Wordpress Blogunuzun Hacklenmesini Önlemek İçin 22 İpucu

WordPress Web Sitenizin Saldırıya Uğramasını Nasıl Önlersiniz?

Şu anda web sitenizde veya blogunuzda güvenlik önlemleri kullansanız da kullanmasanız da gerçek şu ki…

Duyarlı Blogcular, web sitesi güvenliğini ciddiye alır ve WordPress bloglarının saldırıya uğramasını önlemek için ellerinden gelen her şeyi yaparlar.

Çevrimiçi güvenlik çok gerçek bir konudur.

Birçok kişi eklentileri güncellemeyi unutuyor ve WordPress'in en son sürümünü kullanmıyor. Bunu yapmamak, blogunuzun saldırıya uğramasını önlemek için adımlar atmadıysanız felaket anlamına gelebilir.

Blogunuzun veya web sitenizin içeriğini kaybetmek bir işletmeyi, itibarı veya yalnızca büyütmeye çalıştığınız çevrimiçi varlığı yok edebilir; Sadece ertesi gün yok edildiğini bulmak için yüzlerce gönderi, yorum ve hatta bağlı kuruluş bağlantısı olan bir blogunuz olduğunu hayal edin! Hoş bir duygu değil. Ancak, web sitenizin güvenliğini daha iyiden daha güçlü hale getirmenin yolları vardır.

Eklentiler ekleyebilir, blogunuzun çerçevesini güncelleyebilirsiniz, temel olarak blogunuzu veya web sitenizi güvenli hale getirmenin birçok yolu vardır. Bu yüzden size yardımcı olmak için bu kısa ama bilgilendirici makaleyi yazdım. Umarım bazılarınıza yardımcı olur.

Bu gönderiyi elbette kendim hazırladım, ama aynı zamanda And Break'i yöneten dahi blog arkadaşım Julius! Harika ipuçlarım için bloguna göz atın.

WordPress sitenizin saldırıya uğramasını nasıl önleyebilirsiniz?

Blogunuzu Yedekleyin

Blogunuzda herhangi bir değişiklik yapmadan önce blogunuzu yedeklediğinizden emin olun. Ücretsiz eklentilerin çoğundaki sorun, tüm verilerinizi yedeklememeleridir. Örneğin, WordPress blogunuz silinirse ve yedeği ücretsiz bir eklentiden geri yüklerseniz, bu eklentilerle yedeklenmedikleri için resimler gibi birçok verinizi kaybetmeye devam edersiniz. Bu nedenle, WordPress blogunuzun tamamını yedekleyen ve daha sonra kolayca geri yüklemenizi sağlayan Backup Buddy'yi kullanmanızı tavsiye ederim.

Blogunuzun saldırıya uğrayıp uğramadığına dair endişeleriniz varsa Backup Buddy'ye bir göz atmayı unutmayın.

Güçlü Parolalar Kullanın

Yöneticiler gibi yüksek ayrıcalıklı kullanıcılar için güçlü parolalar çok önemlidir. Onlar olmadan, blogunuz kaba kuvvet saldırılarına karşı savunmasız olacaktır. Esasen bunlar, saldırganın çok sayıda parola – kullanıcı kombinasyonu üzerinden geçerek parolayı tahmin etmeye çalıştığı saldırılardır. Güvenli parolalar kullanırsanız, başarılı kaba kuvvet saldırılarının şansı son derece düşük olur.

Güvenli parolaların neleri içermesi gerektiğine ilişkin bazı ipuçları:

• en az 1-2 rakam kullanın, büyük ve küçük harf kullanın
• !@#… gibi özel karakterler kullanın

Ayrıca doğum tarihiniz veya hobileriniz gibi şifreler kullanmamalısınız. Bilgisayar korsanları kişisel bilgileri kolayca bulabildikleri için bu tür şifreler çok güvensizdir.

Atmanız gereken bir diğer önemli adım ise çok sayıda farklı şifreye sahip olmaktır. Sadece tek bir şifreye sahip olmak ve her şeye onun üzerinden erişmek güzel ama birisi bu şifreyi bilirse ne olacağını hayal edin. Temelde tüm hesaplarınıza erişebilir.

Bu nedenle birçok farklı şifre kullanın.

Yamaları ve Güncellemeleri Takip Edin

Bu, blogunuzu güvence altına almak için önemli bir adımdır. Güvenlik açıklarını gidermek ve yazılımın işlevselliğini artırmak için yamalar ve güncellemeler oluşturulur. Bunları kurmamak için hiçbir sebep yok.

Esasen, WordPress'teki değişiklikler ve genel olarak güvenlik açıkları hakkında da kendinizi bilgilendirmelisiniz. Bu nedenle, bu iki beslemeyi izlemenizi tavsiye ederim:

• WordPress Geliştirme
• BlogGüvenlik.net

Birincisi, WordPress için yeni sürümlerin ve en son güncellemelerin yayınlandığı WordPress geliştirme beslemesidir. Diğeri ise BlogSecurity.net'ten gelen beslemedir. Bu adamlar genellikle WordPress eklentilerinde veya WordPress'in kendisinde bulunan güvenlik açıklarını yayınlar.

FTP yerine SSH kullanın

FTP genel olarak insanların düşündüğü kadar güvenli değildir. FTP kimlik bilgileriniz genellikle şifrelenmez ve yakalanması kolaydır.

FTP'ye çok güvenli bir alternatif SSH'dir. SSH, dosyalar da dahil olmak üzere, içinden gönderilen tüm verileri şifrelemek için basit bir algoritma kullanır. Bu hikayeyi okuyun ve yüklemek için FTP kullanma konusundaki fikrinizi değiştirebilirsiniz!

Desteklenen WordPress Temalarını Kullanın

Çoğu insan, WordPress temalarının kendilerinin bir güvenlik riski oluşturmadığını düşünür, ancak bazıları yapar. Her web geliştiricisi güvenli kod yazmayı bilmediğinden, temalar güvenlik riski oluşturabilir.

Bu nedenle zaman zaman desteklenen ve güncellenen bir temaya bağlı kalmakta fayda var. Desteklenen WordPress temaları genellikle bir miktar para karşılığında mevcuttur, ancak üzgün olmaktansa güvende olmak daha iyidir. Bu ücretli temalara premium temalar denir. Bu tür temalar, Woo Themes veya Thesis gibi web siteleri tarafından sunulmaktadır.

Profesyonel şablonların bir diğer avantajı da başınız belaya girdiğinde başvurabileceğiniz bir yerinizin olmasıdır.

İndirdikten Sonra Eklentileri Virüslere Karşı Tara

Bugün eklentileri çok kolay bir şekilde indirebilir ve saniyeler içinde blogunuza yükleyebilirsiniz. Ancak ne tür uzantılar indirdiğinize dikkat etmelisiniz. Eklentiler kötü amaçlı kod içerebilir. Bu nedenle, indirdikten hemen sonra kötü amaçlı yazılım taraması yapmak mantıklıdır.

Bunu özellikle WordPress eklenti dizini dışında bazı yerlerde indirdiğiniz eklentilerle yapmanız gerekiyor.

Bu görev için anti-virüs yazılımı kullanmak en iyisidir. Daha yeni işletim sistemleri, dosyaları indirdikten sonra virüsleri otomatik olarak kontrol eder. Eski bir işletim sistemi kullanıyorsanız, indirme dizininizi haftada bir veya yeni dosyaları indirdikten hemen sonra taramanızı tavsiye ederim.

Veritabanı Tablosu Önekini Değiştirin

Veritabanınızı daha güvenli hale getirmek için veritabanı tablosu önekinizi değiştirmelisiniz. Varsayılan önek wp_'dir ve farklı bir şeyle değiştirilmelidir, 5rt30k_ gibi daha karmaşık ve tahmin edilmesi daha zor bir şey.

İşte bu noktada WP Security Scan, bunu sizin için yapacağından kullanışlıdır. Blogunuzdaki potansiyel güvenlik risklerini size göstereceği için yine de WP Security eklentisini yüklemelisiniz.

Wp-İçerik Dizinine Erişimi Sınırlayın

Wp içeriği önemli bir Wordpress dizinidir. Kullanıcılar bu dizinde yalnızca belirli dosya türlerine erişebilmelidir. Bu dosya türleri arasında resimler ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) ve XML ( .xml ) bulunur.

Bu nedenle, diğer tüm veri türlerine erişimi yasaklamak mantıklıdır. Aşağıdaki kod, resimlere, Javascript, CSS ve XML dosyalarına erişime izin verecek, ancak başka hiçbir veriye erişime izin vermeyecektir. Aşağıdaki kod, wp-content klasörü içindeki .htaccess dosyasına yerleştirilmelidir.

Siparişi reddet, izin ver
hepsinden reddet
<Dosyalar ~ “.(xml|css|jpe?g|png|gif|js)$”>
Tümünden izin ver
</Dosyalar>

Tek yapman gereken bu.

Güvenli wp-config.php

Wp-config.php , blogunuzu güvence altına almak için hayati önem taşıyan tüm erişim bilgilerini ve anahtarları içerdiğinden çok önemli bir dosyadır. WordPress kök dizinindeki ( wp-config dosyasının bulunduğu yer) .htaccess dosyasına şu satırları ekleyerek dosyayı güvenli hale getirebiliriz:

# wp-config.php'yi koruyun
<files wp-config.php>
Siparişi reddet, izin ver
hepsinden reddet
</files>

Bu kod, herkesin wp-config.php dosyasına erişimini engeller.

Dizin Tarama Yok

WordPress güvenliğiyle ilgili bir diğer önemli değişiklik, insanların web sitenizin dizin yapısına göz atmasını engellemektir. Bunun nasıl göründüğünü görmek istiyorsanız, Google'a "index of" yazmanız yeterlidir; Google, dizinlere göz atılmasına izin veren tüm web sitelerini listeleyecektir.

Bu davranışı durdurmak için, WordPress'in kök dizinindeki .htaccess dosyanıza aşağıdaki kod satırını eklemeniz yeterlidir.

Seçenekler Tümü - Dizinler

Bu, davranışı bir kez ve herkes için durduracaktır.

Arama Motorlarının Yönetici Bölümünü Dizine Eklemesini Engelleyin

Arama motoru tarayıcıları, yapmamaları söylendiği sürece hemen hemen her içeriği dizine ekler. Yönetici bölümünüzün arama motorlarında indekslenmesi büyük bir güvenlik tehdidi olabilir.

Bu nedenle, tarayıcıları tüm WordPress dizinlerinden uzak tutmak iyidir. Bunu yapmanın en kolay yolu, kök dizininizde bir robots.txt dosyası oluşturmaktır. Ardından aşağıdaki kodu dosyaya yerleştirin:

İzin verme: /wp-*

Eklenti Dizininizi Güvende Tutun

Kullandığınız eklentiler, kötü niyetli bir kullanıcıya web siteniz hakkında çok şey söyleyebilir, bu nedenle onları gizlemek akıllıca olacaktır.

Eklentileri kolayca gizleyebilirsiniz. Her şeyden önce, bir metin düzenleyici açın ve index.html adlı boş bir dosya oluşturun. Ardından bu dosyayı wp-content/plugins/ dizininize yükleyin.

Varsayılan Yönetici Hesabını Sil

Yönetici hesabını silerek kötü niyetli kullanıcılar, kullanıcı adınızı bu kadar kolay öğrenemezler. Her WordPress kurulumunda bir yönetici hesabı bulunduğundan, bilgisayar korsanları, kullanıcı adını zaten bildikleri için hesabınıza daha kolay girerler.

Yeni bir yönetici hesabınız yoksa yönetici hesabınızı hemen silemezsiniz, bu nedenle şu adımları izleyin:

1. Yeni bir yönetici hesabı oluşturun (tahmin edilmesi daha zor bir kullanıcı adıyla)
2. Çıkış Yap
3. Yeni yönetici hesabını ve parolasını kullanarak oturum açın
4. eski hesabı sil

Kullanıcılar için Varsayılan Erişim Haklarını Değiştir

Varsayılan erişim hakları oldukça güvenlidir, ancak güvenli tarafta olmak ve blogunuzdaki her kullanıcının sahip olduğu haklar üzerinde daha fazla kontrole sahip olmak istiyorsanız, bu çok önemlidir.

Bunu ayarlamak oldukça basittir. Tüm yapman gereken:

1. Rol Yöneticisi eklentisini indirin
2. WordPress blogunuza yükleyin
3. Etkinleştir

Ardından blogunuzun Kullanıcılar bölümüne gidin. Burada, Rol Yöneticisi eklentisini ihtiyaçlarınıza göre ayarlayabilirsiniz.

Etkin Olmayan Kullanıcı Hesaplarını Sil

Etkin olmayan kullanıcı hesapları can sıkıcı ve aynı zamanda bir güvenlik riskidir. Bazı insanlar blogunuza kaydolurken zayıf şifreler seçer. Hesap etkin değilse ancak hala blogunuzdaysa, kötü niyetli kullanıcılar blogunuza erişmek için bu hesabı kullanabilir.

Bu nedenle yapılacak en iyi şey, WordPress'teki etkin olmayan kullanıcı hesaplarını silmektir (ancak hiçbir şeyi bozmadığından emin olmanız gerekir). Bunu yapmak için WordPress kontrol panelinize gidin ve Kullanıcılar'a tıklayın. Bu sizi her kullanıcının listeleneceği sayfaya götürür.

Ardından devam edin ve etkin olmadığını bildiğiniz kişileri silin.

wp-config.php'ye WordPress Kimlik Doğrulama Anahtarlarını ekleyin

WordPress anahtarları eklemek bir başka önemli güvenlik önlemidir. Bu anahtarlar rastgele olmalı ve WordPress çerezleri için tuz görevi görerek kullanıcı verilerinin daha iyi şifrelenmesini sağlamalıdır.

Bu anahtarları oluşturmak için Wordpress Anahtar Üreticisini kullanın ve wp-config.php dosyasındaki aşağıdaki satırları oluşturulan satırlarla değiştirin:

define('AUTH_KEY', 'buraya benzersiz ifadenizi koyun');
define('SECURE_AUTH_KEY', 'buraya benzersiz ifadenizi koyun');
define('LOGGED_IN_KEY', 'buraya benzersiz ifadenizi koyun');
define('NONCE_KEY', 'buraya benzersiz ifadenizi koyun');

Aslında yapman gereken tek şey bu.

WordPress Blogunun Saldırıya Uğramasını Önleyin – Bir WordPress Güvenlik Duvarı Kurun

Blogunuzu kötü niyetli bilgisayar korsanlarından gerçekten koruyan WordPress Güvenlik Duvarı 2 adlı bir eklenti var. Yaptığı şey, biri blogunuzu hacklemeye çalıştığında sizi uyarmaktır. Ayrıca hacker'ın girişimini de elbette engelleyecektir.

Bu eklentiyle ilgili sorun, işini çok iyi yapmasıdır. Bu, genellikle blogunuzda herhangi bir değişiklik yapmanızı da engellediği anlamına gelir. WordPress tema dosyanızı düzenlerseniz ve ardından Kaydet'e tıklarsanız Güvenlik Duvarı eklentisi onu engeller. Bu, Smush.it eklentisini manuel olarak kullanırken de başıma geldi.

Bu son derece can sıkıcı ama en azından eklentinin gerçekten çalıştığını gösteriyor. Bunun gibi dosyaları düzenlemek istiyorsanız yapabileceğiniz tek şey, eklentiyi devre dışı bırakmak ve daha sonra yeniden etkinleştirmektir.

Wordpress Sürüm Dizesini Bırakın

<meta içerik=”Wordpress 2.5″ />

WordPress'in temanıza otomatik olarak eklediği sürüm dizesi, kötü niyetli bir kullanıcıya bir bloga yama yapılıp yapılmadığı hakkında bilgi verdiği için önemlidir. Güncel olmayan bir sürümse, saldırgan hemen söz konusu WordPress sürümü hakkında kamuya açıklanmış güvenlik açıklarını aramaya başlar.

WordPress genellikle bu sürüm dizesini temanıza otomatik olarak ekler. Aşağıdaki kod satırı, WordPress'e sürüm dizesini başlığınıza eklememesini söyleyecektir. Tek yapmanız gereken kodu function.php dosyanıza eklemek.

<?php remove_action('wp_head', 'wp_generator'); ?>

Şimdi web sitenizin kaynak koduna bir göz atın. Jeneratör meta etiketi hala oradaysa, header.php dosyanızın böyle bir satır içerip içermediğini kontrol etmelisiniz:

<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>” />

Durum buysa, devam edin ve silin.

WordPress Blogunun Saldırıya Uğramasını Önleyin – Panonuza Giriş Yaparken Daima HTTPS Kullanın

HTTPS, HTTP'nin güvenli sürümüdür. HTTPS kullanırken verileriniz, yani parolalar ve kullanıcı adları düz metin olarak gönderilmez, bunun yerine şifrelenir. Bu, insanların şifrenizi ve kullanıcı adınızı ele geçirmesini ve doğru şekilde çözmesini zorlaştırır.

WordPress kontrol panelinize giriş yaparken HTTPS kullanmak istiyorsanız, aşağıdaki kodlardan birini kullanarak wp-config.php dosyasına ekleyebilirsiniz.

define('FORCE_SSL_LOGIN', doğru);

Yukarıdaki kod, WordPress'i yönetim panelinizde oturum açarken ancak yalnızca oturum açarken SSL kullanmaya zorlar. Kontrol panelinizi kullanırken SSL kullanımını zorlamaz.

Bunu manuel olarak yapmak yerine, WordPress HTTPS (SSL) gibi bir eklenti de ekleyebilirsiniz.

WordPress Blogunun Saldırıya Uğramasını Önlemek İçin – wp-admin Dizinine Erişim Girişimlerini Engelleyin

wp-admin klasörü, blogunuzdaki en önemli dizinlerden biridir. Kontrol panelinize onun üzerinden erişebilirsiniz. Diğer kişilerin bu dizine erişmesini engellemek, blogunuzu güvence altına almak için önemli bir adımdır.

Bunu wp-admin dizininde bir .htaccess dosyası oluşturarak yapabilirsiniz. Aşağıdaki kodu ekleyin ancak IP adreslerini kendinize göre değiştirin. IP adresinizin ne olduğunu bilmiyorsanız WhatIsMyIP'yi ziyaret edin.

AuthUserFile /dev/null
AuthGroupFile /dev/null
Yetki Adı "Erişim Kontrolü"
AuthType Temel
sipariş reddet, izin ver
herkesten inkar
# beyaz liste ev IP adresi
64.233.169.99'dan itibaren izin ver
# beyaz liste iş IP adresi
69.147.114.210'dan itibaren izin ver
199.239.136.200'den itibaren izin ver

Blogunuzda çok sayıda kişi yazıyorsa, özellikle sürekli değişiyorsa bu kodu kullanmanın bir anlamı yoktur. Sorun şu ki, şu anda blogunuza kimin erişmesi gerektiğine bağlı olarak her zaman IP adresleri eklemeniz/silmeniz gerekiyor.

Diğer bir dezavantaj, İnternet sağlayıcınızın size dinamik bir IP adresi ataması, yani IP adresinizin sürekli değişmesidir. Bu durumda, kodu .htaccess dosyasına eklemeyin.

WordPress Blogunun Saldırıya Uğramasını Önlemek İçin – Başarısız WordPress Giriş Denemelerinin Sayısını Kısıtlayın

Başarısız girişimlerin sayısını kısıtlamak, kullanıcıların WordPress hesabınızda kaba kuvvet tekniklerini kullanmasını engeller. Bir kaba kuvvet saldırısı, olası her şifreyi deneyerek kullanıcı şifresini bulma girişimidir.

Bir önlem olarak, bir kullanıcıyı arka arkaya üç kez yanlış şifre girerse bir saat boyunca otomatik olarak yasaklayan eklentiler vardır. Login Lockdown, bu WordPress eklentilerinden biridir.

Pano Oturum Açma Hatalarını Gizle

Mevcut bir kullanıcı adı ve yanlış bir şifre ile giriş yapmaya çalıştığınızda Hata: Yanlış Şifre yazan bir mesaj aldığınızı hiç fark ettiniz mi? Var olmayan bir kullanıcı adı ve bir parola ile oturum açarsanız, farklı bir mesaj bildiriliyor Hata: Geçersiz Kullanıcı Adı .

Bu, kötü niyetli kullanıcıların ne tür kullanıcı adlarının bulunduğunu anlamalarına yardımcı olur.

Bu nedenle function.php dosyanıza aşağıdaki satırı eklemenizi tavsiye ederim:

add_filter('login_errors',create_function('$a', “boş döndür;”);

Artık her hata oluştuğunda boş bir satır görünecektir. Denemek.

Önerilen Makale: Blog Güvenliğini Geliştirmenin 10 Yolu