İnternet
Trend

WordPress Sitenizi Adım Adım Güvenli Hale Getirin

WordPress güvenliği her web sitesi sahibi için büyük öneme sahip bir konudur. Google, kötü amaçlı yazılımlar için her gün yaklaşık 10.000’den fazla web sitesini ve her hafta phishing için yaklaşık 50.000’i kara listeye alıyor.

Web siteniz konusunda ciddiyseniz, WordPress güvenlik en iyi uygulamalarına dikkat etmeniz gerekir. Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olmak için en iyi WordPress güvenlik ipuçlarını paylaşacağız.

WordPress çekirdek yazılımı çok güvenli olmasına rağmen, yüzlerce geliştirici tarafından düzenli olarak denetlenirken, sitenizi güvende tutmak için yapabileceğiniz birçok şey vardır.

Bir web sitesi sahibi olarak, WordPress güvenliğinizi arttırmak için yapabileceğiniz birçok şey var (teknik bilginiz olmasa bile).

Web sitenizi güvenlik açıklarına karşı korumak için gerçekleştirebileceğiniz birkaç uygulanabilir adım vardır.

Kolaylaştırmak için, nihai WordPress güvenlik rehberimizde kolayca dolaşmanıza yardımcı olacak bir içerik tablosu hazırladık.

  • İçindekiler
  • WordPress Güvenliğinin Temelleri
  •      WordPress Güvenliği Neden Önemli?
  •      WordPress’i Güncel Tutmak
  •      Şifreler ve Kullanıcı İzinleri
  •      Web Hostingin Rolü
  • Kolay Adımda WordPress Güvenliği (Kodlama Yok)
  •      Bir WordPress Yedekleme Çözümü yükleyin
  •      En İyi WordPress Güvenlik Eklentisi
  •      Web Uygulaması Güvenlik Duvarını (WAF) Etkinleştir
  •      WordPress Sitesini SSL / HTTPS’ye Taşı
  • DIY kullanıcıları için WordPress Güvenliği
  •      Varsayılan “admin” kullanıcı adını değiştir
  •      Dosya Düzenlemeyi Devre Dışı Bırak
  •      PHP Dosya Çalıştırmasını Devre Dışı Bırak
  •      Limit Giriş Denemeleri
  •      İki Faktör Kimlik Doğrulaması Ekleyin
  •      WordPress Veritabanı Önekini Değiştirin
  •      Şifre Koruması WP-Admin ve Login
  •      Dizin Dizinlemeyi ve Taramayı Devre Dışı Bırak
  •      WordPress’te XML-RPC’yi devre dışı bırakın
  •      Boşta Kullanıcıları otomatik olarak kapat
  •      WordPress Girişine Güvenlik Soruları Ekleyin
  •      WordPress’te Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama
  •      Hacklenmiş WordPress Sitesini Düzeltmek
  • Hazır? Başlayalım.

Web Sitesi Güvenliği Neden Önemli?

Saldırıya uğramış bir WordPress sitesi, işletme gelirinize ve itibarınıza ciddi zarar verebilir. Bilgisayar korsanları, kullanıcı bilgilerini, şifreleri çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

En kötüsü, sadece web sitenize yeniden erişim sağlamak için bilgisayar korsanlarına fidye yazılımı ödeyerek bulabilirsiniz.

fidye yazılımı ile ilgili görsel sonucu

Mart 2016’da, Google, 50 milyondan fazla web sitesi kullanıcısının ziyaret ettikleri bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıldığını bildirdi.

Ayrıca, Google kötü amaçlı yazılımlar için yaklaşık 20.000 web sitesi ve her hafta phishing için yaklaşık 50.000 kişi için kara liste sunar.

Web siteniz bir işletmeyse, WordPress güvenliğine daha fazla dikkat etmeniz gerekir.

İşletme sahiplerinin fiziksel mağaza binalarını korumanın sorumluluğuna benzer şekilde, bir çevrimiçi işletme sahibi olarak işletme web sitenizi korumak sizin sorumluluğunuzdadır.

WordPress’i Güncel Tutmak

WordPress düzenli olarak bakımı yapılan ve güncellenen açık kaynaklı bir yazılımdır. Varsayılan olarak, WordPress küçük güncelleştirmeleri otomatik olarak yükler. Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.

WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeleri yayınlayan üçüncü taraf geliştiriciler tarafından da korunmaktadır.

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve kararlılığı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.

Güçlü Parolalar ve Kullanıcı İzinleri

Strong Passwords ile ilgili görsel sonucu

En yaygın WordPress saldırı girişimleri, çalınan şifreleri kullanır. Web siteniz için benzersiz olan daha güçlü şifreleri kullanarak bunu zorlaştırabilirsiniz. Yalnızca WordPress yönetici alanı için değil, aynı zamanda FTP hesapları, veritabanı, WordPress barındırma hesabı ve sitenizin alan adını kullanan özel e-posta adresleriniz için de geçerlidir.

Birçok yeni başlayanlar güçlü şifreler kullanmaktan hoşlanmıyor çünkü hatırlaması zor. İşin iyi yanı, artık şifreleri hatırlamanıza gerek kalmamasıdır. Bir şifre yöneticisi kullanabilirsiniz. WordPress şifrelerinin nasıl yönetileceği ile ilgili kılavuzumuza bakın.

Riski azaltmanın bir başka yolu, kesinlikle gerekmedikçe hiç kimsenin WordPress yönetici hesabınıza erişmesini engellemektir. Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress‘teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun.

WordPress Hosting’in Rolü

İlgili resim

WordPress barındırma hizmetiniz, WordPress sitenizin güvenliğinde en önemli rolü oynar.

İşte iyi bir web hosting şirketi web sitelerini ve verilerinizi korumak için arka planda çalışır nasıl.

    Şüpheli faaliyetler için ağlarını sürekli izlerler.
    Tüm iyi hosting firmalarının büyük çapta DDOS saldırılarını önleyen araçları var
    Bilgisayar korsanlarının eski bir sürümde bilinen bir güvenlik açığından yararlanmalarını önlemek için sunucu yazılımlarını ve donanımlarını güncel tutarlar.
    Büyük kaza durumunda verilerinizi korumalarını sağlayan felaket kurtarma ve kaza planlarını uygulamaya hazırdırlar.

Paylaşılan bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bu, bir hacker’ın komşu bir siteyi web sitenize saldırmak için kullanabileceği siteler arası kontaminasyon riskini açar.

Yönetilen bir WordPress barındırma hizmeti kullanmak, web siteniz için daha güvenli bir platform sağlar. WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar.

Kolay Adımda WordPress Güvenliği (Kodlama Yok)

WordPress güvenliğini arttırmanın yeni başlayanlar için korkunç bir düşünce olabileceğini biliyoruz. Özellikle de teknik bilgiye sahip değilseniz içinden çıkılmaz bir durummuş gibi görünebilir.

Ancak yanlız değilsiniz binlerce WordPress kullanıcısının WordPress güvenliklerini teknik bilgiye sahip olmadan yapabilmektedir biz neden buradayız sanıyorsunuz 🙂

WordPress güvenliğinizi yalnızca birkaç tıklatmayla nasıl geliştirebileceğinizi göstereceğiz. (kodlama gerekmez).
Ozaman adımlarımıza başlayalım..

Bir WordPress Yedekleme Çözümü yükleyin

https://www.moradam.com/wp-content/uploads/2017/10/wp-yedekleme.jpg

Yedekler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutma, hiçbir şey% 100 güvenli değildir. Hükümet web siteleri hacklenebiliyorsa, sizin sitenizde hacklenebilir.

Yedekler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.

Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedekleme söz konusu olduğunda bilmeniz gereken en önemli şey, tam site yedeklemelerini düzenli olarak uzak bir konuma (barındırma hesabınıza değil) kaydetmeniz gerektiğidir.

Amazon, Dropbox veya Stash gibi özel bulutlar gibi bir bulut hizmetinde saklamanızı öneririz.

Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar günde bir kez veya gerçek zamanlı yedeklemeler olabilir.

Neyse ki bu konuda da size yardımcı olacağız WordPress yedekleme hakkındaki yazımızı okumanızı öneririrz. 🙂

Link : https://sibergezegen.com/en-iyi-7-wordpress-yedekleme-eklentisi-avantaj-ve-dezavantajlari/

En İyi WordPress Güvenlik Eklentisi

Yedeklemelerin ardından, yapmamız gereken bir sonraki şey web sitenizde olan her şeyi izleyen bir denetim ve izleme sistemi kurmak.

Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması vb. Dahildir.

Neyse ki, tüm bu en iyi ücretsiz WordPress güvenlik eklentisi Sucuri Scanner tarafından halledilir.

Ücretsiz Sucuri Security eklentisini kurmanız ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, lütfen bir WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın.

Aktivasyon üzerine, WordPress yöneticinizdeki Sucuri menüsüne gitmeniz gerekir. Yapmanız istenecek ilk şey ücretsiz bir API anahtarı oluşturmaktır. Bu, denetim günlüğü, bütünlük kontrolü, e-posta uyarıları ve diğer önemli özellikleri sağlar.

Generate Sucuri API Key

Bir sonraki yapmanız gereken ayarlar menüsünden ‘ Hardening ’ sekmesine tıklamak. Her seçeneğe göz atın ve “ Apply Hardening ” düğmesine tıklayın.

Sucuri security hardening

Bu seçenekler, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları kilit alanları kilitlemenize yardımcı olur. Ücretli bir yükseltme olan tek sıkılaştırma seçeneği, bir sonraki adımda açıklayacağımız Web Uygulaması Güvenlik Duvarıdır, şimdilik şimdilik atlayın.

Ayrıca, bu makalenin ilerleyen bölümlerinde, bir eklenti kullanmadan veya “Veritabanı Öneki değişikliği” veya “Yönetici Kullanıcı Adının Değiştirilmesi” gibi ek adımlar gerektirenler için bu “sıkılaştırma” seçeneklerinin çoğunu da ele aldık.

Sıkılaştırma bölümünden sonra, varsayılan eklenti ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişiklik yapmanıza gerek yoktur. Özelleştirmenizi önerdiğimiz tek şey ‘E-posta Uyarıları’.

Varsayılan uyarı ayarları, gelen kutunuzu e-postalarla karıştırabilir. Eklentilerdeki değişiklikler, yeni kullanıcı kaydı vb. Gibi önemli eylemler için uyarılar almanızı öneririz. Uyarıları Sucuri Ayarları »Uyarılar bölümüne giderek yapılandırabilirsiniz.

Set up security email alerts

Bu WordPress güvenlik eklentisi çok güçlüdür, bu yüzden Malware taraması, Denetim kayıtları, Başarısız Oturum Açma Denemesi izleme vb. İşlemleri görmek için tüm sekmelere ve ayarlara göz atın.

Web Uygulaması Güvenlik Duvarını (WAF) Etkinleştir

Sitenizi korumanın ve WordPress güvenliğinden emin olmanın en kolay yolu, bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.

Bir web sitesi güvenlik duvarı, web sitenize ulaşmadan önce tüm kötü amaçlı trafiği engeller.

DNS Seviyesi Web Sitesi Güvenlik Duvarı – Bu güvenlik duvarı, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca orijinal trafik göndermelerini sağlar.

Uygulama Seviyesi Güvenlik Duvarı – Bu güvenlik duvarı eklentileri trafiği sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS düzeyindeki güvenlik duvarı kadar verimli değildir.

Sucuri WAF

Sucuri, piyasadaki tek DNS seviyesi güvenlik duvarı sağlayıcısı değildir. Diğer popüler DNS yönlendirme güvenlik duvarı Cloudflare ‘dır onada göz atmanızı öneririz. Sibergezegen.com olarak Cloudflare kullanmaktayız.

WordPress Sitenizi SSL / HTTPS’ye Taşıyın

SSL (Güvenli Yuva Katmanı), web siteniz ile kullanıcı tarayıcınız arasında veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birinin etrafa burnunu sokmasını ve bilgi çalmasını zorlaştırır.

How SSL works

SSL’yi etkinleştirdiğinizde, web siteniz HTTP yerine HTTPS’yi kullanacak, web sitenizin yanında tarayıcıda bir asma kilit işareti göreceksiniz.

SSL sertifikaları tipik olarak sertifika yetkilileri tarafından verilir ve fiyatları her yıl 80 ila 100 dolar arasında başlar. Ek maliyet nedeniyle, çoğu web sitesi sahibi güvensiz protokolü kullanmaya devam etmeyi seçti.

Bunu düzeltmek için, Let’s Encrypt adlı kar amacı gütmeyen bir kuruluş, web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından desteklenmektedir.

Artık tüm WordPress web siteleriniz için SSL kullanmaya başlamak hiç olmadığı kadar kolay. Pek çok barındırma şirketi şimdi WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor.

Varsayılan “admin” kullanıcı adını değiştir

Eskiden Varsayılan WordPress admin kullanıcı adı “admin” idi. Kullanıcı adları oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bilgisayar korsanlarının kaba kuvvet saldırıları yapmalarını kolaylaştırdı.

Neyse ki, WordPress bu yana bunu değiştirdi ve şimdi WordPress’i yüklerken özel bir kullanıcı adı seçmenizi gerektiriyor.

Bununla birlikte, bazı 1 tıklamayla WordPress yükleyicileri, hala varsayılan yönetici kullanıcı adını “admin” olarak ayarlayın. Durumun böyle olduğunu fark ederseniz, web barındırma alanınızı değiştirmek iyi bir fikir olabilir.

WordPress, kullanıcı adlarını varsayılan olarak değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.

     Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
     Username Changer eklentisini kullanın
     PhpMyAdmin’deki kullanıcı adını güncelle

Bunların üçünü de, WordPress kullanıcı adınızı nasıl doğru şekilde değiştireceğinizle ilgili ayrıntılı kılavuzumuzda ele aldık (adım adım).

Not: Yönetici rolü değil, “admin” adlı kullanıcı adından bahsediyoruz.

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, tema ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenizi sağlayan yerleşik bir kod düzenleyici ile birlikte gelir. Yanlış ellerde, bu özellik bir güvenlik riski olabilir, bu yüzden kapatmanızı öneririz.

Disable file editing in WordPress

Bunu, wp-config.php dosyanıza aşağıdaki kodu ekleyerek kolayca yapabilirsiniz.

// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak 1 tıklamayla bunu yapabilirsiniz.

Bazı WordPress Dizinlerinde PHP Dosya Çalıştırmasını Devre Dışı Bırakma

WordPress güvenliğinizi sıkılaştırmanın bir başka yolu da / wp-content / uploads / gibi ihtiyaç duyulmayan dizinlerde PHP dosya yürütmesini devre dışı bırakmaktır.

Bunu Notepad gibi bir metin düzenleyicisini açıp şu kodu yapıştırarak yapabilirsiniz:

<Files *.php>

deny from all

</Files>

Daha sonra, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki / wp-content / uploads / klasörlerine yüklemeniz gerekir.

Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki sıkılaştrıma özelliğini kullanarak 1 tıklamayla bunu yapabilirsiniz.

Limit Giriş Denemeleri

Varsayılan olarak, WordPress kullanıcıların istedikleri kadar giriş yapmasını sağlar. Bu, WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Hackerlar farklı kombinasyonlarla giriş yapmaya çalışarak şifreleri kırmaya çalışıyorlar.

Bu, kullanıcının yapabileceği başarısız oturum açma girişimlerini sınırlayarak kolayca düzeltilebilir. Daha önce belirtilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.

Ancak, güvenlik duvarı kurulumunu yapmadıysanız, aşağıdaki adımlara devam edin.

Öncelikle, Login LockDown eklentisini kurmanız ve etkinleştirmeniz gerekir.
Etkinleştirmeden sonra eklentiyi ayarlamak için Ayarlar »Oturum Açma LockDown sayfasını ziyaret edin.

Login Lockdown options

İki Faktör Kimlik Doğrulaması Ekleyin

İki faktörlü kimlik doğrulama tekniği, kullanıcıların iki aşamalı bir kimlik doğrulama yöntemi kullanarak giriş yapmasını gerektirir. Birincisi, kullanıcı adı ve şifredir ve ikinci adım, ayrı bir cihaz veya uygulama kullanarak kimlik doğrulaması yapmanızı gerektirir.

Google, Facebook, Twitter gibi en iyi çevrimiçi web siteleri, hesaplarınız için etkinleştirmenize izin verir. Aynı işlevi WordPress sitenize de ekleyebilirsiniz.

Öncelikle, İki Faktör Kimlik Doğrulama eklentisini kurmanız ve etkinleştirmeniz gerekir. Etkinleştirmeden sonra, WordPress yönetici kenar çubuğundaki ‘Two Factor Auth’ bağlantısını tıklamanız gerekir.

Two Factor Authenticator settings

Daha sonra, telefonunuza bir kimlik doğrulayıcı uygulaması kurmanız ve açmanız gerekir. Bunlardan bazıları Google Authenticator, Authy ve LastPass Authenticator gibi mevcut.

Hesaplarınızı buluta yedeklemenizi sağladıkları için LastPass Authenticator veya Authy kullanmanızı öneririz. Telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon almanız durumunda bu çok kullanışlıdır. Tüm hesap girişleriniz kolayca geri yüklenir.

Eğitim için LastPass Kimlik Doğrulayıcı’yı kullanacağız. Ancak, talimatlar tüm auth uygulamaları için benzerdir. Kimlik doğrulama uygulamanızı açın ve ardından Ekle düğmesine tıklayın.

Add website

Bir siteyi manuel olarak taramak veya barkodu taramak isteyip istemediğiniz sorulacaktır. Barkodu tara seçeneğini seçin ve ardından telefonunuzun kamerasını eklentinin ayarları sayfasında gösterilen QRcode üzerine getirin.

Hepsi bu kadar, kimlik doğrulama uygulamanız şimdi kaydedecek. Web sitenize bir daha giriş yaptığınızda, şifrenizi girdikten sonra iki faktörlü kimlik doğrulama kodu istenecektir.

Enter your two-factor auth code
Telefonunuzdaki kimlik doğrulayıcı uygulamasını açmanız ve üzerinde gördüğünüz kodu girmeniz yeterlidir.

WordPress Veritabanı Önekini Değiştirin

Varsayılan olarak, WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_ kullanır. WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden değiştirmenizi tavsiye ediyoruz.

Güvenliği geliştirmek için WordPress veritabanı önekini nasıl değiştireceğinize dair adım adım öğreticiyi takip ederek veritabanı önekinizi değiştirebilirsiniz.

Not: Bu düzgün yapılmazsa sitenizi bozabilir. Yalnızca kodlama becerileriniz konusunda rahat hissediyorsanız devam edin.

Şifre Koruması WordPress Yönetici ve Giriş Sayfası

Password protect WordPress admin area

Normalde, bilgisayar korsanları wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmadan talep edebilir. Bu, bilgisayar korsanlık numaralarını denemelerine veya DDoS saldırıları yapmalarına izin verir.

Sunucu tarafında, bu istekleri etkili bir şekilde engelleyecek ek bir şifre koruması ekleyebilirsiniz.

Dizin Dizinlemeyi ve Taramayı Devre Dışı Bırak

Disable directory browsing

Dizin tarama, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim kazanmak için bu dosyalardan yararlanabilirler.

Dizin tarama, diğer insanlar tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı bulmak ve diğer bilgileri bulmak için de kullanılabilir. Bu yüzden, dizin indeksleme ve tarama işlemlerini kapatmanız şiddetle tavsiye edilir.

Web sitenize FTP veya cPanel’in dosya yöneticisini kullanarak bağlanmanız gerekir. Sonra, .htaccess dosyasını web sitenizin kök dizininde bulun. Orada göremiyorsanız, WordPress’te .htaccess dosyasını neden göremediğinizle ilgili kılavuzumuza bakın.

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Options -Indexes

.Htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın.

WordPress’te XML-RPC’yi devre dışı bırakın

XML-RPC, WordPress 3.5’te varsayılan olarak etkindir; çünkü WordPress sitenizi web ve mobil uygulamalara bağlamaya yardımcı olur.

Güçlü doğası gereği, XML-RPC kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Örneğin, geleneksel olarak bir hacker web sitenizde 500 farklı şifre denemek isterse, oturum açma kilitleme eklentisi tarafından yakalanacak ve engellenecek olan 500 ayrı giriş denemesi yapmaları gerekir.

Ancak, XML-RPC ile bir bilgisayar korsanı, 20 veya 50 istekle binlerce parolayı denemek için system.multicall işlevini kullanabilir.

Bu nedenle, XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.

WordPress’te XML-RPC’yi devre dışı bırakmanın 3 yolu vardır ve bunların hepsini, WordPress’te XML-RPC’nin nasıl devre dışı bırakılacağına ilişkin adım adım öğretici adımda anlattık.

İpucu: .htaccess yöntemi en iyisidir, çünkü en az kaynak kullanır. Aşağıdaki kodu .htaccess dosyasına yapıştırın:

# Block WordPress xmlrpc.php requests
<Filesxmlrpc.php>
order deny,allow
deny from allallow from 123.123.123.123
</Files>

WordPress’teki Boşta Kullanıcıları otomatik olarak kapat

Giriş yapan kullanıcılar bazen siteden uzaklaşabilir ve bu bir güvenlik riski oluşturur. Birisi oturumunu ele geçirebilir, şifreleri değiştirebilir veya hesabında değişiklikler yapabilir.

Bu yüzden birçok bankacılık ve finans sitesi otomatik olarak etkin olmayan bir kullanıcı oturumunu kapatır. Benzer işlevleri WordPress sitenize de uygulayabilirsiniz.

Inactive Logout eklentisini kurmanız ve etkinleştirmeniz gerekir. Aktivasyon üzerine, eklenti ayarlarını yapılandırmak için Ayarlar »Aktif Değil Oturum Kapat sayfasını ziyaret edin.

WordPress Giriş Ekranına Güvenlik Soruları Ekleme

WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birinin yetkisiz erişim sağlamasını zorlaştırır.

WP Güvenlik Soruları eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz. Etkinleştirmeden sonra eklenti ayarlarını yapılandırmak için Ayarlar »Güvenlik Soruları sayfasını ziyaret etmeniz gerekir.

WordPress’te Kötü Amaçlı Yazılım ve Güvenlik Açıklarını Tarama

Malware and Vulnerabilities ile ilgili görsel sonucu

Yüklü bir WordPress güvenlik eklentiniz varsa, bu eklentiler rutin olarak kötü amaçlı yazılımları ve güvenlik ihlallerinin belirtilerini kontrol eder.

Ancak, web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz, bir taramayı el ile çalıştırmak isteyebilirsiniz. WordPress güvenlik eklentinizi kullanabilir veya bu kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanabilirsiniz.

Bu çevrimiçi taramaları çalıştırmak oldukça basittir, web sitenizin URL’lerini girersiniz ve tarayıcıları bilinen kötü amaçlı yazılımları ve kötü amaçlı kodları bulmak için web sitenizi kullanır.

Artık çoğu WordPress güvenlik tarayıcısının sadece web sitenizi tarayabileceğini unutmayın. Kötü amaçlı yazılımları kaldıramazlar veya saldırıya uğramış bir WordPress sitesini temizleyemezler.

Hacklenmiş WordPress Sitesini Düzeltmek

Birçok WordPress kullanıcısı, web siteleri hacklenene kadar yedeklemelerin ve web sitesi güvenliğinin önemini anlamıyor.

Bir WordPress sitesinin temizlenmesi çok zor ve zaman alıcı olabilir. İlk önerimiz, bir profesyonelin ilgilenmesine izin vermek olacaktır.

Bilgisayar korsanları etkilenen sitelere arka kapılar kurar ve bu arka kapılar düzgün şekilde düzeltilmezse, web siteniz büyük olasılıkla yeniden saldırıya uğrar.

Sucuri gibi profesyonel bir güvenlik şirketinin web sitenizi düzeltmesine izin vermek, sitenizin tekrar güvenli bir şekilde kullanılmasını sağlar. Ayrıca gelecekteki saldırılara karşı sizi koruyacaktır.

vote
Article Rating
İlgili Yazı :  Ağ Trafiğini İzleyin: Wireshark'a ve OSI Modeline Giriş
Kaynak
https://www.wpbeginner.com/wordpress-security/
Etiketler

agah

Herkesin tek hakkı var.

İlgili Makaleler

Abone ol
Bildir
guest
0 Yorum
Inline Feedbacks
View all comments
Başa dön tuşu
0
Would love your thoughts, please comment.x
()
x
Kapalı
Kapalı