WordPress Sitenizi Hackerlara Karşı Koruyun
Pek çok WordPress sitesi, basitçe yapılacak bir kaç işlemin ardından hacklenmeye karşı dirençli hale getirilebilir. Nasıl yapıldığını yazımızda ele aldık.
İçerik Kısayolları
Hackerlar WordPress’i sık sık hedef alırlar. Hackerlar temaya, WordPress çekirdek dosyalarına, eklentilere ve hatta giriş sayfasına bile sızmayı denerler.
Bu adımları uygulayarak hacklenmeye karşı önlem alabilirsiniz ve eğer olur da yine hacklenirseniz, sitenizin önceki haline rahatlıkla geri dönebilirsiniz.
Hackerlar WordPress’e Nasıl Sızmaya Çalışır?
İnternetteki tüm siteler düzenli olarak saldırı almaktadır. Kullandığınız içerik yönetim sistemi phpBB forum da olsa, WordPress altyapılı bir site de olsa fark etmez. Hackerlar daima her siteyi hedef alır ve almaktadır. Hackerlar için günde binlerce kez login – giriş yapmayı denemek ya da günde binlerce sayfayı taramak sıradışı değil, olağan bir durumdur.
Unutmayın, örnek verdiğimiz hacker, yalnızca bir tane. Bazı durumlarda bir siteye aynı anda birkaç hacker saldırır.
Genel olarak sitenizi hacklemeye çalışan kişi mutlaka bir ‘insan’ olmak zorunda değildir. Hackerların yazmış oldukları bazı otomasyon mantığıyla çalışan yazılımlar, web sitelerinde spesifik bir zayıf nokta var mı diye sürekli olarak gezinmektedir.
Bahsettiğimiz bu otomasyon mantığıyla çalışan yazılım programları “bot” olarak adlandırılır. Ben onları hacker botları olarak adlandırdım ki içerik çalmaya çalışan yazılımlar olan scraper botlarından ayırt edebileyim.
WordPress Sitenizde Güvenlik Duvarı Oluşturun
Güvenlik duvarı dediğimiz, bir yazılımdır ve zorla girmeye çalışan zararlı yazılımları engeller. Ben, en iyi WordPress güvenlik duvarı, Wordfence ismindeki eklenti olduğunu düşünüyorum.
Wordfence, sitenize gelen bir ziyaretçinin, siteniz üzerindeki davranışının zararlı bir botla eşleşip eşleşmediğini kontrol eder. Eğer bot belli başlı kuralların dışında davranırsa, mesela kısa süre içerisinde çok fazla sayfa açmaya çalışırsa, Wordfence botu otomatik olarak engelliyor.
Wordfence aynı zamanda Google ve Bing botları gibi yasal ve yararlı botların sitenizde dolaşmasına izin verecek şekilde programlanmıştır. Wordfence, yayıncıya IP adresine göre, IP adres aralığına göre ve hatta sahte tarayıcı için kullanıcı aracısı kullanan botları engelleme seçeneğini dahi sunmaktadır.
Kullanıcı Aracısı -User Agents- Hakkında
Bir kullanıcı aracısı internet sitesine erişen kişinin hangi tarayıcıyı (Chrome, Firefox, Safari) kullandığını ve hangi işletim sistemini çalıştırdığını (Windows 10, Mac OS X gibi) içeren bilgileri iletmektedir.
Örneğin, bir kullanıcı aracısı Mac OS X bilgisayar üzerinde, Safari 11 tarayıcısı ile webde dolaşıyor olsaydı, şu verileri görecektik:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15
Botlar sıklıkla farklı kullanıcı aracısı kullanırlar. Böylelikle internet sitelerini kandırıp sızmayı denerler. Örneğin bazı botlar Windows XP üzerinde bir tarayıcı ile bağlanıyormuş gibi görünürler.
Esasında Windows XP kullanan ‘gerçek’ kullanıcıların sayısı sıfıra yakındır. Eğer istersem Wordfence üzerinde, Windows XP işletim sistemi üzerinden siteye erişim sağlayan tüm botları tek bir kuralla engelleyebilirim. Böylelikle tek bir işlemle binlerce kötü niyetli bot yazılımı, hangi ülkeden veya hangi IP adresinden olduğu fark etmeksizin engelleyebilirim.
Kötü niyetli botlar bazı durumlarda bir başka kullanıcı aracısına geçerler. Bu kuralları birleştirerek, site sahipleri çeşitli bir çok kötü hacker botlarını engelleme şansına sahip olur.
Bu saydıklarımın hepsi, Wordfence’in ücretsiz sürümile yapılabiliyor.
Ücretli sürümde ise bazı ülkeleri tamamen engelleyebiliyorsunuz. Eğer belirli ülkelerden yalnızca kötü niyetli ziyaretçileriniz varsa, o ülkelerdeki ziyaretçileri tek seferde engelleyebilirsiniz.
Suistimale Karşı WordPress Koruması
Ek olarak Wordfence’in ücretli sürümü, sitenizi işin başında, pek çok tehlikeli temadan ve eklentiden korur.
Wordfence araştırmacıları bir kez suistimal edilen bir tema veya eklenti ile karşılaştıklarında, derhal güvenlik duvarının ücretli versiyonunu güncellerler böylelikle bu zararlı hallerden ücretli abonelerin kaçınmasına yardımcı olur. Üstelik bazı durumlarda ilgili zararlı eklentinin tekrar güvenli hale getirilmesi haftalar sürebiliyor. Böylelikle, kullandığınız bir uygulama ile ilgili bir güvenlik açığından etkilenmiyorsunuz.
Sitenizin Güvenliğini Güçlendirme
Bir diğer ücretsiz eklenti, ilave bir koruma tabakası sunuyor. İsmi Sucuri Security. Sucuri (GoDaddy’e ait) WordPress güvenliği konusunda zararlı botları engellemekten tutun da, belirli tür saldırıları avantaja çevirmeye kadar pek çok işi yapabiliyor. Aynı zamanda malware tarama özelliği ile sitenizdeki tüm dosyaları değişmiş olup olmadıklarını kontrol edebilmenize olanak sağlıyor.
Sucuri, sitenize biri her giriş yaptığında size bir bildirim gönderiyor. Böylelikle site sahipleri bir hackerın oturum açması durumunda haberdar olabiliyor. Sucuri aynı zamanda, site üzerindeki bir dosyada değişiklik olduğunda da bildirim gönderiyor, hackerlar sıklıkla dosya değiştirdiği için.
Sucuri’nin ücretsiz sürümünün özellikleri şunlar:
- Güvenlik Etkinliği Denetimi
- Dosya Bütünlüğü Takibi
- Uzaktan Kötü Amaçlı Yazılım Taraması
- Kara Liste Takibi
- Etkili Güvenlik Güçlendirmesi
- Olası Hack Sonrası Güvenlik Tepkileri
- Güvenlik Bildirimleri
Sucuri’nin ücretli versiyonu, bu özelliklere ek olarak internet sitesi güvenlik duvarını içerir.
Oturum Açma Limiti
Wordfence, WordPress oturum açma sayfasında kullanıcı adı ve parolayı art arda dolduran botları engelleyebilir.
Ancak eğer bu oturum açma işlemlerini kısıtlamaya odaklanmak istiyorsanız, bunun için Limit Login Attempts Reloaded isimli eklentiyi kullanabilirsiniz. Bu eklenti, site sahiplerinin belirli sayıda başarısız kullanıcı adı ve şifre kombinasyonu giren tüm hackerları otomatik olarak engellemesini sağlar.
Örneğin hackerların parolayı tahmin ederek giriş yapabilmelerini engellemek için 3 başarısız girişimden sonra oturum açmayı engelleme ayarı yapabilirsiniz.
Oturum açma engelleyicisinin diğer özellikleri:
- Oturum açarken yeniden deneme sayısını, her IP için olmak üzere sınırlayın. Bu sınırlama, tamamen özelleştirilebilirdir.
- Oturum açma sayfasında kalan yeniden denemeler veya kilitli kalma süresi hakkında kullanıcıyı bilgilendirir.
- İsteğe bağlı günlük kayıt ve isteğe bağlı e posta bildirimi.
- IP’leri ve kullanıcı adlarını kara listeye ya da beyaz listeye alabilmek mümkündür.
- Sucuri Web Sitesi Güvenlik Duvarı ile uyumluluk.
- XMLRPC ağ geçidi koruması.
- WooCommerce giriş sayfası koruması.
- Ekstra MU ayarları ile çoklu site uyumluluğu.
- GDPR uyumluluğu. Bu özellik açıkken, günlüğe kaydedilen tüm IP’ler gizlenir.
- Özel IP kaynakları desteği (Cloudfare, Sucuri gibi)
The Limit Login Reloaded eklentisi, şifreyi tahmin etmeye çalışan hack botlarını kapatmanın hızlı yoludur.
WordPress Sitenizi Yedeklemek
İnternet sitenizin günlük bazda otomatik yedeğini almak önemlidir. Herhangi bir afet gibi bir durumda çöken site, bir yedek kullanımı ile eski haline döndürülebilir.
Yedek alma konusunda pek çok çözüm var ancak ben UpdraftPlus WordPress Backup Plugin isminde son derece yararlı bir eklenti buldum. Updraft 2 milyondan fazla kullanıcının güvendiği, saygın bir seçim olacaktır.
Yedekleri günlük bazda e postayla gönderecek veya Dropbox, gibi bir bulut depolama konumuna gönderecek biçimde yapılandırılabilir.
Bir ara, bir siteden tüm tema düzeni dosyalarını yanlışlıkla kaldırmış bulundum, sitenin tüm teması mahvoldu. Ancak bir UpdraftPlus yedeğini kullanarak siteyi tam anlamıyla eski haline döndürebildim. Yapması kolaydı ve bu eklentiye fazlasıyla minnettar oldum.
Tüm Temaları ve Eklentileri Güncel Tutun
Sitenizde bulunan tüm temaların ve eklentilerin her zaman güncel olması çok önemli. WordPress tüm eklentileri otomatik olarak güncelleme seçeneğini sunuyor, zira bazı site yöneticileri sık sık oturum açmadan da sitelerini kullanabiliyorlar.
Otomatik güncelleme özelliğini aktif ederek, site yöneticileri eklentilerinin daima güncel kaldığından emin olabilirler. Güncel olmayan eklenti kullanmak hacklenmelere veya site ile ilgili kimi verilerin gizliliğinin ifşa olmasına sebebiyet verebilir.
Eklentileri otomatik güncelleme özelliğini kullanmayanlar, bu tercihleri için farklı sebepler sunabilir örneğin güncellenmiş bir eklenti, diğer eklentilerle uyumlu çalışmayabilir. Ancak artık bu gibi olumsuz durumlar çok nadiren gerçekleşiyor.
Site yöneticileri bunu sık sık değiştirmiyor, ancak muhtemelen otomatik güncelleme özelliğini kullanmak olumlu sonuçlar verecektir.
Güncelliğini Yitirmiş Eklentileri Fark Edin
Son uyarımız, artık güncellenmeyen eklentiler üzerine olacak. Bazı eklentiler sitenizde hala çalışıyor olabilir ve bu eklentiler geliştiricileri tarafından güncellenmiyor olabilir. Bu eski eklentileri kullanmak sitenizde bir açık yaratır. Ancak bu eklentiler, geliştiricileri tarafından terk edildikleri için, yarattıkları açıklar asla düzeltilmeyecek demektir.
Bir diğer sorun ise, hackerların bazen eski eklentileri satın alması ve onları malware ve virüslerle doldurduktan sonra güncellemesidir.
WordPress sitenizde bulunan bütün eklentileri kontrol edin ve hiçbirinin geliştiricisi tarafından bırakılmadığına ve düzenli aralıklarla güncelleniyor olduklarına emin olun.
WordPress Sitenizi Hackerlara Karşı Koruyun
Pek çok site, bu küçük adımları uygulayarak hacklenmekten kurtulabilir. Bu eklentilerin ücretsiz sürümleri bile azımsanmayacak derecede koruma sağlamaktadır, ücretli sürümleri ise siteleri daha da güvenli hale getirmektedir.
Etrafta çok fazla güvenlik temalı eklenti var ve aslını isterseniz bu eklentilerden bazıları bizzat kendileri, siteleri savunmasız duruma getirmektedir. Bence Wordfence ve Sucuri, WordPress güvenliği için en harika seçim olacaktır.
Hocam bloglarınızı okuyarak baya bir şeyler öğrendim; çok güzel yardımcı oluyorsunuz, sağolun. Ben de sizin gibi seo freelancer olmak istiyorum. Bu işlere nereden başlamalıyım, bana önerebileceğiniz tavsiyelere açığım hocam.