Uncategorized

Wp Sitelerde Güvenlik Önlemi

Bir web sitesi sahibi olarak ilgilenmeniz gereken bazı sorumluluklar vardır. Bu yüzden anahtar soru daima, sitenizi saldırıya uğratılmaması için ne yapıyorsunuz?

Merhaba, wordpress web sitenizi güvenlik sağlayacak epeyce basit hileleri tartışmayı planlıyorum:

1. Web sitesinde kilitleme oluşturun ve kullanıcılarını yasaklama

Başarısız giriş girişimleri için bir kilitleme özelliği büyük bir sorunu çözebilir, yani devamlı kaba kuvvet girişimleri olmaz. Yinelenen yanlış şifrelerle bir saldırı girişimi olduğunda, site kilitlenir ve bu yetkisiz etkinlikten haberdar olursunuz.

IThemes Security eklentisinin dışarıdaki en iyi eklentilerden biri olduğunu ve uzunca bir süre kullandım olduğunu öğrendim . Eklentinin bu açıdan sunabileceği çok şey var. Belirli bir sayıda başarısız oturum açma denemesi belirtebilir, sonra eklenti saldırganın IP adresini engeller.

IThemes

(Alternatif olarak, yalnızca bu soruna yardımcı olması için oluşturulan Login LockDown eklentisini de kullanabilirsiniz.)

2. 2 faktörlü kimlik doğrulamayı kullan

Oturum açma sayfasındaki 2 faktörlü kimlik doğrulamayı (2FA) tanıtmak, başka bir iyi güvenlik önlemidir. Bu durumda, kullanıcı iki farklı bileşene ilişkin giriş bilgileri sağlar. Web sitesi sahibi bu ikisinin kararını verir. Bu, gizli bir soru, gizli bir kod, bir dizi karakter vb. Ile düzenli bir şifre olabilir.

Web sitelerimden herhangi birine 2FA dağıtırken gizli bir kod kullanmayı tercih ediyorum. WP Google Authenticator eklentisi bana birkaç tıklamayla yardımcı oluyor.

Google Authenticator

3. E-postayı giriş olarak kullan

Varsayılan olarak, giriş yapmak için kullanıcı adınızı girmelisiniz. Bir kullanıcı adı yerine bir e-posta kimliği kullanmak daha güvenli bir yaklaşımdır. Sebepler oldukça açıktır. Kullanıcı adlarının tahmin edilmesi kolaydır; e-posta kimlikleri bu değildir. Ayrıca, herhangi bir WordPress kullanıcı hesabı her zaman benzersiz bir e-posta adresiyle oluşturulur; bu da giriş yapmak için geçerli bir tanımlayıcı yapar.

WP Email Login eklentisi bu amaç için kutunun dışında çalışır. Etkinleştirme işleminden hemen sonra çalışmaya başlar ve hiç yapılandırma gerektirmez.

Test etmek için web sitenizden çıkıp tekrar giriş yapın ancak bu sefer hesap oluşturduğunuz e-posta adresini kullanın.

4. Oturum açma URL’nizi yeniden adlandırın

Giriş URL’sini değiştirmek, yapmak kolay bir iştir. Varsayılan olarak, WordPress giriş wp-login.php sitenin ana URL’sine eklenen wp-login.php veya wp-admin wp-login.php kolayca wp-login.php .

Bilgisayar korsanları, oturum açma sayfanızın doğrudan URL’sini bildiklerinde yollarını kesmeye çalışabilirler. GWDb’leriyle (Guess Work Database, yani tahmin edilen kullanıcı adları ve şifrelerin bir veritabanı; örneğin kullanıcı adı: admin ve şifre: p@ssword … milyonlarca kombinasyonla).

Dolayısıyla, bu noktada – ezeli takip ederseniz – kullanıcıların oturum açma girişimleri ve e-posta kimlikleri için kullanıcı adlarını değiştirdik. Şimdi, giriş URL’sini değiştirebilir ve doğrudan kaba kuvvet saldırılarının% 99’undan kurtulabiliriz.

Bu küçük numara, yetkisiz kişilerin oturum açma sayfasına erişmesini kısıtlar. Yalnızca tam URL’sine sahip bir kişi bunu yapabilir. Yine, iThemes Security eklentisi , oturum açma URL’lerinizi değiştirmenize yardımcı olabilir. Öyleyse:

  • wp-login.php dosyasını eşsiz bir şeyle değiştirin; Eg my_new_login
  • Değiştir /wp-admin/ benzersiz bir şey; Örneğin my_new_admin
  • /wp-login.php?action=Resmi eşsiz bir /wp-login.php?action=register değiştir; Örneğin my_new_registeration

5. Parolalarınızı ayarlayın

Web sitesinin parolalarıyla oyna ve düzenli olarak değiştir. Büyük ve küçük harf, sayı ve özel karakterler ekleyerek güçlerini geliştirin. Bu şifre üreticisi faydalı bir kaynaktır .

Şifre üreticisi

Bölüm (b): Yönetici kontrol panelinizi güvenli hale getirin

Bir bilgisayar korsanı için, bir web sitesinin en ilgi çekici kısmı, aslında tümünün en korunaklı bölümü olan yönetici denetim tablodur. Bu nedenle, en güçlü yanı saldırmak gerçek zorluktur ve eğer başarılırsa, bilgisayar korsanına ahlaki bir zafer kazandırır ve çok fazla zarar verir.

İşte yapabilecekleriniz:

6. wp-admin dizinini koruyun

Wp-admin dizini, herhangi bir WordPress web sitesinin kalbidir. Bu nedenle, sitenizin bu kısmı ihlal ederse, tüm site zarar görebilir.

Bunu önlemek için olası bir yol wp-admin dizinini parola korumaktır. Böyle bir güvenlik önlemi ile, web sitesi sahibi iki parola göndererek gösterge tablosuna erişebilir. Bir oturum açma sayfasını korur ve diğeri WordPress admin alanını korur. Web sitesi kullanıcılarının wp-admin’in bazı belirli bölümlerine erişmesi gerekiyorsa, geri kalanlarını kilitlerken bu parçaların engellemelerini kaldırabilirsiniz.

Yönetici alanını güvence altına almak için AskApache Password Protect eklentisini kullanabilirsiniz . Otomatik olarak bir .htpasswd dosyası oluşturur , şifreyi şifreler ve doğru güvenlikle geliştirilmiş dosya izinlerini yapılandırır.

7. Verileri şifrelemek için SSL’yi kullanın

Bir SSL (Güvenli Yuva Katmanı) sertifikası uygulamak, yönetici panelini güvence altına almanın akıllıca bir yoludur. SSL, kullanıcı tarayıcıları ile sunucu arasında güvenli veri aktarımını sağlar ve bilgisayar korsanlarının bağlantıyı koparmasını veya bilgilerinizi sızdırmasını zorlaştırır.

WordPress web siteniz için SSL sertifikası almak bir sorun değildir. Bazı özel şirketlerden bir tane satın alabilir veya alternatif olarak barındırma firmanıza sormanız için biriyle bağlantı kurmasını isteyebilirsiniz (genellikle hosting paketleriyle bir seçenektir).

Çoğu sitemde Let’s Encrypt ücretsiz açık kaynaklı SSL sertifikasını kullanıyorum. SiteGround gibi iyi bir barındırma şirketi , ücretsiz hosting paketleri ile Şifrelemek sunuyor .

SSL sertifikası, web sitenizin Google’daki sıralamalarını da etkiler. Google , SSL içermeyen sitelerden yüksek olan siteler sıralamaya başlar.Bu daha fazla trafik demektir. Şimdi kim bunu istemiyor?

8. Kullanıcı hesaplarını özenle ekleyin

Bir WordPress blog’u çalıştırıyorsanız veya çok yazarlı bir blog çalıştırıyorsanız, birden fazla kişiyle birlikte yönetici panelinize erişmeniz gerekir. Bu, web sitenizi güvenlik tehditlerine karşı daha savunmasız hale getirebilir.

Kullandıkları şifrelerin güvenli olduğundan emin olmak istiyorsanız kullanıcılarınız için Force Strong Passwords gibi bir eklenti kullanabilirsiniz . Bu sadece ihtiyati tedbirdir.

Kuvvet-Güçlü-Parolalar

9. Yönetici kullanıcı adını değiştirin

WordPress kurulumu sırasında asla ana yönetici hesabınızın kullanıcı adı olarak “admin” i seçmemeniz gerekir. Böyle tahmin edilmesi kolay bir kullanıcı adı, bilgisayar korsanları için erişilebilir durumdadır. Tek bilmeleri gereken şifre ve tüm siteniz yanlış ellere bulanıyor.

Web sitemin günlüklerini kaç defa taradığım ve size “admin” kullanıcı adıyla giriş denemeleri bulduğumu söyleyemem.

IThemes Security eklentisi, bu kullanıcı adıyla oturum açmaya çalışan herhangi bir IP adresini hemen yasaklayarak bu tür girişimleri akıllıca durdurabilir.

10. Dosyalarınızı izleyin

Ekstra ek güvenlik istiyorsanız , web sitesindeki dosyalardaki değişiklikleri Acunetix WP Security , Wordfence veya iThemes Security gibi eklentiler aracılığıyla izleyebilirsiniz.

Acunetix-WP-Güvenliği

Kısım (c): Veritabanını güvence altına al

Sitenizin tüm verileri ve bilgileri veritabanında saklanır. Onunla ilgilenmek çok önemlidir. Daha güvenli hale getirmek için yapabileceğiniz birkaç şey:

11. WordPress veritabanı tablo önekini değiştirin

Şimdiye kadar WordPress’i kurduysanız, wp- tablo öneki ile aşina olursunuz. Eşsiz bir şeye dönüştürmenizi öneririm.

Varsayılan önek kullanıldığında, site veritabanınız SQL enjeksiyon saldırılarına açık hale gelir. Bu tür bir saldırı, wp’yi başka bir terimle wp-, örneğin bunu mywp- , wpnew- , vb. wpnew- .

WordPress web sitenizi varsayılan önekle yüklemiş iseniz, bunu değiştirmek için birkaç eklenti kullanabilirsiniz. WP-DBManager veya iThemes Security gibi eklentiler, yalnızca bir düğmeyi tıklatarak işinizi yapmanıza yardımcı olabilir. (Veritabanına herhangi bir şey yapmadan önce sitenizi yedeklediğinizden emin olun).

WP-DBManager

12. Sitenizi düzenli olarak yedekleyin

Web siteniz ne kadar güvende olursa olsun, her zaman gelişme için yer var. Ancak, günün sonunda, ne olursa olsun, belki de en iyi panzehir yerinde bir yedekleme tutmaktır.

Yedeğiniz varsa, istediğiniz zaman WordPress web sitenizi istediğiniz zaman çalışacak duruma getirebilirsiniz. Bu açıdan size yardımcı olabilecek bazı eklentiler var. Mesela hepsi var.

VaultPress-vs-BlogVault-vs-BackupBuddy-vs-CodeGuard-vs-UpdraftPlus

Eğer premium bir çözüm arıyorsanız VaultPress’i Automattic ile öneririm, ki bu harika. Her 30 dakikada bir yedekleme oluşturması için ayarladım. Kötü olan herhangi bir şey olursa, siteyi tek bir tıklama ile kolayca geri yükleyebilirim. Bunun üzerine, aynı zamanda sitemde kötü amaçlı yazılım olup olmadığını kontrol eder ve gölgelik oluştuğu takdirde beni uyarır.

13. Veritabanınız için güçlü parolalar belirleyin

Ana veritabanı kullanıcısı için güçlü bir şifre gerekir – bir WordPress veritabanına erişmek için kullanır.

Her zaman olduğu gibi parola için büyük, küçük harf, rakam ve özel karakterleri kullanın. Şifre jeneratörünü yararlı bir kaynak olarak tekrar öneriyorum.

Bölüm (d): Barındırma ayarınızı güvenli hale getirin

Hemen hemen tüm barındırma şirketleri, WordPress için optimize edilmiş bir ortam sağlamayı iddia ediyor, ancak bir adım daha ileri götürebiliriz:

14. wp-config.php dosyasını koruyun

Wp-config.php dosyası, WordPress kurulumunuzla ilgili önemli bilgileri barındırır ve aslında sitenizin kök dizinindeki en önemli dosyadır.Bunu korumak, WordPress blogunuzun çekirdeğini korumak demektir.

Wp-config.php dosyası erişemiyorsa bilgisayar korsanlarının sitenizin güvenliğini ihlal etmesi zorlaşıyor.

İyi haber, bunun olması gerçekten kolay. Sadece wp-config.php dosyasını alıp kök dizininizden daha yüksek bir seviyeye taşıyın.

Şimdi, başka bir yerde saklamanız halinde sunucu ona nasıl erişebilir? Geçerli WordPress mimarisinde, yapılandırma dosyası ayarları, öncelik listesinde en yüksek olarak ayarlanır. Dolayısıyla, kök dizininin bir katına kadar saklansa bile, WordPress bunu hala görebilir.

15. Dosya düzenleme işlemine izin verme

Bir kullanıcının WordPress kontrol panelinize yönetici erişimi varsa, WordPress kurulumunuzun bir parçası olan dosyaları düzenleyebilirler.Bu, tüm eklentileri ve temaları içerir.

Bununla birlikte, dosya düzenleme işlemine izin vermezseniz, bilgisayar korsanınız WordPress kontrol panelinize yönetici erişimi kazansa bile yine de herhangi bir dosyayı değiştiremez.

Aşağıdakileri wp-config.php dosyasına ekleyin (en sonunda):

define('DISALLOW_FILE_EDIT', true);

16. Sunucuyu doğru şekilde bağlayın

Sitenizi kurarken, sunucuyu yalnızca SFTP veya SSH aracılığıyla bağlayın. SFTP, elbette FTP ile ilişkilendirilmeyen güvenlik özellikleri nedeniyle geleneksel FTP üzerinde her zaman tercih edilir.

Sunucuyu bu şekilde bağlamak, tüm dosyaların güvenli bir şekilde aktarılmasını sağlar. Birçok sağlayıcı barındırma hizmeti, paketinin bir parçası olarak bu hizmeti sunmaktadır. Değilse – manuel olarak yapabilirsiniz (öğreticiler için yalnızca google; orada çok şey var).

Dizin izinlerini dikkatle ayarlayın

Yanlış dizin izinleri, özellikle paylaşılan bir barındırma ortamında çalışıyorsanız ölümcül olabilir.

Böyle bir durumda dosya ve dizin izinlerini değiştirerek, web sitesini barındırma düzeyinde güvenli hale getirmek için iyi bir hamle yapın.Dizin izinlerini “755” ve dosyalar “644” olarak ayarlamak, tüm dosya sistemini (dizinler, alt dizinler ve tek tek dosyalar) korur.

Bu, ya barındırma kontrol panelinizdeki Dosya Yöneticisi aracılığıyla ya da terminal (SSH’ye bağlı) aracılığıyla manuel olarak yapılabilir – “chmod” komutunu kullanın.

Daha fazla bilgi için geçerli izin ayarlarınızı kontrol etmek için WordPress’in doğru izin şemasını okuyabilir veya iThemes Security eklentisini kurabilirsiniz.

18. Dizin listesini .htaccess ile devre dışı bırakın

Web sitenizin bir parçası olarak yeni bir dizin oluşturursanız ve bir index.html dosyası yerleştirmiyorsanız, ziyaretçilerin bu dizinde bulunan her şeyin tam bir dizin listesi alabileceğini görmek şaşırtıcı olabilir.

Örneğin, “veri” adlı bir dizin oluşturursanız, tarayıcınıza http://www.example.com/data/ yazarak bu dizindeki her şeyi görebilirsiniz. Hiçbir şifre veya başka bir şey gerekmez.

Bunu, .htaccess dosyanıza aşağıdaki kod satırını ekleyerek önleyebilirsiniz :

Options All -Indexes

 

Bölüm (e): WordPress temalarınızı ve eklentilerinizi güvenli hale getirin

Temalar ve eklentiler, herhangi bir WordPress web sitesinin gerekli bileşenleri. Ne yazık ki, ciddi güvenlik tehditleri de oluşturabilirler.WordPress temalarını ve eklentilerini doğru şekilde nasıl temin edebildiğimizi öğrenelim:

19. Düzenli olarak güncellen

Her iyi yazılım ürünü geliştiricileri tarafından desteklenir ve şimdi ve sonra güncellenir, ancak WordPress çok sık güncellenir. Bu güncellemeler hataları düzeltmek içindir ve bazen yaşamsal güvenlik yamalarına da sahiptir.

Temalarınızı ve eklentilerinizi güncellememek ciddi bir sorun oluşturabilir. Birçok bilgisayar korsanı, insanların eklentilerini ve temalarını güncelleme konusunda rahatsız edilemeyecekleri gerçeğine güvenir. Çoğu zaman, bu bilgisayar korsanları, zaten düzeltilmiş hataları istismar ederler.

Yani, WordPress ürünlerini kullanıyorsanız bunları düzenli olarak güncelleyin. Eklentiler, temalar, her şey.

20. WordPress sürüm numaranızı kaldırın

Geçerli WordPress sürüm numaranız çok kolay bulunabilir. Temelde sitenizin kaynak görünümünde orada oturuyor.

İşte, bilgisayar korsanları hangi WordPress sürümünü kullandığınızı biliyorsa, mükemmel saldırıyı kendileri için özelleştirmek daha kolaydır.

Yukarıda bahsettiğim hemen her güvenlik eklentisi ile sürüm numaranızı gizleyebilirsiniz.