WordPressinizi Nasıl Güvenli Hale Getirirsiniz
WordPress Blogunuzu Nasıl Güvenli Hale Getirirsiniz, Basit Faydalı İpuçlarını Webirinci Ekibi Olarak İnceledik.

Wordpress blogları her geçen gün daha fazla saldırıya maruz kalmakta ve daha fazla hedef noktası haline gelmektedir. Bunun tek nedeni; wordpress kullanıcı sayısının her geçen gün artmasıdır!
Evet, biraz iddaalı bir giriş oldu 🙂 Bugün sizlere wordpress blogunuzu nasıl daha güvenli bir hale getirebileceğiniz noktasında ufak ipuçları vermek istiyoruz.
Bununla birlikte, her zaman sizin çıkarlarınızı en iyi şekilde gözetiyoruz ve bu nedenle, WordPress güvenliğini artırmak ve davetsiz misafirleri ağırlama şansını azaltmak için kullanabileceğiniz birkaç önlemi bir araya getirdik.
Kaliteli WordPress Hosting ile Başlayın
Elbette, ayda 1 tl ücret alan bir web hostingden birinci sınıf güvenlik bekleyemezsiniz. Hepimiz bu “1 tl hosting” barındırma planlarını gördük. Ayda 1 ile 2 tl kadar az bir fiyata cennet vaat eden gölgeli hosting şirketlerinin bu gölgeli planları. Ah, çok çekici değiller mi?
Genellikle herkes ile aynı ip, aynı host ve güvenliksiz web serverler barındıran hosting şirketlerinden uzak durmalıyız!
Web sitelerinden birinin güvenliği ihlal edilirse ve/veya ihlal edildiğinde, sizin de tehlikeye girme riskiniz daha yüksektir. Aslında, bir sonraki adam kadar uyanık olsanız bile tehlikeye atılacaksınız. Web barındırmayla ilgili saldırıları azaltmanın tek yolu, en baştan güvenilir bir ana bilgisayar ve güvenli barındırma planı kullanmaktır.
Yedeklemeyi Asla Unutmayınız
Yedekleme size huzur verir, böylece geceleri daha iyi uyuyabilirsiniz. Bir yedekleme, işler tersine gittiğinde istediğiniz hızlı bir şekilde eski haline getirmede oldukça etkilidir.
Harika “yemek tarifi” siteniz tüm sayfalarda “viagra” ya da “adult ürünleri” satmaya başladığında, böyle bir saldırıdan kurtulmak için yalnızca bir yedek ile yemek tarifleri sunmaya devam edebilirsiniz 🙂
Tüm WordPress kurulumunuzu yedeklemeyi hedeflemelisiniz; çekirdek dosyalar, veritabanları ve diğer her şey. Uzmanlar ayrıca yedeklerinizi şifrelemenizi ve bunların bir kopyasını salt okunur ortamda saklamanızı önerir.
Günlük yedeklemeleri kolayca planlayabilir veya diğerleri arasında MySQL Workbench, WordPress Veritabanı Yedekleme (WP-DB-Backup) ve BackWPup gibi araçlardan yararlanabilirsiniz. Daha fazlasını da araştırarak bulabileceğinizden eminiz.
Genellikle büyük hosting firmaları da kendi yedeklerini tutmaktadır. Özellikle de ülkemizde ki Odeaweb firması reseller hosting paketlerinde ücretsiz haftalık ve aylık yedekleme imkanı sunuyor. Araştırmak da fayda var diyebiliriz.
WordPress Eklentileri
Geçen gün, WPScan’dan Ryan Dewhurst, Yoast’ın WordPress SEO’sunda bir Blind SQL enjeksiyon güvenlik açığı keşfetti (ve bildirdi). Ardından ise Yoast Seo ise gündeme bomba gibi düşen bir zaafiyetlerinin olduğunu bildirdi ve hemen güncelleme getirdi.
Ah hayır lütfen, telaşlanma. Yoast, güvenlik açığının keşfedildiği gün bir güvenlik düzeltmesi yayınladı. Yine de tek bir sorun var. WordPress’in aksine, eklentiler otomatik olarak güncellenmez, bu da WordPress SEO’nun en son sürümüne güncelleme yapmadıysanız hala savunmasız olduğunuz anlamına gelir.
Bu konuda hiçbir şey bilmediğinizi de iddia edebilirsiniz, ancak bilgi herkese açık olduğu ve herkesin kolayca erişebileceği bir yerde olduğu için bilgisayar korsanları tüm ayrıntılara sahiptir. Ne için bekliyorsun? Bu güncelleme düğmesine basmak çok zor değil. Diğer tüm eklentilerinizi de güncelleyin.
Temalarıda güncellemeyi unutmayınız.
Dosya/Klasör İzinlerini Sıkın
Artık WordPress güvenliğinin ince detaylarına giriyoruz. Mutlak bir acemi olarak, size zor gelebilir ama bunların hepsi oldukça kolay güvenlik önlemleridir.
Sunucunuza erişen her türlü eklenti ya da temalar dosyalarınızı ve klasörlerinizi düzenleyebilirse (diğer adıyla yazabilirse), ortaya çıkacak hasarı durdurmak için yapabileceğiniz çok az şey vardır.
Peki ya belirli dosya ve klasörleri yalnızca sizin tarafınızdan yazılabilir yapsaydık? Eh, bilgisayar korsanları ne yapacaklarını bilemeyecekler. Sorunsuz bir şekilde içeri girebilirler, ancak dosyalarınız düzenlenebilir/yazılabilir olmadığında, neden olacakları hasar minimumdur. Dosya izinlerinizi kilitlemek, uygulamak istediğiniz bir güvenlik önlemidir, daha çok paylaşılan barındırma planındaysanız.
Ancak bu dosya/klasör izin işini nasıl yapacaksınız? İzlenecek olası bir şema:
Kök klasördeki tüm dosyalar yalnızca sizin tarafınızdan yazılabilir olmalıdır.
/wp-admin/ – tüm dosyalar yalnızca sizin tarafınızdan yazılabilir olmalıdır
/wp-includes/ – tüm dosyalar yalnızca sizin tarafınızdan yazılabilir olmalıdır
/wp-content/themes – tüm dosyalar siz ve web sunucusu tarafından yazılabilir olmalıdır
/wp-content/plugins – tüm dosyalar sizin tarafınızdan yazılabilir olmalıdır
Bunları bir FTP programı ya da CPANEL yardımı ile web hosting kısmından kolayca yapabilirsiniz.
FTP İle Chmod Ayarları
FTP üzerinden web sunucunuza giriş yaptıktan sonra, izinleri ayarlamak istediğiniz dizini/dosyayı bulun, sağ tıklayın ve ‘Dosya İzinleri’ni seçin. Görünen açılır ekranda, uygun gördüğünüz izinleri seçin. Açılır pencere şöyle görünebilir:
SSL Kullanın
SSL, bir web sitesinin sunucusu ile bir kullanıcının tarayıcısı arasında güvenli, şifreli bir bağlantı kurmanın standart bir yolu olan Güvenli Yuva Katmanı’nın kısaltmasıdır.
Bazen, bilgisayar korsanları web sitenizin savunmasını bozmaya çalışmak yerine, tarayıcınızdan web sunucusuna gönderdiğiniz veri paketlerini ele geçirmeye karar verebilir. Bu paketleri açtıklarında, oturum açma bilgilerinize vb. kolayca erişirler.
Ne yapalım? Web siteniz ve sunucu arasında geçen tüm verilerin gizliliğini ve bütünlüğünü koruyan SSL şifrelemesini kullanmanız gerekir. İşte tam da bu nedenle, etki alanlarında HTTP yerine HTTPS kullanan tüm büyük siteleri bulacaksınız.
Uygulaması kolaydır ve size çok fazla zaman ve hayal kırıklığı kazandırabilir. Alan adı kayıt sitenize veya web barındırıcınıza danışın, sizin için SSL’yi yüklemekten memnun olacaklardır. SSL sertifikaları da genellikle ucuzdur, bu nedenle bir veya iki dolar tasarruf edersiniz.