Sadece wordpress için değil, tüm web siteleri için güvenlik önemlidir. Sık sık güvenlik temalı yazılara yer veriyorum, bununla ilgili konuları takip edip sizlerle paylaşıyorum. Geçenlerde okuduğum ve İngilizce olarak Wordfence sitesinde yayınlanan wordpress için güvenlik kontrolü listesi güzel hazırlanmış bir listeydi. Elimden geldiğince Türkçe’ye çevirip bu yazıda sizlerle paylaşmak istedim. Dilerseniz aşağıda verdiğim kaynak linki üzerinden orijinal yazıya da ulaşabilirsiniz.
Hosting (Sunucu)
- İdeal olanı bir dedike yani size ait bir sunucu veya server olması
- Paylaşımlı (shared) sunucular mutlaka izole olmalı, diğer sitelerle karışmamalı
- https şeklinde yani SSL olan bir yayın yapmak her zaman iyi olanıdır
Kullanıcı Yönetimi
- Bir kullanıcı üyeliği olacaksa kullanıcı için mümkün olduğunca yapabileceklerini sınırlı tutun, mesela sadece üye olması yeterli olan bir kullanıcıya yazarlık vermeyin
- Üyelerinizi sık sık gözden geçirin, gerekirse üyelik silme (mesela aylarca sitenize uğramayanlar) veya rol düşürme işlemi yapın (yazar ama hiç yazı yazmıyorsa aboneye çevirin)
WordPress Çekirdek, Tema ve Eklentileri
- Mümkün olduğunca otomatik güncellemeleri açın
- Güncellemeleri en az haftada bir kontrol edin ve mümkün olan en kısa sürelerde yapın
- Tema ve eklentilerinizi güvenilir kaynaklardan yüklemeye özen gösterin
- Kullanılmayan tema ve eklentileri mutlaka silin
Doğrulama
- Mümkün olduğunca 2 aşamalı giriş seçin
- Tüm kullanıcılarınızı güçlü şifre belirlemeleri için zorlayın
- Giriş sayfasının https yani güvenli olmasına dikkat edin
- Hatalı giriş deneme sayısını sınırlandırın
Sunucu Yönetimi
- Sunucu ile mutlaka şifrelenmiş bir bağlantı sağlayın (Güvenli FTP ve güvenli SSH)
- Eğer sunucuya herkese açık bir bilgisayardan bağlanmanız gerekiyorsa bir VPN kullanın
- wp-config.php dosyanıza mutlaka güvenli bağlantı ile ulaşın
- Sunucudaki yedek, log, geçici klasör vb dosyalara güvenli bağlantı ile ulaşın
- WordPress dosya ve veritabanını en az haftada bir yedekleyin
- MySQL veritabanı kullanıcı şifresini kesinlikle çok kuvvetli yapın
- Wordfence tarzında bir güvenlik eklentisi kullanın
Güvenlik için kullanılacak eklentide aranacak özellikler
- Malware tarama
- Brute-force giriş koruma
- Hacker reckon tekniğine karşı koruma
- Oylamaya dayalı kısma ve engelleme
- İki faktörlü koruma
- Şifre denetleme
- Ülke IP engelleme
- İleri düzey engelleme ve koruma
Çalışma ortamının güvenliği
- İnternet güvenliğiniz için mutlaka bir VPN kullanın, özellikle herkese açık bilgisayarlarda
- Bilgisayar veya telefonunuza mutlaka güvenilir kaynaklardan yazılım yükleyin
- Virüs tarayıcı kullanın
- Cihazlarınızı kuvvetli şifrelerle koruyun
- Sosyal platformlarda sıklıkla görülen phishing (kimlik avı) olayına dikkat edin
Sitenizin hacklenme olayını erken tespit
- Sitenizi sık sık ziyaret edin
- Sitenizi Google arama motorunda sık sık arayın
- Google Arama Konsolu’na mutlaka uyarı için eposta ekleyin
- Bir Malware tarayıcı ve uyarı epostası gönderen program kullanın
- Kullanıcılardan gelen uyarı postalarına özen gösterip hemen işleme alın
- Site kaynak kodlarına sızmayı engellemek için bir kaynak kod tarayıcı kullanın
- Sitenizde meydana gelen değişiklikleri takip eden bir tarama programı kullanın
- Sitenizde meydana gelen ani trafiği kontrol edin
Beğendiysen paylaş, güvenli bir web ortamına kavuşalım, iyi bloglamalar…