WordPress sitenizi güvence altına almak ve güçlendirmek için atılması gereken 8 adım
Bir an için, önde gelen bir web sitesini ele geçirmenin ve kötü kimlik avı sahtekarlığından şüphelenmeyen trafiği kanalize etmek için kullanmanın yollarını arayan bir hacker olduğunuzu hayal edin. Maksimum etki için web sitelerini nasıl hedeflersiniz? Bir seçenek, yüzlerce veya binlerce siteyi etkileyen bir güvenlik açığını bulmak ve hedeflemektir. Böyle bir şey bulunabilir ve sömürülebilirse, çok kısa sürede dijital katliamlar yapabilirsiniz. WordPress sertleşmesinin neden bu kadar önemli olduğunu görmeye mi başlıyorsunuz? Web’deki en popüler içerik yönetim sistemi olan WordPress, her yerde bilgisayar korsanlarının ana hedefidir. Ama bu konuda yapabileceğiniz bir şey var.
İyi bir web sitesinde kötü hack neden gerçekleşiyor? Neyse ki, WordPress Core yazılımı oldukça güvenlidir. Hacking nadiren doğrudan çekirdeğini takip ederek web sitenize girebilir. Çekirdekteki sömürü tanımlandığında, hemen yamalanırlar. Çözücüleri çözmek zor olan çekirdeği takip etmek yerine, genellikle tembel olarak seçilen şifre, zayıf kod, zayıf dosya izinleri ve çok uzun süre güncellenmemiş ve bu nedenle sömürüye karşı savunmasız olan siteler gibi şeyleri hedefler. Bilgisayar korsanları asılı meyveyi kovalama eğiliminde olduğundan, WordPress’i sertleştirmek ve güvende tutmak çok karmaşık değildir. Aslında, sekiz basit adım atarak sitenizi güvenlik çan eğrisinin üst ucunda tutabilirsiniz.
Size onlardan rehberlik edeyim. 1. Adım: Her şeyi güncelleyin
Önemli güvenlik açığının üstesinden gelmek için WordPress’in teması, eklentisi ve çekirdeği için birçok güncelleme yayınlandı. Bu nedenle, WordPress’in güvenliğini korumak için yapmanız gereken bir numaralı şey, her zaman her şeyi güncellemektir. Adım 2: Benzersiz kullanıcı adları ve güvenli şifreler kullanın
WordPress giriş sayfanız böyle görünüyorsa, yanlış yaparsınız. Yönetici kullanıcı adınız olarak “admin” kullanmaktan daha kötü nedir? “Parola” gibi aptal bir şifre ile eşleştirmeye ne dersiniz? WordPress giriş sayfası, otomatik bot, kaba-up, giriş yapmaya çalışan genel bir hedeftir. Sadece /wp-login.php adresinde takılırlar.
Çözüm, benzersiz bir kullanıcı adı ve şifre kullanmaktır. Ben şahsen “S3R7A” gibi işe yaramaz kullanıcı adlarını kullanma eğilimindeyim, benzersiz kullanıcı adları “Yönetici” e kıyasla büyük bir artış olacaktır. Şifreniz ise gerçekten rastgele saçmalık olmalı. WordPress’in rastgele güvenli bir şifre jeneratörü olduğu düşünüldüğünde, kolay bir -guess şifresi kullanmak için hiçbir neden yoktur. Bu nedenle, şifreniz güvenli değilse, kullanıcınızı> profilinizi şimdi açın ve bu güvenlik boşluğunu kapatın. Adım 3: WordPress sitenizde geri izleme ve pingback kullanmıyorsanız geri izleme ve pingback’i devre dışı bırakın, devre dışı bırakın. Bunu yakında göreceğimiz gibi eklenti ile yapabilirsiniz veya Ayarlar> Tartışma’ya gidip bir sonraki kutuyu silin ve geri izleyebilirsiniz) yeni makalelerde. Bu ayarı değiştirme yine de her yazı ve sayfa için izleme ve pingback’in etkinleştirilmesine izin verecektir. Dolayısıyla, daha iyi bir seçim, Pingback’i ve izlemeyi tamamen sonsuza dek kilitleyecek bir eklenti kullanmaktır. Sana bir an göstereceğim.
Geri çekimi ve pingback’i devre dışı bırakmayı düşünmeniz için en az iki iyi neden vardır: spam yorumlarına neden olabilirler ve koordineli DDO’lar ve kaba kuvvet saldırılarında kullanılabilirler. Kullanıyorsanız, en azından sitenizi spam izleme ve kaba kuvvet saldırılarından korumak için elinizden geleni yapmak için zaman ayırın. Ancak, çoğumuz tamamen devre dışı bırakıyoruz. Adım 4: PHP PHP hatalarını gizle Varsayılan bir hata ayıklama özelliğine sahiptir ve tanımlama (‘wp_debug’, true) ekleyerek site ön ucunda PHP tarafından üretilen hata mesajlarını görüntüleyebilirsiniz; Sitenize wp-config.php dosyası. Bu, tema geliştiricileri ve eklentileri için çok kullanışlı bir araçtır. Bununla birlikte, genel sitelerde PHP hataları görüntülememelisiniz. Bazı durumlarda, PHP hatalarının görüntülenmesi, sitenize sızmak için gelişmiş bilgisayar korsanları tarafından kullanılabilecek bilgiler sağlayabilir. Basit bir çözüm, wp_debug’u false olarak ayarlamaktır. Bit kodunu wp-config.php’ye manuel olarak ekleyebilir veya işi yapmak için bir eklenti kullanabilirsiniz. Adım 5: Hacker, sitenizin veritabanına bilgi yazmasına izin veren güvenlik açığı tanımlarsa, benzersiz bir veritabanı tablosu önek kullanın, kullanmaları gereken en son bilgiler veritabanı önekinizdir. Varsayılan olarak, WordPress tüm veritabanı tablolarını başlatmak için wp_ kullanır. Bu nedenle, WordPress veritabanınızı kilitlemenin kolay yolu, önekin bilgisayar korsanları tarafından öngörülemez olma eğiliminde olan bir şeye dönüştürmektir. Veritabanı önekini manuel olarak değiştirebilmenize rağmen, bu oldukça karmaşıktır ve yanlışsanız, temizlemekte zorluk çekeceksiniz. Bunu yapmak yerine, veritabanı önekinizi saniyeler içinde bir eklenti ile değiştirmeniz yeterlidir. Adım 6: PHP Yürütülmesini Önleme Bazı temalar ve eklentiler, kullanıcıların web sunucunuza dosya yüklemesine izin veren özellikler içerir. Bu dosyalar daha sonra kullanıcı profili fotoğraflarını görüntülemek gibi çeşitli şekillerde kullanılır. Ancak, bu özellik site korsanlığı veya yıkım içeren PHP dosyalarını yüklemek için kullanılabilir. Ardından, WordPress dosyalara eriştiğinde, kod yürütülür ve siteniz hasar görür veya sızdırılır. Peki, çözüm nedir? Kullanıcıların fotoğraf veya dosya yüklemesine izin vermeyi bırakmalı mısınız? Tabii ki değil. Her dizinde PHP kodunun yürütülmesini önleyin, bu izni gerektirmez. PHP yürütmeyi DEMI-Directory Dizinine göre önleyebilirsiniz. Siteniz, çoğu WordPress sitesi gibi Apache sunucusunda barındırılıyorsa, belirli yönetmenlerde PHP yürütmeyi kilitlemek için Tüm ile her dizinine .htaccess dosyalarını ekleyebilirsiniz. Öte yandan, hangi dizinin kilitlenmesi gerektiğinden emin değilseniz veya her dizini manuel olarak kilitlemek istemiyorsanız, her şeyi eklenti ile bir kerede kilitleyebilirsiniz.
Adım 7: Bilgi açıklamasını önleyin
Web sitenize göz atamazsınız.
Hiç bir dizin listesine benzeyen bir web sayfasında tökezlediniz mi?Gördüğünüz şey dizin listesi olarak adlandırılan bir şeydir ve dosyalara göz atmaya dizin araştırması denir.Sorunlu dizinin araştırılması, çünkü birisinin web siteniz hakkında çok fazla bilgi toplamasına olanak tanır;WordPress, kutunun dışındaki bu tür şeyleri önlemek için tasarlanmıştır.Ancak, bu tür bir açıklamadan kaçınmak için elinizden gelen her şeyi yaparsanız daha sakin olacaksınız.Bu tür şeyleri önlemek için yapmanız gereken şey, dizin araştırmalarını devre dışı bırakmak ve daha sonra sitenizin WP içerik dizinindeki .htaccess, wp-config.php ve hassas dosyalara erişimi özellikle reddetmektir.
Yine, bu manuel olarak yapabileceğiniz bir şey. Bununla birlikte, bu ele alınması gereken karmaşık bir görevdir ve bunu manuel olarak yapmak için hiçbir neden yoktur, çünkü eklentileri kullanarak kolayca yapabilirsiniz. Adım 8: Sitenizi düzenli olarak tarayın Yeni güvenlik açığı için 1 ila 7 Adımları tamamladığınızda WordPress’i oldukça etkili bir şekilde sertleştireceksiniz. Bununla birlikte, anahtar zaman zaman web sitesinin güvenliğini korumaktır ve bunu yapmanın tek yolu yeni güvenlik açığı bulmak için sitenizi düzenli olarak taramaktır. Güvenlik Tarama Prosedürleri 1 ila 7 arası adımlarla kapsanan her faktöre dikkat etmeniz gerekir: güvenli olmayan kimlik bilgileri, güncellenmesi gereken web sitesi bileşenleri ve genel WordPress güvenlik açığı. Elbette sitenizi manuel olarak izleyebilseniz de, ideal ayar, yanlış bir şey olup olmadığını hatırlatacak otomatik bir tarama hazırlamaktır. Benim gibiyseniz ve bu adımı Autopilot ile ayarlamayı tercih ediyorsanız, bunun için bir eklenti var. WordPress’i güçlendirin ve defenderdfender ile sitenizi güvende tutun, otomatik güvenlik taraması, güvenlik açığı raporları, güvenlik önerileri, siyah liste izleme ve sadece birkaç tıklamada özel sertleştirme ile sizi kötü botlardan ve bilgisayar korsanlarından koruyun.
Bu sertleşmenin her adımını manuel olarak uygulayabilirsiniz. Veya defans oyuncusu ile her şeyi saniyeler içinde bırakabilirsiniz. Bu neredeyse utanç verici kolay: WPMU Dev Gösterge Tablosunu yükleyin ve etkinleştirin ve WPMU Dev hesabınızı eklentiye girin.
WPMU Dev> Eklentileri açın ve Defender’ı arayın, yükleyin ve etkinleştirin.
Defender> sertleştirici açın ve önerilen sertleştirme adımlarını takip edin.Bunu yaparken, bu makalede önerilen her adıma ulaşacaksınız. Dakikalar içinde WordPress’i sertleştirecek ve web sitenizin güvenliğini bir güvenlik çan eğrisinden çok daha yüksek bir seviyeye çıkaracaksınız.Sonra, hile orada kalmaktır.WordPress Güvenlik Taramanınızı Otomatik Dönüm’e yerleştirin
Defender, sitenizi istediğiniz sıklıkta tarar ve bir sorun bulunursa size bir e -posta gönderir.WordPress güvenliğini zaman zaman korumanın anahtarı düzenli bir güvenlik kontrolü almaktır. Neyse ki, Defender bunu kolaylaştırıyor. Defenders> Otomatik Tarama ve Günlük, Haftalık veya Aylık Taramayı seçin. Meşgul bir site günlük veya haftalık taramayı seçmelidir. Düşük trafik ve düşük profillere sahip siteler haftalık veya aylık taramayı seçebilir. Otomatik bir güvenlik taraması hazırladığınızda, Defender’ın doğru e -posta adresine ve tercihlerinize uygun olarak bir e -posta göndermesini sağlamak için Defender> Ayarları açın. Sonra Defender’ın işini yaptığında oturun ve izleyin. Üstesinden gelinmesi gereken güvenlik açığı bulduğunda, düzeltebilmeniz için size söyleyecektir. Defender, WordPress sertleştirme ve güvenliği sürdürmenin temellerini zaman zaman tartışmış olsak da, Defender bilmek istediğiniz dört ek özellik sunuyor. İlk olarak, tüm güvenlik anahtarlarını düzenli olarak yeniden düzenlemek için Defender’ı kullanabilirsiniz. Bunu yapmak herkesi sitenizden çıkaracak ve onları yeniden girmeye zorlayacaktır. Bu, depolanan kimlik bilgilerinin artık geçerli olmayacağı anlamına gelir. Bu zahmetli görünebilir, ancak bu, geçersiz kullanıcıların sitenizi giren ve felaket getiren bir tarayıcı kullanarak bulma riskini azaltır. İkincisi, Defender sitenizde kapsamlı bir kullanıcı etkinliği kaydını kaydetmekten mutluluk duyacaktır. Bunun gibi etkinlikler gördüyseniz, daha önce bu IP adresini engelleyin!
Başlamak için Defender> Gösterge Tablosunu Açın ve denetim günlüğünü etkinleştirme seçeneğini seçin.Ardından, Defender’ı açın> Başarısızlık giriş çabası gibi eylem kayıtlarını görmek için günlüğe giriş.Bu bilgileri, bilgisayar korsanlarının ve botların sitenizi nasıl hedeflediğini öğrenmek ve çabalarını etkisiz hale getirmek için adımlar atabilirsiniz.Üçüncüsü, Sitenizin Google tarafından kara listeye alınmadığından emin olun – ve hemen siyah liste izlemeyi etkinleştirerek sitenizin işaretlenip işaretlenmediğini hemen öğrenin.Defender> Gösterge Tablosunu Açın ve BlackList İzlemesini Etkinleştir’i tıklayın.Dördüncüsü, gösterge tablosunu ve WPMU Dev Defender’ı yükledikten sonra, siteniz otomatik olarak hub’a eklenecektir.Birkaç siteyi yönetirseniz, hub’a girmek, üstesinden gelmeniz gereken sorunların bir anlık görüntüsünü sağlayacaktır.Bir savunmacı hazırlayın ve güvenlik sorunlarının ele alınması gerektiğinde ilgili simgeler kırmızı olacaktır.
Savunucuları kullanın veya diğer kişileri kullanın, sitenizi güvence altına almaya devam edin, bu sorun, ister ürünlerimizi veya diğer kişilerin ürünlerini kullansanız da, web sitenizi güvence altına almanızı istiyoruz. Bilgisayar korsanları ve dolandırıcı sanatçılardan kaçındığında Web hepimiz için daha iyi bir yer. Bu nedenle, Sitenizi güvence altına almak için Defender’ı kullanmak istemiyorsanız, yine de WordFence, Sucuri Güvenliği, Ithemes Güvenliği veya Jetpack Premium gibi yüksek kaliteli güvenlik eklentileri hazırlamanız ve yapılandırmanız gerekir. WordFence ve Sucuri kaliteli ürünler olmasına rağmen, WPMU Dev. Bununla birlikte, Jetpack Premium ve Ithemes, burada yaptığımız şeyle belirli bir seviyeye örtüşen çeşitli ürün ve hizmetler sunar. Web siteniz için WPMU Dev, Jetpack veya Ithemes’i seçme kararını düşünürseniz, işte bu seçeneklerin her biri tarafından sunulan güvenlik özelliklerinin pratik bir karşılaştırması. Gördüğünüz gibi, ItHemes güvenliği savunmacı avantajları verir, anlaşılabilir bir Tüm teklif serilerini kullanmayı planlıyorsanız Jetpack veya Ithemes kullanıyorsanız. Ancak, tavsiyeye açıksanız, iki tane yapmama izin verin:
Savunmacı için geliştirme yol haritamız oldukça iddialı. Ithemes güvenliği bugün sahip olduğu ham özelliklerin sayısı açısından avantajı olsa da, boşluğu hızlı bir şekilde kapatmayı planlıyoruz.
Seçtiğiniz güvenlik sağlayıcısının, her web geliştiricisi tarafından dikkate alınması gereken beş temel faktörün üstesinden gelmek için ihtiyacınız olan her şeyi sağlayabileceğinden emin olun: performans, izleme, güvenlik, rezerv ve SEO. Web sitenizin tüm temel ihtiyaçları entegre bir çözümle karşılanabildiğinde hayat daha kolaydır. Mevcut savunucu ürünleriyle gurur duyuyoruz ve daha iyi hale getirmek için gereken planlar konusunda hevesliyiz. Ancak, WPMU Dev bir defans oyuncundan daha fazlasıdır. Ayrıca 7/24 ödül kazanan desteği, bugün Smush ve Hummingbird’de bulunan en iyi performans eklentilerinden bazılarına, sınıflarındaki düzinelerce ek eklenti, sizi akademideki WordPress geliştiricilerine dönüştürebilecek kaynakları öğreniyor. WordPress web siteniz sizin için çok anlamlı değilse sarın ve hacklenen sitenin etkisiyle başa çıkmak için uğraşmayı umursamıyorsanız, o zaman elbette hiçbir şey yapmayın. Bununla birlikte, WordPress web sitenizi oluşturmak için yaptığınız çabaları takdir ederseniz, WordPress’i güçlendirememesi ve uzun vadede güvende tutmaması kabul edilemez bir hatadır. WordPress’i defans oyuncusu ile güçlendirmek, sitenizi öncekinden daha güvenli hale getirecek iki ila üç dakikalık süreçtir. Ve otomatik güvenlik taraması sayesinde, sitenizi güvence altına aldıktan sonra, güvende tutmak çok kolay olacaktır. Hiç saldırıya uğrayan bir WordPress siteniz oldu mu? Bilgisayar korsanları sitenize nasıl yol açtı? Korku hikayenizi, kötü şansınızdan öğrenebilmemiz için aşağıdaki yorumlar bölümünde paylaşın.
Etiket: WordPress Güvenliği
Savunucular
