiniz.

Yedekleme yapmak için web hosting sağlayıcınızın sunduğu araçları veya WordPress eklentilerini kullanabilirsiniz. WordPress dizininde birçok yedekleme eklentisi bulabilirsiniz. Bunlardan bazıları şunlardır:

– UpdraftPlus: Sitenizi düzenli olarak yedekler, bulut depolama servislerine veya kendi sunucunuza kaydeder, tek tıkla geri yükler ve daha fazlasını yapar.

– BackWPup: Sitenizi tamamen veya kısmen yedekler, FTP, Dropbox, Google Drive gibi servislere kaydeder, e-posta ile bildirim gönderir ve daha fazlasını yapar.

– BackupBuddy: Sitenizi programlı veya manuel olarak yedekler, iThemes Stash, Amazon S3, Google Drive gibi servislere kaydeder, geri yükleme sihirbazı sunar ve daha fazlasını yapar.

Eklentilerle yedekleme yaparken dikkat etmeniz gereken bazı durumlarda var. Örneğin seçtiğiniz eklentinin yedekten geri döndürme şartları neler, kaç MB boyutuna kadar olan yedekleri geri yükleyebiliyor? vs gibi basit konuları öğrenmeniz önemlidir. 

Yine kendimden bir örnek vereyim. 
Migration ile WordPress tam yedeğini aldım, ortalama 350 MB tuttu. Daha sonra bu yedek lazım oldu ve yüklemeye çalıştığımda upload başarılı olsa da yedeklemeyi yaptığım Migration kendi arşivini açamadı. Dolayısıyla yedeği kullanamadım. Sonradan problemi çözdüm ama görüldüğü üzere sorun çıkma olasılığı her zaman olabilir, bu yüzden alternatifli hareket etmeniz gerekir.

Yedeklemelerde en sık karşılaştığım sorunlar ise; 

- yedek alındıktan sonra yedeğin geri yüklenmesi sonrası arşivin açılamaması.
- Yedek dosyasını upload ederken sunucunun zaman aşımına uğraması bir türlü yüklenemesi.
- PHP sürüm uyumsuzluğu. Örneğin yedeği aldığım zaman sitenin kullandığı (hosting) PHP sürümü 7.0 imiş, aradan zaman geçmiş ve sitenin PHP sürümü 8.4 olmuş örneğin. İşte bu sırada upload ve arşiv açma işlemi başarılı olsa dahi yedek bozuk olarak yüklenebiliyor.

Bunları nasıl çözdüğümle ilgili şuraya yeni bir makale yazsam iyi olur aslında ➡ "Yedeklemede karşıma çıkan sorunlar ve çözümleri"

Dosya İzinlerini Doğru Ayarlamak

WordPress sitenizin dosya izinleri de güvenliğini etkiler. Dosya izinleri, dosyalarınızın ve klasörlerinizin kimler erişebileceğini belirler. Yanlış dosya izinleri, saldırganların sitenize erişmesine veya dosyalarınıza müdahale etmesine neden olabilir.

Dosya izinlerini doğru ayarlamak için genel olarak aşağıdaki kuralları izlemelisiniz:

• Klasörler genellikle 755 (rwxr-xr-x) izinlerine sahip olmalıdır.
• Dosyalar genellikle 644 (rw-r–r–) izinlerine sahip olmalıdır.
• Hassas dosyalar veya ayarlar için daha kısıtlı izinler kullanabilirsiniz.

Güvenlik için WordPress dosya izinleri nasıl olmalı?

wp-config.php Dosyasını Korumak

wp-config.php dosyası, WordPress sitenizin en önemli yapılandırma dosyasıdır. Bu dosya, veritabanı bilgileriniz, gizli anahtarlar ve diğer hassas ayarlar içerir. Bu yüzden wp-config.php dosyasını korumak önemlidir.

wp-config.php dosyasını korumak için aşağıdaki adımları takip edebilirsiniz:

• Dosyayı sunucunuzda doğru izinlerle saklayın (örneğin, 600 izinleri).
• Dosyanın yedeğini alın ve düzenlerken dikkatli olun.
• Güçlü bir FTP veya dosya yöneticisi şifresi kullanarak dosyayı erişime karşı koruyun.

XML-RPC Özelliğini Devre Dışı Bırakmak

XML-RPC, uzaktan bağlantılar ve hizmetler için kullanılan bir protokoldür. Ancak, bu özellik bazı güvenlik riskleri taşıyabilir. Saldırganlar, XML-RPC özelliğini kullanarak brute force saldırıları yapabilirler.

XML-RPC özelliğini devre dışı bırakarak bu riski azaltabilirsiniz. Bunun için çoğu güvenlik eklentisi veya .htaccess dosyasını düzenleyerek bu özelliği devre dışı bırakabilirsiniz.

.htaccess Dosyasını Düzenlemek

.htaccess dosyası, Apache web sunucusunda kullanılan bir konfigürasyon dosyasıdır. Bu dosyayı düzenleyerek sitenizin güvenliğini artırabilirsiniz. Örneğin, spam yorumları engellemek veya belirli IP adreslerini engellemek için de .htaccess dosyasını kullanabilirsiniz.

Ancak .htaccess dosyasını düzenlerken dikkatli olmalısınız, çünkü yanlış yapılandırmalar sitenizin çalışmasını engelleyebilir. Herhangi bir düzenleme yapmadan önce yedek almanızı öneririm.

XML-RPC özelliğini kapattığımız zamanda aslında bazı güzel özellikleri verimli bir şekilde kullanamıyoruz. Örneğin WordPress mobil uygulaması XML-RPC kapalı olduğunda çoğunlukla hata veriyor.

Eksik olan önlemler elbette vardır, aklınıza gelen farklı güvenlik önlemlerini aşağıya ekleyebilirsiniz.