Sitenizi Güvende Tutmak için 13 Adet WordPress Güvenlik İpuçları (2024) Sitenizi Güvende Tutmak için 13 Adet WordPress Güvenlik İpuçları (2024)

Sitenizi Güvende Tutmak için 13 Adet WordPress Güvenlik İpuçları (2024)

Bu blog yazımızda WordPress sitenizi güvende tutabilmek için uygulabileceğiniz basit ve ileri düzey 13 adet güvenlik ipuçlarını paylaşacağız.

WordPress dünyanın en çok tercih edilen içerik yönetim sistemlerinden birisidir. Bu kadar çok tercih edilmesinin getirdiği avantajların yanı sıra dezavantajlarıda bulunabilmekte. Bu blog yazımızda WordPress sitenizi güvende tutmak için uygulabileceğiniz 13 maddelik ipuçlarını paylaşacağız.

Bu blog yazımızda, sitenizi güvenlik açıklarından ve saldırılardan korumak için uygulayabileceğiniz bir düzineden fazla temel ve gelişmiş güvenlik ipucunu bulacaksınız.

Bu yazıda ele alacağımız WordPress güvenlik ipuçlarını burada bulabilirsiniz:

İki ayrı liste halinde düzenledik: temel güvenlik ipuçları ve gelişmiş güvenlik ipuçları. İlk başta temel güvenlik ipuçlarıyla başlayalım.

Tüm Kullanıcılar İçin Temel WordPress Güvenlik İpuçları

Hosting Seçimi: Kaliteli Bir WordPress Hosting Seçin

Her şey hosting seçiminize bağlı. Tüm güvenlik temelleri kaliteli bir WordPress Hosting seçiminden geçiyor. Kaliteli bir WordPress Hosting firmasıyla çalışmazsanız siz WordPress için ne kadar güvenlik önlemleri alırsanız alın hosting sağlayıcınız güvenli olmadıktan sonra siteniz saldırılara karşı savunmasız kalacaktır.

WordPress, temelde bir takım yazılım kodlarıyla çalışıyor olsada bu kodların tutulduğu dosyaların bir web sunucusuna yüklenmesi ve bu web sunucusu tarafından çalıştırılması gerekiyor.

Kaliteli bir WordPress Hosting firması bulmakta zorlanıyorsanız eğer en azından güncel PHP sürümüne ve güncel sunucu teknolojilerine sahip olduğundan emin olun.

Biz barındırma ihtiyacımızı Güzel Hosting‘den sağlıyoruz. Güzel Hosting, hızlı ve uygun fiyatlı WordPress Hosting hizmetleri vermekte. Sunduğu birçok hizmetle sunucu güvenliğini en üst düzeyde tutmakta.

Imunify360 ve ImunifyAV+ kullanmakta oldukları Cloudlinux işletim sistemine doğrudan entegre olarak çalışan gelişmiş güvenlik sistemleridir. Web Application Firewall (WAF) sitelerinize botların yapacağı brute force saldırılarını ve her türlü zararlı girişimi engellerken, ImunifyAV+ ise sitenize yüklenebilecek zararlı kodları, dosyaları silmeden temizler. İki sistem de çok büyük bir başarı oranı ile çalışmakta ve sürekli olarak zararlı yazılım/virüs/saldırı veritabanları güncellenmektedir.

Ancak WordPress güvenliği söz konusu olduğunda, özellikle ileri düzey bir WordPress kullanıcısı değilseniz, yönetilen bir WordPress hizmetiyle daha iyi durumda olabilirsiniz.

Yönetilen WordPress Hosting

Sunucu yönetimi, kodlar ve yazılımlar konusunda kafa yormak istemeyen WordPress kullanıcılarının en çok tercih ettiği barındırma hizmeti seçeneği yönetilen WordPress Hosting hizmetleri oluyor.

Yönetilen WordPress Hosting, sizin yerinize sitenizin güvenliğini sağlayan, düzenli aralıklarla zararlı kod ve yazılım taraması yapan, sitenizin düzenli aralıklar yedeklenmesini sağlayan ve WordPress güncellemelerini otomatik olarak sizin yerinize gerçekleştiren hizmetlerdir.

Bu tarz hizmetler temel WordPress Güvenlik adımlarını önceden almış oldukları için acemi WordPress kullanıcıları için bulunmaz bir fayda sağlamakta. Biz WPTreni olarak yönetilen WordPress Hosting hizmeti olarak WordPress.com’u tavsiye ediyoruz.

Yönetilen WordPress Hostingler sizlere sunduğu temel hizmetler şunlardan ibarettir;

  • Temel WordPress güvenliği.
  • Düzenli aralıklarla site yedekleme ve virüs kontrolü.
  • Temel düzeyde güvenlik duvarı (FireWall)
  • Ücretsiz SSL (Secure Socket Layer (https))
  • Otomatik eklenti, tema ve WordPress güncellemelerinin gerçekleştirilmesi.
  • CDN desteği.
  • DDoS koruması ve Brute Force koruması.
  • Merkezi Site Yönetimi (Birden fazla sitenizi tek bir yerden yönetme imkanı).

WordPress, Eklentiler ve Temalarınızı Kontrol Edin

WordPress siteniz bir takım kodlar ve dosyalardan oluşmakta. Buna WordPress Temaları ve WordPress Eklentilerinin yanı sıra “WordPress Çekirdeği” olarak adlandırlan WordPress kendisi de dahildir.

Düzenli olarak eklentilerinizi ve temalarınızın güncelliğini kontrol etmelisiniz. Kullandığınız cep telefonları ve bilgisayarlarınız gibi WordPress, temalar ve eklentilerinizde belli aralıklarla özellik ve güvenlik güncelleştirmeleri almaktadırlar.

WordPress Eklenti Güncellemeleri

WordPress sitenizin güvenliğini tam olarak sağlamanızın en temel yolu güncel kalmaktır. Eklentileriniz, Temalarınız ve WordPress Çekirdeğiniz en son sürümde olmak zorunda. Güncellemelerin birçoğu güvenlik açıklarını ve güvenlik zaafiyetlerini gideren güncellemelerdir.

Düzenli aralıklarla WordPress çekirdeğini, eklentiler ve temalarınızın güncel olup olmadığını kontrol edin. Güncel değil ise en kısa sürede güncelleyin.

Sitenizde her zaman en güncel WordPress sürümünü kullanın. WordPress acil olarak uygulanması gereken güvenlik güncellemelerini size sormadan otomatik olarak zaten yapıyor ancak bazı güncellemeleri sizin onayınız olmadan gerçekleştirmiyor. Bu yüzden WordPress Admin panelinizde bulunan Başlangıç » Güncellemeler kısmını sık sık kontrol edin, güncellemeleri takip edin.

Sonuç olarak, sitenizi mümkün olduğunca güvenli tutmak için WordPress güncellemelerini kontrol etmek, test etmek ve sitenize uygulamak için her hafta bir zaman ayırın.

Ayrıca artık kullanmadığınız temaları ve eklentileri de kaldırdığınızdan emin olun.

Tema ve Eklentiler İçin Otomatik Güncellemeleri Aktif Edin

Herhangi bir ekstra eklenti ve kod kullanmadan eklentiler ve temalarınızın otomatik güncelleme almasını sağlayabilirsiniz. Temalarınız için otomatik güncellemeleri aktif etmek için yapmanız gerekenler şunlar;

  • WP Admin Paneline giriş yapın.
  • Temalar sekmesine tıklayın.
  • Aktif olarak kullandığınız ve pasif olan temalarınızın isimlerine tıklayın.
  • Açılan popup pencereden Otomatik güncellemeleri aç linkine tıklayın.

Bu özellik özel olarak hazırlanmış, premium temalarda bulunmayabilir. Bu durumda temanızı hazırlayan, kodlayan geliştiricinin paylaştığı güncellemeleri takip ederek temanızı güncel tutabilirsiniz.

Aynı işlem Eklentiler içinde gerçekleştirebilir. WordPress kullandığınız herhangi bir eklentide güncelleme olduğunda zaten size bildiriyor ancak bu güncellemeleri çok fazla eklenti olduğunda tek tek kontrol etmek zor olabiliyor.

Eklentiler » Kurulu Eklentiler‘e gidin ve otomatik güncellemeleri etkinleştirmek istediğiniz herhangi bir eklenti için sağ tarafta bulunan Otomatik Güncellemeleri Etkinleştir düğmesini tıklayın.

Tek tek bu işlemi yapmak yerine toplu olarak yapmak için sol üstte bulunan Toplu İşlemler menüsünden bütün eklentilerinizi seçerek, açılır pencereden otomatik güncellemeleri açabilirsiniz.

Bu yüzden otomatik eklenti güncellemelerini aktif etmek sitenizde kullandığınız eklentiler güncel kalmasını sağlamakta. Güncel eklenti = güvenli WordPress demektir.

Özel bir WordPress Güvenlik Eklentisi Yükleyin

WordPress sitenizi yönetilebilen bir WordPress Hosting hizmetinde barındırmıyorsanız eğer özel bir WordPress Güvenlik eklentisi yükleyerek sitenizin güvenliğini bir üst seviyeye ulaştırabilirsiniz.

Biz bu aşamada size iki adet güvenlik eklentisi öneriyoruz. Bunlar, MalCare ve Sucuri eklentileri.

MalCare eklentisini tercih ettiyseniz eğer, Malcare eklentisi size aşağıda ki özellikler sunmakta;

  • Malware virüsü taraması.
  • Malware virüsü temizlemesi.
  • WordPress için özel olarak ayarlanmış Güvenlik Duvarı (Firewall).
  • Uptime Monitor
  • Spam Bot Koruması
  • Brute Force Attack koruması.
  • Zayıflık tespiti. (Vulnerability)
  • E-Posta yoluyla Malware ve Zayıflık Tespiti olduğunda bilgilendirme.

MalCare yukarıda ki hizmetleri ücretsiz olarak sunmanın yanı sıra çok uygun fiyatlar ile size çok daha gelişmiş koruma seçenekleride sunmaktadır.

Sucuri ise tamamen ücretli bir güvenlik yazılımıdır. MalCare’in sunduğu birçok hizmeti sunmaktadır ancak MalCare gibi kısıtlıda olsa ücretsiz hizmetleri bulunmamaktadır. Ancak, bütçe konusunda sıkıntınız yok ise Sucuri eklentisinide tercih edebilirsiniz.

Üçüncül Taraf Eklenti ve Temalar Kullanırken Dikkatli Olun

WordPress tabanlı sitelerin hacklendiğini birçok kez duymuşsunuzdur. Saldırıya maruz kalan ve bu saldırılar sonucunda zarar gören sitelerin ortak noktaları güncel olmayan WordPress sürümü, eklentileri ve temalarını kullanıyor olmalıdır. Ancak bir neden daha var oda üçüncül taraf eklenti ve tema kullanımı.

WordPress sitenizi her zaman güncel tutsanız dahi üçüncül taraf bir eklenti veya tema sitenizi saldırılara karşı korumasız bırakabilir. WordPress.org eklenti ve tema kütüphanesinde olmayan üçüncül eklenti ve temaları kullanırken çok dikkatli olmanız gerekmektedir.

Eklenti ve temayı oluşturan ne kadar güvenilir? Size sundukları tema ve eklentiler ne kadar güvenli? Güncellemeler ne sıklıkla yapılıyor yoksa yapılmıyor mu?

İnternet sitenize yüklemek istediğiniz eklenti ve temaların son güncelleme tarihlerine dikkat edin. Aynı zamanda bu eklenti ve temaların WordPress Çekirdek güncellemelerinden son sürüme uygun olup olmadığını kontrol edin.

Yukarıda ki örnek görselde gördüğünüz eklenti WordPress’in 3 ana sürüm güncellemesinde test edilmemiş ve en son 3 yıl önce güncellenmiş. Bu iyiye işaret değil. Sadece bu bilgiler bir eklentinin ve temanın güvenli olup olmadığını belirlemez. Eklenti ve temaları kullanan ve geri dönüş yapan kullanıcıların deneyimlerini, incelemelerini de göz atmanızda fayda var.

WordPress Kullanıcı Rollerinin ve İzinlerinin Farkında Olun

Birden fazla yazar ve kullanıcının olduğu bir WordPress sitesine sahipseniz, kullanıc rollerin doğru ayarlandığından emin olun. Kullanıcı izinlerinin doğru şekilde atandığından ve yanlışıkla bir kullanıcıya yönetici yetkisi gibi yetkiler vermediğinizden emin olun.

Aşağıda WordPress bulunan kullanıcı rolleri ve bu rollerin izinlerinin ne olduğunu sizin için kısaca özetledik.

  • Yönetici (Admin), WordPress sitenizde her şeye erişebilme yetkisine sahip kullanıcıdır.
  • Editör, WordPress sitenizde ki tüm yazılara, sayfalara ve ek dosyalara (ortam kütüphanesi) erişebilen kullanıcıdır. Yazıları kendileri yayınlamamış olsa dahi silebilir, düzenleyebilir ve yayınlabilir.
  • Yazar (Author), Kendi yazılarını ekleyebilme, düzenleyebilme ve silebilme yetkisine sahip kullanıcıdır.
  • Katkıda Bulunan (Contributor), Kendi yazılarını düzenleyebilme ve ekleme yetkisine sahip kullanıcıdır.
  • Abone (Subscriber), Kendileri için oluşturulan profil sayfalarını düzenleyebilir, yazılar ve sayfalara yorum bırakabilir.

Yani, sitenize bir Editör işe almak istiyorsanız aldığınız bu editörü Yönetici rolüne değil Editör rolüne eklemeniz gerekiyor. Aksi takdirde bu kişi yanlış bir kullanıcı rolü verir ve bu kişi art niyetli davranır ise sitenizde geri dönüşü olmayan sorunlar ve hatalara sebebiyet verebilir.

WordPress Admin panelinizden Kullanıcılar bölümünden sitenizde hesabı bulunan kullanıcılarınızı ve onların kullanıcı rollerini görebilirsiniz. Sizden habersiz, sizin bilginiz dışında oluşturulmuş bir kullanıcı hesabı var ise bu kullanıcı hesabını silebilir ve hemen sitenizin güvenliğini artıracak adımlara ve güvenlik zaafiyetlerinin tespitini yapmaya başlayın.

Sitenizde SSL (Secure Socket Layer) (HTTPS) Kullanın

SSL ya da Secure Socket Layer, web sitenizin sunucusu ile kullanıcınızın bilgisayarı arasında veri aktarımı için güvenli bir katman oluştururak, iki ağ arasında ki iletişimi şifreleyerek aktaran bir güvenlik protokolüdür. Artık günümüzde bir güvenlik standartı haline gelmiştir. SSL kullanmayan internet siteleri potansiyel saldırgan ve zararlı siteler olarak değerlendirilmektedir.

Bir sitenin SSL sertifikasıyla şifrelenip şifrelenmediğini anlamanın iki yolu vardır: Tarayıcı adres çubuğunda bir asma kilit bulunması ve sitenin “http” yerine “https” kullanması.

SSL sadece güvenlik amaçlı kullanılmamaktadır. Google tarafından internet dünyasının daha güvenli hale gelebilmesi için internet sitelerinin SSL sertifikaları kullanmaya teşvik etmek amaçlı SSL kullanan siteleri arama sonuçlarında daha iyi bir konumda göstermeye başladı. Bu sebepten sadece ödeme alan, ürün satışı yapan sitelerde değil hemen hemen her internet sitesi artık SSL kullanmakta.

SEO için çok az da olsa önemli bir etkisi olması SSL’nin kullanım oranının artmasını sağladı. İnternet sitenizde mutlaka SSL sertifikası kullanın.

Tecrübeli Kullanıcılar İçin WordPress Güvenlik İpuçları

Dosya Düzenlemeyi Devredışı Bırakın

WordPress’te tema ve eklentilerinize ait dosyaları düzenleyebilmeniz için dosya düzenleyicisi aracı bulunur. Bu araç sayesinde FTP kullanmadan eklenti ve tema dosyalarınızı düzenleyebilirsiniz.

Tema düzenleyicisi ya da Eklenti Düzenleyicisi ulaşmak için izlemeniz gereken yol;

Tema Düzenleyicisi için; WP Admin Paneli » Temalar » Tema Düzenleyicisi

Eklenti Düzenleyicisi için; WP Admin Paneli » Eklentiler » Eklenti Düzenleyicisi

Bu araçlar size tema ve eklentilerinize ait dosyaların içerisinde ki kodlar üzerinde değişiklik yapmanızı veya yeni kodlar eklemenizi sağlar. Ancak, şahsi bilgisayarınız ya da blog sitenizin yönetici hesabı, dijital korsanlar tarafından ele geçirildi ise bu araçları kullanarak sitenizin yapısını bozacak, çalışmasını engelleyecek ve hatta kullanıcı bilgilerini, kredi kartı bilgilerini çalmaya yönelik ödeme formlarına ilave kod ve komut satırları ekleyebilirler.

Bu nedenle WordPress sitesi sahiplerinin dosya düzenlemeyi tamamen devre dışı bırakması önerilir. Tek yapmanız gereken FTP yolu ile WordPress’in çekirdek dosyası olan wp-config.php dosyasına aşağıda ki kodu eklemenizdir.

PHP
define('DISALLOW_FILE_EDIT', true);
PHP

Hosting sağlayıcınız size FTP erişimi sağlamıyorsa ya da dosya yönetimi kısıtlaması sağlıyorsa bu değişikliği yapmaları için hosting sağlayıcınıza ulaşmanız gerekebilir.

PHP Yürütmesini (Execution) Devredışı Bırakın

Dijital korsanlar genellikle WordPress’in dosya sistemi olan PHP dosyalarını çalıştırarak sitenizde güvenlik açıkları (arka kapılar) oluşturmayı amaçlarlar.

PHP dosyaların çalışmamasını istediğiniz yerlerde bir .htaccess dosyası oluşturarak bunu engelleyebilirsiniz. Örneğin, WordPress blog yazılarınızda kullandığınız görsellerin depolandığı yer olan /wp-content/uploads/ klasöründe php dosyasının olmaması gerekiyor.

Dijital korsanlar bu dizine bir php dosyası yükleyip, çalıştırabilirler. Bunun önüne geçebilmek için aşağıda ki kodu .htaccess adında bir dosya oluşturarak engelleyebiliriz.

Bir kod düzenleyici editörü yardımı ile .htaccess adında bir dosya oluşturun ve bu dosyanın içerisine aşağıda ki kodu ekleyip, sitenize yükleyin.

PHP
<Files *.php>

deny from all

</Files>
PHP
.htaccess ile PHP Yürütmelerini Engellemek

Dosya ismini mutlaka “.htaccess” olduğundan emin olun. htaccess kelimesinin önünde mutlaka nokta (.) olduğundan emin olun. Dosya ismi .htaccess olmalı.

WordPress Veritabanı Tablo Önekini (Table Prefix) Değiştirin

Birkaç defa size söylediğimiz gibi WordPress siteniz dosyalar içerisinde saklanan kodlardan oluşmaktadır. Bahsetmediğimiz şey ise sitenizin aynı zamanda sitenizin veritabanı tablolarından oluştuğudur.

Dosyalarda ki kodların düzenlemesi, silinmesi gibi durumlarda sitenize nasıl zarar verebiliyorsa aynı şekilde veritabanı tablolarınız bulunan tabloların silinmesi, içinde barındırdığı değerlerin değiştirilmesi sitenizde bi o kadar da zarar verir.

Ne yazık ki, eğer bir dijital korsan veritabanı ön ekinizi biliyorsa, sitenize manuel olarak erişmeden saldırmak için bunu kullanabilir. Tüm WordPress web siteleri varsayılan olarak “wp_” önekini kullanacak şekilde tasarlanmıştır, bu yüzden dijital korsanlar bu öneki zaten bildiğinden onu değiştirmeniz çok önemlidir.

Veritabanı tablo ön ekini değiştirmek birazcık zorlayıcı ve kafa karıştırıcı olabilir ancak bu anlattıklarımız tecrübeli WordPress kullanıcıları için olduğu için veritabanı ve dosya düzenlemeler aşina olmanız bu adımları basitleştirecektir.

Yapacağımız işlemler veritabanın tablo ön ekinin bulunduğu wp-config.php dosyasında ki düzenlemelerden ibarettir. Yapmanız gerekenler;

  • Sitenize FTP ile bağlanın. (Bkz: FTP Nedir?)
  • Sitenizin kök dizininde (root) bulunan wp-config.php dosyasını bilgisayarınıza indirin.
  • Daha sonra bir kod düzenleme editörü yardımı ile indirdiğiniz bu dosyayı açın. (Tavsiyemiz: Microsoft VS Code)
  • Dosya içerisinde $table_prefix adlı satırı bulun. Bu satır sizde şu şekildedir: $table_prefix = wp_"; bu kod üzerinde değişiklik yapacağız.
  • wp_ yazan kısmı sadece harf, rakam ve alt tire (_) kullanmak şartı ile zor bulunabilecek bir kelime tercih edin. Unutmayın özel karakterler (; * ? gibi) kullanmayın!
  • Biz örnek olarak wp_ yerine pxty3_ olarak değiştireceğiz.
  • Daha sonra dosyayı kaydedin ve tekrar aynı yere FTP yoluyla sitenizin kök dizinine yükleyin.

Daha sonra değişiklikleri veritabanı tablonuzda da gerçekleştirmeniz gerekiyor phpMyAdmin yoluyla sitenizin veritabanı bağlanıp, veritabanı tablolarında ki eski tablo ön ekini, yeni tablo ön ekiniz ile değiştireceksiniz. Bunu nasıl yapacağınızı bilmiyorsanız eğer şu yazımızı inceleyebilirsiniz.

» İlgili Blog Yazısı: WordPress Veritabanı Tablo Öneki (Table Prefix) Nasıl Değiştirilir?

wp-config.php Dosyasını Başka Yere Taşıyın

WordPress sitenizin atardamarı olarak nitelendirebileceğimiz dosya wp-config.php dosyasıdır. Bu dosya, dijital korsanların ilk hedefledikleri dosyadır.

Dijital korsanlar bu dosyaya erişirler ise içerisine zararlı kodlar ekleyerek sitenizin çalışmaz hale gelmesini sağlamakla birlikte veritabanı bilgilerinize erişerek site bilgilerinizi, kullanıcı bilgilerinizi ve tüm şifrelerinizi kopyalayabilirler, değiştirebilirler.

Bu sebeplerden dolayı wp-config.php dosyasını başka bir yere taşıyarak, dijital korsanların bu dosyayı bulmasını zorlaştırabilirsiniz. Unutmayın bu işlem sadece dijital korsanların işini zorlaştırmak için yapıyoruz aksi takdirde azimli bir dijital korsan bu dosyayı mutlaka bulacaktır. Amaç onların işini zorlaştırmak, acemi dijital korsanlarında heveslerini kırmaktır.

WordPress, wp-config.php dosyasını bir üst klasöre taşımanıza izin vermektedir. Bu sebepten yapacağımız işlemler oldukça basittir. Her zaman olduğu gibi bu işlemleri yapmadan önce yedek almayı unutmayın. Adım adım wp-config.php dosyasını başka bir klasöre taşıyalım.

  • Sitenizin dosyalarına erişmek için FTP ile sitenize bağlanın.
  • Sitenizin kök dizininde bulunan wp-config.php adlı dosyayı bilgisayarınıza indirip, yedeğini alın.
  • Daha sonra FTP ile bağlandığınız kök dizinine bir klasör oluşturun ve klasör ismini tahmin etmesi zor bir isimlendirme yapın. Örneğin biz wp-treni olarak klasöre bir isim verdik.
  • Oluşturduğunuz klasörü sitenizde başka hiçbir yerde kullanmadığınızdan emin olun.
  • Bilgisayarınıza indirdiğiniz wp-config.php dosyasını oluşturduğumuz bu yeni klasöre yükleyin. Ve wp-config.php dosyasının tekrar isimlendirin ve ismini örneğimiz de biz wp-treni.php olarak değiştirdik.
  • Daha sonra sitemizin kök dizininde wp-config.php dosyası adı altında bir PHP dosyası oluşturun ve içerisine aşağıda ki kodu ekleyin, kaydedin.
PHP
<?php

include('/home/usr/wp-treni/wp-treni.php');

?>
PHP

Yukarıda ki kod kısmında yer alan dosya yolunu kendi sitenize göre düzenleyeceksiniz. Gerekli düzenlemeleri yaptıktan sonra dosyayı kayıt edin ve yükleyin.

Dizin Görüntülemeyi (Tarayıcı) Devredışı Bırakın

Dizin görüntüleme, bir kullanıcının doğrudan sitenizin klasörlerine tarayıcı adres satırına yazarak erişebilmesini sağlar. Örneğin; Blog sitenizin görsellerinin yüklendiği dizin olan wp-content/uploads klasörüne bir kullanıcı eğer doğrudan adres satırına yazarak erişebiliyorsa dijital korsanlarda erişebilir.

WordPress Directory Browsing Disable

Yanda ki görselde olduğu gibi doğrudan tarayıcıdan sitenizin klasörlerinin içeriği tarayıcı üzerinden görüntülenebiliyor ise sitenizde güvenlik zafiyeti oluşturabilir. Bunu önlemek için dizin görüntüleme özelliğini devredışı bırakmak gerekiyor.

Sitenizde dizin görüntülemenin açık ya da kapalı olduğunu öğrenmek istiyorsanız yapmanız gereken internet tarayıcının adres satırına https://siteadresiniz.com/wp-content/uploads/ yazarak bu klasöre erişmeyi çalışın.

Eğer yukarıda ki görselde ki gibi klasörlerin içerisinde ki dosyaları görebiliyorsanız sitenizde dizin görüntüleme açık anlamına gelmektedir. Eğer ki 403 Forbidden hatası veriyor ise sitenizde dizin görüntüleme kapalıdır demektir herhangi bir işlem yapmanıza gerek yok demektir.

HTTP Durum Kodu 403 Forbidden

Dizin görüntüleme sitenizde açık ise yapmanız gerekenler;

  • Sitenize FTP ile bağlanın.
  • Sitenizin kök dizininde buluna .htaccess adlı dosyayı bilgisayarınıza indirin. Yok ise kendiniz bu dosyayı oluşturun.
  • Dosyayı bir kod editörü yardımı ile açın.
  • Dosyanın en üstüne, ilk satıra şu kodu ekleyin; Options All -Indexes
  • Daha sonra dosyayı kaydedin ve tekrar kök dizine yükleyin.

WordPress Siteniz Hacklendi ise Ne Yapmalısınız?

WordPress siteniz bir dijital saldırıya maruz kaldı ve sitenizin hacklendiğini düşünüyorsanız eğer yapmanız gerekenler belli.

Sitenizi düzenli olarak yedekleyen, yedeklerini alan birisiyseniz endişelenecek bi durum yok. Adım adım yapmanız gerekenler;

  • Kişisel bilgisayarınızda bulunan bir virüsten kaynaklı hacklenmiş olma ihtimalinize karşılık bilgisayarınızda bir virüs temizleme işlemi gerçekleştirin.
  • Sitenize ait tüm şifrelerinizi ve mail adreslerinizi güncelleyin.
  • Hosting hesabınıza ait tüm şifrelerinizi değiştirin. cPanel, FTP şifreleri.
  • Sitenizin en güncel yedeğini kontrol edin, size yabancı gelen dosya, klasör, eklenti ve tema dosyalarını silin.
  • Site yedeğiniz yok ise Hosting firmanıza ulaşın ve sitenizin yedeğinin onlarda var olup olmadığını sorun. Genellikle hosting firmaları düzenli aralıklarla sitelerinizin yedeğini almaktalar ancak bunu her hosting firması yapmayabilir. Hosting firmanıza ulaşarak bu sorunuza cevap bulabilirsiniz.
  • Sitenizi aldığınız yedekten geri döndürdüğünüzde sitenizde tüm eklenti ve temaları devredışı bırakın.
  • Sitenizde yer alan Admin yetkisine sahip diğer tüm hesaplardan admin yetkisini alın. (Kendi hesabınız hariç.)
  • Admin hesabınızın kullanıcı adı ve şifresini değiştirin.
  • Veritabanınızın adı, veritabanı kullanıcı adı ve veritabanı şifresini değiştirin.
  • Sitenizin düzgün çalışıp, çalışmadığını kontrol edin.
  • Önünüzde ki ilk haftalarda sitenizi yakından takip edin, herhangi bir güvenlik sorunu algıladığınızda önlem alın.
  • Hosting firmanıza ulaşarak sitenizin hacklendiğini ve kontrol edilmesini talep edin. Eğer hosting firmanızdan kaynaklı bir güvenlik zafiyeti var ise en kısa sürede hosting firmanızı değiştirin.
  • Bütçeniz var ise uzman bir siber güvenlik firması ile sitenizin zayıflıklarını, muhtemel güvenlik açıklarını tespit edin, önlem alın.

Bu blog yazımızda aldığımız güvenlik önlemleri dijital korsanları tamamen engellemeyecektir. Gelişen teknoloji ile birlikte dijital korsanların kullandıkları yöntemlerde gelişmekte. Bu yüzden aldığımız tüm bu tedbirler dijital korsanların işini zorlaştırmak, acemi olanları ise engellemeye yöneliktir.

Düzenli olarak sitenizin yedeğini alın, düzenli aralıklarla örneğin 6 ay’da bir olmak üzere tüm hesaplarınızın şifrelerini değiştirin. Veritabanı şifreniz, FTP şifrelerinizi düzenli aralıklarla değiştirin, güncelleyin.

Umarız bu blog yazımız WordPress sitenizin güvenliğini sağlamak konusunda size yardımcı olabilmeştir. Lütfen, fikir ve düşüncelerinizi var ise bildiğiniz diğer güvenlik önlemleri bizimle paylaşmaktan çekinmeyin. İyi bloglamalar.

  1. Herşey kişisel olarak aldığımız önlemlere bağlı. Şahsi bilgisayarlarımız ya da iş bilgisayarlarımız hacklenirse sitelerimizin güvende olmadığı kesin, bu değerleri wordpress güvenlik ipuçlarını paylaştığınız için teşekkür ederim.

    1. Sizinde dediğiniz gibi kişisel güvenlik en başta geliyor. Bilgisayarınızı güvenli değil ise internet sitenizde güvenli olmayabilir. Değerli yorumunuz için teşekkür ederiz, umarız yardımcı olabilmişizdir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir