Bir blog için orta-karar WordPress güvenlik önlemleri birkaç eklenti sayesinde alınabilir. Bu yaklaşım pek çok hack’leme girişimini durdurmak için yeterli olur ama tam garantili değildir. Gerçekten kararlı bir hacker yine de blogunuza girmenin yollarını bulabilir.
Daha iyi WordPress güvenlik önlemleri, eklentiler ve karmaşık şifreler gibi birkaç adımlı uygulamaları içerir.
Daha önce birkaç blogun temizlenmesi için çağrılmıştım ve yapılan hasarı geri döndürmeyi başarmıştık. Bunlar çoğunlukla kötü niyetli SEO saldırıları için blog yazılarına yerleştirilmiş spam bağlantılardı ama blogun sahibi güçlü WordPress güvenlik önlemleri almış olsaydı hiç yaşanmayacaklardı.
Blogunuzun güvenliğini artıracak WordPress güvenlik önlemleri
WordPress tabanlı blogunuzun güvenliğini güçlendirmek için birkaç yöntem vardır:
- Yönetici (admin) hesabınızı silin.
- Eklentilerinizi güncelleyin
- Karmaşık şifreler kullanın.
- Sucuri Security veya diğer blog güvenlik eklentilerini kullanın.
- Spam yorumları ortadan kaldırın.
Şimdi her yönteme daha yakından bakalım.
Editörün notu: Günlük kötü amaçlı yazılım taraması da dahil kapsamlı bir web sitesi güvenlik paketi için, Sucuri tarafından sağlanan GoDaddy Web Sitesi Güvenliği’ne göz atabilirsiniz.
1.Admin hesabınızı silin
Adınıza yeni bir yönetici hesabı açın. Blogun sahibi olarak yazarı da büyük olasılıkla siz olacaksınız, bu yüzden zaten genel bir isim (yani admin) yerine kendi adınızı kullanmanız gerekiyor.
Bilgisayar korsanlarının hack’lemeye çalıcakları en yaygın isim “admin”dir. Eğer bu isimli bir kullanıcınız yoksa içeri giremezler. Bu, ortada bir kapı yokken kapının kilidini kırmaya çalışmak gibi olurdu.
Ayrıca, blogunuza katkıda bulunanların sadece misafir/yazar düzeyinde bir hesaba sahip olduğundan emin olun. Böylece o hesapları hack’lemeyi başarmış bir bilgisayar korsanının, web siteniz üzerinde sadece sınırlı izinlere sahip olmasını sağlayabilirsiniz.
Hatta blogunuzun güvenliği için Limit Login Attempts (giriş denemelerini sınırlama) eklentisini kullanırsanız, hacker’ların hangi hesaplara giriş yapmaya çalıştıklarını da takip edebilirsiniz.
Bu eklentiyi, ardı ardına başarısız girişimlerden sonra o IP adresinden gelen giriş denemelerini engellemek üzere ayarlayabilirsiniz. Ben kendiminkini 4 başarısız giriş denemesinden sonra o IP adreslerini 168 saat (1 hafta) engellemek üzere ayarladım. Böyle bir durumda, saldırganın hangi hesaba girmeye çalıştığını belirten bir e-posta alıyorum. Ve o hesap çoğunlukla yine “admin” hesabı oluyor, bu da öyle bir hesabım olmadığı için asla içeri giremeyecekleri anlamına geliyor.
2.Eklentilerinizi güncelleyin
Güncelleştirilmemiş eklentiler bilgisayar korsanları tarafından istismar edilebilir. Özellikle de söz konusu eklentilerde güvenlik açıkları olduğunda… Eklenti geliştiricilerinin güncelleme yapmalarının sebeplerinden biri bu açıkları kapatmaktır, ancak iki senedir güncellenmeyen bir eklenti kullanıyorsanız risk altındasınız demektir.
Bu özellikle geliştiricileri tarafından terk edilmiş eklentiler için geçerlidir. Bazı durumlarda, hacker’lar eklentiyi geliştiriciden satın alıp hâlâ o eklentiyi kullanan bloglara girmek için kullanabiliyor.
Blog güvenliği konusunu kontrol altında tutabilmek için eklentileri en az haftada bir kontrol edin ve eski olanları hemen güncelleyin.
Buna ek olarak, kullandığınız eklentilerin sayısını da sınırlayın. Eklentilerin fazla olması hem siteyi yavaşlatır hem de güvenlik açıklarının artmasına sebep olur. Blog güvenliğinizi geliştirmek için eklentilerin sayısını azaltın. Kullanmadığınız eklentileri devre dışı bırakmakla kalmayın, tamamen silin. Hiç olmazsa blogunuzun hızını artırmış olursunuz.
3.Karmaşık şifreler kullanın
Karmaşık şifreler kullanmanın öneminden daha önce de bahsetmiştik. “Havuc” ya da hatta “havuc37” gibi basit bir şifre kullanıyorsanız, bu çok geçmeden hack’leneceğiniz anlamına geliyor.
Ama HeddyLamarFutboluSeviyor gibi ya da daha da iyisi insangucu-lite-isik-pasifik gibi birbiriyle alakasız 3-4 kelimelik karmaşık şifreler kullanırsanız, bunların kırılması havuc37’ye kıyasla çok daha zor olur.
Ayrıca farklı büyük ve küçük harfler, sayılar ve *8)R83CRD[$3cuZGq gibi özel karakterler bulunan şifreler de kullanabilirsiniz. Ama bu aslında pek de gerekli değil. Hatta bu tarz şifreleri yaratan adam, Bill Burr, en başta onları yarattığı için özür diledi ve bu politikayı 2003 yılında, şifreler hakkında pek bir şey bilmiyorken çıkarttığını söyledi.
Görünen o ki, rastgele karakterlerden oluşan bir dizinin kırılma olasılığı, tire işaretleriyle birleştirilmiş dört rastgele sözcüğün kırılma olasılığından daha yüksek. Bu da dört kelimelik şifrelerin, daha güçlü bir şifre seçeneği oldukları anlamına geliyor.
Şifrelerinizi oluşturmak ve hatırlamak için 1Password gibi bir şifre kasası kullanmanızı öneriyorum. LastPass ve KeePass de iyi alternatiflerdir. Aralarında çok fazla fark olmadığından, hangisini seçeceğiniz kişisel tercihlerinizi bağlı. Hepsi dizüstü bilgisayarınızda, tabletinizde, cep telefonunuzda çalışıyor ve tarayıcı eklentileri var. Bir şifre kasası kullanıyorsanız tek yapmanız gereken ana şifreyi girmektir, ondan sonra kasa sizin için blog şifrenizi ve giriş adınızı doldurur.
4.Sucuri Security veya diğer WordPress güvenlik önlemleri eklentilerini kullanın
Daha önce, Limit Login Attempts eklentisini blogunuz için kullanabileceğiniz WordPress güvenlik önlemleri eklentileri arasında saymıştım. Ancak, birinin sitenize saldırdığından haberdar olmak onu durdurmakla aynı şey değildir. Bu nedenle Limit Login Attemps kullanırsanız, belirli IP adreslerinin blogunuza erişmeye çalışmasını engelleyen WP-Ban’i de almanızı öneririm.
Ne zaman Limit Login Attempts’ten bir e posta alsam, WP-Ban’e gidip söz konusu IP adresini engelliyorum. Burada yanlışlıkla kendi IP’nizi engellemediğinizden emin olun.
Diğer blog güvenlik eklentilerine gelince, aralarından seçim yapabileceğiniz birkaç farklı seçenek var:
Sucuri, WordFence ve All In One, ücretli yükseltmelerin yanı sıra ücretsiz seçeneklere de sahiptir, ancak iThemes yalnızca ücretli bir eklentidir. Ücretsiz sürümler de epey iyi çalışıyor ama her zaman biraz para ödeyip daha güçlü WordPress güvenlik önlemleri sağlayabilirsiniz – seçim size kalmış.
Sonuçta hepsi blog güvenliği sağlamaya yarıyor. Ancak sahip oldukları farklı özellikler var, bu yüzden en çok ihtiyacınız olan seçeneği tercih edebilirsiniz:
- Sucuri – SSL sertifikaları, kara liste takibi, dosya izleme, güvenlik bildirimleri ve güvenlik güçlendirme hizmetleri sunar. Blogunuzda bir sorun olduğunda anında bildirim de alırsınız.
- WordFence – Kullanımı kolaydır ve giriş güvenliği, karmaşık şifreler ve kurtarma araçları dahil güçlü koruma hizmetleri sunmanın yanı sıra, dosyaları, temaları ve eklentileri kötü amaçlı kodlar için tarayan zararlı yazılım taramasına da sahiptir. Ayrıca giriş denemelerini sınırlama özelliği de bulunur.
- iThemes – Öncelikle ücretli bir eklentidir, ancak blog güvenliği için oldukça fazla işlevsellik sunar: İki faktörlü kimlik doğrulama (giriş yapabilmek için telefonunuza bir kod gelmesi), günlük kötü amaçlı yazılım taraması, şifre güvenliği, online dosya karşılaştırması (dosyalarda yapılan değişiklikleri kontrol etmek için) ve spam yorumların kaldırılmasına yardımcı olan Google reCAPTCHA.
- All In One – Kullanıcı hesapları için koruma sağlar, giriş denemelerini engeller ve kullanıcı kayıt aşamaları güvenliğini artırır, ayrıca veri tabanı ve dosya güvenliği de vardır. Hepsinden iyisi, grafikleri ve sayaçları olan görsel bir ekran kullanır, böylece başlangıç düzeyinde bile olsanız ne kadar iyi çalıştığını kolayca anlayabilirsiniz.
5.Spam yorumları ortadan kaldırın
Bu, bir blog güvenliği sorunu olmasa da, bir dolu bağlantıyı tek bir yorum içine ekleyen spam gönderiler vardır. Google artık SEO açısından yorumlara önem vermiyor ama spam gönderenler hâlâ bunu tam anlamamış görünüyor. İşte spam yorumları ortadan kaldırmanıza yardımcı olacak WordPress güvenlik önlemleri:
Akismet’i açın
Akismet, WordPress ile birlikte gelen bir spam avcısıdır (otomatik olarak gelmediyse, yeni eklenti indir komutuyla edinebilirsiniz). Ücretsiz bir hesap alabilirsiniz ama ben aylık ödeme yapmayı tercih ediyorum. Yönettiğim farklı bloglar için her ay yüzlerce spam yorum yakalıyorlar, bu yüzden verdiğim paraya değiyor.
Eski blog gönderileri için yorumları kapatın
Genellikle tüm blog yazılarını iki hafta sonra yoruma kapatırım, ancak blog yazılarınız hakkındaki konuşmanın uzamasını istiyorsanız bu süreyi uzatabilirsiniz. Ama bir spam gönderen belirli bir URL’nin çalışacağından eminse, geri dönüp yorum bırakmaya devam edebilir. Böyle durumlara, o yazının yorumlarını hemen kapatın.
CAPTCHA doğrulaması ekleyin
Daha önce “Robot olmadığınızı kanıtlamak için buraya tıklayın” kutusu gördüyseniz veya az-çok okuyabildiğiniz bir harf ve sayı dizisi girmeniz istendiyse, bir CAPTCHA’ya rastlamışsınız demektir. CAPTCHA’lar otomatik spam yorum yazılımlarının göremeyeceği şekilde tasarlanmıştır, bu da yazılımları kullanan spam gönderenlerin sizi rahatsız edemeyeceği anlamına gelir. Bunu br eklenti ya da iThemes gibi bir güvenlik eklentisi ile yapabilirsiniz.
Tüm yorumlara onay adımı ekleyin
Bu biraz sıkıcı olabilir, ama bu seçeneği tercih ederseniz ( yan menüdeki Ayarlar > Tartışmalar bölümünden) blogunuza her yorum yapıldığında bir e posta alırsınız. Ondan sonra yorum yayınlanacak mı, çöpe mi atılacak yoksa spam olarak mı işaretlenecek, size kalmış. WordPress zamanla neyi spam olarak düşünüp neyi düşünmediğinizi öğrenir ve spam yorumların çoğunu otomatik olarak sizin için ele alır.
Anahtar kelimeleri kara listeye alma özelliğini kullanın
Tartışmalar ekranında, yorumlarınızda izin verilmeyecek anahtar kelimelerin listesini oluşturabilirsiniz. Sürekli belirli türde spam yorumlar alıyorsanız, tutarlı bir şekilde kullandıkları anahtar kelimeleri bulun ve bu listeye ekleyin. Böylece o yorumlar denetim sıranıza bile düşmeyeceğinden, onlarla uğraşmak zorunda kalmazsınız.
Peki, ya WordPress kullanmıyorsanız?
Kullanmaya açık 80’den fazla farklı blog platformu var, ancak WordPress hala dünyada 1 numara. Bu da onu hacker’lar için en cazip platform yapıyor. Bu yüzden WordPress güvenlik önlemleri de diğer platformlarınkinden daha güçlü. Bir Blogger, Tumblr veya Medium blogunuz varsa güvenliği sağlamak için karmaşık şifreler oluşturabilirsiniz ancak bu yazıda bahsettiğim eklentileri ve diğer blog güvenlik önlemlerini kullanamazsınız.
Blogunuz ve web siteniz işletmeniz için çok önemlidir. Özellikle de onlara birkaç senedir yatırım yapıyorsanız, zaman harcadığınız ço fazla iş kaybedebilirsiniz ki bu yıkıcı olabilir. Bu yüzden güçlü bir blog güvenliği için gereken her adımı atmanız gerekir.
Güçlü bir şifreniz olsun, admin hesabınızı silin, eklentilerinizi güncel ve sınırlı tutun. Son olarak, Sucuri gibi sağlam bir güvenlik sisteminiz olduğundan emin olun. Tüm bu WordPress güvenlik önlemleri unsurlarını kullanıyorsanız, blog güvenliğiniz hacker’ların girmesini neredeyse imkansız kılacak kadar güçlü olacaktır.
Elbette, hiçbir şeyin kırılması imkansız değildir, bu yüzden bir şeylerin ters gitmesi ihtimaline karşı iyi bir yedekleme sisteminiz olduğundan emin olun. Bunun için de kullanabileceğiniz eklentiler var!