Bir site nasıl güvenli hale getirilir? Web Sitesi Güvenlik Rehberi
· Время на чтение: 24min · tarafından · Yayınlanan · GüncellenmişWeb sitesi güvenliği veya bir web sitesinin nasıl korunacağı? Bazı saldırılar tamamen saçma nedenlerle gerçekleşir: zamansız güncellemeler, zayıf parolalar, vb. Bu temel web sitesi güvenlik kılavuzunda, size bir web sitesinin güvenliğini nasıl sağlayacağınızı göstereceğim:
- Web sitesi güvenliğinde yeni olsanız ve bunun ne anlama geldiğini tam olarak anlamasanız bile;
- Daha önce sitenizin güvenliğini sağlamayı denemiş ve başaramamış olsanız bile;
- Ana işten bunalmış olsanız ve nereden başlayacağınızı bilemeseniz bile;
- "Ben bilgisayar korsanlarının dengi değilim - öyleyse neden bir şeyler yapmaya çalışayım?" diye düşünseniz bile.
Ama daha da önemlisi, ilk etapta web sitelerimizin güvenliğini nasıl düşünmeye başladığımızdan bahsedeceğim. Bu şekilde, siteniz için doğru (güvenlik) kararları vermeniz için ihtiyacınız olan tüm araçlara sahip olursunuz. Mümkün olduğu kadar çok bilgi olacak, kendinize bir fincan çay veya kahve koyun ve hazırlanın.
Makalenin içeriği:
- Site güvenliği nedir?
- Web sitesi güvenliği neden önemlidir?
- Sitenizi bilgisayar korsanlarından nasıl korursunuz? (Etkili adımlar)
- İyi Web Sitesi Güvenlik Uygulamaları
- Web sitenizi korurken nelerden kaçınmalısınız?
- Siteniz saldırıya uğrarsa ne yapmalısınız?
- Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı - WordPress site güvenliği
- Çıktı
Site güvenliği nedir?
Web sitenizi korumak için bazı adımlar atıyor olmanız harika olsa da. Site güvenliğinin, sizden periyodik olarak ilgilenmenizi gerektiren devam eden bir süreç olduğunu anlamalısınız. Bilgisayar korsanları yaratıcı insanlardır, bu nedenle tehditler sürekli olarak gelişmektedir.
Site güvenliği, web sitenizi ve kullanıcılarınızı bilgisayar korsanlarından ve onların kötü amaçlı yazılımlarından koruma planıdır. Bu, web sitenizin bileşenlerini, birlikte nasıl çalıştıklarını ve hangi güvenlik açıklarına sahip olduklarını anlamayı içerir.
Bu temel oluşturulduktan sonra, güvenlik açıklarına karşı koruma sağlamak için kapsamlı bir güvenlik planı formüle etmeniz gerekir. Buna bir dizi yapılandırma adımı, ilkelerin uygulanması ve tehdit bilgilerinin güncel tutulması dahildir.
Bir web sitesini güvenli hale getirmenin anahtarı, bunun tek seferlik bir şey olmadığını anlamaktır. Tehditler geliştikçe güvenlik de gelişir.
Aşağıdaki makalede, kötü amaçlı yazılım açısından zor işlerin çoğunu iyi bir güvenlik eklentisinin yapacağını göreceksiniz, ancak dikkatli ve tetikte olmak, bir web sitesini her şeyden önce güvenli tutan şeydir.
Web sitesi güvenliği neden önemlidir?
WordPress milyonlarca insan tarafından kullanılıyor, bu yüzden muhtemelen güvenli, değil mi? Evet ve hayır.
— Evet, çünkü temel WordPress dosyaları korumalıdır ve bir güvenlik açığı bulunsa bile çok hızlı bir şekilde düzeltilir.
- Hayır, çünkü siteniz yalnızca WordPress'in çekirdeği değildir. Sitenizi daha işlevsel, etkileşimli ve çekici hale getirmeye yardımcı olan eklentilerin ve temaların birleşimidir. Bu eklentiler ve temalar, WordPress'in işlevselliğini artırır, ancak aynı zamanda güvenlik açıkları olasılığını da artırır. İyi eklenti geliştiricileri, güvenlik açıklarını hızla düzeltir. Ancak bu konudaki tehlike çok daha fazladır.
Sitenizi bilgisayar korsanlarından nasıl korursunuz? Eylem adımları
Web sitenizi korumak için etkili bir plana sahip olmak için ilk adım, web sitelerinin nasıl saldırıya uğradığını anlamaktır. Aşağıdaki araştırmaya göre, web siteleri temel olarak üç şekilde saldırıya uğruyor:
- 90+% - Bir WordPress eklentisi veya temasındaki güvenlik açığı.
- 5+% - Güvenliği ihlal edilmiş kullanıcı adı ve/veya parola.
- <1% - Zayıf web barındırma hizmetleri.
Bu tahsis, sitenizi nasıl güvenli hale getirmeyi planladığınızın ve nereye daha fazla zaman ve kaynak ayırmanız gerektiğinin temelini oluşturmalıdır.
1. Sitenizi güvenlik açıklarından koruyun
Bilgisayar korsanları, savunmasız web sitelerini sürekli olarak ararlar. Sitenin büyük veya küçük olması fark etmez. Hemen hemen her web sitesini hacklemenin birçok faydası var. Deneyimlerimize göre, tüm ihlallerin 90%'den fazlası bilgisayar korsanlarının bir güvenlik açığını keşfetmesi ve istismar etmesinden kaynaklanmaktadır.
Güvenlik açıklarının ne olduğuna daha yakından bakalım. Gelecekte web sitesi güvenlik stratejinizi bilinçli olarak şekillendirebilmeniz için bunu anlamak çok önemlidir.
Güvenlik açığı nedir?
Web siteniz 3 ana bileşenden oluşur: WordPress, eklentiler ve temalar. Hepsi temelde bir yazılımdır ve herhangi bir yazılım gibi, bazen çökmesine neden olan hatalar içerir.
Hataların çeşitli sonuçları olabilir: Bazıları web sitenizi yavaşlatır veya birisi ziyaret ettiğinde hataya neden olur. Bu rahatsız edici ve problemlidir, ancak daha ciddi olanlar, yetkisiz kullanıcıların (bilgisayar korsanları gibi) web sitenize erişmesine izin verir. Böyle bir hata güvenlik açığı olarak bilinir.
Güvenlik açığı türleri
Güvenlik açıkları, önceki paragrafta yaptığımız gibi koddaki hatalar olarak nitelendirilebilir. Bununla birlikte, diğerlerinden daha sık görülen birkaç özel tür vardır:
- Güncel olmayan yazılım: çekirdeği, eklentileri ve temaları güncel tutmak önemlidir;
- Zayıf kullanıcı rolü yönetimi: her kullanıcıya tam yönetici erişimi vermeyin;
- Temizlenmemiş girişler: Giriş alanları, kaydetmeden ve/veya çalıştırmadan önce girişi doğrulamalıdır.
Güvenli olmayan bir web sitesinde olası saldırılar
Güvenlik açıkları, izin verdikleri saldırı türleriyle yakından ilişkilidir ve genellikle birbirinin yerine anılır. WordPress'in karşılaştığı en yaygın saldırılar şunlardır:
- Kod enjeksiyonu: giriş alanları aracılığıyla kötü amaçlı kod eklendiğinde ve web sitesi kodu veya veritabanı tarafından yürütüldüğünde. WordPress gibi veri tabanına dayalı uygulamalar için özellikle korkunç olan, kod enjeksiyonunun yaygın bir SQL enjeksiyon varyantı.
- Siteler Arası Komut Dosyası Saldırıları: Bu tür bir güvenlik açığı, kullanıcı tanımlama bilgilerini onları taklit etmek ve hatta oturumu ele geçirmek için çalar. Hedef kullanıcının erişimi daha sonra sitenize saldırmak için kullanılır.
- Kaba kuvvet saldırıları: Adından da anlaşılacağı gibi, bu tür saldırıların hilesi yoktur. Bilgisayar korsanı, doğru olanı bulmak için oturum açma sayfanızı kullanıcı adı/şifre kombinasyonlarıyla bombalar.
- SEO istenmeyen postasıC: Herhangi bir spam ciddidir, ancak bu saldırı bir web sitesine en çok zarar veren şeyi vurur: SEO. Web sitesi sahipleri, yalnızca bir bilgisayar korsanının yasadışı veya gri ürünlere açılan pencereler ve bağlantılar ekleyerek gereksiz avantaj elde etmesi için SEO'ları üzerinde çalışan kaynakları boşa harcar. SEO spam saldırılarını tespit etmek de zordur ve genellikle web siteleri, spam'in kötü etkilerini, virüs bulaştığını fark etmeden önce yaşarlar.
- Kimlik avı saldırıları: Bu saldırılarda, bir bilgisayar korsanı, kullanıcıyı kandırarak bilgilerini gönüllü olarak vermesi için meşru bir kişinin kimliğine bürünmeye çalışır. Kimlik avı, bu kimlik bilgilerini almak için e-posta ve saldırıya uğramış bir web sitesi ile birlikte çalışır.
Güvenlik açığının etkisi nedir?
Eklentiler ve temalar birkaç bin siteye yüklenir, bu nedenle bu kusurun etkisi kat kat artar. Sorumlu eklenti ve tema geliştiricileri, güncellemeler yayınlayarak ürünlerindeki güvenlik açıklarını kapatmaya çalışıyor.
Aslında, mümkün olduğunda premium eklentileri seçmenizin önerilmesinin temel nedeni budur. Bir web sitesi güvenlik stratejisinde düzenli yazılım bakımına maksimum özen gösterilmelidir. Harika, bu, hatanın düzeltildiği anlamına gelir. Artık güvendeyiz, değil mi? Pek iyi değil. Güvenlik açığı keşfi, site sahipleri için tehlikeli bir zamandır.
Bir güvenlik açığı keşfedildiğinde ne olur?
Güvenlik açıkları genellikle web sitesi güvenlik araştırmacıları tarafından keşfedilir. Bulgularını eklentiye veya tema geliştiricisine bildirirler. Önceki bölümde söylediğimiz gibi, sorumlu geliştiriciler sorunu düzeltmeye ve bir güncelleme yayınlamaya çalışacaklar.
Güvenlik açığı giderildiğinde, sitenin güvenlik araştırmacısı bulgularını yayınlayacaktır. Geliştirici, web sitelerini güvende tutmak için bir düzeltme yayınladı, değil mi? Pek sayılmaz.
Bilgisayar korsanları ayrıca güvenlik açığını okur ve sürümlerini güncellememiş web sitelerini arar. Genel güvenlik açıkları, artık web sitelerini zahmetsizce kullanabildikleri için (komut dosyası çocukları olarak da bilinirler) yetişmekte olan bilgisayar korsanlarının ilgisini çekme eğilimindedir. Hedeflerinin tam olarak nerede olduğunu biliyorlar.
Siteyi güvenlik açıklarından korumak için ne yapılmalı?
Şimdi, web sitenizi bilgisayar korsanlarından korumak için atabileceğiniz belirli adımlardan bahsedeceğim. Bu adımlar basit görünebilir, ancak sitenizi güvende tutmanın etkili yollarıdır.
1. Yedekleme yapın
Yedeklemeler, bir sitenin güvenlik stratejisinin en hafife alınan kısmıdır. Düzenli yedeklemelerin önemini yeterince vurgulayamıyorum. Onlar sizin güvenlik ağınızdır, işler ters gittiğinde güvenebileceğiniz tek şeydir. Yedeklemeler, siteyi hızlı bir şekilde sağlıklı bir duruma geri döndürmenize yardımcı olacaktır.
2. Eklentileri ve temaları güncelleyin
Özellikle güncellemelerin ne kadar önemli olduğuyla ilgili önceki bölümü okuduysanız, bu çok açık görünebilir. Ancak, kontrol panelindeki kırmızı bildirimi yok saymak ve daha acil bir şeyle ilgilenmek çok kolaydır.
Bu nedenle tekrar edeceğim. Eklenti geliştiricileri bunun için güvenlik düzeltmeleri içeren güncellemeler yayınlar. Güncellemeleri yüklemeyi ertelemeye karar verseniz bile eklentiyi daha sonraki bir tarihte, en azından sürüm notlarını okuduktan sonra güncelleyin.
3. Kaliteli eklentiler ve temalar seçin
Tamamen güvenilir bir yazılım olması pek olası değildir, web siteniz için doğru eklentileri ve temaları seçerken dikkate alınması gereken önemli faktörler vardır:
- Eklenti düzenli olarak güncellenirC: Geliştiricisi tarafından sürekli olarak sürdürülen bir eklenti veya temanın, bir güvenlik açığı keşfedildiğinde bir güvenlik yaması alması daha olasıdır.
- Eklenti popüler mi?? Bu iki ucu keskin bir kılıçtır. Milyonlarca yüklemeye sahip popüler bir eklenti, bilgisayar korsanları tarafından hedef alınacak. Ancak bunun gibi eklentiler, daha fazla geliştirici tarafından kontrol edildikleri için daha güvenli olma eğilimindedir.
- Bu premium bir eklenti mi?C: Ücretli eklentiler, geliştiricilerin çalışmalarını destekler ve bu nedenle, ücretsiz eklentilere göre terk edilme olasılığı çok daha düşüktür. Bu, açık kaynaklı yazılımın hiçbir zaman güvenli olmadığı anlamına gelmez, ancak birinci sınıf bir ürünle müşteri desteği ve ürün kalitesi için ödeme yaparsınız.
- Boş eklentileri ve temaları asla yüklemeyinC: Mevcut premium ücretsiz yazılım, birçok düzeyde sorunludur. Sıfırlanmış yazılım genellikle, bir kez yüklendikten sonra bilgisayar korsanlarının web sitenize erişmesine izin veren kötü amaçlı yazılım veya arka kapılar içerir.
4. Bir güvenlik duvarı kullanın
Bilgisayar korsanlarının veya botlarının sizinki gibi web sitelerine saldırmasını engellemenin güvenilir bir yolu yoktur. Ancak, bir güvenlik duvarı kurarak şansı büyük ölçüde azaltabilirsiniz.
2. Kullanıcı adınızı ve şifrenizi koruyun
Saldırıya uğrayan web sitelerinin yaklaşık 6%'si, zayıf parolalar nedeniyle saldırılara açıktı. Bu, doğrudan kötü niyetli faaliyetlerle karşılaştırıldığında küçük bir sayı gibi görünebilir, ancak yine de dikkatinizi çekecek kadar önemlidir.
Site yönetici şifrenizi kaybetmek, dairenizi veya arabanızın anahtarlarını kaybetmek gibidir. Anahtarla hırsız, değerli eşyalarınız üzerinde tam kontrole sahip olur. Benzer şekilde, bir parola ile bilgisayar korsanları sitenize ve bilgilerine tam erişime sahip olur. Şu anda, bir güvenlik duvarı veya güvenlik eklentisi bile bilgisayar korsanlarının sitenize zarar vermesini engelleyemez.
Güçlü şifrelere olan ihtiyaç hala aktif olarak desteklenmektedir, ancak içerdiği zorluklar nedeniyle, web sitesi kullanıcıları genellikle bunu görmezden gelmektedir. İyi bir itibar kazanmanın mekaniğine girmeden önce, insanların onlar hakkında sahip olduğu bazı yaygın soruları yanıtlayalım.
Bir şifre nasıl çalınabilir?
Cevap sürpriz olabilir: bilgisayar korsanı şifreyi tahmin etmeye çalışıyor. Bununla demek istediğim, manuel olarak farklı şifreler deniyorlar ama botlar bunun için var. Bu aynı zamanda kaba kuvvet saldırısı veya bot kelimeleri tahmin ederse sözlük saldırısı olarak da bilinir.
Bu saldırılar birkaç nedenden dolayı çok iyi çalışıyor.:
- Tahmin edilmesi kolay şifreler: ortak kelimeler, kısa kelimeler, çeşitli kombinasyonlarda kelimenin kendisi "şifre".
- Önceki saldırılardan elde edilen veriler: İnsanların farklı hizmetler ve siteler için farklı şifreler kullanmanızı önermesinin bir nedeni var.
Kendinizi şifre hırsızlığından nasıl korursunuz?
1. Güçlü bir parola kullanın - Güçlü parolalar, kırılması zor olduğu için harflerin, sayıların ve sembollerin rastgele bir kombinasyonunu kullanır. Bilgisayar korsanı botlarının doğru şifreyi bulması yıllar alabilir. Kendiniz güçlü bir parola oluşturmayı deneyebilir veya bir parola oluşturucu kullanabilirsiniz.
2. Oturum açma girişimi sayısını sınırlayın - Bir kaba kuvvet saldırısını önlemenin iyi bir yolu, birkaç başarısız oturum açma girişiminden sonra davetsiz misafirleri engellemektir. Bu etkili bir mekanizmadır, çünkü bu tür bir saldırı bilgisayar korsanı botlarının art arda farklı parolalar denemesinden oluşur.
3. İki faktörlü kimlik doğrulamayı uygulayın - Bazı hizmetler, oturum açma işlemi sırasında iki faktörlü kimlik doğrulama kullanır; bu, esas olarak, hesabınıza erişmek için iki (ideal olarak) ayrı jetona sahip olmanız gerektiği anlamına gelir. Çoğu zaman, e-postanıza veya cihazınıza gönderilen bir parola ve bir PIN veya QR kodu gibi bir son kullanma belirtecinin birleşimidir.
4. CAPTCHA korumasını uygulayın - CAPTCHA'lar yalnızca insanlar tarafından çözülebilir. Bilgisayar korsanı botlarının bir hesaba erişmesini önlemek için tasarlanmıştır. Sitenizin güvenliğini sağlamak için kullanabilirsiniz.
5. Bir güvenlik duvarı kullanın - Bazı web sitesi güvenlik güvenlik duvarları, dünya çapında kötü amaçlı IP adreslerini de izler. Güvenlik duvarı, eklentinin kurulu olduğu tüm sitelerde öğrenir. Daha sonra kötü IP'leri parolanızı kırmaya çalışmadan önce otomatik olarak engeller. Bu, girişleri kısıtlama özelliğiyle birleştiğinde sitenizi, yönetici alanına girmeye çalışan bilgisayar korsanlarından koruyabilir.
3. İyi bir barındırma sağlayıcısı seçin
Bir web sitesinde ters giden her şey için web barındırıcısını suçlama eğilimi vardır. Web barındırıcıları genellikle bir web sitesinin birçok yönünden sorumlu olsa da, bir web sitesi saldırıya uğradığında nadiren hatalı olurlar. Aslında, genellikle bunun tersi doğrudur: web barındırıcıları, web sitelerinin güvenliğini artırır.
Tabii ki, sunucularında barındırılan web sitelerinin güvenliğini ihlal etmede rol oynayan bazı web barındırıcıları vardır. Bu nadiren olur, ancak gerçekleştiğinde binlerce web sitesini riske atan büyük bir olaydır.
4. Bir SSL sertifikası kurun
Daha çok SSL olarak bilinen Güvenli Yuva Katmanı, bir web sitesine yapılan tüm bağlantıları şifreleyen bir güvenlik protokolüdür. Kurulduktan sonra, sitenizin URL'sinin başında bir asma kilit olarak görünür.
SSL sertifikası kullanmanın faydaları şunlardır::
- Web sitenize ve web sitenizden iletilen tüm veriler şifrelenir.
- Bu, sitenize olan güvenin bir işaretidir. Aslında çoğu tarayıcı, SSL olmayan siteleri adres çubuğunda "Güvensiz" olarak işaretler.
- Google, SSL sertifikası olan web sitelerini sever ve hatta onları daha yüksek sıralamalarla ödüllendirir.
İyi Web Sitesi Güvenlik Uygulamaları
Başta da söylediğim gibi, web sitesi güvenliği devam eden bir uygulamadır. Bu bölümde, genel web sitesi güvenlik stratejinize dahil etmek için yararlı olan teknikleri listeleyeceğim. Bunu yapma alışkanlığını bir kez edindiğinizde, zamanınızın ve çabanızın küçük bir yatırımı, güvenli bir web sitesi ile birçok kez kendini amorti edecektir.
1. Şifrenizi sık sık değiştirin — Özellikle genellikle hatırlaması zor parolalarla eşanlamlı olduklarından, tahmin edilmesi zor parolalar belirlemenin zor olduğunu anlıyorum. Mükemmel şifremizi düzenli olarak değiştirmenizin istenmesinin neden olduğu endişeyi de hayal edebiliyoruz.
Bunun nedeni, özellikle birden fazla hesap için aynı şifreleri kullanıyorsanız, şifrelerin güvenlikteki en zayıf halka olmasıdır. Bir site saldırıya uğrasa bile, tüm hesaplarınızın potansiyel olarak ele geçirildiğini güvenle varsayabilirsiniz. Düzenli, farklı insanlar için farklı şeyler ifade edebilir. Bankalar gibi bazı finansal kurumlar şifrelerinin 90 günde bir değiştirilmesini zorunlu kılar.
2. Web sitesi kullanıcılarını kontrol edin, yeni yönetici kullanıcıları izleyin — bilgisayar korsanları, siteye yeniden erişim kazanabilmeleri için genellikle yönetici kullanıcılardan ayrılır. Bu nedenle, yönetici kullanıcılarını düzenli olarak kontrol etmek bir web sitesinin güvenliğini artırabilir.
İkinci olarak, sitenin ortak yazarları değişebilir. Bir kullanıcının artık erişime ihtiyacı yoksa, siteye erişimini kaldırmak en iyisidir. Nedeni iki yönlüdür:
- kullanıcının sitenizde herhangi bir değişiklik yapmasını istemiyorsunuz;
- etkin olmayan hesapları bilgisayar korsanları tarafından ele geçirilebilir.
Zamanla sitemizi yeni içerik ve tasarımlarla oluştururken sitemize yeni kullanıcılar eklemeye devam ediyoruz. Bu kullanıcıları periyodik olarak kontrol etmelisiniz. Güvenlik kurallarını kendiniz uygulayabilirsiniz, ancak güvenliği ihlal edilen başka bir kullanıcı sitenizi etkiler. Kullanıcıları eklerken, mümkün olduğunda, onlara yalnızca gerekli erişim düzeylerini verin. Örneğin birisi sadece makale yazıyorsa yönetici hakları vermeyin.
3. Sitenizde bir etkinlik günlüğü oluşturun Bilgisayar korsanları, web sitesini değiştirmek için temel WordPress API'lerini kullanmaz, bu nedenle yaptıkları değişikliklerin çoğu etkinlik günlüğüne yansıtılmaz. Ancak siteye erişmek için kendilerine yönetici hesabı oluşturmak gibi izler bırakabilirler. Bu beklenmeyen etkinlikler bir ihlalin tespit edilmesine yardımcı olabilir. Tersine, bir ortak çalışan tarafından değişiklikler yapılıyorsa, etkinlik günlükleri, sitenizde yapılan değişiklikleri gördüğünüzde gereksiz paniği önlemeye yardımcı olabilir.
4. İndirilenler klasörünüzde PHP'yi engelleyin - Tam bir güvenlik açığı sınıfı (kesin olarak, Uzaktan Kod Yürütme), bilgisayar korsanlarının kötü amaçlı PHP dosyalarını Yüklemeler klasörüne yüklemesine olanak tanır. Bilgisayar korsanı daha sonra sitenizdeki herhangi bir kodu çalıştırmak için kullanabilir. Başka bir deyişle, siteniz üzerinde tam kontrole sahiptirler.
Yüklemeler klasöründeki PHP dosyalarının yürütülmesini engellerseniz, saldırı etkili bir şekilde hafifletilebilir. Merak etme. İndirilenler klasöründeki PHP dosyalarını engellemek güvenlidir, çünkü orada hiç bulunmamaları gerekir. Yüklemeler klasörü, komut dosyalarınızı değil medya dosyalarınızı depoladığınız yerdir.
Web sitenizi korurken nelerden kaçınmalısınız?
Hızlı bir Google araması, sitenizi güvenli hale getirmek için size pek çok ipucu ve strateji verecektir. Birkaç güvenlik eklentisi, sitenizi şifre kırıcılardan korumak için çeşitli seçenekler de sunar. Web sitenizi korumak, yapmanız gereken bir şeydir, ancak kaçınmanız gereken bazı şeyler vardır.
Sebepler, aşağıda tartışacağım her bir nokta için farklılık gösterir, ancak özünde, özellikle kullanıcılarınızdan ek güvenlik engellerini aşmalarını istiyorsanız, önlemleriniz ölçülebilir güvenlik faydaları sağlamalıdır. Örneğin, hem captcha hem de iki faktörlü kimlik doğrulama kullanıyorsanız, sitenize ulaşmak çok az fayda sağlayarak zorlaşır.
Mevcut tüm seçenekleri uygulayarak ekstra bir güvenlik duygusu elde edebilirsiniz, ancak maliyet-fayda analizi açısından çizgiyi kesmezler.
1. wp giriş sayfasını gizle - Bunu birçok forumda göreceksiniz: wp-login sayfasını sitenizin kendi URL'si olarak değiştirin. Mantık şu ki, bilgisayar korsanları giriş sayfasını bulamazsa, sitenize erişmek için kaba kuvvet saldırılarını kullanamazlar. Bunun birkaç dezavantajı vardır:
- WordPress ayrıca XML-RPC kullanarak oturum açmanıza izin verir.
- Bu, sitenizin kullanımını zorlaştıracaktır. wp-login yerine kendiniz için oluşturduğunuz özel URL'yi unutursanız, bundan kurtulmak zor olabilir.
- Genel URL'yi veya güvenlik eklentisiyle birlikte gelen varsayılan URL'yi kullanırsanız, bilgisayar korsanlarının hangisinin amacınızı tamamen bozacağını tahmin etmesi yine de kolaydır.
- Bu sayfayı gizlemek, sitenize başka beklenmeyen yan etkileri olabilecek karmaşık ayarların uygulanmasını gerektirir.
2. Coğrafi engelleme Yaygın olarak önerilen diğer bir güvenlik önlemi coğrafi engellemedir. Belirli ülkelerden meşru trafiğe ihtiyacınız olmayabilir veya bunu beklemeyebilirsiniz ve bu nedenle erişimi kısıtlamayı seçebilirsiniz.
- Bölgeler için IP adresleri ideal değildir ve hatalar içerebilir.
- Kendinizi yanlışlıkla bloke ederseniz, geri almanız zor olacaktır.
- Sonunda sitenize zarar veremeyecek Google gibi iyi botları engelleyebilirsiniz.
İyi bir güvenlik duvarı, sitenizi kötü amaçlı botlardan ve istenmeyen trafikten koruyabilir ve koruyacaktır. Önceki bölümde güvenlik duvarlarının faydalarından bahsetmiştim.
3. wp-admin dizinini parolayla koruyun - wp-admin klasörü sitenizdeki en önemli klasörlerden biridir. Doğal olarak bilgisayar korsanlarının da çok ilgisini çekiyor. Bu nedenle, onu bir parola ile korumak parlak bir hareket gibi görünebilir, ancak ters tepebilir.
wp-admin dizininizi koruyan parola, WordPress web sitenizdeki AJAX işlevini bozar. AJAX, görüntülenen sayfayı değiştirmeden web sitenizin bölümlerini sunucudan indiren bir kodlama tekniğidir.
Bu kulağa anlamsız geliyorsa, aslında bunun anlamı, her bir şey değiştiğinde kullanıcıları sürekli olarak yeniden yüklemeden sitenizi dinamik hale getirmesidir.
Sosyal medya akışınızda gezinmeyi düşünün. Siz hala ekranınızda olanları okurken yeni hikayeler veya tweet'ler yüklenir ve yeni içerik yüklemek istediğinizde haber akışınızı yenileyebilirsiniz.
4. WordPress Sürümünü Gizle - WordPress sitenizin sürümünü gizlemenin arkasındaki mantık, güvenlik güncellemelerinden kaynaklanmaktadır. Web siteniz WordPress'in en son sürümünü çalıştırmıyorsa, bir bilgisayar korsanı eski bir sürümde bulunan bir güvenlik açığından yararlanabilir. Ancak, WordPress sürümünüzü gizlemenin hiçbir faydası yoktur. Bir web sitesinin WordPress sürümünü belirlemenin birkaç yolu vardır: sitenin harici kodunu kontrol etmek, RSS beslemesini kontrol etmek vb. Bu arada, hepsi yasaldır.
Eski sürümlerdeki WordPress güvenlik açıklarıyla baş etmenin yolu, sürümünüzü en son sürüme güncellemektir. Birçok web sitesi yöneticisi, canlı bir siteyi güncellemenin siteyi bozabileceğinden korkar. Bu yüzden önce bir test sitesinde yapmak en iyisidir.
Siteniz saldırıya uğrarsa ne yapmalısınız?
Siteniz yakın zamanda saldırıya uğradıysa, sitenizin güvenliği konusunda son derece dikkatli olmanız daha da önemlidir. Doğru şekilde yapılmazsa, tekrarlanan site saldırılarına yol açabilir ve tüm durum tam bir kabusa dönüşür.
- Önce kötü amaçlı yazılımları temizleyinC: Kötü amaçlı yazılımları iz bırakmadan otomatik olarak kaldırmak için iyi bir güvenlik eklentisi kullanın.
- Her şeyi güncelleC: Dediğim gibi, yazılım güncellemeleri hayati önem taşıyor. WordPress'in en son sürümlerine, temalara ve eklentilere sahip olduğunuzdan emin olun. Bunu yapmazsanız, büyük olasılıkla sitenizin saldırıya uğramasının nedeni budur.
- Her yönetici kullanıcıyı görüntüleyin: Her yönetici hesabına yakından bakın. Bu makalede bundan zaten bahsetmiştik, ancak bilgisayar korsanları, kötü amaçlı yazılım bulunursa saldırıya uğramış bir web sitesine yeniden erişim sağlamak için yönetici hesapları oluşturur.
- Tüm şifreleri değiştir. Kimlik bilgilerinizin ele geçirildiğini varsayalım, parolalarınızı değiştirin. Umarım farklı ürün ve hizmetler için aynı şifreyi kullanmazsınız, aksi halde kalan şifreleri de değiştirmelisiniz.
- Veritabanı kimlik bilgilerini değiştirin (mümkünse): wp-config.php dosyası, WordPress sitesinin sitenin veritabanına bağlanmak için kullandığı kimlik bilgilerini içerir. Çoğu durumda, veritabanı kimlik bilgileri tehlikeye girse bile veritabanına erişim kısıtlanır. Ancak, bazı ana bilgisayarlarda bilgisayar korsanları bu bilgileri veritabanını doğrudan değiştirmek için kullanabilir. Bu, sitenin yeniden enfekte olmasına yol açabilir.
- Güvenlik anahtarlarını değiştirA: WordPress, kayıtlı kullanıcılar için oturumları yönetmek için güvenlik anahtarları kullanır.
- WordPress güvenlik duvarınızı kurun: Bunu zaten bu makalede ayrıntılı olarak ele aldım. WordPress güvenlik duvarı, kötü amaçlı botlara ve kötü trafiğe karşı en iyi savunmanızdır.
Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı - WordPress site güvenliği
Kısacası: Sitenizi korumanın en kolay yolu, aşağıdakiler gibi bir site güvenlik eklentisi kurmaktır: All In One WP Security & Firewall, kapsamlı, kullanımı kolay, kararlı ve bakımlı bir WordPress güvenlik eklentisidir.
Hepsi Bir Arada WP Güvenlik ve Güvenlik Duvarı aşağıdaki özelliklere sahiptir:
1. Kullanıcı hesabı güvenliği
- Varsayılan kullanıcı adı "admin" olan bir kullanıcı hesabı olup olmadığını belirleyin ve kullanıcı adını kolayca istediğiniz bir değerle değiştirin.
- Eklenti, aynı girişlere ve görünen adlara sahip WordPress kullanıcı hesaplarınız olup olmadığını da algılar. Oturum açma adı ile aynı görünen ada sahip bir hesaba sahip olmak kötü bir güvenlik uygulamasıdır çünkü bilgisayar korsanları için oturum açma bilgilerini zaten bildikleri için 50%'de zaten hazır olan bir oturum açma oluşturursunuz.
- Çok güçlü parolalar oluşturmanıza olanak tanıyan bir parola gücü aracı.
- Kullanıcıları listelemeyi durdurun. Bu nedenle, kullanıcılar/botlar, yazarın kalıcı bağlantısı aracılığıyla kullanıcı bilgilerini keşfedemez.
2. Kullanıcı için oturum açma güvenliği
- Giriş engelleme özelliği ile "Kaba Kuvvet Giriş Saldırısına" karşı savunun. Belirli bir IP adresine veya aralığına sahip kullanıcılar, yapılandırma ayarlarına bağlı olarak önceden belirlenmiş bir süre boyunca sistemden yasaklanır ve ayrıca bildirim alabilirsiniz.
çok fazla oturum açma denemesi nedeniyle birisi engellendiğinde e-posta yoluyla. - Bir yönetici olarak, engellenen tüm kullanıcıların bir listesini görüntüleyebilirsiniz; bu liste, tek bir düğmeyi tıklatarak bireysel veya grup IP adreslerinin engellemesini kaldırmanıza olanak tanıyan, okuması kolay ve gezinmesi kolay bir tabloda görüntülenir.
- Yapılandırılabilir bir süre sonunda tüm kullanıcıların oturumu kapatmasını zorunlu kılın.
- Kullanıcının IP adresini, kullanıcı kimliğini/kullanıcı adını ve başarısız oturum açma girişiminin tarihini/saatini gösteren başarısız oturum açma girişimlerini izleyin/görüntüleyin.
- Kullanıcı adını, IP adresini, giriş tarihini/saatini ve çıkış tarihini/saatini izleyerek sisteminizdeki tüm kullanıcı hesaplarının hesap etkinliğini izleyin/görüntüleyin.
- Geçersiz bir kullanıcı adıyla oturum açmaya çalışan IP adreslerini otomatik olarak engelleme yeteneği.
- Şu anda sitenize giriş yapmış olan tüm kullanıcıların bir listesini görme yeteneği.
- Özel bir beyaz listede bir veya daha fazla IP adresi belirlemenizi sağlar. Beyaz listedeki IP'ler, WP oturum açma sayfanıza erişebilir.
- WordPress giriş formunuza Google reCaptcha veya basit bir matematik captcha ekleyin.
- WP giriş sisteminizin unutulan şifre formuna Google reCaptcha veya basit bir matematik captcha ekleyin.
3. Kullanıcı kayıt güvenliği
- WordPress kullanıcı hesaplarının manuel olarak doğrulanmasını etkinleştirin. Siteniz insanların WordPress kayıt formu aracılığıyla kendi hesaplarını oluşturmasına izin veriyorsa, her kaydı manuel olarak onaylayarak SPAM veya sahte kayıtları en aza indirebilirsiniz.
- Sizi spam kullanıcı kaydından korumak için WordPress kullanıcı kayıt sayfanıza Google reCaptcha veya basit matematik captcha ekleme yeteneği.
- Botlardan gelen kayıt girişimlerinin sayısını azaltmak için WordPress kullanıcı kayıt formuna bir Honeypot ekleme yeteneği.
4. WordPress Veritabanını Koruma
- Varsayılan WP ön ekini, bir düğmeyi tıklatarak kolayca seçtiğiniz bir değere ayarlayın.
- Otomatik yedeklemeler ve e-posta bildirimleri planlayın veya tek bir tıklamayla istediğiniz zaman anında DB yedeklemeleri alın.
5. Bir WordPress sitesinin dosya sistemi güvenliği
- Güvenli olmayan izin ayarlarına sahip dosya veya klasörleri tanımlayın ve izinleri bir düğmeyi tıklayarak önerilen güvenli değerlere ayarlayın.
- WordPress yönetici alanında dosya düzenlemeyi devre dışı bırakarak PHP kodunuzu koruyun.
- Tüm ana sistem günlüklerini tek bir menü sayfasından kolayca görüntüleyin ve izleyin ve sunucunuzda meydana gelen tüm sorunlar veya sorunlar hakkında güncel kalın, böylece bunları hızla çözebilirsiniz.
- İnsanların WordPress sitenizin readme.html, license.txt ve wp-config-sample.php dosyalarına erişmesini engelleyin.
6. htaccess ve wp-config.php dosyalarını yedekleyin ve geri yükleyin
- Bozuk işlevselliği geri yüklemek için ihtiyaç duymanız durumunda orijinal .htaccess ve wp-config.php dosyalarınızı kolayca yedekleyin.
- Şu anda etkin olan .htaccess veya wp-config.php dosyalarının içeriğini yönetici panelinden sadece birkaç tıklamayla değiştirin.
7. Kara liste işlevi
- IP adreslerini belirterek kullanıcıları engelleyin veya IP adresi aralıklarını belirtmek için bir joker karakter kullanın.
- Kullanıcı aracılarını belirterek kullanıcıları reddedin.
8. Güvenlik duvarı işlevi
Bu eklenti, web sitenize birçok güvenlik duvarı koruma öğesini htaccess dosyası aracılığıyla kolayca eklemenizi sağlar. htaccess dosyası, sitenizdeki diğer kodlardan önce web sunucunuz tarafından işlenir.
Dolayısıyla, bu güvenlik duvarı kuralları, sitenizdeki WordPress koduna ulaşma şansı bulamadan kötü amaçlı komut dosyalarını durduracaktır.
- Kontrol nesnesine erişim.
- Temel, orta ve gelişmiş arasında değişen bir dizi güvenlik duvarı ayarını anında etkinleştirin.
- Perishable Press'in ünlü "6G Kara Listesi" güvenlik duvarı kurallarını etkinleştirin.
- Bir proxy aracılığıyla yorum göndermeyi devre dışı bırakın.
- Hata ayıklama günlük dosyasına erişimi engelleyin.
- İzlemeyi ve izlemeyi devre dışı bırakın.
- Geçersiz veya kötü amaçlı sorgu dizelerini reddet.
- Kapsamlı bir gelişmiş karakter dizisi filtresini etkinleştirerek kendinizi siteler arası komut dizisinden (XSS) koruyun.
veya tarayıcılarında özel bir tanımlama bilgisi olmayan kötü amaçlı botlar. Siz (site yöneticisi) bu özel tanımlama bilgisini nasıl ayarlayacağınızı bilecek ve sitenize giriş yapabileceksiniz. - WordPress PingBack güvenlik açığı koruma özelliği. Bu güvenlik duvarı özelliği, kullanıcının ping özelliğindeki belirli güvenlik açıklarına karşı koruma sağlamak için xmlrpc.php dosyasına erişimi reddetmesine olanak tanır. Bu aynı zamanda botların sürekli olarak xmlrpc.php dosyasına erişmesini ve sunucu kaynaklarınızı boşa harcamasını engellemek için de kullanışlıdır.
- Sahte Googlebot'ların sitenizi taramasını engelleme yeteneği.
- Görüntü hotlinking önlemek için yeteneği. Başkalarının resimlerinize hotlink vermesini önlemek için bunu kullanın.
- Sitenizdeki 404 etkinliğin tümünü günlüğe kaydetme yeteneği. Çok fazla 404 hatası alan IP adreslerini de otomatik olarak engelleyebilirsiniz.
- Sitenizdeki çeşitli kaynaklara erişimi engellemek için kendi kurallarınızı ekleme yeteneği.
9. Giriş kaba kuvvet saldırısını önleyin
- Özel çerez tabanlı oturum açma kaba kuvvet önleme özelliğimizle kaba kuvvet saldırılarını anında engelleyin. Bu güvenlik duvarı özelliği, insanlardan ve botlardan gelen tüm oturum açma girişimlerini engeller.
- Kaba kuvvet saldırılarına karşı koruma sağlamak için WordPress giriş formuna basit matematik captcha ekleme yeteneği.
- Yönetici giriş sayfasını gizleme yeteneği. Botların ve bilgisayar korsanlarının gerçek WordPress giriş URL'nize erişmesini önlemek için WordPress giriş sayfası URL'nizi yeniden adlandırın. Bu özellik, varsayılan oturum açma sayfasını (wp-login.php) özelleştirebileceğiniz bir şeye değiştirmenize olanak tanır.
- Robotlardan gelen kaba kuvvet yoluyla oturum açma girişimlerinin sayısını azaltmaya yardımcı olacak Login Honeypot'u kullanma yeteneği.
10. Web Sitesi Dosya Güvenliği Tarayıcısı
- Dosya Değişikliği Algılama Tarayıcısı, WordPress sisteminizde herhangi bir dosya değiştirilmişse sizi uyarabilir. Daha sonra bunun meşru bir değişiklik olup olmadığını veya bazı kötü kodlar getirilip getirilmediğini araştırabilir ve görebilirsiniz.
11. Yorum Spam Koruması
- Sürekli olarak en çok spam yorumu üreten en aktif IP'leri takip edin ve tek bir düğmeyi tıklatarak anında engelleyin.
- Alanınızdan olmayan yorumların gönderilmesini önleyin (bu, spam robotları tarafından sitenize gönderilen yorumların sayısını azaltmalıdır).
- Yorum spam'ına karşı korumanızı artırmak için WordPress yorum formunuza bir captcha ekleyin.
- SPAM olarak işaretlenen belirli sayıda yorumu aşan IP adreslerini otomatik ve kalıcı olarak engelleyin.
12. Ön kopya koruma metni
- Ön yüzünüz için sağ tıklamayı, metin seçimini ve kopyalama seçeneğini devre dışı bırakma yeteneği.
13. Eklentinin ek özellikleri
- WordPress oluşturucu meta bilgilerini sitenizin HTML kaynak kodundan kaldırma yeteneği.
- WordPress sürüm bilgilerini sitenizin JS ve CSS dosyalarından kaldırabilme.
- İnsanların readme.html, license.txt ve wp-config-sample.php dosyalarına erişmesini engelleme yeteneği.
- Siz çeşitli dahili görevleri yerine getirirken (site güvenlik saldırılarını araştırmak, site güncellemeleri yapmak, bakım yapmak vb.)
- Güvenlik ayarlarını dışa / içe aktarabilme.
- Diğer sitelerin içeriğinizi bir çerçeve veya iframe aracılığıyla görüntülemesini önleyin.
Web sitesi güvenliğiyle uğraşacak zamanı olmayanlar için idealdir. Sadece yükleyin ve eklentiyi unutun. Ancak güvenliğinizi artırmak için fazladan zaman ayırabiliyorsanız, yukarıdaki önlemlerin tümünü uygulamanızı önemle tavsiye ederim.
Çıktı
Bu makaleye, bir web sitesinin güvenliğini net bir işaretle nasıl sağlayacağınızla ilgili olarak başladım: ilk adım, sitenizin güvenliğini doğru bir şekilde sağlamaktır. Bu devam eden bir süreçtir. Sitenin güvenliği üzerinde maksimum kontrol sağlamak için periyodik denetimler yapmak, herhangi bir kuruluşta iyi bir standart uygulamadır. Tehdit ortamı sürekli değişiyor ve bilgisayar korsanları güvenliği aşmak için daha yaratıcı yollar bulacak. Güvenlik uzmanları her zaman tetikte kalır ve bu her şeyin ana sonucudur: rahatlamayın.
Bu makaleyi okumak:
- Kötü amaçlı yazılım ve virüs arasındaki fark nedir? (açıklama)
- Web Sitenizin Güvenliğini Artırmak İçin 10 Temel Adım
Okuduğunuz için teşekkürler: SEO YARDIMI | NICOLA.ÜST
İlk defa bu kadar uzun bir yazı görüyorum. Sitenin yazarına saygı gösterin, siteye ne kadar zaman harcadınız? Sitenin güvenliğini korumanın ve sürdürmenin neredeyse tüm yönlerini açıklayan harika bir rehber. Blogunuzu bir süredir okuyorum. Teşekkürler, çok faydalı bir malzeme.
Biraz değil)) blogumu okuduğunuz için teşekkürler)