Yararlı WordPress güvenlik ipuçları – adım adım (2024)

Siber tehditlerin giderek daha karmaşık ve sofistike hale geldiği dijital dünyada WordPress sitenizi güvende tutmak kritik önem taşıyor. İster kişisel bir blog, ister bir e-ticaret mağazası veya kurumsal bir web sitesi işletiyor olun, sitenizi davetsiz misafirlerden, bilgisayar korsanlarından ve kötü amaçlı yazılımlardan korumak bir numaralı önceliğiniz olmalıdır.

İstatistikler cesaret kırıcı: WordPress Stats’a göre, bu platformda oluşturulan tüm web sitelerinin neredeyse %70’i siber suçlular tarafından saldırıya uğruyor. Bu saldırıların sonuçları – gizli verilerin çalınmasından web sitesi içeriğinin tamamen silinmesine kadar – felaket olabilir. Mali kayıplara ek olarak, bu durum marka itibarınıza onarılamaz zararlar verebilir ve müşteri güvenini sarsabilir.

Ancak umutsuzluğa kapılmayın, çünkü WordPress sitenizi potansiyel tehditlerden korumanın etkili yolları var. 2024’te web sitenizin güvenliğini nasıl artıracağınıza dair en iyi uygulamalara ve adım adım talimatlara bakacağız.

Siber güvenlikteki en son trendler, kaba kuvvet, enjeksiyon, tahrifat ve çok daha fazlası gibi en yaygın saldırı türlerine karşı korunma yöntemleri hakkında bilgi edineceksiniz. Ayrıca güvenilir bir barındırma hizmeti seçmenin, güvenlik duvarları kurmanın, güncellemeleri yüklemenin ve düzenli yedekleme yapmanın önemine de bakacağız.

Bir WordPress yedekleme çözümü yükleyin

WordPress sitenizin düzenli yedekleri, verilerinizin güvenliğini ve bütünlüğünü sağlamak için kritik öneme sahiptir. Bir siber saldırı, sistem arızası veya içeriğin yanlışlıkla silinmesi durumunda, web sitenizi bir yedek kopyadan hızlı bir şekilde geri yükleyerek veri kaybını ve kesinti süresini en aza indirebilirsiniz.

Her biri kendi avantaj ve dezavantajlarına sahip hem ücretli hem de ücretsiz WordPress yedekleme çözümleri mevcuttur. Bazı popüler seçenekler şunlardır:

• UpdraftPlus , web sitenizi, veritabanlarınızı, eklentilerinizi ve temalarınızı yedeklemenizi sağlayan güçlü ve ücretsiz bir eklentidir. Kopyaları Dropbox, Google Drive veya Amazon S3 gibi bulut hizmetlerine kaydetmenize olanak tanır.

• BackupBuddy , iBackup’ın güvenilir yedekleme, veri kurtarma ve site geçişi sunan premium bir çözümüdür. Çok sayıda depolama seçeneğini ve süreç otomasyonunu destekler.

• BlogVault , WordPress güvenliğine odaklanan bulut tabanlı bir yedekleme hizmetidir. Otomatik olarak günlük yedeklemeler oluşturur ve veri şifreleme sağlar.

Bir yedekleme çözümü seçerken, ne sıklıkta yedekleme yapmak istediğiniz, verilerinizi nerede saklamak istediğiniz (şirket içinde veya bulutta), sürecin ne kadar otomatik olduğu ve verilerinizi geri yüklemenin ne kadar kolay olduğu gibi faktörleri göz önünde bulundurun.

Kullanıcı yorumlarına ve geliştiricinin teknik desteğine dikkat edin.

Güvenilir bir WordPress güvenlik eklentisi yükleyin

WordPress sitenizin güvenliğini artırmanın en etkili yollarından biri özel bir güvenlik eklentisi kullanmaktır. Bu güçlü araçlar güvenlik açığı taraması, kaba kuvvet koruması, istenmeyen IP adreslerini engelleme ve çok daha fazlası gibi çeşitli güvenlik özellikleri sunar.

İşte dikkate almaya değer en iyi WordPress güvenlik eklentilerinden bazıları:

• Wordfence Security, yerleşik güvenlik duvarı, iki aşamalı kimlik doğrulama ve güvenlik açıkları ile kötü amaçlı yazılımlara karşı düzenli tarama özellikleriyle en popüler güvenlik eklentilerinden biridir.

• Sucuri Security, web uygulaması güvenlik duvarı (WAF), güvenlik açığı tarayıcısı, DDoS koruması ve kötü amaçlı yazılım izlemeyi bir araya getiren kapsamlı bir çözümdür.

• All In One WP Security & Firewall, güvenlik duvarı, anti-spam, dosya izleme ve istenmeyen kullanıcıları engelleme gibi çok çeşitli özelliklere sahip ücretsiz bir eklentidir.

• iThemes Security (eski adıyla Better WP Security) özelleştirilebilirlik, iki adımlı kimlik doğrulama ve kötü niyetli saldırılara karşı koruma sağlayan güçlü bir güvenlik araçları setidir.

Bir güvenlik eklentisi seçerken işlevselliğine, kullanım kolaylığına, WordPress sitenizle uyumluluğuna ve geliştirici tarafından düzenli olarak güncellenmesine dikkat edin.

Web uygulaması güvenlik duvarını (WAF) etkinleştirin

Web Uygulaması Güvenlik Duvarı (WAF ), WordPress sitenizi kötü amaçlı kod enjeksiyonu, siteler arası komut dosyası oluşturma (XSS), SQL enjeksiyonu ve diğerleri gibi çeşitli saldırı türlerinden korumak için güçlü bir araçtır. WAF, siteniz ile kötü niyetli trafik arasında koruyucu bir bariyer görevi görerek potansiyel olarak tehlikeli istekleri filtreler.

WordPress için hem bağımsız WAF eklentileri hem de WAF’ı özelliklerden biri olarak içeren eksiksiz güvenlik çözümleri vardır. İşte bazı popüler seçenekler:

• NinjaFirewall (WP Edition), yerleşik bir WAF, kötü amaçlı yazılım tarayıcı ve diğer güvenlik araçlarıyla kapsamlı WordPress koruması sağlayan bir eklentidir.

• CloudFlare , istenmeyen trafiği filtrelemek için ücretsiz bir web uygulaması güvenlik duvarı seçeneği sunan popüler bir CDN ağıdır (tavsiye ederim).

Bir WAF çözümü seçerken performansına, WordPress uyumluluğuna, kurulum kolaylığına ve teknik desteğine dikkat edin. En son tehditlere karşı koruma sağlamak için filtreleme kurallarını otomatik olarak güncelleme yeteneğini de göz önünde bulundurmak önemlidir.

WordPress siteniz için bir SSL/HTTPS sertifikası oluşturun

WordPress sitenizi güvenli HTTPS protokolüne taşımak için geçerli bir SSL/TLS sertifikası gerekir. Bu dijital sertifika, kullanıcının tarayıcısı ile web sunucunuz arasında iletilen verileri şifreleyerek hassas bilgilerin davetsiz misafirler tarafından ele geçirilmesini önler.

WordPress siteniz için bir SSL/TLS sertifikası edinmek için çeşitli seçenekler vardır:

• 1. Ticari bir SSL sertifikasısatın alın: hostkoss gibi şirketler, farklı doğrulama seviyelerine ve geçerlilik sürelerine sahip ücretli SSL sertifikaları sunar. Bu sertifikalar çoğu tarayıcı ve işletim sistemi tarafından tamamen güvenilirdir.

• 2. Let’s Encrypt’ten ücretsiz bir SSL sertifikası kullanın: Let ‘s En crypt, otomatik yenileme ile ücretsiz SSL/TLS sertifikaları sağlayan ve kar amacı gütmeyen bir kuruluştur. Sertifikaları yalnızca 90 gün geçerlidir, ancak tüm modern tarayıcılar tarafından desteklenir.

• 3. Barındırma sağlayıcısından SSL/TLS sertifikası: Birçok barındırma şirketi, barındırma hizmetlerinin bir parçası olarak SSL sertifikaları sunar. Ticari olabilirler ya da ücretsiz sertifika sağlamak için Let’s Encrypt ile ortak olabilirler. cPanel’de Let’s Encrypt SSL nasıl kurulur

Bir SSL sertifikası aldıktan sonra, WordPress siteniz için doğru şekilde yapılandırmanız gerekir. Hosting ve sertifika türüne bağlı olarak, bunu kontrol paneli üzerinden manuel olarak yapabilirsiniz.

Bir SSL/HTTPS sertifikası kurarken, web sitenizdeki tüm sayfaların, resimlerin, komut dosyalarının ve diğer kaynakların güvenli bir bağlantı üzerinden doğru şekilde yüklendiğinden emin olmanız önemlidir. Ayrıca HTTPS’ye geçtikten sonra üçüncü taraf kaynaklara giden bağlantıları güncellemeli ve önbelleğe alma, eklentiler ve diğer WordPress özelliklerinin çalışmasını kontrol etmelisiniz. cPanel’de HTTPS yönlendirmeleri nasıl kullanılır

Varsayılan yönetici kullanıcı adını değiştirme

WordPress’te varsayılan yönetici kullanıcı adını değiştirmek, sitenizin güvenliğini büyük ölçüde artıracak basit bir işlemdir.

İşte nasıl yapılacağına dair adım adım bir kılavuz:

• 1. Varsayılan yönetici hesabını(admin) kullanarak WordPress yönetici paneline giriş yapın.

• 2. YanmenüdekiKullanıcılar bölümüne gidin ve Tüm Kullanıcılar’ı seçin.

• 3. Listede“admin” adlı kullanıcıyı bulun ve profilini açmak için hesabına tıklayın.

• 4. Kullanıcının profil düzenleme sayfasında,Kullanıcı Adı alanını yeni, benzersiz ve tahmin edilmesi zor bir adla değiştirin.

• 5. Değişiklikleri yaptıktan sonra, yeni adı kaydetmek için KullanıcıyıGüncelle düğmesine tıklamayı unutmayın.

Yönetici kullanıcı adı için büyük ve küçük harfler, rakamlar ve özel karakterlerden oluşan uzun bir kombinasyon kullanmanızı öneririm. Bu, kullanıcı adınızı tahmin edilmeye karşı olabildiğince dirençli hale getirecek ve sitenizi davetsiz misafirlerden koruyacaktır.

Eski yönetici adıyla ilişkili diğer hesapların parolalarını değiştirmeyi unutmamak da önemlidir. Buna e-posta hesapları, barındırma hesapları ve eski adı kullanan diğer hizmetler dahildir.

WordPress dosyalarının düzenlenmesini devre dışı bırakma

Bu özellik, tema ve eklenti dosyalarının kaynak kodunu doğrudan yönetici paneli üzerinden düzenlemenize olanak tanır, bu da potansiyel bir risk olabilir.

WordPress’te varsayılan olarak dosyaları düzenleme özelliği etkindir, ancak güvenlik nedeniyle bunu devre dışı bırakmanızı öneririm. Kodda istemeden yapılan değişiklikler güvenlik açıklarına ve hatta sitenin tamamen çökmesine neden olabilir. Ayrıca, hesabınız saldırıya uğrarsa, saldırganlar dosyaları kendi takdirlerine göre değiştirebileceklerdir.

WordPress’te dosya düzenlemeyi devre dışı bırakmak sadece birkaç dakikanızı alacak basit bir işlemdir:

1. WordPress yönetici paneline yönetici olarak giriş yapın.

2.Ayarlar bölümüne gidin ve Düzenleme’yi seçin.

3.Dosya düzenlemeye izin ver seçeneğinin işaretini kaldırın.

4. Değişiklikleri Kaydet düğmesine tıklayın.

Kodu wp-config.php dosyanıza da ekleyebilirsiniz

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Bu adımları tamamladıktan sonra, artık WordPress yönetici paneli aracılığıyla dosya kodunu düzenleyemeyeceksiniz. Bu, sitenizi bozabilecek yanlışlıkla veya kötü amaçlı değişiklik riskini önemli ölçüde azaltacaktır.

Ancak, zaman zaman tema veya eklenti dosyalarınızda değişiklik yapmanız gerekirse, bunu her zaman bir FTP istemcisi veya barındırma dosya yöneticiniz aracılığıyla yapabilirsiniz. Bu, düzenleme süreci üzerinde size tam kontrol sağlayan daha güvenli bir yöntemdir.

WordPress dizinlerinde PHP dosyalarının yürütülmesini devre dışı bırakma

Güvenliği artırmanın en etkili yöntemlerinden biri, WordPress sitenizin belirli dizinlerinde PHP dosyalarının yürütülmesini devre dışı bırakmaktır.

Bu teknoloji, belirli dizinlerde kötü amaçlı PHP kodu çalıştırma yeteneğini sınırlamanıza olanak tanır. Saldırganlar, web kaynağınız üzerinde yetkisiz erişim ve kontrol elde etmek için sunucunuza komut dosyaları yüklemeye çalışabilir. Ancak, PHP yürütmesi belirli klasörler için devre dışı bırakılırsa, bu tür girişimler başarısız olacaktır.

wp-content/uploads ve wp-includes dizinlerinde PHP çalıştırmayı devre dışı bırakmanızı öneririm.

PHP yürütmesini devre dışı bırakma işlemi oldukça basittir ve WordPress sitenizin kök dizininde bulunan .htaccess dosyasına özel kod eklemekten oluşur. Daha fazla bilgi edinin: .htaccess dosyası nedir: ana işlevler

İşte eklemeniz gereken satırlar:

<Files *.php>
deny from all
</Files>

Bu kod sunucuya belirtilen dizin ve alt dizinlerindeki hiçbir PHP dosyasını çalıştırmamasını söyler. .htaccess’te değişiklik yaptıktan sonra, saldırganlar kötü amaçlı PHP betiklerini başarıyla indirseler bile, bunları çalıştıramazlar.

WordPress yöneticisine giriş denemelerini sınırlama

WordPress sitenize giriş denemelerinin sayısını sınırlamak, güvenliği artırmak ve kötü niyetli saldırılara karşı korunmak için son derece önemli bir adımdır.

En kolay yöntemlerden biri Wordfence Security veya Login LockDown gibi özel güvenlik eklentileri kullanmaktır. Eklentiyi kurup etkinleştirdikten sonra, tek bir IP adresinden izin verilen maksimum başarısız giriş denemesi sayısını yapılandırabilirsiniz. Bu sınır aşıldığında, söz konusu IP adresi geçici olarak engellenecektir.

Ayrıca, bu eklentiler genellikle iki faktörlü kimlik doğrulama veya DDoS koruması gibi ek güvenlik özellikleri sunar.

Bir sonraki yöntem doğrudan WordPress .htaccess dosyanızda değişiklik yapmaktır. Belirli kod satırları ekleyerek, giriş denemelerinin sayısını sınırlayabilir ve engelleme süresini ayarlayabilirsiniz. Örneğin, bu kod bir IP adresinden 60 dakika içinde yalnızca 5 başarısız giriş denemesine izin verecektir:

order allow,deny 
allow from all
deny from unix

# Beyaz liste localhost:

allow from 127.0.0.1

# Başarısız oturum açma denemeleri:

<Files wp-login.php>
order allow,deny
allow from all

# Her 60 dakikada bir aynı IP adresinden en fazla 5 oturum açma denemesine izin verin:

<limit-logins>
disable-env=off

# Erişime izin verildiğinde veya reddedildiğinde IP adresini silin:

enable-env=allow-logins-env
env=allow-logins-env
maxretries=5  
findrate=60  
</limit-logins>
</Files>

Bu kodu .htaccess’e ekledikten sonra, değişiklikleri uygulamak için web sunucusunu yeniden başlatmanız gerekir.

Bazı barındırma sağlayıcıları sunucu düzeyinde kaba kuvvet saldırılarına karşı koruma özelliği de sunar, bu da şüpheli IP adreslerinden gelen oturum açma girişimlerini web sitenize ulaşmadan engellemenizi sağlar. Bunun mevcut olup olmadığını görmek için barındırma sağlayıcınıza danışın.

İki faktörlü kimlik doğrulama (2FA) ekleyin

İki faktörlü kimlik doğrul ama, kullanıcıların oturum açarken iki farklı adımdan geçmesini gerektirir – bir kullanıcı adı ve parola girmek ve ek bir tek seferlik kod veya güvenlik belirteci sağlamak. Bu ek doğrulama, birisi orijinal kimlik bilgilerinizi öğrense bile oturum açma işlemini çok daha güvenli hale getirir.

WordPress’te 2FA uygulamak için en popüler çözümlerden biri WP 2FA eklentisidir – WordPress için iki faktörlü kimlik doğrulama. Yükledikten ve etkinleştirdikten sonra, yönetici dahil olmak üzere web sitenizdeki tüm hesaplar için iki faktörlü kimlik doğrulamayı etkinleştirebileceksiniz.

Kurulum işlemi:

Şu andan itibaren, WordPress sitenize her giriş yaptığınızda, kimlik bilgilerinizi girmenin yanı sıra, oturumunuzun geçerliliğini doğrulamak için altı basamaklı bir sayısal kod sağlamanız gerekecektir. Kod her 30-90 saniyede bir değişecektir.

2FA’yı bağladıktan sonra, kimlik doğrulayıcı uygulamasıyla akıllı telefonunuzu kaybetmeniz durumunda acil durum girişleri için yedek kodları kaydetmeniz gerektiğini hatırlamakta fayda var.

WordPress’te iki faktörlü kimlik doğrulama ayarlamanıza olanak tanıyan Duo Security ve diğerleri gibi başka eklentiler de vardır. SMS veya telefon görüşmeleri gibi ek doğrulama yöntemleri sunabilirler.

WordPress veritabanı önekini değiştirme

WordPress varsayılan olarak veritabanındaki tüm tablolar için standart“wp_” önekini kullanır. Saldırganlar bu öneki çok iyi bilirler, bu da veritabanına yönelik saldırıları daha öngörülebilir hale getirir. Ön eki benzersiz bir karakter kombinasyonuyla değiştirerek potansiyel bilgisayar korsanlarının işini çok daha zor hale getirebilirsiniz.

Lütfen dikkat: Bu işlem yanlış yapılırsa veritabanı önekinin değiştirilmesi web sitenizde sorunlara yol açabilir.

WordPress’te veritabanı önekini değiştirme işlemi oldukça basittir, ancak yanlış eylemler veri kaybına yol açabileceğinden dikkatli olunması gerekir.

İşte adım adım bir kılavuz:

• 1. Veritabanınızın ve tüm WordPress dosyalarınıntam bir yedeğini alın. Bu, sorun çıkması durumunda sitenizi geri yüklemenizi sağlayacaktır.

• 2. wp-config.php dosyasını $table_prefix = ‘wp_’; ile başlayan satırı bularakdüzenleyin. “wp_” yerine seçtiğiniz benzersiz bir harf, rakam ve alt çizgi kombinasyonunu yazın. Örneğin: $table_prefix = ‘my8ql_’;

• 3. Veritabanı yönetimaraçlarını (örneğin, PhpMyAdmin)kullanarak, mevcut tüm WordPress tablolarının öneklerini yeni değerle eşleşecek şekilde değiştirmek için bir SQL sorgusu çalıştırın.

• 4. .htaccess dosyalarını ve eski veritabanı önekine referanslar içerebilecek diğerdosyaları güncelleyin.

Öneki “my8ql_” olarak değiştirmek için örnek bir SQL sorgusu aşağıda verilmiştir:

RENAME TABLE `wp_users` TO `my8ql_users`; 
RENAME TABLE `wp_usermeta` TO `my8ql_usermeta`;

... WordPress veritabanınızdaki tüm tablolar için tekrarlayın

Bu adımları tamamladıktan sonra WordPress veritabanınız yeni, benzersiz bir önek kullanacaktır. Bu, saldırganların veritabanını hacklemeye veya enjekte etmeye çalışmasını çok daha zor hale getirecektir.

Veritabanı önekini değiştirmenin geri döndürülemez bir işlem olduğunu unutmayın. Gelecekte güncellemeler veya yeni WordPress eklentileri yüklemeyi planlıyorsanız, bunlar alışılmadık tablo öneki nedeniyle düzgün çalışmayabilir.

Yönetici sayfası ve WordPress girişi için parola koruması

Bu adım, wp-admin ve wp-login.php sayfalarını ek bir kimlik doğrulama katmanının arkasına gizlemenize olanak tanıyarak kullanıcıların bu kritik yönetim alanlarına erişmeden önce ayrı bir parola girmelerini gerektirir.

Bu özelliği uygulamanın en kolay yollarından biri cPanel kullanmaktır.

İşte nasıl yapılacağı:

cPanel’de oturum açın:

• Tarayıcınızda cPanel adresinizi girin ve kimlik bilgilerinizle oturum açın.

Dizin Parola Koruması bölümünü açın:

• Dosyalar bölümüne gidin ve Dizin Parola Koruması ya da Dizin Gizliliği’ni seçin.

wp-admin dizinini bulun:

• Sitenizin ana dizinini seçin (genellikle“public_html“) ve wp-admin klasörünü bulun.

Şifre koruması:

• Wp-admin klasörünün adına tıklayın.
• “Budizini parola ile koru” seçeneğinin yanındaki kutuyu işaretleyin.
• Korunan dizinin adını girin (bu ad kullanıcılara gösterilecektir).
• Kaydet‘e tıklayın.

Bir kullanıcı oluşturun:

• Güvenli dizine erişmek içinkullanıcı adınızı ve şifrenizi girin.

• Kaydet veya Yetkili Kullanıcı Ekle/Değiştir’e tıklayın.

Bu ayarlardan sonra, wp-admin ve wp-login.php sayfalarına erişmek için, kullanıcıların önce ayrı bir kimlik doğrulama sayfasında özel bir güvenlik şifresi girmeleri gerekecektir. Bu, davetsiz misafirler için ek bir bariyer olacak ve sitenizin yönetim panelinin güvenliğini sağlamaya yardımcı olacaktır.

Dizin oluşturma ve dizinlere göz atmayı devre dışı bırakma

Bu özellik, sunucunuzdaki dosya ve klasörlerin yapısını üçüncü taraf ziyaretçilerden ve arama motorlarından gizlemenize yardımcı olur. Bu şekilde, gizli bilgileri koruyacak ve web sitenizi yetkisiz erişime karşı güvende tutacaksınız.

İndeksleme ve dizin taramayı devre dışı bırakma işlemi, sitenizin kök dizininde bulunan .htaccess dosyasına birkaç satır kod eklenerek yapılır. İşte adım adım bir kılavuz:

• 1. Adım: Bir FTP istemcisi veya hosting dosya yöneticisi kullanarak, web sitenizin kök dizininde .htaccess dosyasını bulun.
• Adım 2: Düzenlemek için .htaccess dosyasını açın ve sonuna aşağıdaki kod satırlarını ekleyin:

Options -Indexes
IndexIgnore *

Bu satırlar sunucuya klasörün indeksleme ve tarama işlevini devre dışı bırakmasını söyler. Bu, dizinlerinizin içeriğinin herhangi bir ziyaretçiden gizleneceği anlamına gelir.

• 3. Adım (isteğe bağlı): Dizin koruması üzerinde daha ayrıntılı kontrol elde etmek istiyorsanız, başka bir kod satırı ekleyebilirsiniz:

Options -Indexes -FollowSymLinks

Bu kod aynı zamanda sunucu üzerindeki sembolik bağlantıları takip etme özelliğini de devre dışı bırakarak güvenliği artıracaktır.

• Adım 4: Değişiklikleri .htaccess dosyasına kaydedin.

Bu değişiklikleri uyguladıktan sonra, yetkili kullanıcılar dışında hiç kimse web sitenizin dosya ve klasörlerinin yapısını görüntüleyemeyecektir. Bu, web sitenizi bilgisayar korsanlığına ve yetkisiz erişime karşı korumaya yardımcı olacaktır.

Ancak , bazı eklentilerin veya hizmetlerin düzgün çalışması için indeksleme işlevine ihtiyaç duyabileceğini lütfen unutmayın. Böyle bir durumda, uygun dizinlere izinler ekleyerek .htaccess’teki kodu uyarlayabilirsiniz.

WordPress’te XML-RPC’yi Devre Dışı Bırakma

XML-RPC (Remote Procedure Call), uygulamaların ve hizmetlerin XML isteklerini kullanarak WordPress ile iletişim kurmasını sağlayan bir sistemdir. Bu özellik bazı amaçlar için yararlı olsa da, doğru kullanılmadığında potansiyel bir güvenlik riski de oluşturabilir. Bu nedenle sitenizin güvenliğini artırmak için WordPress’te XML-RPC’yi devre dışı bırakmanızı öneririm.

XML-RPC’yi devre dışı bırakmak oldukça basittir ve WordPress sitenizin kök dizininde bulunan .htaccess dosyasına eklenecek yalnızca birkaç satır kod gerektirir.

İşte adım adım bir kılavuz:

• 1. Adım: Bir FTP istemcisi veya dosya yöneticisi kullanarak web sitenizin kök dizinindeki .htaccess dosyasını açın.
• Adım 2: Aşağıdaki kodu dosyanın sonuna ekleyin:

# XML-RPC'yi Devre Dışı Bırak

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Bu kod, web sunucusuna tüm ziyaretçiler için xmlrpc.php dosyasına erişimi engelleme talimatı vererek sitenizdeki XML-RPC sistemini etkin bir şekilde devre dışı bırakır.

WordPress’te etkin olmayan kullanıcıların otomatik oturumu kapatma

Bu özellik, açık bırakılan oturumlar aracılığıyla yönetici paneline yetkisiz erişimi önlemeye yardımcı olur.

WordPress varsayılan olarak kullanıcı oturum süresini sınırlamaz, bu da saldırganların sisteme erişmek için kapatılmamış bir oturumdan yararlanma riski oluşturur. Belirli bir süre kullanılmadığında otomatik olarak oturumun kapatılmasını sağlayarak web sitenizi bu tür tehditlerden koruyabilirsiniz.

Aktif olmayan kullanıcıların otomatik olarak oturumlarının kapatılmasını ayarlamak, WordPress kök dizinindeki wp-config.php dosyasına birkaç satır kod ekleyerek oldukça basittir.

İşte adım adım bir kılavuz:

• Adım 1: FTP istemcinizi veya hosting dosya yöneticinizi kullanarak wp-config.php dosyasını açın.

• Adım 2: Aşağıdaki kodu dosyanın başına, “Bunu silmediğiniz için teşekkür ederiz” içeren satırdan önce ekleyin:

// Etkin olmayan kullanıcıların 30 dakika sonra otomatik olarak oturumlarının kapatılması

define('AUTOSAVE_INTERVAL', 1800); 
define('WP_SESSION_EXPIRATION', 1800); 

Bu kod, değişiklikler için otomatik kaydetme süresini 30 dakika ve oturum süresini 30 dakika olarak ayarlar. 30 dakika hareketsiz kaldıktan sonra, kullanıcıların sistemle bağlantısı otomatik olarak kesilecektir.

Hareketsizlik süresini değiştirmek istiyorsanız, 1800 değerini (saniye cinsinden) ihtiyaçlarınıza göre ayarlayın.

• Adım 3: wp-config.php dosyasındaki değişiklikleri kaydedin.

Bundan sonra WordPress, belirli bir süre boyunca etkin olmayan kullanıcı oturumlarını otomatik olarak kapatacaktır. Bu, birinin açık bırakılan bir oturum aracılığıyla yönetici panelinize erişebileceği durumları önlemeye yardımcı olacaktır.

Hareketsizlik süresini yönetmek, güvenlik ve kullanılabilirlik arasında bir denge kurmanıza yardımcı olacaktır. Çok kısa bir süre kullanıcıları sürekli oturum açmaya zorlayabilirken, çok uzun bir süre riskleri artırır. Çoğu web sitesi için 30 dakika makul bir uzlaşma olarak kabul edilir.

Hostkoss ekibinden öneriler

Bir WordPress web sitesinin güvenliği söz konusu olduğunda, dikkatli olmanız ve eklentileri yüklerken dengeli bir yaklaşım benimsemeniz gerekir. Barındırma planına aşırı yük binmesi sitenin performansını olumsuz etkileyebilir ve kullanılabilirliği ile ilgili sorunlara neden olabilir.

Mevcut tüm güvenlik eklentilerini bir kerede yüklememeniz gerektiğini vurguluyoruz. Bunun yerine, mevcut ihtiyaçlarınızı dikkatlice analiz etmek ve yalnızca seçtiğiniz barındırma planına ve kaynak sınırlamalarına uyacak en gerekli araçları seçmek daha iyidir.

Sınırlı kaynaklara sahip bütçe barındırma planlarında barındırılan WordPress siteleri için, veritabanı önekini değiştirmek, güçlü parolalar kullanmak, etkin olmayan kullanıcılar için otomatik oturum kapatma ayarlamak ve minimum güvenlik eklentisi yüklemek gibi temel güvenlik önlemleriyle başlamanız önerilir. Web sitenizin kaynak ihtiyaçları arttıkça, kademeli olarak ek güvenlik araçları ekleyebilirsiniz.

Yüksek güvenlik ve performans gereksinimleri olan proje sahipleri için, güçlü kaynaklara sahip özel bir WordPress barındırma satın almanızı öneririz. Bu tür tarife planları, sunucu aşırı yüklenmesi riski olmadan kapsamlı güvenlik önlemleri uygulamanıza olanak tanıyacaktır.

Ayrıca, ek ipuçları ve talimatlar bulabileceğiniz diğer makalelerimizi de okumanızı tavsiye ederiz. Bunların bağlantıları aşağıda eklenmiştir:

• WordPress kontrol paneline erişim
• FTP nedir? Avantajları ve dezavantajları
• Günlük dosyaları nedir ve nasıl yönetilir?
• 2024’te bir WordPress sitesi nasıl oluşturulur?
• Web barındırma nedir? Nasıl çalışır?
• Veri merkezi nedir?
• Açılış sayfası nedir ve nasıl oluşturulur?
• HTTP durum kodları: Ne anlama geliyorlar
• WordPress nedir

Web sitenizin güvenliğini ayarlarken herhangi bir sorunuz veya sorununuz olursa, canlı sohbet yoluyla destek ekibimizle iletişime geçmekten veya destek biletleri oluşturmaktan çekinmeyin. WordPress sitenizin güvenli ve istikrarlı olmasını sağlamaktan ve yardımcı olmaktan her zaman mutluluk duyarız.

Bu makale Andrii Kostashchuk tarafından gözden geçirilmiştir.

WordPress güvenliği hakkında sorular ve yanıtlar