Ana sayfa > Bilgi Merkezi > Hosting (Barındırma) > WordPress Guvenlik Ayarları


WordPress Guvenlik Ayarları




WordPress Güvenlik Ayarları

WordPress'te güvenlik çok ciddiye alınan/alınması gereken bir konudur ancak başka sistemlerde de olduğu gibi bazı temel güvenlik önlemleri alınmadığı takdirde ortaya çıkabilecek olası güvenlik sorunları WordPress'te de olabilir. Bu makalede, güvenlik açıklarının giderilmesi ve güvenlik seviyesini arttırmaya yardım için yapabileceğiniz bazı şeyler anlatılmaktadır. WordPress siteniz için daha detaylı önerilen güvenlik ayarları için aşağıdaki adresi incelemenizi öneririz.

https://codex.wordpress.org/Hardening_WordPress

Kişisel Bilgisayar Kaynaklı Zaafiyetler
Güvenlik hiçbir zaman tek taraflı bir kavram değildir. Dolayısıyla belli başlı bazı işlemleri yaparak her durumda %100 güvenlik sağlanmış olduğunun düşünülmesi mümkün değildir. Bu nedenle WordPress güvenliğinin sağlanması için yalnızca WordPress üzerinde değil, WordPress yönetici panelinize ya da FTP alanınıza doğrudan erişimi olan kullanıcılar için kişisel bilgisayar (PC) güvenliği de son derece önemlidir.

WordPress servislerine (yönetici panel, FTP sunucusu vb.) doğrudan erişim sağlamak için kullandığınız bilgisayarların spyware, malware, virüs, keylogger vb. zararlı yazılımlardan izole edilen bir bilgisayar olduğundan emin olunuz. Hiçbir koşulda kişisel bilgisayarınızda kullandığınız işletim sisteminde, (Vista, Windows 7/8/10 vb.) FTP sunucusuna bağlantı yaptığınız uygulamalarda, antivirüs, anti-spam, anti-virüs vb. güvenlik uygulamalarında crack'li ve lisansı bypass edilmiş bir yazılım kesinlikle kullanmayınız. 

WordPress Zafiyeti
Tüm içerik sistemleri gibi, WordPress de ortaya çıkabilecek yeni güvenlik sorunlarını çözmek için düzenli olarak güncellenmektedir. Yazılım güvenliği artırma her zaman devam eden bir husustur ve bu amaçla her zaman WordPress'in son sürümü ile güncel tutmak gerekir. WordPress'in eski sürümleri güvenlik güncelleştirmeleri ile korunmaz. Bu nedenle WordPress içerik sisteminin düzenli olarak güncellemesini gerçekleştirmek çok önemlidir.

WordPress Güncelleme
WordPress'in son sürümü her zaman resmi sitesi olan https://wordpress.org adresinden indirilmeli, bunun haricindeki herhangi bir adresten güncelleme veya yeni kurulum dosyaları asla temin edilmemelidir.


WordPress 3.7 sürümünden bu yana, otomatik güncelleme özelliği eklenmiştir. Yazılımınızı güncel tutmayı kolaylaştırmak için bu işlevi kullanabilirsiniz. Ayrıca güncellemelerden haberdar tutmak için WordPress Dashboard kullanabilirsiniz.

Güvenlik Sorunları Raporlama
Eğer WordPress yazılımında bir güvenlik açığı bulduğunuzu düşünüyorsanız, aşağıdaki adresten bu sorunu bildirerek WordPress'in gelişimine yardımcı olabilirsiniz.

https://codex.wordpress.org/Submitting_Bugs

WEB Sunucu Zaafiyetleri
WordPress çalışan web sunucusu ve üzerinde yazılım (PHP, MySQL, Web Server vb.) açıkları olabilir. Bu nedenle, bunu güvenli, istikrarlı web sunucusu sürümlerini ve yazılımı kullanılan bir web sunucuda çalıştırdığınızdan emin olun, ya da sizin için bu tür güvenlik prosedörlerini önemseyen güvenilir bir hosting servis sağlayıcı kullandığınızdan emin olun. DorukNet olarak paylaşımlı hosting platformlarını IDS/IPS, Web Application Firewall (WAF), Firewall gibi yazılım ve donanımlarla korumakla birlikte, düzenli aralıklarla penetrasyon testleri ile sistem/network analizi ve risk değerlendiermesi yapılmaktadır.

Network Zafiyetleri
Güvenlik konsept olarak tek taraflı değildir dolayısıyla yalnızca bir tarafın güvenliğin sağlanması kötü niyetli saldırılara karşı güvenlik sağlamayacaktır. Benzer şekilde newtwork katmanındaki güvenlik için de güvenlik her iki taraf için server & client (sunucu ve istemci) sağlanmalıdır.

WordPress için de bu durum geçerlidir ve yazılımın kurulu olduğu sunucu tarafı ve Wordpress sitesine erişim sağlayan ziyatçileriniz (istemci) ağ tarafı
güvenilir olmalıdır.

Buna göre network tabanlı güvenlik zafiyetleri oluşmaması için ev ve iş ağında güvenlik duvarı ve ağ güvenliği donanım/yazılımları kullanabilirsiniz. Eğer bilinmeyen bir kablosuz veya şifrelenmemiş bir ağ'dan internet erişimini sağlıyorsunuz bu ağdan sağlanan internet erişimi güvenilir kabul edilmemeldir. Benzer şekilde bir internet cafe ağı da güvenilir bir ağ değildir. Dolayısıyla WordPress yazılımı üzerinde birçok güvenlik uygulaması kullanılmasına rağmen güvensiz bir ağ üzerinden (kablolu veya kablosuz) WordPress yönetici paneline veya FTP sunucusuna yapılan erişim sonrasında yazılımınzıca ciddi güvenlik problemlerinin oluşması kaçınılmazdır.

Parola Güvenliği
Birçok potansiyel güvenlik açıkları iyi güvenlik alışkanlıkları ile önlenebilir. Güçlü bir parola güvenliğin önemli bir yönüdür.

Hosting servisinde kullanılan tüm şifrelerinizde (FTP, WordPress yönetici paneli vb.) diğer insanların tahmin edebileceği ya da brute force saldırılarıyla tespit edilebilecek basit, sıralı, popüler günlerin tarihleri, doğum tarihleri, birkaç karakterden oluşan kısa şifreleri kullanmayınız. Parola güvenliğine ek olarak herhangi bir servise tanımladığınız parola güvenli dahi kabul edilse bile yine de belirli periyotlarla değiştirilmelidir.

FTP Güvenliği
WordPress yazılımına ait dosya ve klasörleri FTP sunucusuna yüklerken eğer platform destekliyorsa SFTP ya da FTPs protokolleri kullanabilirsiniz. DorukNet sistemlerinden cloud sunucu servisi almanız durumda tarafınıza SFTP ve FTPs bağlantı konusunda yardımcı olabiliriz.

SFTP kullanarak FTP erişimi veri şifre hariç FTP ile aynıdır ve bilgisayarınız ve web sunucu arasında iletilen diğer veriler şifrelenir. Bu parola açık olarak hiçbir zaman gönderilmez ve bir saldırgan tarafından ele geçirilmemesi anlamına gelir.

Dosya İzinleri
WordPress'te bazı özelliklerin düzgün çalışabilmesi için çeşitli dosyaların web sunucusu tarafından yazılabilir olmasını istiyor ancak, dosyalarınızın izinleri, özellikle paylaşımlı hosting platformlarında potansiyel olarak tehlikeliler yaratmaktadır. DorukNet sistemlerinde kullandığınız paylaşımlı hosting servislerinde herhangi bir klasöre veya dosyaya özel izin vermeksizin tüm işlemlerinizi (güncelleme, dosya/resim yükleme vb.) gerçekleştirebilirsiniz. WordPress yazılımının güvenliği için dosya izinleri maksimum chmod 644, klasör izinlerini maksimum chmod 755 olarak düzenlemenizi ve ekstra izinleri (yazılımınızın destek sistemi aksi belirtilmediği sürece) kullanmamanızı öneririz.

WP-admin Güvenliği
WordPress yazılımına aksi belirtilmedikçe domainadınız.com.tr/wp-admin , domainadınız.com.tr/wp-login.php gibi adreslerden kullanıcı adınızla ve şifrenizle erişim sağlanmaktadır. İlgili adresin güvenliğini birçok farklı yöntemle sağlayabilirsiniz. Bunlardan bazıları aşağıdaki gibidir.

WordPress Login yapılan sayfanın özelleştirilmesi, adresin değiştirilmesi/gizlenmesi www.wordpress.org/plugins adresinden indirebileceğiniz basit bir eklenti ile yapılabilmektedir.

https://wordpress.org/plugins/search.php?q=Hide+Login+Page

Websayfanıza erişimi SSL sertifikası ile sağlayabilirsiniz. Bu durumda kişisel bilgisayarınızla sunucu arasındaki trafik açık olarak değil, encrypted (şifreli) bir kanal üzerinden sağlanmaktadır. Aşağıdaki adres üzerinden websayfanız için SSL sertifikası siparişi verebilirsiniz.

 









Bu cevap yeterince yardımcı oldu mu?

Sık kullanılanlara ekle Sık kullanılanlara ekle    Bu dökümanı yazdır Bu dökümanı yazdır

Ayrıca Bakınız
FTP dizin yapısı nedir? (Görüntülenme: 1309)
Veritabanı nasıl oluşturabilirim? (Görüntülenme: 1110)