Güvenlik & amp;WordPress Sertleştirme, Kesin Kılavuz
WordPress çok popüler. İnternetteki beş siteden yaklaşık biri WordPress çeşitli şekillerde kullanır. Basit bir blog veya çok bölgeli içerik yönetim sistemi (CMS) veya e-ticaret sitesi çalıştırmak olsun. Sonuç olarak, WordPress web sitesinin hem deneyimli bilgisayar korsanları hem de senaryo çocuklar için çok popüler bir hedef olması şaşırtıcı değildir. Her web yöneticisinin istediği son şey, web sitelerinin saldırıya uğradığını bilmektir; rehin tutulabilir ve botnet, kötü amaçlı yazılım yayma veya Hizmet Reddetme (DOS) saldırısına katılmaktır. Bu makalede, WordPress sitenizi güçlendirmenize yardımcı olacak bir dizi ipucu ve stratejiyi paylaşacağız.
İçerik Listesi
WordPress güvenli mi?
Eklentiler ve temalar
Daha az yazılım çalıştırın
En az ayrıcalıklı olan ilkeye dikkat edin
WordPress eklentinizi ve temanızı güncelleyin
Eklentilerden uzak dur ve WordPress’in teması ‘Nulled’
WordPress’i güncellemeye devam edin
WordPress Hosting
WordPress Gösterge Tablosu
Kaydı Devre Dışı Bırak
Kimlik
İki faktör kimlik doğrulaması (2FA)
WordPress Çekirdek Sertleştirme
Hata ayıklama günlüğünü devre dışı bırakın
XML-RPC’yi devre dışı bırak
WordPress API dinlenmesini sınırlayın
WordPress sürümünün açıklanmasını önleyin
WordPress Kullanıcı numaralandırmasını önleyin
WordPress Dosya Düzenleyicisini Devre Dışı Bırak
Tema ve eklenti yönetimini devre dışı bırakın
TLS (SSL)
Sonuçlar ve sonraki adımlar
WordPress güvenli mi? Bu birçok sistem yöneticisi tarafından sorulan bir sorudur ve gerçekten de olmalıdır. WordPress bir bütün olarak iyi inşa edilmiş ve güvenli olmasına rağmen, “şirket sınıfı” değil, güvenlik açığı için savunmasız bir üne sahiptir. İtibar tamamen adil değil. Çoğu zaman, sorun WordPress’te güvenlik kısayolları alınırken kolayca yönetilen çok popüler bir yazılım paketi olarak yatmaktadır. Bu bizi ilk konumuza götürüyor – eklentiler ve temalar. WordPress’in güvenliğini bozan bir numaralı problemin eklentisi ve teması da onu çok popüler hale getiriyor. WordPress eklentileri ve temaları kalite ve güvenlik açısından büyük farklılıklar gösterir. Geliştiricilerin daha güvenli bir eklenti ve tema oluşturmasına yardımcı olmak için WordPress ekibi tarafından çok fazla çalışma yapılırken, hala bir güvenlik kabusu olarak kalıyorlar. Bu, iyi bakılmayan eklentiler veya belirsiz kaynaklardan elde edilen eklentiler kullanılırken dikkate alınabilir. WordPress eklentisini ve temasını tartışmaya devam etmeden önce, önce WordPress eklentilerinin ne olduğunu anlayalım. Eklenti, WordPress’in WordPress işlevselliğini genişletmek için çalıştığı özel bir PHP kodudur. Daha ayrıntılı ve teknik bir açıklama için WordPress eklentisinin ne olduğuna bakın.
Benzer şekilde, WordPress teması WordPress sitenizin görsel yönlerinde ayarlamalara izin verir. Saldırganın bakış açısından, ikisi arasında küçük bir fark vardır, çünkü ikisi tehlikeli bir kod çalıştırmak için kötüye kullanılabilir. Daha az yazılım çalıştırın, bir eklentinin tehlikeli olup olmadığını nasıl bilebilirsiniz? Bu karmaşık bir soru, ama neyse ki sizin için bir cevabımız var. WordPress web siteniz için en iyi WordPress eklentisini nasıl seçeceğiniz hakkında ayrıntılı olarak bu konuda yazdık. Gerekli tüm araştırmaları yapsanız da, eklentinin hala bir güvenlik tehdidi olma olasılığı da vardır. Bu nedenle, riskinizi azaltmanın bir yolu, gerçekten ihtiyacınız olan ve güvendiğiniz yazılımı çalıştırmaktır. Yeni bir WordPress eklentisi yüklemeden önce, eklentiyi gerçekten yüklemeniz gerekip gerekmediğini kendinize sorun. Özel bir eklenti sitesindeki küçük bir kod parçası hile yapabilir mi, yoksa tamamen patlamış bir eklentiye mi ihtiyacınız var?
İnternette bulduğunuz kod görüntülerine dikkat edin. StackOverflow’da olduğu için işlevini gerçekten anlamadığınız sürece asla bir kod parçası kullanmayın, kullanımı güvenli olduğu anlamına gelmez. Gerçekten bir eklenti çalıştırmanız gerekiyorsa, kılavuzumuzda açıkladığımız gibi eklentinin aktif olarak korunduğundan ve düzenli olarak güncellendiğinden emin olun. Pratik bir kural olarak, eklentilerin veya temaların sahip olduğu daha fazla en son indirme ve güncelleme, yaygın olarak kullanıldığını ve yaratıcısı tarafından aktif olarak korunduğunu göstermektedir. Bu, eklentinin asla bir güvenlik açığı olmayacağı anlamına gelmez. Ancak, güvenlik açığı bulunursa, geliştirici hızlı hareket eder ve hızlı bir şekilde iyileştirmeler yapar. Çok fazla indirme olmayan ve kritik olmayan eklentilerden kaçınmaya çalışın, aktif bir topluluk ve rutin güncellemeler yoktur. Bir yıl içinde bir güncelleme almadıysa, genellikle bir tehlike işaretidir. En azından ayrıcalıklı olan WordPress’in veritabanlarına bağlanmak için Root MySQL kullanıcılarını kullanması gerekmeyen prensibe dikkat edin. Her WordPress kullanıcısının da yönetici olarak bir rolü olması gerekmez. Aynı şekilde, bunu yapmak için özel nedenler olmadıkça, çoğu programı ayrıcalıklı kullanıcılar olarak çalıştırmak iyi bir fikir değildir.
En iyi güvenlik uygulaması, başvuruyu her zaman ek ayrıcalıklarla düzgün çalışmasına izin veren minimum bir ayrıcalık verilmesini gerektirir. Bu uygulamaya yaygın olarak en düşük ayrıcalık prensibi denir. Varsayımsal WordPress’in veritabanına özel bir kullanıcı hesabı ile bağlı olduğunu varsayalım. WordPress eklentisi SQL enjeksiyon güvenlik açığı içeriyorsa, saldırganlar yalnızca SQL sorgularını yönetici olarak çalıştıramayabilir, aynı zamanda bazı durumlarda işletim sistemi komutlarını bile çalıştırabilirler. Saldırgan işletim sistemi komutunu çalıştırmayı başarırsa, gözetim yapabilir ve diğer sistemlere daha fazla saldırı artırabilirler. İdari haklara sahip yazılım çalıştırmak veya kullanıcılara ihtiyaç duyulandan daha fazla erişim sağlamak sorunlara neden olacaktır. Bu, denenmiş ve test edilen en düşük ayrıcalık ilkesine aykırıdır, çünkü saldırganın güvenlik ihlali durumunda daha fazla hasara neden olmasını sağlar. WordPress ile iyi bir şey, ihtiyaçlarına bağlı olarak farklı kullanıcılar için farklı ayrıcalıklar ayarlamak için kullanabileceğiniz bir dizi doğuştan gelen rollere sahip olmasıdır. WordPress güvenliğini artırmak için WordPress kullanıcılarının rolünün nasıl kullanılacağı hakkında bu konuda çok şey yazdık.
WordPress eklentilerinizi ve temalarınızı güncelleyin WordPress eklenti güncellemeleriniz sadece yeni işlevsellik ve hata iyileştirmelerinden yararlanmak için değil, aynı zamanda güvenlik açığı yama için de önemlidir. Hem eklentiler hem de temalar WordPress arabiriminde kolayca güncellenir. Bazı ticari eklentilerin, eklentiyi -date to -date tutmak için kendi mekanizmalarına sahip olması muhtemeldir, ancak birçok durumda bu kullanıcılar için şeffaftır. Ancak, herhangi bir güncelleme sisteminin kullanıldığından emin olun, eklentilerinizi ve temalarınızı daima güncellersiniz. WordPress ‘Nulled’WordPress eklentisini ve temasını kullanmayın, gpl 1 kullanın. Çok fazla ayrıntı olmadan, GPL lisansı herkesin GPL lisanslı yazılımı özgürce dağıtmasına izin verir. Buna tema ve WordPress eklentisi lisanslı ticari GPL/premium dahildir. Böylece, genellikle nulled olarak adlandırılan değiştirilmiş, tema veya premium eklenti olarak indirilir ve ücretsiz olarak kullanılması yasadışı değildir.
Ancak, beklediğiniz gibi, eklenti geliştiricilerini desteklememenin yanı sıra, iptal edilen eklentiler için güncellemeleri kabul etmeniz pek olası değildir. Dahası, bu eklentinin kaynağının kötü bir şey yapmak için değiştirilip değiştirilmediğini öğrenmek için bir yolunuz yok. WordPress’i güncellemeye devam edin Her zaman eklentileri ve temaları güncellemeniz gerektiği gibi, kullandığınız WordPress sürümünün her zaman en son olduğundan emin olmanız gerekir. Neyse ki bu, otomatik olarak gerçekleşen önemli güvenlik güncellemeleri ile geçmişte olduğundan çok daha kolay. Tabii ki, bu işlevi açıkça devre dışı bırakmazsanız.
Yeni özelliklere, iyileştirmelere ve onarım hatalarına ek olarak, WordPress Core güncellemeleri, sizi WordPress sitenizi kullanan ve bunu uygunsuz kar için kullanan saldırganlardan koruyabilecek güvenlik iyileştirmeleri de içerir. WordPressi, WordPress sitenizi nerede ve nasıl seçtiğinizi barındırıyor, ihtiyaçlarınıza çok bağımlı olacaktır. WordPress’i kendiniz barındırma ve yönetmede yanlış bir şey olmamasına rağmen, teknik olarak anlamıyorsanız veya çok fazla ağır iş yapmadan WordPress güvenlik temellerinin çoğunu karşıladığınızdan emin olmak istiyorsanız, yönetilen bir WordPress seçmek isteyebilirsiniz. Kinsta veya WP Engine gibi barındırma sağlayıcısı. Her iki ana bilgisayarla barındırılan bir web sitemiz olduğu için onlar hakkında yazdık. Müşterimizin hikayesinde, onlarla olan deneyimimizi vurguladık. Deneyiminiz hakkında daha fazla bilgi edinmek için WP Engine ve Kinsta Müşteri Hikayemizi okuyun. Kendiniz için endişelenmeniz gereken birçok güvenlik kararını ve yapılandırmayı soyutlamayı başaran WordPress barındırma. Tabii ki, yönetilen WordPress barındırma sizin için olmayabilir. Özellikle bütçeniz sınırlıysa, kendi WordPress’inizi göndermeyi seçebilirsiniz. Kendi kendine barındırma WordPress ayrıca WordPress kurulumunuz üzerinde daha fazla kontrol sağlar. Tüm farklı WordPress barındırma seçenekleri ve sizin için en uygun olanlar hakkında daha fazla bilgi edinmek için WordPress barındırma seçimi için kılavuza bakın. WordPress Gösterge Tablosu Gösterge Panosu WordPress Siteniz, yetkilendirilmeyen kimsenin gizlenmesini istemeyen bir yerdir.
Her ne kadar kamu kullanıcılarının WordPress kontrol panelini kullanarak girmelerine izin vermek için geçerli bir nedeni olan bazı siteler olmasına rağmen, bu çok büyük bir güvenlik riskidir ve çok dikkatli düşünülmelidir. Neyse ki, çoğu WordPress web sitesinin bu gereksinimi yoktur ve bu nedenle WordPress kontrol paneline erişimi önlemek zorundadır. Bunu yapmanın birkaç yolu vardır ve sizin için en uygun olanı seçmeniz gerekir. Genel uygulama, WordPress Yöneticisi (WP-Admin) sayfasını koruyan şifrelere erişimi sınırlamaktır. Başka bir çözüm, yalnızca seçilen bir dizi IP adresine /WP-Admin’e erişim sağlamaktır. Kayıt Devre Dışı Bırakma Varsayılan olarak WordPress, genel kullanıcıların WordPress sitenize kaydolmasına izin vermez. Kullanıcı kaydının devre dışı bırakıldığını onaylamak için: Ayarlar> WordPress Gösterge Tablosu alanınızdaki genel sayfa açma
Herkesin kayıt yaptırabileceği onay kutusunun seçilmediğinden emin olun.
Diğer web siteleri gibi kimlik bilgileri, WordPress kontrol panelinize erişim yalnızca kimlik bilgileriniz kadar güçlüdür.Güçlü bir WordPress şifresinin güvenliğini uygulamak, herhangi bir sistemin önemli bir güvenlik kontrolüdür ve WordPress bir istisna değildir.WordPress’in kutunun dışındaki şifre politikalarını belirlemenin herhangi bir yolu olmasa da, WordPress kontrol paneline erişimi olan tüm kullanıcılarınızdaki parola gücünün gücünü korumak için WPassword gibi eklentiler çok önemlidir.Web sitenize güçlü şifre güvenliği uyguladıktan sonra, hiçbir hesabın hala zayıf bir şifre kullanmadığından emin olmak için zayıf WordPress kimlik bilgilerini test etmek için WPSCAN’ı kullanın.İki faktör kimlik doğrulaması (2FA) WordPress kontrol paneliniz için bir başka önemli güvenlik kontrolü, iki faktör kimlik doğrulaması gerektirmektir. İki faktör kimlik doğrulaması (2FA), saldırganın kullanıcının şifresini ortaya çıkarmayı başarırsa, WordPress panoınıza erişmesini zorlaştırır (örneğin bir saldırgan veri ihlalinden bir kullanıcı şifresi bulabilir). Neyse ki, WordPress’teki iki faktörün kimlik doğrulamasını düzenlemek çok kolaydır. Bu işlevi eklemek için kullanabileceğiniz bir dizi yüksek kaliteli eklenti vardır. WordPress için mevcut en iyi 2FA eklentilerini vurgulamak için WordPress için en iyi iki faktör kimlik doğrulama eklentisini okuyun. WordPress’in Çekirdek Sertleşmesi WordPress Core güvenli bir yazılım olmasına rağmen, onu daha fazla güçlendiremeyeceğimiz anlamına gelmez. WordPress Core için bir dizi özel sertleştirme stratejisi aşağıdadır. Hata ayıklama günlüğünün devre dışı bırakıldığından emin olun WordPress, geliştiricinin hata ayıklama mesajını dosyaya kaydetmesine izin verir (bu varsayılan olarak /wp-concent/debug.log’dur). Bu, geliştirme ortamında çok kabul edilebilir olsa da, aynı dosya ve/veya ayarlar başarıyla üretilirse, bu dosyaya saldırgan tarafından kolayca erişilebileceğini unutmayın. Hata Ayıklama WordPress varsayılan olarak devre dışı bırakılır. Her ne kadar geri kontrol etmek her zaman daha iyi olsa da, wp-config.php dosyanızda belirtilen wp_debug sabitine sahip olmadığınızdan veya açıkça false olarak ayarlayın. Tüm hata ayıklama seçenekleri listesi için hata ayıklama wordpress kılavuzuna bakın. Herhangi bir nedenle Life web sitenizde WordPress hata ayıklama günlüğüne ihtiyacınız varsa, web kök sunucunuzun dışındaki dosyaları girin (örneğin /var/log/wordpress/debug.log). PA değiştirmek için
DEFINE (‘wp_debug_log’, ‘/path/outside/of/webserver/root/debug.log’); farklı sistemler arasında iletişimi etkinleştirmek için tasarlanmış devre dışı bırakılmamış XML-RPC özellikleri XML-RPC WordPress. Bu, neredeyse tüm uygulamaların WordPress ile etkileşime girebileceği anlamına gelir. XML-RPC WordPress’in özellikleri tarihsel olarak WordPress için önemlidir. Bu, diğer sistemler ve yazılımlarla etkileşime girmesini ve entegre olmasını sağlar. İyi olan şey, XML-RPC’nin yerini WordPress Rest Fire ile değiştirmiş olmasıdır. XML-RPC çevresindeki bazı güvenlik sorunlarını vurgulamak; Arayüz, yıllar boyunca çeşitli güvenlik açıklarının bir kaynağı olmuştur. Bu aynı zamanda saldırgan tarafından kullanıcı adlarının numaralandırılması, şifrelerin zorlanması için de kullanılabilir. veya Pingback XML-RPC aracılığıyla Hizmet Reddetme Saldırıları (DOS). Bu nedenle, aktif olarak XML-RPC kullanmazsanız ve uygun güvenlik kontrolüne sahip değilseniz, devre dışı bırakmalısınız. Bu, üçüncü bir taraf eklentisi yüklemeden kolayca elde edilen bir şey olduğundan, bunu aşağıda nasıl yapacağımızı tartışacağız. Web sunucunuzu yalnızca /xmlrpc.php’ye erişimi engelleyecek şekilde yapılandırabilmenize rağmen, bunu yapmak için tercih edilen bir yöntem, XML-RPC’yi varsayılan bir WordPress filtresini kullanarak devre dışı bırakmaktır. Eklenti dosyasına aşağıdakileri ekleyin ve sitenizde etkinleştirin.
Dikkat
Bu, WordPress’in bu ve diğer benzer kod parçaları için bir eklenti kullanması gereken iyi bir fikirdir.
WordPress API dinlenmesini XML-RPC ile aynı tonda sınırlayan WordPress API, üçüncü taraf uygulamaların WordPress ile iletişim kurması için modern bir yoldur. Kullanımı güvenli olmasına rağmen, kullanıcı numaralandırmasını ve diğer güvenlik açığı potansiyelini önlemek için BT içindeki birkaç işlevin sınırlandırılması önerilir. XML-RPC’nin aksine, WordPress, ateş dinlenmesini tamamen devre dışı bırakmak için basit bir orijinal yol sağlamaz (eski adıyla 2 , ancak bu artık kullanılmıyor, bu yüzden tekrar yapmamalısınız) Sınırlayabilirsiniz. WordPress ile her zamanki gibi, bunu başarmak için bir eklenti kullanabilir veya eklenti dosyasına aşağıdaki filtreyi ekleyebilir ve sitenizde etkinleştirebilirsiniz. Aşağıdaki kod, WordPress rest_authentication_errors.add_filter (‘rest_authentication_errors’, işlev ($ sonuç) $ ($!) {{
Dönüş $ sonuç; }
if (! Is_user_logged_in ()) {
Yeni wp_error (‘rest_not_logged_in’, ‘Geçerli giriş yapmadınız.’, Array (‘Durum’ = & amp; 401));
}
Dönüş $ sonuç;
});
Ayrıca, WordPress API REST varsayılan olarak JSONP’yi etkinleştirir.JSONP, modern tarayıcı CORS’u (Ortak Origin Kaynak Paylaşımı) desteklemeden önce aynı tarayıcıyı aynı tarayıcıdan geçmek için eski bir tekniktir.Bu, saldırganın saldırısında bir adım olarak kullanılma potansiyeline sahip olduğu için, onu etkinleştirmek için gerçek bir neden yoktur.Aşağıdaki PHP görüntülerini kullanarak WordPress filtresi REST_JSONP_Enabled kullanarak devre dışı bırakılması önerilir. Add_filter (‘rest_enabled’, ‘__rereturn_false’);
Hakkında daha fazla bilgi için filtre belgelerine bakın. Varsayılan olarak, diğer birçok web uygulaması gibi WordPress sürümlerinin açıklanmasını önlemek, WordPress sürümlerini çeşitli yerlerde açıkladı. Sürümün açıklanması bir güvenlik açığı değildir, ancak bu bilgiler saldırıları planlarken saldırganlar için çok yararlıdır. Sonuç olarak, WordPress sürümünün açıklama özelliğini devre dışı bırakmak, saldırıları biraz daha zorlaştırabilir. WordPress çok sayıda sürüm bilgisi sızdırdı. Neyse ki, Github’ın Core, WordPress eklentileri şeklinde devre dışı bırakılacak tam bir WordPress filtreleri listesini sunar. Tabii ki bu kodu özel bir site eklentisine girebilirsiniz veya zaten sahip olduğunuz kullanılması gerekir. WordPress WordPress Kullanıcı numaralandırmasının bir dizi kullanıcı numaralandırma saldırısına karşı savunmasız olduğunu önleyin. Bu tür saldırılar, saldırganın hangi kullanıcıların orada olduğunu bulup bulmadığını bulmasına izin verir. Bu zararsız görünse de, saldırganın bu bilgileri daha büyük bir saldırının parçası olarak kullanabileceğini unutmayın. Bu konu hakkında daha fazla bilgi için, WPSCAN ile WordPress kullanıcılarının nasıl hesaplanacağını okuyun. WordPress kullanıcılarının numaralandırılmasını önlemek için, aşağıdaki WordPress özelliklerinin devre dışı bırakıldığından veya kısıtlandığından emin olmalısınız. Sınırlı WordPress API’sının Dinlenmesi, belirsiz kullanıcılar için
WordPress XML-RPC’yi devre dışı bırakın
/WP-Admin ve /wp-login.php’yi doğrudan halka açık internete maruz bırakmayın
Ayrıca, /? Nginx kullanıyorsanız, WordPress.rewritecond %{request_uri ^/$ $ ‘ın numaralandırılmasını önlemek için aşağıdaki yapılandırmayı kullanabilirsiniz.
Yeniden yazma %{query_string} ^/? Yazar = ([0-9]*) yeniden yazma.* – [r = 403, l]
Veya, HTTP sunucusu Apache’yi kullanıyorsanız, WordPress.i kullanıcılarının numaralandırılmasını önlemek için aşağıdaki yapılandırmayı kullanabilirsiniz ($ query_string ~ “yazar = ([0-9]*)”) {{) {
Dönüş 403;
}
WordPress Dosya Düzenleyicisini Devre Dışı Bırakın En tehlikeli WordPress özelliklerinden biri, WordPress kontrol panelinden dosyaları düzenleme yeteneğidir. Her kullanıcının bunu yapması gereken geçerli bir neden olmamalı ve elbette WordPress’in çekirdeği için olmamalıdır. Varsa, yüksek kaliteli dosya bütünlüğü izleme eklentileri kullanılarak hangi dosyaların değiştirildiğini tam olarak bildiğinizden emin olmak istersiniz. Dosya değişikliklerini bulmak için, geliştirdiğimiz web sitesi dosyası değişikliklerindeki monitör değişikliklerini kullanın. Web sitenizdeki her dosya değişikliği, güvenli bir bağlantı (örneğin SFTP) aracılığıyla gerçekleşmeli veya kontrol deposunun kontrol sürümünde izlenmeli ve CI/CD kullanılarak yayılmalıdır. WordPress kontrol panelindeki eklentileri ve editör tema dosyalarını devre dışı bırakmak için, wp-config.php file.define (‘inslax_file_dit’, true) adresine aşağıdakileri ekleyin;
Temanın yönetimini devre dışı bırakın ve eklenti iyi WordPress güvenliğinin en iyi uygulaması, eklentileri ve WordPress kontrol panelinin tema yönetimini devre dışı bırakmaktır.Bunun yerine, bu değişikliği yapmak için wp-chli gibi bir komut satırı kullanın.Temalar ve eklentilerdeki değişiklikleri devre dışı bırakarak, WordPress web sitesi saldırılarınızın yüzeyini büyük ölçüde azaltırsınız.Bu durumda, saldırgan yönetici hesabını ihlal etmeyi başarsa bile, WordPress kontrol paneline erişim dışındaki saldırıları artırmak için tehlikeli eklentiler yükleyemezlerdi.WP-Config.php’de belirtilen ISLLED_FILE_MODS Sabitleri, eklentilerin ve temaların gösterge tablosundan yenilenmesini ve kurulumunu devre dışı bıraktı.Ayrıca, gösterge tablosundaki tüm dosya değişikliklerini devre dışı bırakır, böylece tema düzenleyicisini ve eklenti düzenleyicisini siler.WordPress kontrol panelindeki temaların ve eklentilerin değiştirilmesini devre dışı bırakmak için, wp-config.php file.define (‘Inslax_file_mods’, true) adresine aşağıdakileri ekleyin;
HTTPS WordPress (SSL/TLS) Taşıma Katmanı Güvenliği (TLS), WordPress güvenliğiniz için çok önemlidir, ücretsiz ve yönetimi kolaydır. Not: TLS, güvenli soket katmanı SSL’nin yerini alan bir protokoldür. Bununla birlikte, SSL terimi çok popüler olduğundan, birçoğu hala TLS’yi SSL olarak adlandırır. Web sitenizi HTTPS (TLS üzerinden HTTP) aracılığıyla ziyaret ettiğinizde, HTTP’nin istekleri ve yanıtları ele geçirilemez ve çıkarılamaz veya daha kötüsü saldırgan tarafından değiştirilemez. TLS, WordPress kurulumunuz yerine web sunucunuz veya içerik dağıtım ağı (CDN) ile daha fazla ilişkili olsa da, TLS’nin (WordPress HTTPS) en önemli yönlerinden biri bunu uygulamaktır. WordPress HTTPS’nin (SSL ve TLS) nasıl yönetileceği hakkında birçok çevrimiçi bilgi var. Yapılandırma dosyalarını düzenlemede rahat değilseniz ve eklentiler kullanarak WordPress HTTPS’ye geçmeyi tercih ediyorsanız, gerçekten basit SSL veya WP Force SSL kullanabilirsiniz. Her ikisi de çok iyi eklentiler ve kullanımı kolay. Bir sonraki adım, şimdiye kadar geldiyseniz daha güvenli bir WordPress içindir, ancak bu, yapılması gereken daha fazla sertleşme olmadığı anlamına gelmez. WordPress sitenizi daha da güçlendirmek için görebileceğiniz bir dizi öğe aşağıdadır. PHP’yi güçlendirin. PHP’nin her WordPress sitesinin temel bir bileşeni olduğu düşünüldüğünde, PHP sertleştirme bir sonraki mantıksal adımlardan biridir. Bunun hakkında WordPress web sitesi için en iyi PHP güvenlik ayarlarında kapsamlı bir şekilde yazdık.
Önde gelen bir güvenlik eklentisi kullanın. Kalite Güvenlik eklentileri, orijinal WordPress’e dahil olmayan gelişmiş güvenlik özellikleri sunar. Orada çok sayıda WordPress güvenlik eklentisi var. Ancak, WordPress için yüksek kaliteli güvenlik eklentilerimiz gibi premium veya ticari destek sağlayan iyi ve ideal bir üne sahip bir eklenti seçtiğinizden emin olun. Dosya izni denetimleri yapın. Linux’ta çalışan WordPress web sitesi için, yanlış dosya izni geçersiz kullanıcıların potansiyel olarak hassas dosyalara erişmesine izin verebilir. Bu konu hakkında daha fazla bilgi için WordPress Web Sitesini ve Güvenli Web Sunucusu iznini yapılandırmak için kılavuzumuza bakın.
Bir yedekleme dosyasını denetleyin. Yanlışlıkla bırakılan yedekleme dosyasına erişilebilir, hassas bilgileri sızdırabilir. Bu, saldırganların tüm WordPress kurulumları üzerinde kontrol sahibi olmalarını sağlayan sırlar içeren yapılandırmaları içerir.
Web sunucunuz zor
MySQL’i güçlendir
Gerekli HTTP güvenlik üstbilgisini ekleyin
İşleyen bir WordPress rezerv sisteminiz olduğundan emin olun.
DDOS Koruma Hizmetlerini Kullanın
İçerik Güvenliği Politikasını Uygulayın
Açık yedeklemeleri ve başvurulan olmayan dosyaları yönetin.
Sonuç – Bu, WordPress’in güvenlik yolculuğu tebriklerinin sadece ilk adımı! Yukarıdaki tüm önerileri izlerseniz ve önerilen en iyi güvenlik uygulamalarını uygularsanız, WordPress web siteniz güvenlidir. Bununla birlikte, WordPress’in güvenliği bir zaman geliştirme değildir – bu büyümeye devam eden bir süreçtir. WordPress web sitesinin (bir kez) sertleşmesi ile yıllarca güvenli koruma arasında büyük bir fark vardır. Hardens, WordPress güvenlik sürecindeki dört aşamadan sadece biridir (WordPress Güvenlik Tekerleği). Yıl boyunca güvenli WordPress web siteleri için, WordPress güvenlik test sürecini tekrar tekrar> Taşıma> İzleme> İyileştirme izlemeniz gerekir. WordPress sitenizin güvenlik durumunu test etmeye ve kontrol etmeye, yazılımı güçlendirmeye, sistemi izlemeye ve gördüklerinize ve öğrendiğinize göre ayarlarınızı artırmaya devam etmelisiniz. Örneğin: WPSCAN gibi araçlar, WordPress web sitenizi test etmenize yardımcı olabilir Güvenlik Duruşu
WordPress Güvenlik Duvarları, WordPress sitenizi bilinen hack saldırılarından koruyabilir
WordPress etkinlik günlükleri ileri gitmenize yardımcı olabilir – web sitenizde meydana gelen tüm değişiklikleri kaydederek, kullanıcı hesap verebilirliğini artırabilir, her kullanıcının ne yaptığını bilebilir ve ayrıca Kap altındaki tüm etkinlikleri denetleyebilirsiniz.
WordPress Güvenlik ve Yönetim Eklentisi gibi araçlar, şifre güvenliğini sağlamanıza, WordPress güvenlik sürecini güçlendirmenize, dosya değişiklikleri hakkında uyarılar almanıza ve daha fazlasına yardımcı olabilir.
Sitenizin güvenliğini korumak için tüm doğru araçlara sahipsiniz. Küçük bir WordPress web sitesi çalıştırsanız bile, bu kılavuzu yavaş yavaş incelemek için zaman ayırın. Sadece WordPress tarafından hedeflenen saldırılarla soyulacak harika bir web sitesi oluşturmak için işle bitmediğinizden emin olun. % 100 etkili güvenlik yoktur. Bununla birlikte, saldırganın bir temel almasını ve bu kılavuzda bulunan çeşitli sertleştirme tekniklerini uygulayarak WordPress sitenize başarılı bir şekilde saldırmasını zorlaştırırsınız. Unutmayın, saldırgan bir sonraki kurbanı hedeflediğinde, onları geride bırakmanıza gerek yoktur. Sadece bir sonraki savunmasız web sitesinden daha güvenli olmanız gerekir! Bu makalede kullanılan referanslar [+]
bu makalede kullanılan referanslar
td>
