WordPress site kurduktan sonra, WordPress sitenizle ilgili hack sorunu yaşayanlar, sitesinde devamlı hacklink gibi sorunlarla karşı karşıya kalanlar ya da sitenizde yoğun spam yorumlarıyla birlikte sorun yaşıyorsanız bu rehber tam size göredir. WordPress sitenizde spam mail çıkışı sorunlarıyla karşı karşıya kalmanız halinde, bu sorunlarınızın bütününü çözebilecek bir güvenlik denetim kontrol listesi hazırladık.
Web sitenizi kurduktan sonra standart haliyle tam güvenlidir. Fakat daha sonra kurulan eklentiler, temalar ve birçok ayarlama, sitenizde bazı güvenlik açıklarına neden olabilir. Bu konuda emin olabilmek için güvenli olması konusunda sizlere güvenlik deneyimi yapabileceğiniz sıkı bir liste hazırladık.
İyi bir WordPress güvenlik kontrolü nasıl yapılır, kolayca anlatmaya çalışacağız.
WordPress Güvenlik Denetimi Nedir ve Ne İçerir?
Web siteniz içerisinde güvenliği ihlal eden belirtiler varsa eğer bunların açığa çıkması konusunda kontrol etme işlemidir. Herhangi bir şüpheli işlem, link, backlink, kötü amaçlar için hazırlanmış kod, güvenlşik açığı ya da performansın düşüşüne neden olan tüm aramaları WordPress kontrolü rehberimiz ile yapabileceksiniz.
Temel WordPress güvenliği içinde, birçok manuel gerçekleştirilebilir basit yöntemler bulunur. Ancak kapsamlı bir denetim konusunda, direkt olarak otomatik gerçekleştirebileceğiniz iyi bir WordPress güvenlik denetim aracını da kullanmak mümkündür.
Bunun yanı sıra birçok WordPress güvenlik denetim hizmetleri için online siteler üzerinden de kontroller bulunmaktadır. Buna bağlı eğer şüpheli bir durum bulunursa, direkt kaldırılabilir veya düzeltebilirsiniz.
WordPress Güvenlik Denetimi Ne Sıklıkla Yapılmalıdır?
Şartlar dahilinde WordPress sitenize güvenlik denetimini her 3 ayda bir yapmalısınız. Herhangi bir hack girişimi ya da sorun yaşamamak için gereken tüm kontrolleri sağlama konusunda güvenlik boşluklarını kapatmanızı bu süre aralıklarıyla yapabilirsiniz.
Eğer şüpheli bir durum olursa, her 3 ayda yapılacak denetimler sayesinde de güvenlik denetimleriyle sorunu ortadan kaldırabilmek mümkün olabilecektir.
Ayrıca sitenizin güvenlik denetimine ihtiyaç duyacağı anlar ise şunlardır:
- Web site ani yavaşlık veya durgunluk,
- Web sitenizde ziyaretçi sayısında düşüşlük varsa,
- Web sitenizde şüpheli hesaplar açılması, şifre isteklerinin gelmesi, giriş denemeleri
- Web sitenizin içerisinde şüpheli linkler, hacklink gibi linkler eklendiyse,
Bu maddelere göre sitenizin WordPress güvenlik denetimini nasıl kolayca yapacağınıza dair bilgi paylaşmaya devam edelim…
WordPress Site Güvenlik Denetimi Kontrol Listesi
WordPress siteniz için güvenlik denetimi gerçekleştirilmesi için doğru güvenlik adımları şu şekildedir:
1.Yazılım güncellemeleri
WordPress güncellemesi yapmak, sitenizin güvenlik açığı ya da benzer sorunların ortadan kalkması için önemlidir. Güvenlik açıklarını bulan WordPress geliştiricileri, önemli gördüğü anlarda yeni özellikleriyle ve performans arttırmak amacıyla yeni sürüm yayınlarlar.
WordPress scriptinizin dışında hem tema hem de eklentilerinizin de güncel olduğundan her zaman emin olun. Gerekli güncellemeleri Pano’dan Güncelleştirmeler sayfasına giriş yaparak basit bir şekilde yapabilirsiniz.
Bu sayfada WordPress’e, bir güncelleme olup olmadığını sorgulatıyorsunuz. Eğer bir güncelleme varsa, sizlere öneriyor ve güncellemenizi aynı sayfada yapabiliyorsunuz. Bir WordPress güncellemesi nasıl yükleneceğine dair sayfamızda birçok yazı mevcut, bu konuda da WordPress yedek alma ve sonrasında güncelleme yapmayı sizlere öneriyoruz.
2.Kullanıcı hesapları ve şifre kontrolü önemli
Güncelleme bittikten sonra, 2. Adımda ise kullanıcılarla ilgili işlemleri kontrol edeceğiz. Yine Pano’da bulunan Kullanıcılar > Tüm kullanıcılar sayfasını açarak, buradan WordPress kullanıcı hesaplarınızı kontrol ediniz. Şüpheli ya da spam olarak gördüğünüz hesapları kontrol ederek, gerektiğinde bunları direkt şifre değiştirmeli ya da silmelisiniz.
Eğer online mağazanız, e-ticaret siteniz varsa; üyelik sistemi sizler için önemli demektir. Bunun için online kurs satışı, hizmet veya ürün satışlarınızda oturum açan müşterileriniz elbette olacaktır. Bu gibi site içerikleri sahipleri, kullanıcı denetimi sonrasında şifrelerle ilgili genel bir işlem yapmamanızı öneririz.
Fakat siteniz bir blog veya işletme sitesi gibi web sayfası şeklinde ise, tek başınıza bir admin kullanıcısı varsa, diğer açılan kullanıcı hesaplarının güvenliğinden siz sorumlusunuz demektir. Yukarıdaki işlemler önemli olacaktır.
Kullanıcılar sayfasında göreceğiniz tüm şüpheli kullanıcı hesaplarını silmeniz gerekmektedir. Bunu unutmayın.
Eğer web sitenizde hesap oluşturma önemli değil ve gerekmeyen bir işlem ise, bunu kapatabilirsiniz. Bunun için Ayarlar > Genel sayfa menüsünden “herkes kayıt olabilir” seçeneğinin kutusunu kaldırın ve bu durumdan emin olun.
Ek bir yöntem daha istiyorsanız eğer, WordPress yönetici şifrenizi güncelleyin. Bununla beraber şifre güvenliğini arttırma konusunda https://tr.wordpress.org/plugins/two-factor-authentication/ adresindeki eklentiyi sizlere öneriyoruz. Bu eklenti ile iki faktörlü yetkilendirme ile 2 kez şifre girişi yaparak admin panele ulaşmak, siteniz için daha güvenlidir.
3.WordPress sitesi için güvenlik taraması
Bu adımda ise güvenlik açıklarını kapatma konusunda bize ön ayak olacak kontrollerimizi yapacağız. Burada kötü amaçlı yazılımları kontrol etme konusunda geçerli online birçok güvenlik tarayıcısı bulunuyor. Bu tarayıcıların amacı, sitenizdeki kötü amaçlı kod ya da güvenlik açığı olması gibi durumlara karşı sizlere iyi bir tarama sözü verir.
En iyi WP güvenlik açığı tarayıcısı IsItWP güvenlik tarayıcısı olacaktır. İhtiyacınızı giderecek değerde önemli bir güvenlik açığı kontrol aracı olan bu aracı öneririz.
Bu tarayıcıların tek dezavantanjı, sitenizde herkese açık sayfaları tarıyor olmalarıdır. Eğer bu yazıda aşağıdaki maddeleri de okuma zamanınız varsa, daha detaylı olarak denetimlerde neler yapılacak bilgisini de sunacağız.
4.Web sitenizin sayaçlarını analiz edin
Siteniz için yapılacak analiz, site trafiğini izleme konusunda size bilgi verir. Böylece sitenizle ilgili en doğru biçimde çalışan sayfaları da sizlere gösterir.
Eğer arama motorları, sitenizi spam olarak işaretler ya da kara listeye alma gibi bir duruma sokarsa, web site trafiğinizle ilgili ani düşüş yaşarsınız. Bu gibi durumları sayaçları kontrol ederek fark edebilirsiniz.
Eğer siteniz yavaş çalışırsa veya yanıt vermezse, genel sayfa görüntülenmelerinizin de ani düşüşlerini görebilirsiniz. Bu da yine sayaçlarınızı kontrol etmenizle beraber görülebilir olacaktır.
Google Analytics, YandexMetrica gibi sayaçlar kullanarak sitenizin trafiğini inceleyebilirsiniz. Genel sayfa görüntülenmesi dışında e-ticaret sitesi olanlar için de kayıtlı kullanıcılarla ilgili müşterilerinize ait formlarla ilgili yapılan tüm işlemleri izlemek mümkündür.
5. WordPress yedeklerinizi kontrol edin ve/veya ayarlayın
WordPress sitenize ait yedeklerinizi kontrol etmek veya ayarlamak, henüz yapılmasıysa WordPress yedekleme eklentisi ayarlamanızı tavsiye ederiz. Bu konuda WordPress yedekleme eklentileri konumuzu da inceleyerek, buradaki makalede geçerli birçok ücretli veya ücretsiz eklentiyi kullanarak ihtiyacınızı karşılayabilirsiniz.
Herhangi bir işlem sonucu sitenizde oluşacak hatalar, sitenizde güncelleme sonrası oluşan hatalara karşın yedek almak her zaman sizi kurtarır. Her zaman sitenize ait güncel yedek bulunması, bir şeylerin yanlış gitmesi konusunda sizi kurtarır.
Diğer bir yandan ise web site kurulumu ve kullanımına, blog tutmaya yeni başlayan kişiler de WordPress kurulum sonrasında yedekleme eklentilerini unutmaktadırlar. Bunun için de bir nevi uyarı niteliğinde olsun istiyoruz sizlere… Ara sıra bu kurulan yedekleme eklentilerinizin çalışıp çalışmadığını da kontrol etmenizde her zaman fayda vardır.
WordPress Güvenlik Denetimini Otomatikleştirin!
Bu rehberde bu ana kadar okuduğunuz her şey, manuel olarak kontrol listesidir. Güvenlik denetiminin otomatikleştirilmesini de isterseniz yapabilirsiniz. Çünkü manuel kontrol, çoğu zaman siteniz için güvenli olsa da manuel olması nedeniyle kapsamlı değildir.
Örneğin, sitenizle ilgili kullanıcı etkinliklerinin ya da dosyalardan oluşan farklılıkların, bununla birlikte şüpheli kodlar veya daha fazla manuel kayıtların tutulması zor olabilir. Bununla ilgili otomatikleştirmek, güvenlik denetiminin daha kolay şekilde kontrol altına alınması konusunda bir adım olacaktır.
Birkaç WordPress güvenlik ve güvenliği izleme eklentileriyle birlikte sizde otomatikleştirmeyi başarıyla yapabilirsiniz.
1. WordPress güvenlik denetim günlüğü
WordPress’in yüz binlerce eklentilerinden biri olan WP Security Audit Log eklentisiyle birlikte, en iyi şekilde site içi etkinlikleri ve saldırıları izlemeyi yapabileceksiniz.
Web site içerisindeki ziyaretçiler ve kullanıcıların, sitenizde neler yaptıklarını takip edebileceksiniz. Kullanıcı girişi, IP adresleri, web sitede yapılan işlemleri bu eklenti ile görüntülemek mümkündür.
Woocommerce kullanıcılarının, yazarların ve editörlerinin, web site içindeki diğer kullanıcılar dahil olmak üzere bu kullanıcıların tamamına ait site içi yapılan işlemleri izleyebilirsiniz.
İstediğiniz etkinlikleri açarak izleme yapabilir, etkinlikler arasında dilediğinizi de kapatabilir şekilde konfigüre edebilirsiniz.
Bunla beraber web siteye giriş yapan kişilerin canlı olarak görüntülenmesini de bu eklenti ile yapabilir, şüpheli bir durum olması halinde ziyaretçiyi banlayabilir ve siteye erişimini engelleyebilirsiniz. Detaylı bilgileri ise bu eklentiyi kullanarak, kullanım kılavunuza bakarak da inceleme yapabilirsiniz.
2. Sucuri
WordPress’in en iyi güvenlik duvarı (en iyi firewall eklentisi) eklentisi Sucuri eklentisidir. Bu eklenti sayesinde web sitenize ait en iyi güvenlik çözümünü de yapmış olabileceksiniz.
Şüpheli durumlar, şüphel girişimler ya da benzer sorunlarla karşı karşıya kalmamak adına engelleme konusunda DDoS saldırılarını engelleyen, koruma sağlayan bu eklenti sunucudaki ağırlığı da kaldırması sayesinde sitenize ek hız – performans katkısı sağlar.
WordPress dosyalarıyla ilgili oluşan bir şüpheli kod eklenmesi durumuna karşı ise anlık kontrolleri bulunur. Böylece herhangi olumsuz etkinliğe karşı da direkt olarak kodların temizlenmesi ile ilgili işlem de sağlamaktadır.
En iyi özelliği ise, Sucuri eklentisinin planlarından biri ücretlidir. Ancak ücretsiz olarak da kötü amaçlı dediğimiz virüslere karşı yazılım temizleme hizmetini sunuyor. Bu da sitenize sitenize kötü amaçlı yazılım varsa da, ücretsiz planlama dahilinde temizleneceği anlamını taşır.
Bu yazı çerçevesinde sizlere olabildiğince WP güvenlik denetimiyle ilgili neler yapılabilir konusunda değinmeye çalıştık. oguz.net.tr ekibi olarak her zaman bir rehber niteliğinde konular araştırmakta, paylaşmaktayız. Güvenlik konusunda da web sitenize dair nasıl koruma sağlanması gerektiğine dair adım adım talimatların hazırlandığı bu yazımızı detaylı olarak ihtiyacınız olan her zaman kılavuz niteliğinde görebilir ve okuyabilirsiniz.
