WordPress sitenizi güvence altına almak için 15 WordPress güvenlik hileleri
WordPress sitesi hakkında son zamanlarda hacklenen çok fazla haber var. Ve birçok insan son saldırı nedeniyle WordPress’in güvenliğini sorgulamaya başladı. Bu nedenle, bir WordPress web siteniz varsa, size bu kılavuzda öğreteceğim 15 WordPress güvenlik tekniğine göre hareket etmelisiniz. Buna atlamadan önce, önce seni uyarayım. Bu makaleyi okumakla meşgul olduğunuzda, bazı Kiddie senaryoları web sitenizi hacklemeye çalışabilir (WordPress ya da değil). Ciddi anlamda? Evet. “Bazı erkekler neden benim için zamanlarını boşa harcadı? Bu benim gibi büyük bir iş değil. ”
Endişelerinize eklemek istemiyorum, ancak hackerlar küçük bir web sitesi gibi. Çünkü kolay hedefler.
İçindekiler
Web sitesi güvenliği neden bu kadar zahmetli?
WordPress saldırıya uğradı, başka bir platform aramalı mısınız?
1. Benzersiz bir kullanıcı adı ve şifre kullanın
2. İki faktör kimlik doğrulaması kullanın
3. Kullanıcıların insan olarak doğrulanması
4. WordPress’i güncelleyin
WordPress nasıl güncellenir
5. Dosya Düzenlemeyi Devre Dışı Bırak
6. Giriş çabalarını sınırlayın
7. kaba kuvvet saldırılarının korunması
8. DDOS saldırılarının korunması
9. Kötü amaçlı yazılımları tarayın ve kaldırın
10. İyi Bir Ev sahibi
11. Eklentileri ve temaları akıllıca seçin
12. Gereksiz / süresi dolmuş eklentileri ve eklentileri silin
13. Güvenli .htaccess ve wp-concent.php
14. Hassas bilgileri gizle
15. İleride kalın ve güncellenir
Çözüm
Web sitesi güvenliği neden bu kadar zahmetli? Tamam, birisi web siteme girmeye çalışıyor, ama neden umursamalıyım? Özellikle, çünkü tüm yedeklerim var. WordPress’i silebilir ve tekrar yükleyebilirim.
Sorunuz geçerli. Ancak, bilgisayar korsanı rezervlerinize ve web ana bilgisayarlarınıza erişim elde ettiyse? Ayrıca, bilgisayar korsanının web siteniz üzerinde kontrol edilirse, bazıları … bilgisayar korsanları bilgilerinizi ve ziyaretçilerinizi çalabilir ve yasadışı amaçlarla kullanabilir.
Ziyaretçi almaya başlarsanız, kesinti uzun vadede sizi etkileyecektir.
İnsanlar web sitenizin kalitesini sorgulamaya başlayacaktır.
Saldırgan, web sitenizde saldırgan veya yasadışı bir şey gönderebilir ve sonuçlarla yüzleşmeniz gerekebilir (yasal veya tam tersi).
Ama neden sadece benim gibi küçük web sitelerinde sorun vermek için çok uğraşan insanlar var?
Küçük web siteleri kolayca hacklenir.
Bilgisayar korsanları, daha büyük projeler için araçlarını küçük web sitelerinde test eder.
Web ana bilgisayarınızı spam e -postaları göndermek için kullanabilirler.
Davetsiz misafir “büyük insanlara” saldırmak için küçük bir web sitesi kaynağı kullanıyor. Web sunucunuz DDOS saldırıları için BotNet’in bir parçası olabilir.
Bilgisayar korsanları, kötü amaçlı yazılım yaymak için web sitenizi kullanabilir. Binlerce küçük web sitesi kötü amaçlı yazılım yaymanın iyi bir yoludur, çünkü küçük web sitesi sahipleri güvenliği kontrol etmek için güvenlik uzmanlarına ödeme yapamazlar.
Bilgisayar korsanları web sitenizi Google’ın trafiğini artırmak ve geri bağlantılar göndererek kendi web sitelerinden sıralamayı kullanabilir.
Bu nedenle, bir web sitesi oluşturmaya başlasanız bile, güvenliğine çok dikkat etmelisiniz. Bu sadece seninle ilgili değil. Dikkatsizliğiniz de başkalarını etkileyebilir (DDOS saldırıları).
WordPress saldırıya uğradı, diğer platformları aramalı mısınız? Her şeyden önce, güvenli bir sistem yoktur (web sitesi veya kişisel bilgisayar). İnsanlar hava boşluğu sistemini (izole edilmiş bilgisayar) hacklemenin bir yolunu bile buldular. Hangi platformu seçtiğiniz, bilgisayar korsanları bunun yolu bulacaktır. Pek çok WordPress sitesinin hacklenmesinin nedeni, WordPress’in çok popüler olmasıydı. Web sitesinin yaklaşık% 27’si WordPress kullanıyor ve büyümeye devam ediyor. WordPress, bilgisayar korsanları ve spam gönderenler için altın madeni haline geldi. Cyberpumbs sürekli olarak WordPress’e saldırdı, çünkü güvenlik açığı bulmayı başarırlarsa, internetin% 27’sine hakim olabilirler.
WordPress sitesinin saldırıya uğramasının bir başka nedeni de bunun açık bir ortam olmasıydı. Kullanıcılar kodlar oluşturabilir ve web sitesini değiştirebilir. Üçüncü taraflı bir eklenti ekleyebilirler. Peki, web siteniz için başka CMS’yi mi arıyorsunuz? Değil. Sorun WordPress Core kodunda değil, bu yüklediğiniz eklenti ve temadır. Ama sonra, daha önce söylediğim gibi, gerçekten güvenli bir sistem yok. WordPress’in kendisi güvenli değilse, Web’in% 27’si neden kullanıyor? Birçok gönüllü, çekirdek sistemi ve WordPress deposunun korunmasında çok dikkatlidir. WordPress deposunda bulunan temalar ve eklentiler güvenlik ve güvenilirlik açısından iyice test edilir.
Güçlü bir şifreniz olduğunda kullanıcı adlarıyla ilgili büyük bir sorun nedir? Güçlü bir şifreye sahip olmanın iyi bir şey olduğunu biliyorum. Ancak, hala “admin” kullanıcı adı olarak kullanıyorsanız, hacker çabalarını yarıya indirirsiniz. Permütasyonlar azalır. Bilgisayar korsanları yalnızca farklı bir şifre kombinasyonunu deneyebilir çünkü kullanıcı adınızı zaten bildikleri için. Ancak, ne yazık ki, WordPress’teki kullanıcı adını değiştiremezsiniz! Kullanıcı adlarını değiştirmek için birkaç eklenti yükleyebilmenize rağmen, basit görevler için bir eklenti kullanmanızı önermiyorum. Bu nedenle, yönetici haklarına sahip yeni kullanıcılar için yeterli, ardından eski yönetici kullanıcılarını silin. Endişelenmeyin, WordPress kullanıcı tarafından yapılan yayınla ne yapmak istediğinizi soracaktır. Yeni kullanıcılar oluştururken, “Namasaya” veya “Namasitusaya” gibi çok net olmayan kullanıcı adlarını kullanın.
Parolalar için basit kural, şifrenizin karmaşık, uzun ve benzersiz olması gerektiğidir. Karmaşık: Şifreniz en az 1 sayı, 1 sermaye mektubu ve 1 özel karakter içermelidir. Uzunluk: Şifreniz en az 10 karakter olmalıdır. Benzersiz: Şifreniz ortak bir kelime veya cümle içermemelidir. Ve her web sitesi için farklı bir şifre kullanmalısınız.
Yukarıdaki şifre kurallarını uyguladıktan sonra, şifreniz şöyle görünecektir: [E -posta
Korumalı] #m! K% güçlü bir şifredir.Ama sorun şu ki, biz insanız ve hatırlamak zor.Bu nedenle, LastPass gibi araçları kullanın ve koruyun.Ücretsizdirler ve birçok cihazda kullanabilirsiniz.Yaratıcı olduğunuz için hala basit bir şifreyle kaçabileceğinizi düşünüyorsanız, umarım bu zihninizi değiştirir.2. İki faktörün kimlik doğrulamasını kullanın, şimdi WordPress yönetici paneliniz için benzersiz bir kullanıcı adı ve güçlü bir şifre kullanın.Büyük!Bu, daha iyi WordPress güvenliğine doğru bir adımdır.Ancak, ne kadar güçlü olursa olsun, şifre kırılabilir!
Bilgisayar korsanları, web sitenize nüfuz etmek için kaba kuvvet saldırıları kullanır (daha sonra konuşacağız). Güçlü kaba kuvvet saldırıları herhangi bir şifreyi çözebilir. Bu yüzden web sitenizde iki faktör kimlik doğrulaması kullanmaya başlamanız gerekir. Bu güvenliği artıracaktır. İki faktörün kimlik doğrulaması, girmek için kullanıcı adı ve şifre dışında bir güvenlik kodu girmenizi gerektirir. İki faktör kimlik doğrulamasını etkinleştirdikten sonra, akıllı telefonunuzda bazı kodlar (tek kullanımlık) alacaksınız. Yalnızca kodu girdikten sonra girebileceksiniz. Biliyorum, bu zahmetli, ama unutmayın, pişmanlıktan daha iyi olmak daha iyidir. Güvenlik uzmanları birkaç DNA giriş seçeneği bulamazsa, iki faktör en iyi güvenlik yöntemleridir. Ne yazık ki, WordPress’in iki faktör kimlik doğrulaması eklemek için varsayılan bir ayarı yoktur. Google Authenticator adlı bir eklenti kullanmalısınız. Google’ın 2 adımlı doğrulamasına aşina değilseniz, Evanto Tuts+, WordPress ile 2 Google Factor Authenticator’ı kullanma konusunda harika bir öğreticiye sahiptir. 3. Kullanıcıların insan korsanları olarak doğrulanması, sisteme şiddetle saldırmak için botnet kullanır. Ve bilgisayar korsanlarını gerçekten rahatsız etmenin bir yolu, Recaptcha formunu kullanmaktır. Genel olarak, BotNet Recaptcha’yı doğrulayamaz, bu nedenle bilgisayar korsanları kullanıcı adını ve şifreyi manuel olarak girmeye çalışmalıdır. Bu, arkadaşım, acı çekiyor … nerede olduğunu biliyorsun. Bununla birlikte, çarpık bir metin kullanan eski Recaptcha verimsizdir. Birkaç harf hakkında vahşi tahminler yapmak zorunda kaldığınızda hepimiz oradayız. Recaptcha deneyimini daha insan dostu ve anti -bot yapmak için Google, yeni “no captcha recaptcha” nı tanıttı. Görülemeyen yeni Recaptcha, insanları otomatik olarak algılayabilir. WordPress giriş, yorum ve/veya kayıt formuna manuel olarak veya captcha olmadan Recaptcha eklentisini kullanarak Recaptcha ekleyebilirsiniz. Ancak, her şeyden önce, Google’dan bir Recaptcha anahtarı almanız gerekir. Bir anahtar aldıktan sonra, manuel olarak yaparsanız kodunuzu veya eklenti kullanıyorsanız eklenti ayarlarına girin.
4. WordPress’i güncelleyin Her zaman WordPress’i güncellemelisiniz. WordPress güncellemeleri yalnızca özellik eklemek için değildir. Reform, hataları ve güvenlik deliklerini düzeltmek için en önemlisi yayınlandı. Ancak, WordPress’i güncelledikten sonra temam ve eklenti ile uyumluluk yaşarsam ne olur? Genellikle, iyi temalar ve eklentiler, WordPress çekirdeği güncellendikten hemen sonra güncellemeleri yayınlar. Kullandığınız eklenti veya tema güncellenmediyse, alternatif değiştirme zamanı. WordPress veya eklentiler veya eski temalar kullanan hacklenen web sitelerinin çoğu. Süresi dolmuş eklenti sürümü web sitenizi tehlikeye atabilir. Bu nedenle, temalarınızı ve eklentilerinizi mümkün olan en kısa sürede güncelleyin! Güncelleme yoksa, değiştirin. En son temaların ve eklentilerin çoğunu WordPress depolarında bulabilirsiniz.
WordPress temamızı da deneyebilirsiniz.Temanın güvenlik sorunları hakkında endişelenmenize gerek yoktur.WordPress nasıl güncellenir WordPress güncelleme kolaydır.WordPress, çekirdek sistem, tema veya eklenti için bir güncelleme varsa, gösterge tablosundaki bildirimleri otomatik olarak görüntüler.Gösterge Tablosu> Güncelleme’yi açın ve Güncelleme düğmesini tıklayın. WordPress, eklentiniz ve çekirdek temalarınızın küçük sürümler için otomatik olarak güncellenmesi için otomatik güncellemeleri de etkinleştirebilirsiniz.Web siteniz otomatik olarak güncellendiğinde bir e -posta bildirimi alacaksınız.5. Dosya düzenlemenizi devre dışı bırakın Web sitenizi WordPress’teki varsayılan kod düzenleyicisiyle kolayca ayarlayabilir.
Ancak, hackerlar bir şekilde web sitenize başarılı bir şekilde girdi. Şimdi, editörü kullanarak web sitenizi kolayca düzenleyebilirler. Bu nedenle, bu, WordPress düzenlemesini editör aracılığıyla devre dışı bırakmak için güvenli bir uygulamadır. Editörü devre dışı bırakmak için önce WordPress yedeklemenizi yapın. Ardından, web sitenizin arkasında bir wp-config.php dosyası arayın. WP-Admin ve WP-Content gibi diğer klasörlerle birlikte WP-Config.php’yi web sitenizin kök klasöründe bulabilirsiniz. Web sitesinin arkasına bağlanmak için FTP istemcilerini kullanabilirsiniz. Veya cpanel erişiminiz varsa, CPanel’de bulunan dosya yöneticisini kullanabilirsiniz. Şimdi, wp-config.php dosyasına aşağıdaki kod satırlarını ekleyin ve
> Dosyadan sonra kaydedin güncellenir, WordPress kontrol panelini kullanarak tema şablonunu düzenleyemezsiniz. Yine de temayı CPanel FTP veya Dosya Yöneticisi kullanarak değiştirebilirsiniz. 6. Giriş çabasını sınırlandırdığınızda, WordPress’i yüklediğinizde WordPress, oturum açma çaba sınırının eklentisini yükleyip yükleymeyeceğinizi sorar.
Giriş çabalarını sınırlamak, web sitenizi kaba kuvvet saldırılarından korumanın iyi bir yoludur. Bilgisayar korsanları web sitenize farklı bir giriş kombinasyonu ile girmeye çalışacaktır. Ancak, girme çabalarını sınırlandırırsanız, kullanıcının engellendikten sonra kullanıcıların yalnızca birkaç kez girmeye çalışmasına izin verirsiniz. WordPress kurulumu sırasında bu seçeneği kontrol etmeyi unutursanız, endişelenmeyin. Eklentileri WordPress depolarında bulabilirsiniz. Eklenti açın> WordPress pano menünüzden yeni ekleyin. “Loginizer” arayın, ardından eklentiyi yükleyin ve etkinleştirin. Eklentiyi etkinleştirdikten sonra, giriş korumasını ayarlamak için Loginer Güvenlik> Brute Force’u WordPress Yönetici menüsünden açın. 7. Yönetici paneline veya web sitenizin FTP hesabına erişmek için kaba kuvvet saldırıları kullanarak kaba kuvvet hacker saldırılarının korunması. Temel olarak, kaba kuvvet saldırıları deneme hatası yöntemleridir. Kilidini açmak için farklı bir düğme kombinasyonu denemek gibi. Davetsiz misafir saldırıyı otomatikleştirmek için botnet kullanabilir. Web sitenizi kaba kuvvet saldırılarının hedefi olmayacak şekilde korumak için 1, 2, 3 ve 6 talimatlarını izleyin. Bilgisayar korsanları giriş formları bulmakta zorluk çeker. Bir WordPress Security & Güvenlik duvarı. Eklentiyi yükledikten sonra, özel giriş URL’sini etkinleştirmek için kaba kuvvet bölümünü açın. Bu eklenti o kadar çok özelliğe sahiptir ki, bunu yüklerseniz başka WordPress güvenlik eklentilerine bile ihtiyacınız yoktur. 8. DDOS saldırılarının Korunması İnterneti destekleyen birçok cihazla, DDOS saldırılarının sıklığı arttı. DDOS, hizmetleri bırakmak amacıyla sahte trafiğe sahip web sitelerini/hizmetleri taşma yöntemidir. Bilgisayar korsanları, DDOS saldırılarını gerçekleştirmek için enfekte bir sistem (kötü amaçlı yazılımları olan) kullanır. 2016 yılında, bilgisayar korsanları Dyn’i ezerek Twitter, Amazon, Reddit ve Netflix gibi birçok ünlü web sitesi yaptı. Bu nedenle, her zaman DDOS saldırılarıyla yüzleşmeye hazır olmalısınız. Yukarıda belirtilen güvenlik adımlarını takip ederek (1, 2, 3, 4, 6 ve 7) DDOS saldırılarına hazırsınız. Ayrıca, CloudFlare veya MaxCDN gibi bulut hizmetlerini de kullanmanızı öneririm. DDOS saldırılarını azaltmanıza yardımcı olabilirler. Aynı şekilde, web siteniz önbelleğe alınması, web sitenizi trafiğin avantajlarından korumanıza da yardımcı olabilir. Web’inizi WP Super Cache gibi eklentileri kullanarak önbelleğe alabilirsiniz. 9. Kötü amaçlı yazılım tarayın ve silin çünkü güvenlik ipuçlarımı çok dikkatli okuduğunuz için (umarım bunu yaparsınız), panik yoksa size daha korkutucu bir şey söyleyeyim! Hacker kurnaz! Web dosyanıza birkaç kötü amaçlı yazılım yerleştirmiş olabilirler. Bu nedenle, mümkün olan en kısa sürede tehlikeli dosyaları bulmak için web sunucunuzu taramanız gerekir!Ve onlardan kurtulun.Nasıl yapılır?Eklenti güvenlik eklentisi.Sucuri Security, WordPress’te kötü amaçlı yazılımları algılamak ve kaldırmak için en iyi ücretsiz eklentidir.Eklenti eklemek istemiyorsanız veya tam bir sunucu tarafı taraması yapmak istiyorsanız, Sucuri’ye abone olun.Bu hizmet ücretlendirildi.Sucuri satın alamıyorsanız (pahalı olduğunu biliyorum), bir otoyol var.Tüm bu teknik şeyler hakkında size vaaz verdiğim için, bence bir hediyeyi hak ediyorsunuz.Web sitenizden kötü amaçlı yazılımları nasıl tarar ve kaldırırsınız!İlk olarak, FTP istemcinizi kullanarak public_html klasörünü sunucunuzdan indirin.Ardından, indirilen klasörü bilgisayarınızda antivirüs yazılımını (Norton, Kaspersky veya diğer) kullanarak tarayın.Antivirüs programının güncel olduğundan emin olun.Bundan sonra, eski public_html dosyasını FTP kullanarak yeni temizlenenle değiştirin.Bu kadar kolay!
10. İyi ev sahibi web sunucuları, web sitesi güvenliğinde çok önemli bir rol oynar.İyi bir web sunucusu size DDOS saldırılarının, kaba kuvvet saldırılarının ve kötü amaçlı yazılımların üstesinden gelmek için destek ve araçlar sağlar.Bu nedenle, siteground barındırmayı tavsiye ederim çünkü güvenliği yüksek bir öncelik olarak koruyorlar.Genel olarak, ortak barındırma paketleri daha savunmasızdır, çünkü sunucu diğer web siteleriyle paylaşılır.Bilgisayar korsanları, birlikte barındırma konusunda web sitenize saldırmak için aynı sunucudaki diğer web sitelerini kullanabilir.Bu konsepte çapraz yer kontaminasyonu denir.Genellikle özel barındırma veya VPS barındırma almak için en iyi olarak kabul edilir, ancak fiyat pahalı.Yeni başlayanlar olarak, bunun için bir bütçeniz olmayabilir.Bu, kendin riske sahip olduğunuz anlamına mı geliyor? Değil. Paylaşılan barındırma bile korunabilir. Siteground gibi iyi bir web barındırma şirketi, paylaşılan bir barındırma paketinde bile modsecurity gibi bir güvenlik duvarı yükler. Ayrıca, sunucudaki web sitelerinin sayısını sınırlar ve sunucuyu düzenli olarak kötü amaçlı yazılımlarla tararlar. Aynı şekilde, web ana bilgisayarınız size başarılı bir güvenlik sağlayabilirse, bu bir artı noktadır. 11. Eklentileri ve temaları akıllıca seçin, eklentileri ve temaları akıllıca seçin. Bu konu hakkında bilmeniz gereken tek şey bu. Eklentiler ve üçüncü taraf temaları yükleme seçeneği, WordPress’i bilgisayar korsanlarına karşı savunmasız kılan şeydir. WordPress eklentileri ve temalar güvenli WordPress depolarında mevcuttur. Ancak manuel olarak bazı eklentiler veya temalar eklemeniz gerekiyorsa, WordPress’inize yüklemeden önce daima kötü amaçlı yazılımları kontrol edin, Antivirus yazılımını kullanın. Ayrıca, bir eklenti veya tema yüklemeden önce, son güncellemenin incelemesini ve tarihini kontrol edin. 12. Gereksiz / süresi dolmayan temaları ve eklentileri silin, WordPress’inizi her zaman temiz tutun. Şu anda herhangi bir eklenti veya tema kullanmazsanız ve eklenti veya tema modası geçmişse, silin. Bilgisayar korsanlarını davet edebilirler. Aynı şekilde, WordPress’in arkasına gidin ve gereksiz dosyaların varsayılan WordPress dosyasıyla karşılaştırarak olup olmadığını kontrol edin. Veya yeni bir WordPress kurulumu yapabilirsiniz. İlk olarak, veritabanınızı ve WordPress’inizi yedekleyin. Ardından, WordPress’i sil. Ve yeni bir güncellenmiş yeni WordPress yükleyin. Bakım sırasında bakım sırasında ziyaretçilerinize söylediğinizden emin olun. 13. Güvenli .htaccess ve wp-concent.php Yalnızca Yüce, hackerların .htaccess veya wp-concent.php dosyalarınıza erişirse neler yapabileceğini bilir. Bu nedenle, her zaman .htaccess ve wp-concent.php dosyalarını gizlemelisiniz. Bir kod nasıl yapılacağını bilmeseniz bile, .htaccess dosyasına birkaç kod girerek .htaccess ve wp-concent.php’yi kolayca sabitleyebilirsiniz. Değişiklik yapmadan önce lütfen .htaccess dosya yedeklemesini kaydedin. Web sitenizin kökünden .htaccess dosyasını bulun ve ona aşağıdaki kod satırlarını ekleyin. Wp-config.php.htaccess dosyasını gizle
veya en azından adı değiştirin) WordPress’i yükledikten sonra Readme.html dosyası. ReadMe dosyaları, WordPress’in WordPress sürümünün ne kullandığını anlatacaktır. Ayrıca, bir phpinfo.php veya i.php dosyası oluşturduysanız, adını silmenizi veya değiştirmenizi öneririm. Bu dosya sunucunuzla ilgili tüm bilgileri içerir. Ardından, dizin dizini devre dışı bırakın. Saldırgan klasörünüzün yapısını görebilir ve dosya bir dizin aramasıyla. Bunu yapmak için teknolojiye hakim olmanıza gerek yok. .Htaccess dosyasını açın ve dosyanın sonuna aşağıdaki kodu ekleyin.
