Image
Top
Menu
7 Aralık 2013

WordPress’te Güvenlik

Wordpress Guvenlik

Esenlikler! WordPress güvenliği ile ilgili pluginler (eklentiler) yardımıyla nasıl güvenlik sağlarız, spamlerden ve sitemizi indirmek isteyen kişilerden nasıl korunabiliriz? Bu konuda kurmamız gereken pluginlere ve yapmamız gereken güvenlik önlemlerine değineceğim. Eğer WordPress hakkında detaylı bir bilgiye sahip değilseniz bu pluginler ile basit bir şekilde güvenlik önlemlerinizi alabilirsiniz.

WordPress için dosyalarının izinlerini FTP üzerinden değiştirme vb. manuel güvenlik önlemleri uygulayabilirsiniz ancak bu uygulama artık ilkel kalıyor ve birçok plugin bunları fazlasıyla karşılıyor. Bu yöntemlerin uygulandığı zamanlar bir kaç plugin vardı ancak pek de yeterli değillerdi ve bazı kullanıcıların sorun yaşamaları sebebiyle çoğu WordPress kullanıcısı ilkel yollarla güvenliklerini sağlamaya çalışıyorlardı.

Lafı fazla uzatmadan pluginlerle basit bir şekilde güvenliğinizi nasıl sağlayabileceğiniz konusunda yardımcı olmaya çalışacağım. Öncelikle; ben WordPress için bir profesyonel değilim ancak uzun yıllardır kullanıyorum ve WordPress ile yaptığım her web çalışmasında, kurulumdan sonra yaptığım ilk iş WordPress’in güvenliğini sağlamak ve bu güvenliği de her zaman güncel kaynaklardan sağlamak oluyor.

Şunu da unutmayın bu tür WordPress’in tabanını oluşturan kısımlarına müdahele eden bir plugin kurarken back-up (yedekleme) yapmayı unutmayınız. Back-up için ise WordPress Backup to Dropbox. Bu plugin için detaylı bir anlatıma ilerleyen günlerde başlayacağım.

 Benim kullandığım pluginler;

Benim başlıca kullandığım güvenlik pluginleri bu şekilde. Bu yazıda yalnızca pluginleri ve işlevlerini anlatacağım. Bu yazının haricinde Better WP Security ve BulletProof Security için ayrı yazı ekleyip uzunca güvenliğinizi nasıl sağlayabilirsiniz, bu konuda yardımcı olacağım.

Better WP Security

Better WP Security

Şahsi görüşüm olarak Better WP Security, WordPress için en iyi güvenlik plugini. Better WP Security, güvenliği sağlamanın yanında yedekleme, hata ayıklama, günlük log raporlama gibi önemli işlemleri otomatik olarak günlük/haftalık/saatlik size e-posta ile iletir. Bu hataları kayıt altına alıp panelden kontrol etmenize olanak sağlar. Bu yüzden Better WP Security ile web sitenizi büyük oranda korursunuz. Yüzeysel olarak nasıl bir koruma sağladığına bakacak olursak aşağıdaki maddeleri gözden geçirebilirsiniz;

  • Sistemdeki tüm kullanıcılar için güvenlik.
  • Sunucu ve database güvenliği.
  • Bot ve korsan kullanıcılardan korunma.
  • Siteyi uzakta moduna alarak belli aralıklarda girişe kapatabilme.
  • Tekil veya IP adresi gruplarını engelleme ve bunun yanı sıra ana bilgisayar ve tarayıcı kimliklerini sitenizden tamamen uzaklaştırmanıza olanak sağlar.
  • wp-content dizinini değiştirme. (Zorunlu olduğunu düşünmediğiniz sürece kullanmayınız.)
  • .htaccess dosyasını koruma.
  • Yönetici alanını gizleme.
  • Günlük hata ve değişiklik raporlarını e-posta ile iletme.
  • Site altyapısını kullanıcılardan gizleme.
  • Belirli aralıklarla tüm siteyi ve veritabanını yedekleme, yedeklemeyi sunucuya kaydetme veya e-posta ile gönderme.
  • Veritabanı önekini değiştirme.
  • Admin paneli, giriş, kayıt sayfalarının adreslerini değiştirme veya gizleme.
  • Google SEO’nuzu kötü yönde etkileyen 404 hataları ve hatalı görseller gibi unsurları tespit edip raporlama.
  • Siteye yapılan hatalı girişleri yönetme, uzaklaştırma veya kısıtlama.
  • Eğer sunucunuzda SSL var ise siteye ve admin paneline SSL ile kusursuz bir koruma sağlama.

Evet bu saydığım özellikler başlıca özellikleri. Bunun haricinde yazının başında da değindiğim gibi; detaylı tüm özelliklerine ve kullanışına ayrı bir yazıda değineceğim.

Buradan İndirebilirsiniz
BulletProof Security

BulletProof Security

BulletProof Security’yi ilk kurduğunuzda ve paneline girdiğinizde sanki bir hacker tarafından yazılmış hissine kapılıyorsunuz. Hacklenecekmiş gibi değil, bir hackerın tecrübelerinden yazılmış güvenlik yazılımı gibi :) Az önce de bahsettiğim gibi benim için en iyi güvenlik yazılımı Better WP Security ancak BulletProof Security, Better WP Security’ye oranla daha derin bir koruma sağlıyor. Ancak burada karşımıza çıkan engel ise BulletProof Security’yi kusursuz yapabilmek için belli bir ödeme yapmamız gerekmesi :)

Kısaca BulletProof Security’den bahsedecek olursak; plugin WordPress’inizi XSRF, RFI, CRLF, LFI, SQL Injection, Base64 ile şifrelenmiş zararlı yazılımlardan koruyor.
Plugini etkileyici yapan bir diğer yanı ise; Plugin yüklendikten sonra hiç bir aksiyon almanıza gerek kalmadan neredeyse tüm güvenliğin oluşturulmasına ve kullanıcının hiç bir şey yapmasına gerek kalmadığını garanti etmesi.

Bu yüzden ben hem Better WP Security, hem de BulletProof Security’yi aynı anda kullanıyorum. .htacces dosyalarının korunması işlemleri BulletProof Security’ye bırakıyorum. Çoğu blog ve kullanıcı yorumunda bu tür arkaplanda bulunan dosyaların korunmasında en iyi sonucu BulletProof Security sağladığı yazıyor.

Buradan İndirebilirsiniz
Anti-spam

Anti-spam

Kullandığım üçüncü plugin olan Anti-spam’e gelince, uzunca anlatacak pek bir şey bulunmuyor ve açıkçası plugin ile pek fazla bir tecrübeye sahip değilim. Pluginin amacı captcha koduna gerek duymadan yorumlarda spamleri engellemek. Pluginin ayar sayfası gibi ekstra bir gereksinimi yok. Sadece kurup aktif ediyorsunuz ve başka bir işleme gerek kalmıyor. WordPress.org’deki açıklamaları ise zaten herşeyi özetleyen nitelikte;

captcha yok, çünkü spam kullanıcıların problemi değildir.
onay sırası yok, çünkü spam adminin problemi değildir.
ayar yapmaya yok, çünkü bu plugin spamları tamamen unutmak için harika.

Buradan İndirebilirsiniz
Diğer Pluginler

Benim ihtiyaç duyduğum ve gayet memnun kalarak kullandığım WordPress pluginleri bu şekilde. Bunlar haricinde Contact sayfası için 5-1 sorusu ise tema ile gelen bir paketti. Diğer popüler ve bir çok kullanıcı tarafından kullanılan pluginleri aşağıda bulabilirsiniz;

Wordfence Security (Genel WordPress Güvenliği)
Back WP Up (Siteniz için back-up alma. WordPress Backup to Dropbox gibi Dropbox ile senkronize çalışıyor.)
All in One WP Security & Firewall (Genel WordPress Güvenliği)
SI CAPTCHA Anti-Spam (Daha önceden kullanmıştım ve memnun kalmıştım. Captcha ile spam engellemek için kusursuz bir plugin. Sadece yorum değil, kayıt sayfaları gibi sayfalara da ekleyebiliyorsunuz.)
AntiVirus (İsminden anlaşılıyor zaten. Günlük Anti-virüs taraması yapıp e-posta ile size raporluyor.)

 

Güvenlik önlemleri WordPress için artık eskisi gibi ilkellikten çıkalı uzun bir zaman oldu ve Türkçe kaynaklar kopyala/yapıştır yöntemi ile çalıştığından dolayı internette ya aynı anlatımlar ya da eski yöntemler yer alıyor. Umarım yazı sizin için faydalı olmuştur.

WordPress güvenliğinde ki altın kuralı unutmayın; her zaman plugin ve WordPress’inizi güncel tutun.

Bir sonraki yazıda görüşmek üzere, esenlikle kalın :)

Çevirilerde desteğinden ötürü Hakan Uzunoğlu’na, imla hatalarındaki düzeltmeleri için Büşra’ya teşekkür ederim.

Comments

  1. WordPress’te güvenlik gerçekten çok çok önemli. Bu konuya detaylı bir şekilde değindiğiniz için teşekkür ederim. Birçok kullanıcı için oldukça faydalı olacaktır.

  2. Johnc184

    Very informative article post.Really looking forward to read more. Fantastic.

Submit a Comment