Büyük ve küçük işletmeler WordPress’e güveniyor: Tüm İnternet’in en az %43’ü web sitelerini, e-ticaret uygulamalarını ve topluluklarını desteklemek için WordPress kullanıyor. Ancak WordPress’i çalıştırmanın riskleri vardır. Yalnızca 2022’de yalnızca iki eklenti, 6 milyon kullanıcının kritik güvenlik açıklarıyla karşılaşmasına, kullanıcı verilerinin, finansal bilgilerin, oturum açma kimlik bilgilerinin ve daha fazlasının riske atılmasına yol açtı.
WordPress’in güvenliğini sağlamak, çok az özel güvenlik personeli olan veya hiç olmayan küçük işletmeler için pahalı ve karmaşık olabilir. Neyse ki, WordPress sitelerini rahatsız eden en yaygın sorunlardan yedisi, yedi kolay düzeltmeyle giderilebilir.
1. WordPress Çekirdeğini Güncelleyin
WordPress’teki güvenlik açıklarının önde gelen sorunlarından biri, WordPress sitelerinin çalışması için ihtiyaç duyduğu temel dosyalar olan güncel olmayan Çekirdektir. WordPress, Çekirdek güncellemelerini her üç ayda bir yayınlar ve bir veya iki yayın döngüsünün eksik olması, bir siteyi kolayca savunmasız bırakabilir. WordPress’in kullanım istatistikleri, sitelerin yaklaşık %40’ının eski sürümlerde çalıştığını gösteriyor.
Site yöneticilerinin, en son güncellemeler için sitenin WordPress kontrol panelini düzenli olarak kontrol etmeleri ve güncellemeleri uygulamak için sitenin kullanılamadığı bakım pencerelerini planlamaları gerekir.
2. Temaları ve Eklentileri de Güncelleyin
Çok sayıda tema ve eklenti sayesinde kullanıcılar yeni işlevleri kolayca özelleştirebilir ve deneyebilir. Aynı temaların ve eklentilerin de Core’un en son sürümüyle çalışabilmesi için düzenli olarak güncellenmesi gerekir. WordPress eklenti kontrol paneli, yüklü her eklentinin en son Çekirdek sürümüne karşılık gelen en yeni sürümlerini görüntüleyebilir.
3. Düzenli Kötü Amaçlı Yazılım Taramaları Çalıştırın
Saldırganlar, web sitelerini tehlikeye atmak için yaygın olarak kullanılan eklentilerdeki güvenlik açıklarından düzenli olarak yararlanır. Kurulumdan önce eklentileri kusurlara karşı kontrol edin (ve her zaman en son sürümü yükleyin). Düzenli olarak güvenlik taramaları gerçekleştirmek, potansiyel kötü amaçlı yazılım bulaşmalarının tespit edilmesine yardımcı olabilir. Enfeksiyon durumunda WordPress, tehditleri hızlı bir şekilde ortadan kaldırmanıza yardımcı olabilecek çeşitli siber güvenlik algılama ve kaldırma eklentileri sunar. Birincil hedef, sitenizin çekirdeğinin, temanızın ve eklentinizin güncel olduğunu ve şüpheli dosya ekleme veya kötü amaçlı yazılım içermediğini doğrulamaktır. Tarayıcılar genel olarak planlanmış aralıklarla çalışacak şekilde ayarlanmıştır ve tümü, kullanıcıların bir yönetim arayüzünden başlatabileceği isteğe bağlı tarama yetenekleri sunar.
Çekirdek ekipte herhangi bir siber güvenlik tespit ve kaldırma eklentisi bulunmadığını unutmayın. Patchstack, WPScan ve Wordfence gibi bağımsız araştırmacılar, güvenlik açıklarını eklenti yazarına ve çekirdek ekibe bildirebilir ve çekirdek ekip, eklentiyi wordpress.org’dan kaldırabilir.
4. Yan Adım Kredi Kartı Taraması
Saldırganların hassas kredi kartı bilgilerini toplamak için bir e-ticaret uygulamasına kötü amaçlı JavaScript kodu yerleştirdiği kredi kartı taraması, bilgisayar korsanlarının WordPress sitelerine saldırmak için kullandığı başlıca yöntemlerden biridir. Site sahipleri, siteyi ve eklentileri güncel tutmanın yanı sıra siber hırsızlığı engellemek için izleme araçları, güvenlik duvarları, izinsiz giriş tespit sistemleri ve sertifikalar kurmalıdır.
İşletme sahipleri, sistemleri müşterileri otomatik olarak kaymaya karşı koruyan, esas olarak doğrulanmış ödeme satıcıları olan Stripe veya PayPal gibi entegrasyonları kullanarak kendilerini buna karşı koruyabilirler. PCI uyumluluk denetiminin bir denetçiyle birlikte yürütülmesi kritik öneme sahiptir çünkü denetçi, uyumluluğu sağlamak için önerilen eylemleri içeren raporları paylaşacaktır.
5. Yetkisiz Girişleri Engelleyin
Saldırganların siteye erişim sağlamak için mümkün olan her şifre kombinasyonunu tekrar tekrar denediği kaba kuvvet saldırıları da diğer bir yaygın saldırı yöntemidir. Güçlü oturum açma kimlik bilgilerini kullanarak ve sitenin arka uç oturum açma sayfasını bulmayı zorlaştırarak saldırganların kaba kuvvet saldırıları başlatmasını zorlaştırın. WordPress sitenizi, varsayılan yola değil, farklı bir wp-admin giriş URL’sine sahip olacak şekilde yapılandırın. Bot koruması eklemek, potansiyel tehditlere karşı oturum açma koruması sağlar.
Ek olarak, CAPTCHA’ları sitenize eklemek, tekrarlanan oturum açma denemelerini hızla engelleyebilir. Kullanılan en popüler teknoloji ve eklentiler arasında GoogleReCAPTCHA v3 (WordPress için Görünmez reCaptcha) ve Hcapchta (WordPress için hCaptcha) bulunur. Kullanıcı dostu bir alternatif Cloudflare Turnikesi veya Basit Cloudflare Turnikesidir.
6. Arama Motoru Optimizasyonu (SEO) Spamını Durdurun
Saldırganlar, spam anahtar kelimeler ve pop-up reklamlar eklemek için bir sitenin güncel olmayan eklentilerinden ve temalarından, tanımlanmamış kullanıcı rollerinden, spam benzeri içerikten ve zayıf güvenlik kontrollerinden yararlanabilir. SEO spam’inin bir işareti, kötü amaçlı bir eklenti veya temadır. Tüm şüpheli görünen eklentileri ve temaları temizleyin, spam güvenlik eklentileri yükleyin ve sitenizi sık sık izleyin.
7. Dosya Ekleme Güvenlik Açığı’nı Takma
WordPress kurulumları çok sayıda hassas dosyaya dayanır (örneğin, wp-config.php, install.php ve readme.html). Gerekli önlemler alınmazsa, bu hassas dosyalar hızla savunmasız hale gelebilir ve bilgisayar korsanlarının bu dosyaların yanına tehlikeli kodlar ekleyerek sitenizde kendi kodlarını çalıştırmasına olanak tanıyabilir.
Bu güvenlik açıklarını önlemek için aşağıdaki kodu .htaccess dosyanıza ekleyin:
Options All -Indexes
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Bu kod, hassas kullanıcı dizinlerine erişimi engelleyebilir ve kritik WordPress dosyalarının değiştirilmesini önleyebilir, ayrıca dosyalarınızı yetkisiz erişime karşı koruyabilir.
Güvenliği Sıkı Tutmak
Sıkı güvenlik, WordPress’ten en iyi şekilde yararlanmanın anahtarıdır. WordPress birçok bilgisayar korsanı için cazip bir hedef olsa da kullanıcılar siber riski azaltmak ve saldırıları engellemek için kolay adımlar atabilir.
Kötü niyetli aktörleri uzaklaştırmak, WordPress’inizin tamamen güncel olmasını sağlamak ve mevcut güvenlik eklentisi tekliflerinin zenginliğinden yararlanmak kadar basit olabilir. Kullanmayı düşündüğünüz temaların ve eklentilerin yanı sıra seçtiğiniz barındırma sağlayıcısının dikkatli bir şekilde araştırılması, milyonlarca siteyi sekteye uğratan tuzakların önlenmesinde uzun bir yol kat edebilir.