WordPress sitenizi nasıl güvence altına alabilirsiniz: WordPress 101 Güvenlik

Çoğu bilgisayar korsanı web sitenizde sahip olduğunuz bilgileri çalmak istemez. Sunucuya erişmek için sitenize sessizce adımlar atmak istiyorlar. Bu sunucuyu spam e -postaları göndermek için kullanırlar, bu da başkalarından finansal bilgi toplamaktan yararlanmalarına yardımcı olma potansiyeline sahiptir. Bir hacker sunucunuzdan bir e -posta spam gönderirse, ISS ve e -posta sağlayıcısına tehlike işaretleri gönderir. Bu sizi nasıl etkiler? ISS ve e -posta sağlayıcısı tarafından kara listeye alınma potansiyeline sahipsiniz. İki yıldır topladığınız güvenilir e -postaların listesinin olduğunu biliyor musunuz? E -postayı web sitenizi kullanarak gönderirseniz, tüm e -postaların spam klasörüne gönderildiğine bahse girebilirsiniz.
İstediğiniz son şey, sitenizin saldırıya uğramasıdır ve bu yüzden sitenizi güvence altına almak için her zaman yeni ipuçları, püf noktaları ve hacklemeye çalışıyorum. Ancak, şimdi bu sayfayı kaydetme ve tüm güvenlik ihtiyaçlarınız için bir referans olarak kullanacağınız umuduyla, site güvenliğini artırmak için ana yönergeleri derlemek istiyorum. Siteniz saldırıya uğramış ve kara listeye alınmışsa ne olur?

Birincisi ve sitelerimden biri saldırıya uğradığı ve kara listeye alındığı tek şey hiçbir şey bilmediğim zamandı. Müşteriler için birkaç site inşa ettim, ancak bir nedenden dolayı kişisel sitemle aynı güvenlik önleme eylemini yapmadım (kendi eşyalarımı görmezden gelme olasılığımı daha yüksek yapan bir şey vardı).
Bir bilgisayar korsanının sitemin sunucusuna eriştiği ortaya çıkıyor, bu yüzden sonunda siyah listeye girdim. ISS ve e -posta sağlayıcısı beni birçok kez işaretleyebileceği için bir süredir sızan siteyi bilmiyorum. Bazı insanlar tarafından siteden gönderdiğim e -postaların çoğunun spam’lerinde sona erdiğini söylendi, bu yüzden neler olduğunu kontrol etmeye karar verdim. Tabii ki, bilgisayar korsanları web siteme erişir, komut dosyaları yükler ve bilgim olmadan sunucumdan otomatik spam gönderir. Hacklemeye ne sebep olur? .Htaccess dosyamı korumak için hiçbir şey yapmadım. Kullanıcı adım “admin” olabilir ve şifrem bilmek çok zor değil. Bunun nedeni, kullandığım eklentiyi güncelleyemediğim ve kullanmadığım eklentilerden kurtulduğum için olabilir. Bunun dışında, sorunu çözmek için çok fazla zaman ve para harcadım. Neyse ki, yaptığım tek güvenlik önlemleri, kayıp veya hasarlı dosyaları kurtarabilmem için web sitemin otomatik rezervi çalıştırıldı. Bu hacker problemini nasıl düzeltebilirim? Siteniz etkilenmişse bunu nasıl yaparsınız?
Web sitenizin herhangi bir şekilde saldırıya uğramış olup olmadığını görmek için MxToolbox Blacklist aracını kullanın. Bir sorun görürseniz, derhal barındırma şirketinizle iletişime geçin. Onlara sorunu anlatın ve bilgisayar korsanlarının spam e -postaları göndermesine izin veren kodu veya komut dosyasını bulup silmeyeceklerini sorun.

Bu genellikle sorunu çözer, ancak benim durumumda, komut dosyası silindikten sonra bazı dosyalarımın hasar gördüğünü not ediyorum. Bu, bazı ayarlamalar yapmak ve her şeyi normale döndürmek için daha bilgili olan arkadaşlarımdan birini ödemem gerektiği anlamına geliyor. O zamanlar oraya girmek ve senaryoyu silmek için barındırma şirketime de ödemek zorunda kaldım. Sahip olduğunuz şirkete bağlı olduğunu ve destek temsilcisi o gün çok yararlı olsa bile olduğunu varsayacağım. Kısacası, sorunu çözmek için biraz para harcamanız gerekebilir, ancak size yardımcı olacak bir yedeklemeniz, biraz bilginiz ve bazı arkadaşlarınız olduğu sürece, hemen tekrar yükselebilirsiniz. Ancak, tüm durum bir Herkes için kabus. Amacımız böyle durumları tam olarak önlemektir, bu nedenle WordPress web sitenizi nasıl güvence altına alacağınızı anlamak için okumaya devam edin. Site güvenliğini artırmak için bu kılavuzu işaretlediğinizden emin olun ve saldırıya uğramadan önce adımlar uygulayın (veya durumunuz varsa). Bilgisayar korsanlarıyla savaşmak için hangi adımları atabilirsiniz? Basit şeylerle başlayın: Yönetici Kullanıcı Adınız ve Şifreniz WordPress sitenizi girmek için kullandığınız kullanıcı adını ve şifreyi biliyor musunuz? Bu can sıkıcı olabilir. Hayır, demek istediğim.
Yalnızca WordPress tarafından verilen varsayılan kullanıcı adını mı alıyorsunuz? Kullanıcı adı “Yönetici” mi? WordPress sitenizi güvence altına almanın ilk adımı, birçok bilgisayar korsanının kullanıcı adınızı ve şifrenizi tahmin etmeye çalışarak kaba kuvvet taktiklerini kullandığını anlamaktır. “Yönetici” kullanıcı adını değiştirmek isteyeceksiniz, çünkü bu, her hacker (veya otomatik hackleme sisteminin) denendiğinin ilk tahminidir, çünkü yönetici kullanıcı adı sıklıkla kullanılır. Şifreler açısından, şifreniz bunlardan birine yaklaşıyorsa, CBS News tarafından derlenen en yaygın şifrelere ve kafanın kendisine bakın. Parolanız listede olmasa bile, net değilsiniz. Kullanıcınızın adı “yönetici” ise, bilgisayar korsanını yalnızca şifrenizi çözmek için çalışmak için değiştirmez. WordPress, insanların yalnızca “yönetici” ni kullanıcı adı olarak kullanmasına izin verirdi, ancak şimdi bunu değiştirmenize izin veriyorlar. Ne yazık ki, çoğu insan bunu görmezden geliyor ve sahayı bilgisayar korsanları için biraz daha açıyor. PHPMyAdmin veritabanı yöneticinizi açın ve kullanıcı adınızı değiştirmek için bu SQL sorgusunu girin: WP_USERS SET USER_LOGIN = ‘MYNEWUSER’ SET USER_LOGIN = ‘Admin’; MyNewuser metnini kullanmak istediğiniz herhangi bir kullanıcı adına değiştirmeyi unutmayın.
Kullanıcı adınız için yapabileceğiniz tek şey bu, ama şifreler için en iyi uygulamaya ne dersiniz?
Şifrenizi her ay değiştirin.

Hatırlamadığınız bir şey yapmak için güçlü bir şifre jeneratörü gibi bir şifre üreticisi kullanın. 6xx292qn*(s & 0; y gibi bir şey doğru görünüyor.
Bu şifreyi hatırlamakta zorluk çekeceğiniz için, LastPass gibi bir şifre depolama ve koruma sistemleri kullanın. Bu şekilde tüm sitelerinizin şifresini hatırlamanıza gerek yoktur, ancak bunun güvenli olduğunu biliyorsunuz. Şifrenizi bir kağıda yazmayın veya bilgisayarınızda bir kelime işlemcisine koymayın.
Diğer kullanıcılar kendi kötü şifreleriyle güvenlik açığı yapabilir. Kalifiye olmayan bir şifre yapmamak için Force Güçlü Şifreler gibi araçları kullanın.
Tarayıcınıza bir şifre kaydetmeyin.
Birkaç hesap için aynı şifreyi kullanmayın.
Web sitesinin hacklenmesinin ana nedenlerinden biri için güvenlik açığı ile güçlendirilen güvenlik standartlarına sahip kalite ana bilgisayarları bulun, web siteniz için yüksek kaliteli ana bilgisayarlar bulmak önemlidir. Bu iki nedenden dolayı önemlidir: iyi bilgisayar korsanları ve ev sahipleriyle aktif olarak mücadele etmek, bir şey olursa sorunları çözmenize yardımcı olur.
Web siteniz için bir barındırma şirketi ararken aranacak bazı şeyler:
Ev sahibi, en son güvenlik sorunlarını öğrenmek için aktif olarak güncellemeler yapar ve personeli eğitir
Siteleri kötü amaçlı yazılımlardan ve sızmış dosyalardan taramak için araçları kullanın
Ev sahibi WordPress’i çalıştırmak için iyi çalışıyor
Ev sahibi, MySQL ve PHP’nin en son sürümleri için destek sunuyor
Ev sahibi, WordPress ile iyi çalışmak için tasarlanmış bir güvenlik duvarı kullanır
7/24 mevcut bir destek ekibi var
Hesapları birlikte barındırma iyidir, ancak kendi yedeklerini yapan ve hesap izolasyonu sağlayan şirketleri arayın (bu nedenle sunucularındaki bir site sitenizin çalışma şeklini etkilemez). WPKube’da önerdiğimiz birkaç barındırma şirketini incelemekten çekinmeyin.
Her zaman güncellemenizi tamamlayın, WordPress kontrol panelinizin üst kısmındaki bu küçük uyarıya hiç dikkat ettiniz mi?:
Bu sizi arar ve lütfen şimdi düğmeyi güncelleyin. Bu düğmeyi her gördüğünüzde güncellemeyi tıklayın ve tamamlayın. Aynı şey WordPress sitenizde kullandığınız eklentiler için de geçerlidir. Sitenizin her bölümünün güncellenmesi veya bilgisayar korsanlarına girmesi için açık bir güvenlik açığı izin vermeniz gerekir.
WordPress sürümünün tamamını güncellediğinizde, sistem otomatik olarak yeni bir sürüme sahip tüm eklentileri güncellemek isteyip istemediğinizi sorar. Güncellemezseniz, bu yalnızca daha fazla güvenlik deliği açar. Ana eklentiler ve WordPress güncellemeleri genellikle yeni özellikler başlatmaya odaklanır, ancak güvenlik deliklerini doldurmaya ve hataları onarmaya odaklanır. Büyük ve küçük güncellemeler dikkatinizi gerektirir. Manuel olarak güncelleme çok zahmetlidir. Gelecekte bunu otomatik olarak çözmenin bir yolu var mı? Evet! Aşağıdaki kodu wp-config.php dosyanıza yapıştırın ve hazırsınız. # Küçük ve majör dahil tüm temel güncellemeleri etkinleştirin: tanım (‘wp_auto_update_core’, true);
Bazı kişilerin ana nedeni, bir şeyi otomatik olarak güncellemekten hoşlanmaz, çünkü güncelleme birkaç kodla aykırı ise sitenizdeki bir şeye zarar verebilir. Seçim size kalmış. Güncellememi manuel olarak yaptım, ancak pek çok siteyi de yönetmedim. Siteyi düzinelerce müşteri için yönetirseniz, otomatik olarak bir güncelleme çalıştırmak isteyebilirsiniz. Bir üyelik siteniz varsa veya makale yazmak için sürekli giren bazı yazarlar varsa, sitenize ne kadar kolay girin, girmeyi zorlaştırmanız gerekir. Açıkçası, neredeyse imkansız hale getirmek istemezsiniz, ancak kullanıcınız kolayca girebilirse, bilgisayar korsanları da yapabilir. Hacker, binlerce şifre kombinasyonunu ve kullanıcı adlarını test etmek için bir program çalıştırarak Brute Force’a saldırmaya çalışır. Üç veya dört çabadan sonra kilitlenirlerse, hırsızlığı önler. Bu nedenle, eklentileri kullanarak giriş çabalarını sınırlayın. Kilitleme girişi bu görevi tamamlamak için en sevdiğim eklentidir.
Bu eklenti hafiftir ve kullanıcılara doğru kullanıcı adını ve şifreyi almak için kaç çaba göstermeleri gerektiğini söyler. Son denemeden sonra başarısız olurlarsa, sistemden kilitlenirler. Bir sonraki adım, kullanıcının iki adımlı kimlik doğrulama işlemine sahip bir insan olup olmadığını kontrol etmektir. Kullanıcıların kullanıcı adları ve şifresi dışında özel bir kod girmesi gerektiği için Google Authenticator eklentisini kullanın. Bu kodu istediğiniz zaman değiştirebilir ve tüm kullanıcılar için farklı bir kod ayarlayabilirsiniz. Bu kodu kişinin telefonuna gönderebilir, böylece girmek için telefonu kontrol etmek zorundadır. WordPress temanızı güvenilir bir kaynaktan satın alın, ücretsiz WordPress temaları yapan geliştiricilerin güvenilemeyeceğini söylemek haksızlıktır, çünkü genellikle böyle değildir. Ancak, WordPress ücretsiz tema deposu, kodun nasıl yapılacağını bilmeyen veya güvenlik deliklerini doldurmak için temalarını güncellemeyen birçok geliştiriciyle bir karışımdır.
İyi bir üne sahip bir kaynaktan premium bir tema seçmenizi şiddetle tavsiye ederim. Bu şirketler binlerce temanın satışına dayanarak altyapı inşa ettiler, bu nedenle temalar satmadan önce sayısız hata ve güvenlik testi düzenliyorlar. Güvensiz temalar satmaya başlarlarsa, müşteriler onlara bundan bahsedecek ve itibarlarına zarar verecektir. Mükemmel WordPress temasını bulmak için kılavuzumuza bakın ve ücretsiz temadan uzaklaşın. WordPress tema veritabanı dünyanın en kötüsü değil, ancak ana kural daha önce hiç duymadığınız rastgele şirketlerden uzak durmaktır. PHP hata raporunuzu devre dışı bırakmak herhangi bir PHP hata raporu devre dışı bırakılmalıdır, çünkü eklenti veya tema bir hata raporu gönderdiğinde, sunucu yolunuzu da açıklayabilir, böylece sunucunuzu bulmanızı kolaylaştırır. Bu raporu devre dışı bırakmak için genellikle barındırma şirketinizi arayabilirsiniz. Kapağı oturum açma sayfanıza yerleştirin, web sitemizi güvence altına almanın her zaman en pratik yolu değildir, ancak giriş sayfanızı gizlemenize yardımcı olabilir, böylece diğerleri kolayca bulamaz. WordPress, varsayılan giriş alanı için slug /wp-admin ve /wp-login kullandığından, davetsiz misafirlerin saldırılarına tam olarak nerede başlamak zorunda olduklarını öğrenmeleri kolaydır. Giriş sayfanızın konumunu gerçekten değiştirebilirsiniz, ancak gelecekte karışıklığı önlemek için konumu hatırlamanız gerekir. LockDown WP yöneticisi, giriş sayfanızı gizlemek ve insanların bulmasını önlemek için sağlam bir eklentidir.

WordPress sürüm numaranızdan kurtulun WordPress, web sitenize WordPress sürüm numarasını görüntüleyen birkaç kod yerleştirir. Intruder sürüm numaranızı bilirse, sistemde belirli bir delik bulmak için eski sürümü kullanıp kullanmadığınızı öğrenebilirler. Sürüm numaranızı gösteren meta etiketleri silmek için Deslete Sürümleri gibi eklentileri kullanın. Yerel ortamınızı güvence altına alarak bu makaleyi özellikle web sitenizi dijital olarak nasıl güvence altına alacağınızla ilgili, ancak çevrenizdeki tehditleri denetlemeye ne dersiniz? Web sitenizde bir kahve dükkanında mı çalışıyorsunuz? Web sitesine genel bir WiFi kullanarak girerseniz, birisinin bilgilerinizi yakalaması ve sitenizi hacklemesi için en kolay yollardan biri olduğunu biliyor muydunuz?

Ayrıca kendi evinizi veya ofisinizi görmek istiyorsunuz. Kimsenin kendi sinyalinizi kullanarak sitenizi hackleyebilmesi için WiFi’nizin bir şifre ile güvenli olduğundan emin olun. Bilgisayarınıza bir güvenlik duvarı uygulayın ve yerel bilgisayar dosyalarınızdaki kötü amaçlı yazılım ve virüsleri kontrol etmek için araçlar çalıştırmak üzere bir program ayarlayın. Web siteniz çevrimiçi çalıştırılması, başka yerlerdeki sunucularda çalıştırılması, yerel izleme virüsünün giriş bilgilerinizi alamayacağı ve hasar göremediği anlamına gelmez. Bu durumdan kaçınmak için Norton gibi ortak araçlar kullanın. Bazı WordPress Güvenlik Anahtarları Al WordPress Güvenlik Anahtarları Bu çerezde depolanan bilgilerin daha fazla şifrelenmesini sağlamak için ziyaretçi çerezleri ile çalışır. Anahtar ayrıca genel şifre ve güvenlik korumasına yardımcı olur. Bir güvenlik anahtarı almak için wp-config.wp dosyanızı açın. Şuna benzeyen bir kod satırı arayın:
WordPress Tuz Anahtarı Jeneratörünü açın ve kendi rastgele kilitinizi üretmek için tarayıcınızdaki Yenile düğmesini tıklayın. Bu kodu kopyalayın ve yukarıdaki wp-config.wp dosyanızda gösterdiğim satırları değiştirin. Yukarıda yaptığım anahtarın gerçekten rastgele olduğunu unutmayın, böylece kopyalamaya ve kendi dosyasına koymaya çalışamazsınız. Tuz Anahtarı Jeneratörü ile kendiniz üretin. WP-Config.php dosyanızı koruyun, wp-config.php dosyanız çok önemlidir, çünkü kilitler ve veritabanı bağlantı verileri gibi önemli güvenlik bilgileri içermektedir. İnsanların .htaccess dosyanızı açarak ve aşağıdaki kodu girerek bu dosyaya erişmesini engelleyebilirsiniz: sipariş ver, tüm dosya izinlerini kontrol edin ve bu dizin mantıklı olmayabilir, bu dizin mantıklı olmayabilir Ancak izinli 777 dizin, saldırganlarla ilgili bazı sorunlar için sitenizi açabilir. WordPress, sitenizde doğru dosya iznini hazırlamak için iyi bir kılavuza sahiptir, ancak aşağıdaki kurallar başlamanıza yardımcı olacaktır:

600. wp-config.php dosyanızı ayarlayın

Dosyanızı 640 veya 644 olarak ayarlayın
Dizininizi 755 veya 750 olarak ayarlayın

Web ana bilgisayarınız, kafanızın üzerindeyse genellikle bu konuda size yardımcı olabilir. Sadece dizin ve dosya izni konusunda yardımlarını sorun. Yedekleme Planınızı Formüle Edin Siteniz güvenli olduktan sonra, bu her şeyin sonu değildir. Bir hacker iyi koruma duvarınızı kırmayı başarırsa ne olur? Olabilir. Aslında, siteniz bilgisayar korsanlarının yanı sıra başka nedenlerden dolayı aşağı olabilir.

Dosya yedeklemenizi otomatik olarak yapmak için bir eklenti kullanın. En iyi rezerv eklentisi, farklı bir depolama konumuna bir rezerv planlamak iyidir, böylece sitenizde yanlış bir şey varsa dosya alabilir ve tekrar uygulayabilirsiniz. Belki sitenizin sadece bir kısmı etkilenirdi? Çoğu zaman, bilgisayar korsanları kontrolü aldığında etkilenen sitenizin sadece küçük bir kısmıdır. Genellikle yalnızca spam e -postaları göndermek için komut dosyaları yüklemek isterler, bu yüzden sunucu en iyi arkadaşıdır. Sitelerinizden sadece bazıları genellikle etkilendiğinden, bu yüzeyde sorun bulmanızı zorlaştırır. Küçük sorunları tanımlamanın çözümü, sitenizi düzenli olarak taramaktır. Orijinallik Sınav eklentisi teması, dosyanızla ilgili herhangi bir sorun bulmak için sitenizde yüklediğiniz tüm temaları tarar. Bu, istenmeyen kodları ve tehlikeli dosyaları hedefler ve tanımlar, böylece listeyi görebilir ve sorunu silebilir veya devam ettirebilirsiniz. Sizin için tam bir kaldırma için ana bilgisayar. WordPress eklentisi söz konusu olduğunda, sahip olmanız gereken WordPress güvenlik eklentisi biraz Catch-22 var. Bir eklenti olarak birçok güvenlik seçeneği sağlanır, ancak güvenlik açığını azaltmanın en kolay yollarından biri, WordPress kontrol panelinize yüklediğiniz eklenti sayısını en aza indirmektir. Peki … oradan nereye gittin?

İlk adım etkin olmayan eklentileri kaldırmaktır. Ardından, sitenizi açın ve gerçekten ihtiyacınız olmayan her şeyi silin. Örneğin, temanız zaten bir iletişim formu sağlanmış olabilir, böylece bir iletişim formu eklentisine ihtiyacınız yoktur. Bu makaledeki bazı eklentiler hakkında açıkça konuşuyorum, ancak anahtar durumunuz için en uygun olanı seçmek ve seçmektir. Sitenizi 30 eklenti ile doldurarak sitenizi karıştırmak ve güvenlik boşluklarını açmak istemezsiniz. İşte, hepsi bir arada güvenlik eklentisi için bazı öneriler var. Hepsi bir arada, eklentilerin kullanımını en aza indirebilmeniz için genellikle yalnızca aşağıdaki eklentilerden birini seçmeniz gerektiği anlamına gelir. Ithemes Güvenliği – Bu eklenti, bilgisayar korsanları tarafından kolayca tahmin edilebilir olan WP_Posts gibi bir veritabanı önekini değiştirmek için çok iyidir. Bu eklenti, kullanıcılarınızın içeriği düzenlediğinde ve sitenizi girip çıktığında izleme yeteneği gibi çeşitli gelişmiş özellikler içerir. Gösterge paneli widget’ının görevlerini de yönetebilir, güçlü bir şifre oluşturabilir ve kötü amaçlı yazılımları tarayabilirsiniz. Kurşun geçirmez güvenlik – Kurşun geçirmez güvenlik, sitenizi güvenlik duvarı ile korur ve veritabanınız her ayrıldığında oturum açar. HTTP hata kaydı iyi bir dokunuş ve Pro sürümünde tek tıklamış bir ayar sihirbazı olması gerçekten keyif alıyorum. Pro sürümü ayrıca sitenizi güvence altına almanıza daha iyi yardımcı olmak için 16 mini eklenti ile donatılmıştır. WordFence Security – Tamamen ücretsiz WordFence güvenliği ve eklentilerin web sitenizi 50 kat daha hızlı ve daha güvenli hale getirebileceğini iddia ediyorlar.

Bu eklenti esas olarak WordPress deposu ile karşılaştırarak kaynak kodunuzun derinlemesine taramasını tamamlar. Eklenti yanlış bir şey bulursa, size hatırlatır. Sucuri Güvenlik – Sucuri Security, siyah liste izleme, uzun mesafeli kötü amaçlı yazılım taraması ve güvenlik bildirimi gibi özellikleri içeren bir başka ücretsiz eklentidir. Benim için göze çarpan bir alan, davetsiz misafir bulduktan sonra sitenizi depolama sürecinde size rehberlik edecek şekilde verilen güvenlik önlemleridir. Ayrıca, eklentilerin tek başına WordPress güvenlik sorunlarından neden sorumlu olmadığını okumakla da ilgilenebilirsiniz. Web sitenizin işlevselliğine ve kullanımına hangi yük kullanıcı deneyiminin güvence altına alındığına dair site güvenliğini ölçmek için geri bildirim isteyin? Güvenlik olağanüstü bir şey olsa da, paranoya memnun olmayan müşterilerin hesaplarına girememesine neden olursa ne olur? Tüm bu güvenlik taktiklerini uyguladıktan sonra, müşterilerinizden geri bildirim toplamaya çalışmak için bir anket gönderin. Gerçekten çalıştırdığınız site türüne bağlıdır, ancak iki aşamalı kimlik doğrulama işlemi üyelerinizi işaretlerse, diğer güvenlik yöntemlerini düşünün. Evet, güvenlik en önemlisidir, ancak tüm kullanıcılarınızı dışarı çıkarırsanız bir web sitesine sahip olmanın anlamı nedir? Birçok şirket için web sitesi yapan bir iş yürütüyorsanız bu çok önemlidir. Güvenlik prosedürlerinize itiraz edip etmediklerini görmek için müşterinize danışın. Memnuniyet, başka bir ipucu içinde düşüşünüz asla oturmaz ve rahatlatmaz. Siteniz artık güvenlidir, ancak hiçbir şey gerçekten güvenli değildir.

WordPress sitenizi nasıl güvence altına alabilirsiniz: WordPress 101 Güvenlik