WordPress, dünya genelinde en yaygın kullanılan içerik yönetim sistemlerinden (CMS) biridir. Ancak, popülerliği nedeniyle siber saldırganların hedefi haline gelmiştir. Bu makalede, WordPress güvenliğini artırmak için almanız gereken önlemleri ve yaygın güvenlik açıklarını anlatmaya çalışacağım. Tabii bunlar basit önlemler ancak işe yaramaktadır.
1️⃣ En Yaygın WordPress Güvenlik Açıkları
📌 Brute Force (Kaba Kuvvet) Saldırıları:
- Saldırganlar, admin paneline giriş yapmak için şifreleri deneme-yanılma yöntemiyle kırmaya çalışır.
📌 SQL Injection (SQL Enjeksiyonu):
- Güvenli olmayan giriş alanları aracılığıyla veritabanına zarar verebilecek SQL komutları çalıştırılır.
📌 XSS (Cross-Site Scripting) Saldırıları:
- Kötü niyetli JavaScript kodları site ziyaretçilerine enjekte edilir.
📌 Dosya Yükleme Açıkları:
- Kötü amaçlı dosyalar yüklenerek sunucu ele geçirilebilir.
📌 Güncellenmemiş WordPress, Eklenti ve Temalar:
- Eski sürümler, bilinen güvenlik açıklarına sahip olabilir.
2️⃣ WordPress Güvenlik Önlemleri
🔑 1. Güçlü Parolalar ve Giriş Koruması
✔ Karmaşık parolalar kullanın:
Y%8pM!x#zV7Bgibi güçlü şifreler belirleyin.
✔ Admin paneline giriş sayfasını değiştirin:
/wp-adminyerine özel bir giriş sayfası kullanmak için WPS Hide Login eklentisini kullanabilirsiniz.
✔ İki Faktörlü Kimlik Doğrulama (2FA) Etkinleştirin:
- Google Authenticator, Wordfence gibi eklentilerle girişleri daha güvenli hale getirin.
✔ Brute Force saldırılarını önlemek için giriş denemelerini sınırlayın:
add_filter( 'authenticate', function( $user, $username, $password ) {
if ( get_transient( 'login_attempts_' . $username ) >= 5 ) {
return new WP_Error( 'too_many_attempts', __( 'Çok fazla giriş denemesi. Lütfen daha sonra tekrar deneyin.' ) );
}
return $user;
}, 30, 3 );
🔒 2. WordPress ve Eklenti Güncellemeleri
✔ Otomatik Güncellemeleri Açın:
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
✔ Eklentileri ve temaları düzenli olarak güncelleyin. ✔ Kullanılmayan eklenti ve temaları kaldırın.
🛡️ 3. Web Uygulama Güvenlik Duvarı (WAF) Kullanımı
✔ Wordfence, Sucuri gibi güvenlik duvarı eklentileri ile kötü amaçlı trafikleri engelleyin.
✔ Cloudflare WAF ile sitenizi ekstra koruma altına alın.
📂 4. Dosya İzinleri ve Güvenli Dizayn
✔ wp-config.php dosyasını koruyun:
chmod 600 wp-config.php
✔ Dosya düzenlemeyi devre dışı bırakın:
define('DISALLOW_FILE_EDIT', true);
✔ Erişimleri sınırlayın:
chmod -R 755 wp-content
🛑 5. Kötü Amaçlı Yazılım Taramaları
✔ Wordfence, Sucuri veya MalCare gibi eklentilerle düzenli güvenlik taramaları yapın.
✔ Google Safe Browsing API ile site güvenliğini kontrol edin.
🌐 6. Güvenli HTTPS Bağlantısı Kullanımı
✔ Let’s Encrypt ile ücretsiz SSL sertifikası yükleyin:
sudo certbot --apache -d example.com
✔ HTTPS yönlendirmesi için htaccess kullanın:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Özetle;
WordPress güvenliğini sağlamak için:
✔ Güçlü parolalar ve 2FA kullanın.
✔ Eklenti ve temaları düzenli güncelleyin.
✔ Web uygulama güvenlik duvarı (WAF) kullanın.
✔ Dosya izinlerini güvenli hale getirin.
✔ SSL sertifikası ve HTTPS kullanın.