WordPress güvenliği: WordPress sitenizi koruyun

Önleminizi alın

Dünyadaki web sitelerinin yüzde 34’ü yani yaklaşık üçte biri WordPress tabanlı. Bu siteler arasında çok küçük olup hacker saldırısına uğramayacağını düşünenler de var dünya devi şirketlere ait siteler de. Oysa WordPress güvenliği tüm site sahiplerinin ele alması gereken bir konu. Neden mi? Çünkü hacker’lar hedef ayırt etmiyor.

WordPress güvenliği neden önemli?

Dünyanın en popüler içerik yönetim sistemi olan WordPress, haliyle hacker’lar için de çok popüler bir hedef. Bilgisayar korsanları her gün on binlerce WordPress sitesine saldırarak değerli verileri çalıyor, o sitelerin ziyaretçilerine kötü amaçlı yazılım bulaştırıyor, dolandırıcılık yapıyor ve ele geçirdikleri sunucuları spam göndermek için kullanıyor.

Bazı siteler hedeflenmiş saldırılara kurban gidiyor ama birçok hacker, tamamen otomatik araçlarla her gün binlerce siteye saldırı denemesi yapıyor.

Dolayısıyla “Benim siteme kim saldırır ki?” diye düşünmeyin, sitenizin küçük veya önemsiz olduğu yanılgısına kapılmayın.

Siz de bir WordPress kullanıcısıysanız, tüm bunlardan korunmak için güvenlik uzmanı olmanıza gerek yok ama WordPress güvenliği sağlamak için dikkat etmeniz gereken birkaç nokta var.

WordPress güvenliği için alabileceğiniz önlemler

WordPress tabanlı sitenizi koruma altına almak için uygulamanız gereken birkaç adım var. Şimdi bunları tek tek ele alalım.

1. Güncellemelerinizi yapın

Bu belki de en önemli madde! WordPress aslında güvenli bir yazılım, ama ancak güncellemelerini vakit kaybetmeden uygularsanız güvenli kalmaya devam edebilir. WordPress yazılımında zaman zaman güvenlik açıkları tespit edilir. Buna karşılık, WordPress geliştiricileri bu açıkları kısa sürede gidererek WordPress’in yeni bir sürümünü yayımlar. Burada size düşen de bu güncellemeyi en kısa sürede sitenize yüklemektir. Aksi halde hacker’lar yeni keşfedilen güvenlik açıklarını kullanarak sitenizi hack’leyebilir.

WordPress varsayılan olarak küçük sürüm güncellemelerini otomatik yükleyecek şekilde ayarlanmıştır. Ayrıca hosting sağlayıcınız “otomatik WordPress güncellemesi” gibi bir özellik sunuyor olabilir. Bu özellikleri açık tutmanızı öneririz. Benzer şekilde, sitenize yüklediğiniz eklentileri ve temaları da güncel tutmanız gerekiyor, çünkü onlarda da güvenlik açıkları oluşabiliyor.

Birden fazla WordPress sitesini yönetiyorsanız hepsini takip etmeniz ve güncellemeleri elle yapmanız zor olabilir. Bu durumda, tüm sitelerinizin WordPress, eklenti ve tema güncellemelerini tek bir uygulamadan takip etmenizi sağlayan ManageWP gibi ücretsiz bir hizmet çok işinize yarayabilir.

2. Güçlü parolalar seçin

Bu aslında çoğu kişinin bildiği ama uygulamadığı, oysa asla risk alınmaması gereken bir konu. Hacker’lar binlerce parolayı saniyeler içinde otomatik olarak deneyebilen araçlara sahip. Dolayısıyla kısa ve özensiz seçilmiş parolalar kolayca kırılabiliyor. WordPress güvenliği sağlayabilmeniz için parolanız en az 10 karakter uzunluğunda olmalı ve küçük harf, büyük harf, rakam ve özel karakter içermeli.

Her sitede farklı bir parola kullanmanız da önemli. Aksi halde, bir sitede parolanızı ele geçiren hacker, aynı parolayı kullanarak tüm hesaplarınıza el koyabilir.

Biz WordPress’in otomatik parola oluşturma aracını kullanmanızı tavsiye ediyoruz. Tabii o uzunluktaki parolaları ezberlemeniz pek de mümkün değil. Bu parolaları da LastPass, Dashlane, 1Password, KeePass gibi bir parola yöneticisinde güvenle saklayabilirsiniz.

Unutmayın ki WordPress sitelerinizde başka kullanıcılar varsa güçlü parola seçimi onlar da için de aynı öneme sahip. Birazdan bahsedeceğimiz eklentiler yardımıyla kullanıcılarınızın kötü parolalar seçmesini engelleyebilirsiniz.

3. Güvenli bir hosting firması seçin

WordPress güvenliği için sizin alacağınız önlemler kadar hosting (barındırma) sağlayıcınızın alacağı önlemler de önem taşıyor. Hosting sağlayıcınız kendi sunucularını ve sunucularda kullanılan yazılımları güncel tutmak, ayrıca müşteri olarak sizin müdahale edemeyeceğiniz bazı güvenlik ayarlarını yapmak zorundadır. Yani deneyimsiz veya işini iyi yapmayan bir hosting firması da sitenizin hack’lenmesine sebep olabilir. O yüzden, WordPress hosting için saygın ve güvenilir firmaları tercih etmenizde fayda var.

Bazı hosting sağlayıcıları WordPress hosting paketlerinde ek güvenlik özellikleri de sunuyor. Örneğin GoDaddy WordPress Hosting müşterileri, bot ve spam yorum korumasından, otomatik güncellemelerden, eklenti kara listesinden yararlanabiliyor. Bazı paketlerde kötü amaçlı yazılım tarama ve kaldırma hizmeti sunuluyor.

4. Güvenlik duvarı kullanın

Web uygulaması güvenlik duvarı (web application firewall, kısaca WAF) denilen çözümler, WordPress gibi web uygulamalarına ekstra güvenlik kazandırabilir. Bu güvenlik duvarları, sitenizi XSS ve SQL enjeksiyon saldırıları gibi sık karşılaşılan hacker tekniklerine karşı koruyan çeşitli kurallardan oluşur. Bu kurallar, kötü niyetli kullanıcıların sitenize ulaşmasını engeller. Hosting sağlayıcınızda hâlihazırda çalışan ve ağ trafiğini denetleyen bir güvenlik duvarı büyük ihtimalle vardır ama ona ek olarak, WordPress için özel olarak geliştirilmiş bir WAF da kullanabilirsiniz.

Daha güçlü bir WordPress güvenliği için güvenlik duvarı kullanmayı seçerseniz, ücretsiz seçenekleriniz arasında Shield, All In One WP Security, MalCare ve NinjaFirewall’u sayabiliriz. Ücretli seçenekler arasındaysa Sucuri ve Wordfence dikkat çekiyor. Sucuri rakiplerinden farklı olarak DNS seviyesinde çalışan, bulut tabanlı bir güvenlik duvarı. Dolayısıyla diğerlerinin aksine sitenizi yavaşlatmıyor ve sunucunuzu yormuyor, ancak çalışması için DNS değişikliği yapmanız ve SSL sertifikanızı değiştirmeniz gerekebilir.

5. SSL sertifikası kullanın

SSL, kullanıcının tarayıcısıyla web siteniz arasındaki veri iletişimini şifreleyen bir protokoldür. SSL kullanan sitelerin adresleri HTTP yerine HTTPS ile başlar ve tarayıcının adres çubuğunda bir kilit simgesi görünür. Modern tarayıcılar, SSL kullanmayan sitelerde “güvenli değil” uyarısını gösterebilir.

Google’ın tarayıcısı Chrome, Temmuz 2018’den beri tüm HTTP siteleri “Güvenli Değil” olarak işaretliyor.

SSL, sitenize giriş yaparken kullanıcı adı ve parolanızın başkaları tarafından ele geçirilmesini önler. Şifrelenmemiş bir bağlantıda, kablosuz bağlantınıza sızan birisi, ücretsiz Wi-Fi hizmeti veren firmalar, işyerinizdeki BT departmanı, internet servis sağlayıcınız vb. parolanızı görebilir. Ancak şifrelenmiş bir SSL bağlantısında bu “aradaki” kişiler parolanızı göremezler.

Sitenizde finansal işlemler yapmıyor olsanız bile veri iletişiminizi ücretsiz ve ücretli bir SSL sertifikasıyla korumanız önemli. Üstelik Google, SSL kullanan sitelere arama sonuçlarında da öncelik veriyor.

SSL sertifikasının ne olduğu ve sertifika seçimiyle ilgili daha fazla bilgiyi bu blog yazımızda bulabilirsiniz.

6. Yedekleme yapın

Ne kadar güçlü bir WordPress güvenliği sağlamış olursanız olun, bazen işler yolunda gitmeyebilir. Siteniz hack’lenebilir, verileriniz silinebilir, sitenizin bulunduğu sunucu arızalanabilir, hatta sitenize yanlışlıkla kendiniz bile zarar verebilirsiniz. Böyle durumlarda geri dönebileceğiniz bir yedeğiniz mutlaka olmalı.

Çoğu hosting sağlayıcısı ücretsiz veya ücretli otomatik yedekleme hizmeti verir. Bu hizmet kapsamında siteniz belli aralıklarla yedeklenir, ihtiyaç halinde hosting yönetim panelinizden tek bir tıklamayla seçtiğiniz geri yükleyebilirsiniz.

Ücretsiz yedekleme hizmetlerinde bazen yedekleme aralığı çok geniş olabilir (örn. ayda bir veya iki haftada bir). Sitenizin içeriği pek değişmiyorsa bu yeterli olur ama sitenizi her gün güncelliyorsanız yedeklemesini de her gün yapmalısınız. Aksi halde, son yedeklemeden sonra sitenizde yapılan değişiklikleri kaybedersiniz.

GoDaddy’nin tüm WordPress hosting paketlerinde ücretsiz olarak günlük yedekleme yapılıyor ve son 30 güne ait yedekleriniz tutuluyor.

Hosting sağlayıcınızın tutacağı yedeklere ek olarak, ara sıra sitenizin yedeğini bilgisayarınıza indirip saklamanız da faydalı olabilir.

En iyi 7 WordPress güvenlik eklentisi

WordPress güvenliği için kullanabileceğiniz çeşitli eklentiler var. En gelişmiş ve kapsamlı eklentilerin ücretli olduğunu hatırlatmamız gerekiyor, ama çoğunun temel işlevlerini ücretsiz olarak kullanabilirsiniz. Aşağıda sıralayacağımız eklentilerin hepsini birden sitenize kurmanız gerekmiyor. Zaten bazılarının benzer özelliklere sahip olduğunu göreceksiniz. Kendinize uygun olanları seçip kurmanız ve elbette ayarlarını doğru şekilde yapmanız, sitenizin güvenliğini ciddi oranda artırmanızı sağlayabilir.

1. Sucuri Security

WordPress güvenliği sucuri

WordPress güvenliği konusunda en popüler ve güvenilir eklentilerden biri olan Sucuri’nin hem ücretsiz hem de ücretli sürümleri var. Ücretsiz sürüm çoğu site için yeterli olacaktır. Sucuri’nin ücretsiz sürümünde dosya bütünlüğü izleme, kara liste takibi, güvenlik bildirimleri, güvenliği artırma önerileri gibi özellikler var. Bu sayede, WordPress çekirdek dosyalarının değiştirilip değiştirilmediğini, sitenizde WordPress’e ait olmayan dosyalar bulunup bulunmadığını bir çırpıda görebilirsiniz.

Daha da kapsamlı bir güvenlik çözümü arıyorsanız düzenli zararlı yazılım ve hack taraması, bulut tabanlı güvenlik duvarı, DDoS koruması, CDN ve hack’lenmeniz halinde ücretsiz temizlik özelliklerine sahip olan ücretli paketlere yönelmeniz gerekiyor.

2. Wordfence Security

wordfence eklentisi

Güvenlik duvarı da içeren ücretsiz ve kapsamlı bir çözüm arıyorsanız Wordfence en iyi seçenek olabilir. Wordfence, WordPress çekirdek dosyalarının yanı sıra eklenti ve tema dosyalarınızı da orijinalleriyle karşılaştırarak kötü amaçlı bir değişiklik olup olmadığını size söylüyor. Bilinen güvenlik açıklarına karşı sitenizi taramanın yanı sıra, site içeriğini ve yorumları da tarayarak tehlikeli ve şüpheli URL’leri tespit edebiliyor. Ayrıca sitenize hatalı giriş denemelerini tespit ediyor ve saldırganları engelleyebiliyor. WordPress giriş sayfasına çift faktörlü doğrulama (2FA) veya CAPTCHA desteği ekleyerek de hacker’ların işini zorlaştırabiliyor.

Wordfence’in ücretsiz sürümünde güvenlik duvarı da var ama güvenlik duvarı kuralları ve zararlı yazılım imzaları 30 gün gecikmeli olarak güncelleniyor. En güncel tehditlere karşı korunmak isterseniz Wordfence Premium’a geçerek gerçek zamanlı güvenlik duvarını ve bilinen saldırganları engelleyen IP kara listesini kullanabilirsiniz.

3. All In One WP Security & Firewall

wordpress güvenliği all in one wp security

Çoğu rakibinin aksine All In One WP Security’nin ücretli sürümü yok: Tüm güvenlik özelliklerini ücretsiz olarak sunuyor ve bunlar hiç de azımsanacak sayıda değil. Bunların başında, rakiplerinin genelde ücretli olarak sunduğu güvenlik duvarı özelliği geliyor. Güvenlik duvarını “temel”, “orta” ve “gelişmiş” olmak üzere üç farklı kademede çalıştırabiliyorsunuz. Kullanıcı girişi ve kaydıyla ilgili çok sayıda önlemin yanı sıra dosya izinlerini kontrol etme, IP kara listesi, dosya değişikliği tarayıcısı, veritabanı yedekleme, spam koruması gibi özellikler var. Ancak pek kullanıcı dostu olmayan bu eklentinin deneyimli kullanıcılara daha çok hitap ettiğini söyleyebiliriz.

4. iThemes Security

ithemes security eklentisi

WordPress güvenliği için 30’dan fazla yöntem sunan iThemes Security’nin ücretsiz ve ücretli sürümleri var. iThemes Security, saldırgan giriş denemelerini engelleme üzerinde fazlaca duruyor. Bu konuya dair pek çok ince ayar, teknik detaylara girmeyi seven site yöneticilerinin hoşuna gidebilir. Genel güvenlik kontrolü, güçlü parola kullanımı zorunlu tutma, dosya değişikliklerini takip etme, admin kullanıcı adını değiştirme, giriş sayfasının adresini değiştirme gibi özellikler ücretsiz sürümde mevcut. Günlük zararlı yazılım taraması, çift faktörlü doğrulama, parola zaman aşımı, tüm kullanıcı eylemlerini kaydetme gibi özelliklere de sahip olmak istiyorsanız ücretli sürüme yükseltme yapmanız gerekiyor.

5. Defender

wordpress güvenliği defender

Defender, kullanıcı dostu arayüzü ve Türkçe desteğiyle dikkat çekiyor. “Güvenlik sorunları” bölümüne bakarak sitenizin güvenliğini artırmak için yapabileceklerinizi anlayabilir ve çoğunu tek tıklamayla hayata geçirebilirsiniz. Defender’ın ücretsiz sürümünde kaba kuvvet saldırılarına karşı koruma, IP kara listesi, WordPress çekirdek dosyalarını tarama ve onarma, giriş sayfasının adresini değiştirme, zafiyet taramalarını engellemek için 404 kısıtlayıcı gibi özellikler de var. Rakip eklentilerde genellikle ücretli olarak karşımıza çıkan Google Authenticator ile çift faktörlü doğrulama desteği Defender’da ücretsiz. Ücretli Defender Pro sürümündeyse eklenti ve tema dosyalarında zararlı yazılım taraması, dosyalarda değişiklik takibi, yedekleme ve hız optimizasyonu gibi özellikler mevcut.

6. Limit Login Attempts Reloaded

Normal şartlarda WordPress, sınırsız sayıda hatalı giriş denemesi yapmanıza izin veriyor. Bu yüzden de hacker’lar kaba kuvvet (brute force) tekniğiyle yönetici parolanızı kırmayı deneyebiliyorlar. İşte Limit Login Attempts Reloaded eklentisi, bir IP adresinden yapılabilecek maksimum deneme sayısını belirlemenize olanak veriyor. O sayı aşıldığında IP adresi engelleniyor. WordPress güvenliği sağlamak için isterseniz belli IP’leri ve kullanıcı adlarını kara listeye veya beyaz listeye de alabilirsiniz. Mesela “admin” kullanıcı adını değiştirdiyseniz veya kullanmıyorsanız, admin olarak giriş yapmaya çalışan herkesi anında engelleyebilirsiniz.

7. Akismet Anti-Spam

WordPress tabanlı sitelerde spam yorumlar maalesef kaçınılmaz. WordPress’in geliştiricisi Automattic tarafından geliştirilen Akismet, sitenize gelen tüm yorumları kontrol edip spam gibi görünenleri filtreliyor ve sizin onayınıza sunuyor. İsterseniz spam olduğundan emin olduğu yorumları hiç size göstermeden de silebiliyor. Akismet’in çalışması için eklenti ayarlarına girip bir API anahtarı oluşturmanız gerekiyor. Kişisel siteler için Akismet ücretsiz, ticareti sitelerse belirli bir ücret karşılığında Akismet’i kullanabiliyor.

WordPress güvenliği hakkında son sözler

Dünyanın dijitalleşmesiyle siber güvenlik de önemi artan bir konu olmaya devam ediyor. Bu yazıda bahsettiğimiz ipuçları ve WordPress eklentileri ile WordPress sitenizin güvenliği konusunda sağlam adımlar atabilir, kendinizi, işletmenizi ve müşterilerinizi olası saldırılardan mümkün olduğunca koruyabilirsiniz.

Fotoğraf Pop & Zebra , Unsplash aracılığıyla.

Simay Yıldız
İstanbul’da, Artı İletişim Yönetimi’nde çalışan Simay, GoDaddy ekibini yönetiyor. Şampuan şişelerinin arkasındaki bilgilere kadar bulduğu her şeyi okuyan Simay’ın www.zimlicious.com adresinde bir kitap blogu var. Masal sever, kedi sever, kahvesiz ayılamaz, yazarken müzik dinler.