WordPress Sitelerinin Hacklenmesinin 11 Başlıca Nedeni (& Nasıl Önlenir)

Birçok web sitesi sahibi, WordPress sitelerinin hacklenmesinden endişe duyar. Çok sayıda web sitesini yönetiyoruz ve bu endişeyi iyi anlıyoruz.

Hacklenmek çok sinir bozucu olabilir ve işinize zarar verebilir. Bilgisayar korsanları her türlü web sitesine saldırmaya çalışırken, bazı yaygın hatalar WordPress sitenizi daha kolay bir hedef haline getirebilir.

Bu makalede, WordPress sitelerinin neden hacklendiğinin ana nedenlerini paylaşacağız, böylece web sitenizi daha iyi korumak için adımlar atabilirsiniz.

WordPress Neden Bilgisayar Korsanları Tarafından Hedef Alınıyor?

Öncelikle, bu sadece WordPress değil. İnternetteki tüm web siteleri hackleme girişimlerine karşı savunmasızdır.

WordPress web sitelerinin yaygın bir hedef olmasının nedeni, WordPress'in dünyanın en popüler web sitesi oluşturucusuna sahip olmasıdır. Tüm web sitelerinin %43'ünden fazlasını desteklemektedir, bu da dünya çapında yüz milyonlarca web sitesi anlamına gelir.

Bu muazzam popülerlik, bilgisayar korsanlarına daha az güvenli web sitelerini bulmaları ve bunları sömürmeleri için kolay bir yol sunar.

Hackerların bir web sitesini hacklemek için çeşitli nedenleri vardır. Bazıları daha az güvenli siteleri sömürmeyi yeni öğrenen acemilerdir. Diğerleri ise kötü amaçlı yazılım dağıtmak, diğer web sitelerine saldırmak ve spam göndermek gibi kötü niyetlere sahiptir.

Bununla birlikte, WordPress sitelerinin hacklenmesinin en yaygın nedenlerine bakalım, böylece web sitenizin hacklenmesini nasıl önleyeceğinizi öğrenebilirsiniz.

1. Güvensiz Web Barındırma

Tüm web siteleri gibi, WordPress siteleri de bir web sunucusunda barındırılır. Bazı barındırma şirketleri barındırma platformlarını yeterince güvence altına almaz. Bu, sunucularında barındırılan tüm web sitelerini hackleme girişimlerine karşı savunmasız hale getirir.

Bu, web siteniz için en iyi WordPress barındırma sağlayıcısını seçerek kolayca önlenebilir. Düzgün bir şekilde güvenli sunucular, WordPress sitelerine yönelik en yaygın saldırıların çoğunu engelleyebilir.

Ek önlemler almak istiyorsanız, yönetilen bir WordPress barındırma sağlayıcısı kullanmanızı öneririz.

2. Zayıf Parolalar Kullanma

Passwords are the keys to your WordPress site. You need to make sure that you are using a strong, unique password for each of the following accounts because they can all provide a hacker complete access to your website:

• WordPress yönetici hesabınız
• Web barındırma kontrol paneliniz hesabı
• FTP hesaplarınız
• WordPress siteniz için kullanılan MySQL veritabanı
• WordPress yönetici ve barındırma için kullanılan tüm e-posta hesapları

Tüm bu hesaplar parolalarla korunmaktadır. Zayıf parolalar kullanmak, bilgisayar korsanlarının bazı temel hack araçlarını kullanarak parolaları kırmasını kolaylaştırır.

Her hesap için benzersiz ve güçlü parolalar kullanarak bunu kolayca önleyebilirsiniz. Tüm bu güçlü parolaları nasıl yöneteceğinizi öğrenmek için WordPress yeni başlayanlar için parolaları yönetmenin en iyi yolu hakkındaki rehberimize bakın.

3. WordPress Yönetici (wp-admin) Alanına Korumasız Erişim

WordPress yönetici alanı, bir kullanıcının WordPress sitenizde farklı eylemler gerçekleştirmesine olanak tanır. Aynı zamanda bir WordPress sitesinin en sık saldırıya uğrayan alanıdır.

Korunmasız bırakmak, bilgisayar korsanlarının web sitenizi kırmak için farklı yaklaşımlar denemesine olanak tanır. Yönetici dizininize kimlik doğrulama katmanları ekleyerek bunu onlar için zorlaştırabilirsiniz.

Öncelikle, WordPress yönetici alanınızı parola ile korumalısınız. Bu, ek bir güvenlik katmanı ekler ve WordPress yönetimine erişmeye çalışan herkesin ek bir parola sağlaması gerekecektir.

Çok yazarlı veya çok kullanıcılı bir WordPress sitesi çalıştırıyorsanız, sitenizdeki tüm kullanıcılar için güçlü parolalar zorlayabilirsiniz. Ayrıca, bilgisayar korsanlarının WordPress yönetici alanınıza girmesini daha da zorlaştırmak için iki faktörlü kimlik doğrulama (2FA) ekleyebilirsiniz.

4. Incorrect File Permissions

Dosya izinleri, web sunucunuz tarafından kullanılan bir dizi kuraldır. Bu izinler, web sunucunuzun sitenizdeki dosyalara erişimi kontrol etmesine yardımcı olur. Yanlış dosya izinleri, bir bilgisayar korsanının bu dosyalara yazma ve değiştirme erişimi elde etmesine neden olabilir.

Tüm WordPress dosyalarınızın dosya izni olarak 644 değeri olmalıdır. WordPress sitenizdeki tüm klasörlerin dosya izni olarak 755 değeri olmalıdır.

Bu dosya izinlerini nasıl uygulayacağınızı öğrenmek için WordPress'te resim yükleme sorununu düzeltme kılavuzumuza bakın.

5. WordPress'i Güncel Tutmamak

Bazı WordPress kullanıcıları WordPress web sitelerini güncellemekten korkuyor. Bunu yapmanın web sitelerini bozacağından korkuyorlar.

WordPress'in her yeni sürümü hataları ve güvenlik açıklarını düzeltir. WordPress'i güncellemiyorsanız, sitenizi kasıtlı olarak savunmasız bırakıyorsunuz demektir.

Bir güncellemenin web sitenizi bozacağından korkuyorsanız, güncelleme yapmadan önce tam bir WordPress yedeklemesi oluşturabilirsiniz. Bu şekilde, bir şeyler çalışmazsa, önceki sürüme kolayca geri dönebilirsiniz.

WordPress'i güvenli bir şekilde nasıl güncelleyeceğinizle ilgili başlangıç rehberimizde daha fazla bilgi edinebilirsiniz.

6. Eklentileri veya Temayı Güncellememe

Çekirdek WordPress yazılımı gibi, temanızı ve eklentilerinizi güncellemek de aynı derecede önemlidir. Eski bir eklenti veya tema kullanmak sitenizi savunmasız hale getirebilir.

WordPress eklentilerinde ve temalarında güvenlik açıkları ve hatalar sık sık keşfedilir. Genellikle, tema ve eklenti yazarları bunları hızlı bir şekilde düzeltir. Ancak, bir kullanıcı temasını veya eklentisini güncellemezse, bu konuda yapabileceği bir şey yoktur.

WordPress temanızı ve eklentilerinizi güncel tuttuğunuzdan emin olun. WordPress, eklentiler ve temalar için doğru güncelleme sırası hakkındaki rehberimizde nasıl yapacağınızı öğrenebilirsiniz.

7. SFTP/SSH yerine Düz FTP Kullanmak

FTP hesapları, bir FTP istemcisi kullanarak web sunucunuza dosya yüklemek için kullanılır. Çoğu barındırma sağlayıcısı, farklı protokoller kullanarak FTP bağlantılarını destekler. Düz FTP, SFTP veya SSH kullanarak bağlanabilirsiniz.

Düz FTP kullanarak sitenize bağlandığınızda, parolanız şifrelenmemiş olarak sunucuya gönderilir. Bu, gözetlenebileceği ve kolayca çalınabileceği anlamına gelir. FTP yerine her zaman SFTP veya SSH kullanmalısınız.

FTP istemcinizi değiştirmenize gerek yok. Çoğu FTP istemcisi, sitenize hem SFTP hem de SSH üzerinden bağlanabilir. Sitenize bağlanırken protokolü 'SFTP – SSH' olarak değiştirmeniz yeterlidir.

8. WordPress Kullanıcı Adı Olarak Yönetici Kullanma

WordPress kullanıcı adınız olarak 'admin' kullanılması önerilmez. yönetici kullanıcı adınız 'admin' ise, onu hemen farklı bir kullanıcı adıyla değiştirmelisiniz.

Ayrıntılı talimatlar için, WordPress kullanıcı adınızı nasıl değiştireceğiniz hakkındaki eğitimimize göz atın: WordPress kullanıcı adınızı nasıl değiştireceğiniz.

9. Nulled Temalar ve Eklentiler

İnternette ücretli WordPress eklentilerini ve temalarını ücretsiz dağıtan birçok web sitesi bulunmaktadır. Sitenizde bu nulled eklentileri ve temaları kullanma cazibesine kapılabilirsiniz.

Downloading WordPress themes and plugins from unreliable sources is very dangerous. Not only can they compromise the security of your website, but they can also be used to steal sensitive information.

WordPress eklentilerini ve temalarını her zaman geliştiricinin web sitesi veya resmi WordPress depoları gibi güvenilir kaynaklardan indirmelisiniz.

If you can’t afford to buy a premium plugin or theme, then there are always free alternatives available for those products. These free plugins may not be as good as their paid counterparts, but they will get the job done and, most importantly, keep your website safe.

You can also find discounts for many of the popular WordPress products in the deals section on our website.

10. wp-config.php WordPress Yapılandırma Dosyasını Güvenli Hale Getirmeme

WordPress yapılandırma dosyası olan wp-config.php, WordPress veritabanı giriş kimlik bilgilerinizi içerir. Ele geçirilirse, bir bilgisayar korsanına web sitenize tam erişim sağlayabilecek bilgiler açığa çıkar.

.htaccess kullanarak wp-config dosyasına erişimi reddederek ek bir koruma katmanı ekleyebilirsiniz. Bu kodu .htaccess dosyanıza eklemeniz yeterlidir:

<files wp-config.php>
order allow,deny
deny from all
</files>

11. WordPress Tablo Önekini Değiştirmeme

Birçok uzman, varsayılan WordPress tablo önekini değiştirmenizi önerir. Varsayılan olarak WordPress, veritabanında oluşturduğu tablolar için wp_ önekini kullanır. Kurulum sırasında onu değiştirme seçeneğiniz olur.

Veritabanı tablolarınızın adlarını tahmin etmeyi daha zor hale getireceği için daha karmaşık bir önek kullanmanız önerilir.

Ayrıntılı talimatlar için, güvenliği artırmak amacıyla WordPress veritabanı önekini değiştirme kılavuzumuza bakın.

Hacklenmiş Bir WordPress Sitesini Temizleme

Hacklenmiş bir WordPress sitesini temizlemek acı verici olabilir. Ancak yapılabilir.

Hacklenmiş bir WordPress sitesini temizlemeye başlamanız için bazı kaynaklar şunlardır:

• Signs your WordPress site is hacked (and how to fix it)
• WordPress sitenizi potansiyel olarak kötü amaçlı kodlara karşı nasıl tarayabilirsiniz
• Hacklenmiş bir WordPress sitesinde arka kapı nasıl bulunur ve düzeltilir
• WordPress yönetici (wp-admin) kilidi açıldığında ne yapılmalı
• Beginner’s guide on how to restore WordPress from backup

Bonus Tip

Sağlam güvenlik için Sucuri, kötü amaçlı yazılım tespit ve kaldırma hizmetlerinin yanı sıra web sitenizi en yaygın tehditlere karşı koruyacak bir web sitesi güvenlik duvarı sunar.

Sucuri'nin 3 ayda 450.000 WordPress saldırısını engellememize nasıl yardımcı olduğunu Sucuri'nin hikayesini okuyun.

Umuyoruz ki bu makale, bir WordPress sitesinin neden hacklendiğini öğrenmenize yardımcı olmuştur. Ayrıca, WordPress sitenizi kaba kuvvet saldırılarından nasıl koruyacağınıza dair rehberimize ve sitenizi korumak için en iyi WordPress güvenlik eklentileri hakkındaki uzman seçimimize de göz atmak isteyebilirsiniz.

Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.