Amacı ne olursa olsun; bir web sitesiniz varsa, kötü niyetli kişiler her zaman sitenize zarar vermenin bir yolunu arar. Eğer siz de internetteki her 3 web sitesinden 1’inin alt yapısını sağlayan, dünyanın en çok kullanılan içerik yönetim sistemi olan WordPress’i kullanıyorsanız daha dikkatli olmanız gerekiyor.
Saldırıya uğramış bir WordPress sitesiyle uğraşmak hem zaman alıcı hem de maliyetli bir iş. İnanın, yaşamak istediğiniz bir şey değil.
Sitenize zarar veren kötü niyetli kişiler, sitenize girdikten sonra sayfalarınızı, yüklediğiniz fotoğraflarınızı, eklentilerinizi ve temalarınızı silebilir. Web siteniz türlü reklamlarla dolup taşabilir ve günler, aylar boyunca yayından kaldırılabilir. Saldırgan ayrıca sitenizi tekrar eski haline getirmek için para da (fidye) talep edebilir.
Bu yazıda bu tür saldırıların ilk etapta gerçekleşmesini önlemek için kurumunuzun WordPress sitesini güçlendirmenin beş yolunu öğreneceksiniz.
1) Eklentilerinizi düzenli olarak güncelleyin
WordPress her ne kadar kolay ve basit arayüze sahip olursa olsun, arka planı karmaşık bir içerik yönetim sistemidir. Eklentiler, eklentilerin birbiriyle etkileşimi gibi durumlar site güvenliğinizi zorluyor olabilir. Bilgisayar saldırganlarına kapıları kapatmanın en basit yollarından biri, sürekli tüm WordPress eklentilerinizi güncellemektir. Saldırganlar, web sitenizi tarayabilen ve tüm eklentilerinizin bir listesini görebilen WPscan gibi bir takım yazılımlar kullanır. Zayıf, güncel olmayan, güvenlik açığı bulunan eklentileri kullanan web sitelerini tararlar. Güvenlik ve bakım düzeltmeleri WordPress tarafından düzenli olarak yayınlanır. Eklentileri oluşturan geliştiriciler ayrıca iyileştirmeler ve güvenlik yamaları sağlar. Tüm eklentilerinizi ve temanızı güncel tutmayı unutmamak web sitenizi korumanın en iyi yollarından biridir.
İpucu: Kullanılmayan eklentileri silin
Devre dışı bıraktığınız ve kullanmadığınız eklentileri görüntülemek için WordPress kontrol panelinize giriş yapın. Eklentiler bölümünden Devre dışı olarak gördüğünüz eklentileri silin.
2) Kaliteli Web Hosting Şirketi İle Çalışın
“Ucuz etin yahnisi yavan olur” atasözümüzden yola çıkalım. Onlarca emek verdiğiniz sitenizin ve sitenizdeki bilgilerin bir anda uçup gitmesini önlemenin diğer bir yolu kaliteli ve güvenilir ve hosting şirketi ile çalışmaktan geçiyor.
WordPress için güvenlik ekstralarına, daha yüksek hızlara ve otomatik günlük yedeklemelere sahip olabilirsiniz.
3) Varsayılan kullanıcı adını değiştirin
WordPress yönetim paneli giriş sayfası, bir saldırganın site zayıflıklarını aramaya başlayacağı ilk yerlerden biridir. Kullanıcı adınızı (ve şifrenizi) defalarca tahmin etmeye çalışan, kaba kuvvet saldırısı olarak adlandırılan yazılımlar kullanmaktalar.
Bu kötü niyetli saldırganlar kurumunuzun sitesine giriş yaptığında ise web sitenizi ele geçirebilir; sayfalarınızı, ve yazılarınızı veya eklenti ve temalarınızı silebilir. Sitenizdeki tüm bilgileri kendisi indirip, sizin sitenizden siler ve bilgileri geri vermek için sizden fidye isteyebilir. Sitenizdeki kişisel verileri çalabilir.
WordPress’i saldırılara karşı korumanın üçüncü yolu, varsayılan kullanıcı adını benzersiz bir şeyle değiştirmektir. Eskiden kurulumda zorunlu olarak admin isminde bir kullanıcı açan WordPress geliştiricileri, bu durumun ne kadar yanlış bir tercih olduğunun farkına vardı. Zira kötü niyetli kişiler saldırılarını öncelikle admin kullanıcılarında parola denemeleriyle yapıyorlardı. Kurumunuzun web sitesinin yönetici hesabının kullanıcı adı da sizin adınız ya da yonetici, admin, root gibi alışagelmiş kullanıcı adlarından olmamasına özen gösteriniz.
İpucu: Sitenize giriş yapmaya çalışanları kontrol edin.
Limit Login Attempts Reloaded veya Sucuri gibi bir eklenti kullanarak yönetim panelinize giriş yaparken kullanıcıların en fazla kaç defa giriş denemesi yapabileceklerini sınırlandırın.
Birinin WordPress giriş sayfasını kaç kez kullanabileceğini sınırlayan bir eklenti kullanmayı düşünün. Örneğin, bir kullanıcı beş dakika içinde 10 kez giriş yapamazsa (Ki bu bir saldırgan yazılımı olabilir) onun 20-30 dakika beklemesini bu eklentilerle sağlayabilirsiniz. Bu durum saldırganların giriş denemelerini azaltmalarına yardımcı olacaktır.
4) Uzun ve karmaşık şifreler kullanın
Saldırganların sitenize giriş için izlediği diğer bir yol parola denemeleri olduğunu 3. adımda bahsetmiştik. Bu yolu kapatmanın bir yöntemi de güçlü parolalar kullanmaktan geçiyor.
Bilgisayar saldırganları, kısa ve zayıf parolaları da bulmak için kullanıcı adınızı bulabilen aynı tarama yazılımını kullanır. Bu tarama yazılımlarının sizin parolanızı tahmin etmesini ve içeri girmesini zorlaştırın.
Kaçınılması gereken şifre örnekleri: admin, 123456, password
İpucu: Bir parola üreticisi kullanın
Altı veya daha fazla kelimeden oluşan şifreler oluşturan bir oluşturucu kullanın. Bu teknik, bir tarama yazılımının tahmin edilmesini zorlaştırır, çünkü kelimeler rastgele ve benzersizdir – onları saldırılara karşı dirençli hale getirir.
Karmaşık ancak hatırlaması daha kolay bir şifre oluşturmak için, sözcüklerin bir araya getirilmiş sayılarla birleşimini kullanın. Sizin için kişisel anlamı olan kelimeler kullanabilirsiniz. Her kelimeyi tire veya alt çizgi ile ayırabilirsiniz.
Parola üreticisi olarak Diceware ve Duckduckgo’yu tavsiye edebiliriz.
5) Web sitesi yedekleyin
WordPress web sitenizi güvenliğinizi güçlendirmenin beşinci yolu, dosyalarınızı düzenli olarak yedeklemektir.
Web sitenizin güvenliği ihlal edildiğinde, olay gerçekleşmeden önce geri dönüp sitenizi geri yükleyebilmek istersiniz. WordPress dosyalarınızın günlük kopyalarını sitenizin dışında bir yere kopyalamak güvenli bir zaman makinesine sahip olmak gibidir.
Yedeklemeniz gereken WordPress dosyaları:
- Veritabanı – Sitenizin beyni
- Tema – web sitenizin görünümü
- Eklentiler – sitenize işlevsellik katan kodlar
- Ortam – Sitenize yüklediğiniz fotoğraflar ve belgeler
- Dosyaları yedeklemek için Google Drive, Dropbox gibi bulut tabanlı bir hizmeti kullanmayı unutmayın. Yedek aldığınız dosyalarınızın web sitenizle aynı sunucuda bulunması pek güvenli olmayacaktır.
İpucu: Yedeklerinizi otomatikleştirin
Yedekleme işlemini basitleştirmek için Updraft Plus gibi ücretsiz bir eklenti kullanın. Bu eklentiyle zamanlama ayarlayabilir ve hangi dosyaların yedekleneceğini seçebilirsiniz.