WordPress web sitenizi güvende tutmak, sağlığınıza dikkat etmek gibi devam eden bir süreçtir. WordPress güvenlik düşünülerek tasarlanmış olsa da sorunlar yine de ortaya çıkabilir. Bu sorunlar güncel olmayan eklentiler, zayıf parolalar veya hatta web barındırma ayarlarınızdan kaynaklanabilir.
WPBeginner olarak, WordPress güvenlik denetimlerini web sitesi kontrolleri olarak düşünüyoruz. Bunlar, birinin onları istismar etmesinden önce zayıflıkları bulmanıza ve düzeltmenize yardımcı olur. Sitenizi sağlıklı tutar ve içerdiği bilgileri korur.
Bu makale, herhangi bir sorun veya kesintiye neden olmadan WordPress web sitenizi güvenlik sorunları açısından nasıl kontrol edeceğinizi gösterecektir.
WordPress Güvenlik Denetimi Nedir?
WordPress web sitenizde bir güvenlik denetimi yapmak, sitenizde bir güvenlik ihlali belirtileri olup olmadığını kontrol etmek anlamına gelir. Şüpheli etkinlik, kötü amaçlı kod veya olağandışı bir performans düşüşü aramak için bir WordPress kontrolü yapabilirsiniz.
Manuel olarak gerçekleştirebileceğiniz basit adımları izleyerek temel bir güvenlik denetimini nasıl gerçekleştireceğinizi göstereceğiz. Ayrıca, güvenlik kontrollerini otomatik olarak gerçekleştirmek için WordPress güvenlik denetim araçlarını ve hizmetlerini nasıl kullanacağınızı da göstereceğiz.
Şüpheli bir şey bulursanız, onu izole edebilir, kaldırabilir ve düzeltebilirsiniz.
WordPress Güvenlik Denetimi Ne Zaman Yapılmalı
Bir WordPress güvenlik denetimini en az üç ayda bir yapmalısınız. Bu, her şeyin üstünde kalmanızı ve herhangi bir soruna neden olmadan önce bile güvenlik açıklarını kapatmanızı sağlar.
Ancak, şüpheli bir şey fark ederseniz hemen bir güvenlik denetimi yapmalısınız, örneğin:
- Web siteniz aniden yavaş ve hantal çalışıyor.
- Web sitesi trafiğinizde bir düşüş yaşarsınız.
- Web sitenizde şüpheli yeni hesaplar, unutulmuş şifre istekleri veya giriş denemeleri var.
- Web sitenizde şüpheli bağlantılar görüyorsunuz.
Bununla birlikte, bir WordPress güvenlik denetimini kolayca nasıl gerçekleştireceğimize bir göz atalım.
Temel Manuel WordPress Güvenlik Denetimi Yapmak
İşte web sitenizde temel bir manuel WordPress güvenlik denetimi gerçekleştirmek için atabileceğiniz bazı adımları içeren bir kontrol listesi.
1. WordPress Çekirdeğini, Eklentilerini ve Temalarını Güncelleyin
WordPress güncellemeleri, web sitenizin güvenliği ve kararlılığı için gerçekten önemlidir. Güvenlik açıklarını kapatır, yeni özellikler getirir ve performansı iyileştirir.
WordPress çekirdek yazılımınızın, tüm eklentilerinizin ve temalarınızın güncel olduğundan emin olun. Bunu WordPress yönetici alanındaki Gösterge Paneli » Güncellemeler sayfasını ziyaret ederek kolayca yapabilirsiniz.
WordPress, mevcut güncellemeler olup olmadığını kontrol edecek ve ardından yüklemeniz için bunları listeleyecektir. Daha fazla yardıma ihtiyacınız olursa, WordPress'i doğru şekilde nasıl güncelleyeceğiniz ve WordPress eklentilerini doğru bir şekilde nasıl güncelleyeceğiniz hakkındaki rehberlerimize bakın.
2. Kullanıcı Hesaplarını ve Parolalarını Kontrol Edin
Ardından, Kullanıcılar » Tüm Kullanıcılar sayfasını ziyaret ederek WordPress kullanıcı hesaplarını gözden geçirmeniz gerekir. Orada olmaması gereken şüpheli kullanıcı hesaplarını arayın.
Bir online mağaza, bir üyelik sitesi veya online kurs satıyorsanız, müşterilerinizin giriş yapması için kullanıcı hesapları olabilir.
Ancak, bir blog veya işletme web sitesi çalıştırıyorsanız, yalnızca kendiniz veya manuel olarak eklediğiniz diğer kullanıcılar için kullanıcı hesapları görmelisiniz.
Şüpheli kullanıcı hesapları görürseniz, bunları silmeniz gerekir.
Şimdi, web siteniz kullanıcıların hesap oluşturmasını gerektirmiyorsa, Ayarlar » Genel sayfasına gitmeniz ve 'Herkes kayıt olabilir' seçeneğinin yanındaki kutunun işaretlenmediğinden emin olmanız gerekir.
Ek bir önlem olarak, WordPress yönetici parolanızı değiştirmeniz gerekir. Sitenizdeki parola güvenliğini güçlendirmek için iki faktörlü kimlik doğrulama eklemenizi şiddetle tavsiye ederiz.
3. Bir WordPress Güvenlik Taraması Çalıştırın
Bir sonraki adım web sitenizi güvenlik açıkları açısından kontrol etmektir. Neyse ki, kötü amaçlı yazılımları kontrol etmek için kullanabileceğiniz birkaç çevrimiçi güvenlik tarayıcısı bulunmaktadır.
Web sitenizi kötü amaçlı yazılımlara ve diğer güvenlik açıklarına karşı kontrol eden IsItWP Güvenlik Tarayıcısı'nı kullanmanızı öneririz.
Bu araçlar iyidir, ancak yalnızca web sitenizin herkese açık sayfalarını tarayabilirler. Bu makalenin ilerleyen bölümlerinde daha derin denetimleri nasıl gerçekleştireceğinizi göstereceğiz.
4. Web Sitesi Analizlerinizi Kontrol Edin
Web sitesi analitikleri, web sitesi trafiğinizi takip etmenize yardımcı olur. Ayrıca web sitenizin sağlığının oldukça iyi bir göstergesidir.
Web siteniz arama motorları tarafından kara listeye alınmışsa, web sitesi trafiğinizde ani bir düşüş görürsünüz. Web siteniz yavaş veya yanıt vermiyorsa, genel sayfa görüntülemeleriniz düşecektir.
Web sitesi trafiğinizi izlemek için MonsterInsights kullanmanızı öneririz. Bu sadece genel sayfa görüntülemelerinizi göstermekle kalmaz, aynı zamanda kayıtlı kullanıcıları, WooCommerce müşterilerinizi, form dönüşümlerini ve daha fazlasını izlemek için de kullanabilirsiniz.
5. WordPress Yedeklemelerini Ayarlayın ve Kontrol Edin
Eğer henüz yapmadıysanız, o zaman hemen bir WordPress yedekleme eklentisi kurmanız gerekir. Bu, herhangi bir sorun olması durumunda sitenizin her zaman bir yedeğinin olmasını sağlar.
Birçok yeni başlayan, WordPress yedekleme eklentisini kurduktan sonra unutur. Bazen yedekleme eklentileri herhangi bir uyarı vermeden çalışmayı durdurabilir. Yedekleme eklentinizin hala çalıştığından ve yedekleme kaydettiğinden emin olmak iyi bir fikirdir.
Otomatik Bir WordPress Güvenlik Denetimi Gerçekleştirme
Yukarıdaki kontrol listesi, bir güvenlik denetiminin en önemli yönlerini gözden geçirmenizi sağlar. Ancak, bu çok kapsamlı bir işlem değildir, bu da web sitenizin hala savunmasız olabileceği anlamına gelir.
Örneğin, tüm kullanıcı etkinliklerini, dosya farklılıklarını, şüpheli kodları ve daha fazlasını manuel olarak kaydetmek zordur. İşte bu noktada güvenlik denetimini otomatikleştirmek ve her şeyin kaydını tutmak için bir eklentiye ihtiyacınız var.
Birkaç WordPress güvenlik eklentisi yardımıyla bu işlemi otomatikleştirebilirsiniz.
1. WP Activity Log ile Güvenlik Denetimini Otomatik Olarak Gerçekleştirme
WP Etkinlik Günlüğü, piyasadaki en iyi WordPress etkinlik izleme eklentisidir.
Web sitenizdeki tüm kullanıcı etkinliklerini takip etmenizi sağlar. Tüm kullanıcı girişlerini, IP adreslerini ve web sitenizde neler yaptıklarını görüntüleyebilirsiniz.
WooCommerce kullanıcılarını, editörleri, yazarları ve web sitenizde hesabı olan diğer üyeleri izleyebilirsiniz.
İzlemek istediğiniz herhangi bir olayı açabilir ve izlemek istemediğiniz olayları kapatabilirsiniz.
Eklenti ayrıca web sitenize giriş yapmış tüm kullanıcıların canlı bir görünümünü gösterir. Şüpheli bir hesap görürseniz, oturumlarını hemen sonlandırabilir ve onları engelleyebilirsiniz.
WP Activity Log kullanarak WordPress'te kullanıcı etkinliğini nasıl izleyeceğiniz hakkındaki rehberimizde daha fazla bilgi edinebilirsiniz.
2. Sucuri ile Otomatik Güvenlik Denetimi Yapma
Sucuri, piyasadaki en iyi WordPress güvenlik duvarı eklentisidir ve aynı zamanda web siteniz için alabileceğiniz en iyi hepsi bir arada WordPress güvenlik çözümüdür.
Şüpheli etkinlik web sitenize ulaşmadan önce engelleyerek DDoS saldırılarına karşı gerçek zamanlı koruma sağlar. Bu, sunucunuzdaki yükü kaldırır ve web sitenizin hızını/performansını artırır.
WordPress dosyalarınızı şüpheli kodlara karşı kontrol eden yerleşik bir güvenlik eklentisi ile birlikte gelir. Ayrıca web sitenizdeki kullanıcı etkinliğine ayrıntılı bir bakış elde edersiniz.
En önemlisi, Sucuri, tüm ücretli planlarında ücretsiz kötü amaçlı yazılım temizleme hizmeti sunar. Bu, web siteniz zaten etkilenmiş olsa bile, güvenlik uzmanlarının sizin için temizleyeceği anlamına gelir.
WordPress Güvenliği Hakkında Uzman Rehberleri
Umarım bu makale, web sitenizde bir WordPress güvenlik denetimini nasıl gerçekleştireceğinizi öğrenmenize yardımcı olmuştur. Ayrıca WordPress güvenliği ile ilgili diğer bazı kılavuzları da görmek isteyebilirsiniz:
- Kullanıcılara WordPress'te Güçlü Parolalar Zorlama
- WordPress Sitenizi Kaba Kuvvet Saldırılarından Nasıl Korursunuz
- WordPress Sitelerinin Hacklenmesinin Başlıca Nedenleri (& Nasıl Önlenir)
- WordPress Sitenizin Hacklendiğini Gösteren İşaretler (Uzman İpuçları)
- WordPress Sitenizi Potansiyel Olarak Kötü Amaçlı Kodlara Karşı Nasıl Tararsınız
- Hacklenmiş Bir WordPress Sitesinde Arka Kapı Nasıl Bulunur ve Düzeltilir
- WordPress Afet Kurtarma Planı Nasıl Yapılır
Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.
Dennis Muthomi
Sucuri'yi hepsi bir arada bir WordPress güvenlik çözümü olarak öneriyorsunuz. Sucuri'nin WP Activity Log gibi ayrı eklentilere olan ihtiyacı ortadan kaldırıp kaldıramayacağını merak ediyorum?
Tek bir eklenti işi halledebilecekken sitemi çok fazla eklentiyle doldurmaktan kaçınmak istiyorum.
WPBeginner Desteği
Değiştirmek istediğiniz eklentinin işlevine bağlı olacaktır ancak Sucuri'nin bir etkinlik günlüğü seçeneği vardır.
Yönetici
Dennis Muthomi
Sucuri'nin ihtiyaçlarımı karşılayıp karşılamadığı aradığım işlevselliğe bağlı olduğu harika bir nokta. Yanıt verdiğiniz için TEŞEKKÜRLER!
Eva
Günlük kaba kuvvet saldırısı denemeleriyle mücadele etmenin ilk adımı varsayılan oturum açma URL'sini değiştirmektir.
WPBeginner Desteği
Giriş URL'sini değiştirmek yerine, genellikle giriş URL'sini değiştirmek yeni başlayanlar için sorun yaratma olasılığı daha yüksek olduğundan, giriş denemelerini sınırlama gibi bir eklenti kullanmanızı öneririz.
Yönetici
Eva
Ben ikisini de yaparım! Ve daha fazlasını. Güvenlik benim bir numaralı önceliğim. Ne demek istediğini anlıyorum ama çoğu kelime, özellikle de yeni başlayanlar için /wp-admin veya /wp-login kadar kolay ezberlenir bence.
WPBeginner Desteği
Oturum açma URL'sini hatırlamaktan çok, URL'yi değiştirmeye çalışırken herhangi bir hata olup olmadığıyla ilgilidir; çoğu yeni başlayan, oturum açma adresini düzeltmek için gerekli araçlara sahip değildir.
Eva
Anladım, iyi nokta! Çoğu durumda, FTP ile eklenti dizinini yeniden adlandırmak onu devre dışı bırakmak ve /wp-login üzerinden tekrar erişmek için yeterlidir. Ama anlıyorum, yeni başlayanlar için kolay değil!
DW
Evet, giriş URI'sini kullanmak gerçekten pek bir işe yaramaz. Bu, "gizlilik yoluyla güvenlik" olarak bilinen bir tekniktir - temelde "saklayarak" güvenlik.
Birisi web sitenize girmeye kararlıysa, bu "gizlilik yoluyla güvenlik" tekniklerini kullanmak en iyi ihtimalle onları birkaç dakika yavaşlatacaktır. Web sitenizi düzgün bir şekilde güvence altına almanın gerçek bir ikamesi değildir.
Web sitenizi düzgün bir şekilde güvence altına almak sizin için çok daha iyi olacaktır. Kaba kuvvet saldırılarını önleyen eklentiler, güçlü parolalar zorunlu kılma, en azından yönetici hesapları için çok faktörlü kimlik doğrulamayı zorunlu kılma ve eğer bir Statik IP adresine sahip olma lüksünüz varsa, yönetici sayfasına yalnızca IP adresinizden erişime izin veren bir .htaccess dosyası oluşturma gibi teknikler çok daha iyi çözümlerdir.