Kategoriler
Wordpress

Birkaç kolay adımda WordPress güvenliği

İçindekiler

  • Kullanıcı adı olarak ‘admin’i kullanmayın
  • Karmaşık bir parola kullanın
  • İki faktörlü kimlik doğrulama ekleyin
  • En az ayrıcalıklı ilkeleri uygulayın
  • Gizle wp-config.phpve.htaccess
  • Kimlik doğrulama için WordPress güvenlik anahtarlarını kullanın
  • Dosya düzenlemeyi devre dışı bırakın
  • Oturum açma bilgilerinizi gizleyin ve oturum açma girişimlerini sınırlayın
  • XML-RPC ile seçici olun
  • Hosting ve WordPress güvenliği
  • Güncel kalın
  • Daha fazla güvenlik katmanı yerleştirin
  • En iyi güvenlik eklentileri ve temaları

1. Kullanıcı adı olarak ‘admin’i kullanmayın

En WordPress ‘hack’ ve saldırılar deneyin ve daha sofistike bir şey yapmayın kaba kuvvet şifrenizi tahmin ederek yönetici alana kendi yolunu. Yönetici kullanıcı adınızı da tahmin etmeleri gerekmiyorsa, bu onlar için çok daha kolay! Kullanıcı adlarınız için genel kelimeleri (yönetici gibi) kullanmaktan kaçınmak, kaba kuvvet saldırılarını çok daha az etkili hale getirebilir.

Zaten ‘yönetici’ kullanıcısı olan daha eski bir siteyle çalışıyorsanız, bu hesabı silmenin ve herhangi bir içeriği veya erişimi daha güvenli bir kullanıcı adına aktarmanın zamanı gelmiş olabilir!

2. Karmaşık bir parola kullanın

Daha iyi bir şifreye sahip olmak, tahmin etmeyi veya kaba kuvvet kullanmayı çok daha zor hale getirebilir. Hatırlanması kolay bir ipucu CLU : Karmaşık. Uzun. Benzersiz.

Ancak daha uzun, benzersiz şifrelerin hatırlanması zor olabilir, değil mi? Her biri şifre oluşturucuya sahip oldukları için 1Password ve LastPass gibi araçlar burada devreye giriyor. Gerekli uzunluğu yazarsınız ve sizin için bir şifre oluşturur. Bağlantıyı kaydedersiniz, parolayı kaydedersiniz ve gününüze devam edersiniz. Parolanın ne kadar güvenli olmasını istediğinize bağlı olarak, uzun bir parola ayarlamak (20 karakter iyidir) ve #veya gibi daha az alışılmış karakterlerin dahil edilmesi gibi şeylere karar vermek mantıklıdır *.

3. İki faktörlü kimlik doğrulama ekleyin

“Yönetici” kullanmıyor olsanız ve güçlü, rastgele oluşturulmuş bir şifreniz olsa bile, kaba kuvvet saldırıları yine de bir sorun olabilir. Endişelenmeyin, iki faktörlü kimlik doğrulama sitenizi korumaya yardımcı olabilir.

İlke, yalnızca oturum açma ayrıntılarınızı girmek yerine, sahip olduğunuz başka bir cihazdan (genellikle telefonunuzdaki bir uygulama aracılığıyla) tek seferlik bir kod girerek de olduğunuzu onaylamanız gerektiğidir . Saldırganların numara yapması çok daha zor!

WordPress’te kimlik doğrulamayı işlemek için iki popüler eklenti, Google Authenticator ve Rublon Eklentisidir (biraz farklı bir yaklaşım gerektirir). Yedek kodlarınızı kaybetmediğinizden emin olun, yoksa kendinizi kilitlenmiş bulabilirsiniz.

4. En az ayrıcalıklı ilkeleri uygulayın

WordPress.org ekibi birlikte ilgili WordPress Kodeksi harika bir makale koydu konumları ve kabiliyetleri . Aşağıdaki adım için geçerli olduğu için onu okumanızı ve aşina olmanızı öneririz.

En Az Ayrıcalıklı kavramı basittir. Yalnızca şunlara izin verin:

  • ihtiyacı olanlar
  • ihtiyaç duyduklarında ve
  • sadece ihtiyaç duydukları zaman için.

Bir kişi bir yapılandırma değişikliği için geçici yönetici erişimine ihtiyaç duyuyorsa, bunu verin, ancak görev tamamlandıktan sonra kaldırın. İyi haber şu ki, burada en iyi uygulamaları kullanmak dışında fazla bir şey yapmanız gerekmiyor.

Popüler inanışın aksine, WordPress örneğinize erişen her kullanıcının yönetici rolü altında kategorize edilmesi gerekmez . İnsanları uygun rollere atarsanız, güvenlik riskinizi büyük ölçüde azaltırsınız.

5. Gizle wp-config.phpve.htaccess

Dosyanız wp-config.phpve .htaccessdosyanız WordPress güvenliğiniz için kritik öneme sahiptir. Genellikle sistem kimlik bilgilerinizi içerirler ve sitenizin yapısı ve yapılandırması hakkında bilgi verirler. Saldırganların bunlara erişememesini sağlamak hayati önem taşır.

Bu dosyaları gizlemek nispeten kolaydır, ancak yanlış yapmak sitenizi erişilemez hale getirebilir. Bir yedek alın ve dikkatli bir şekilde ilerleyin. WordPress için Yoast SEO, bu süreci sizin için biraz daha kolaylaştırır. Öğenizi düzenlemek için “Araçlar> Dosya Düzenleyicisi” ne gitmeniz yeterlidir .htaccess.

Daha iyi WordPress güvenliği için, .htaccessaşağıdakileri korumak için bunu dosyanıza eklemeniz gerekir wp-config.php:

<Files wp-config.php>
order allow,deny 
deny from all
</Files>

Bu, dosyaya erişilmesini engelleyecektir. .htaccessDosyanızın kendisi için benzer kod kullanılabilir :

<Files .htaccess>
order allow,deny 
deny from all
</Files>

6. Kimlik doğrulama için WordPress güvenlik anahtarlarını kullanın

‘Kimlik doğrulama anahtarları’ ve ‘tuzlar’, temelde, web sitenize özel, çerezlerdeki bilgilerin güvenliğini (şifreleme) artıran rastgele değişkenler kümesidir.

Kişisel wp-config.phpdosya (sadece almak kendi değişkenlerini sağlayabilir adanmış alana sahiptir tuşları yeni bir dizi buradan ve yapıştırın).

7. Dosya düzenlemeyi devre dışı bırakın

Bir bilgisayar korsanı içeri girerse, dosyalarınızı değiştirmenin en kolay yolu WordPress’te “Görünüm> Düzenleyici” ye gitmek olacaktır. WordPress güvenliğinizi artırmak için , bu dosyaların bu düzenleyici aracılığıyla düzenlenmesini devre dışı bırakabilirsiniz . Yine, wp-config.phpbu kod satırını ekleyerek dosyanızın içinden yapabilirsiniz :

define('DISALLOW_FILE_EDIT', true);

En sevdiğiniz (S) FTP uygulaması aracılığıyla şablonlarınızı yine de düzenleyebileceksiniz. Bunu WordPress’in kendisi aracılığıyla yapamazsınız.

8. Oturum açma bilgilerinizi gizleyin ve oturum açma girişimlerini sınırlayın

Kaba kuvvet saldırıları genellikle oturum açma formunuzu hedef alır. Bu nedenle, yaşadığı yeri değiştirmek saldırganların içeri girmesini zorlaştırabilir. Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı eklentisi , varsayılan URL’yi (den /wp-admin/) daha güvenli bir şeye değiştirme seçeneğine sahiptir .

Bunun yanında, belirli bir IP adresinden oturum açma girişimlerinin sayısını da sınırlayabilirsiniz. Giriş formunuzu, çok sayıda giriş denemesini tetikleyen IP adreslerinden korumanıza yardımcı olacak birkaç WordPress eklentisi vardır .

9. XML-RPC ile seçici olun

XML-RPC , bir süredir var olan bir uygulama programı arayüzüdür (API). Bir dizi eklenti ve tema tarafından kullanıldığından, daha az teknik olanların bu özel sertleştirme ipucunu nasıl uyguladıklarına dikkat etmeleri konusunda uyarıyoruz.

İşlevsel olsa da, devre dışı bırakmanın bir bedeli olabilir. Bu nedenle, her şey için devre dışı bırakmayı önermiyoruz, ancak ona nasıl ve neye erişmenize izin verdiğiniz konusunda daha seçici davranmanızı tavsiye ediyoruz. WordPress’te, Jetpack kullanıyorsanız, burada daha dikkatli olmak isteyeceksiniz .

Varsayılan olarak XML-RPC’yi uygulama ve devre dışı bırakma şeklinizde çok seçici olmanıza yardımcı olacak bir dizi eklenti vardır .

10. Hosting ve WordPress güvenliği

Web sitenizin güvenliği konusunda titiz olsanız bile, o kadar titiz olmayan bir şirket tarafından barındırılıyorsa, hiçbir şey yapmamış olabilirsiniz.

Bir saldırgan web sitenizin barındırma hizmetine erişebilirse, her şeyin tam kontrolünü ele geçirebilir. Bu , ev sahipliğini ciddiye alan bir ev sahibi seçmeniz (veya ona geçmeniz) için gerçekten önemli olduğu anlamına gelir . Daha ucuz barındırma seçenekleri genellikle iyi bir güvenlik veya yedeklerle gelmez veya saldırıya uğramış bir siteyi temizlemenize yardımcı olacak destek sunmayabilir.

Paylaşılan barındırma (ucuz paketlerde yaygındır) genellikle özellikle risklidir, çünkü saldırganlar aynı sistemdeki güvenliği ihlal edilmiş başka bir site aracılığıyla sitenize erişebilirler . Bu nedenle, ciddi kullanıcılara her zaman barındırma için biraz daha fazla harcama yapmalarını ve özel WordPress barındırma konusunda büyük bir üne sahip bir şirket kullanmalarını (örneğin GoDaddy veya WP Motoru ) tavsiye ediyoruz .

11. Güncel kalın

Güncel kalmak, yapılması kolay bir ifadedir, ancak bunun web sitesi sahipleri için her gün ne kadar zor olabileceğinin farkındayız. Web sitelerimiz karmaşık varlıklardır. Herhangi bir zamanda birçok farklı şey oluyor. Ve bazen değişiklikleri hızlı bir şekilde uygulamak zordur. Bu nedenle, web sitelerinin güncel olmayan kod çalıştırması alışılmadık bir durum değildir. Hem eklentilerinde hem de temel yazılımlarında. Ne yazık ki, bu onları bilinen istismarlara karşı özellikle savunmasız hale getiriyor.

Temalarınızı, yazılımlarınızı, eklentilerinizi ve diğer bileşenlerinizi güncellemenin devam eden bir rutinin parçası olması çok önemlidir. Aksi takdirde, kapıyı saldırganlara açık bırakırsınız. Yoast SEO eklentisinin bir kullanıcısıysanız, Yoast SEO eklentinizi güncellemek için bu kolay adımları izleyin .

12. Daha fazla güvenlik katmanı yerleştirin

En iyi güvenlik çözümleri, saldırganların web sitenizin yakınında herhangi bir yere ulaşmasını engeller. Bu nedenle, çoğu sitenin bir tür WordPress güvenlik duvarı eklentisi çalıştırmasını öneriyoruz . Bu eklentiler, bilinen saldırganları ve yaygın saldırı kalıplarını arar ve sitenizi tehlikeye atma şansı bulamadan onları durdurur.

Ayrıca, birçok İçerik Dağıtım Sisteminin artık güvenlik duvarı işlevi içerdiğini de dikkate almaya değer ; performans optimizasyonunu korumayla birleştirmek. Özellikle Cloudflare , ‘kötü trafiği’ engellemek için harika bir iş çıkarır ve hatta WordPress sitelerini korumak için özel olarak geliştirilmiş kurallara ve taramalara sahiptir.

13. En iyi güvenlik eklentileri ve temaları

Çoğu WordPress kullanıcısı, sitelerine istedikleri zaman tema ve eklenti uygulama eğilimindedir. Özellikle bir test sunucusu kullanmıyorsanız, farklı temaları veya eklentileri test ederken dikkatli olmanızı öneririz. Çoğu eklenti ve birçok tema ücretsizdir ve geliştiricinin bu ücretsiz eşantiyonlara eşlik edecek sağlam bir iş modeli yoksa, geliştirme sırasında güvenlik en yüksek öncelik olmayabilir. Başka bir deyişle, bir geliştirici bir eklentiyi eğlenceli olduğu için sürdürüyorsa , muhtemelen uygun güvenlik kontrollerini yapmak için zaman ayırmamış olabilir.

Spreading Love by Sharing