WordPress Sitenizi Hackerlardan Korumanın Yolları >> Google çok sayıda virüslü WordPress sitesini engelledi

WordPress tartışmasız dünyanın en popüler platformlarından biri ve bloggerlardan şirket sayfalarına kadar birçok web sitesinde WordPress kullanılıyor.

Öte yandan 2014 Aralık ayında 1. Dünya Siber Savaşı başladı ve bugünlerde kötü niyetli bilgisayar korsanları web sitelerine çok sayıda saldırı düzenliyor. Google da kullanıcılarını korumak için virüs bulaşan web sitelerini arama motoru sonuçlarından çıkarıyor. Geçenlerde böyle çok site engelledi.

Öyleyse WordPress sitenizin siber güvenliğini arttırın, sitenizi bilgisayar virüslerinden koruyun ve Google’ın kara listesine girmeyin. Bu yazıda WordPress sitenizi bilgisayar saldırılarından korumak için kullanabileceğiniz temel çözümleri anlatıyoruz.

 

 

WordPress sitesi için güvenlik önlemleri

WordPress’in en büyük avantajı açık kaynak kodlu pratik bir platform olması. WordPress’te site açmak da kolay site yönetmek de kolay. Üstelik mobil uyumlu birçok ücretsiz tema var ve yayındaki sitelerin büyük kısmı WordPress CMS kullanıyor.

Ancak WordPress’in popülerliği bu siteleri aynı zamanda hackerların hedefi haline getiriyor. Sitelere bulaşan virüsler siteyi ziyaret edenlerin bilgisayarına da bulaşarak sistemi çökertiyor veya kişisel bilgilerini çalıyor.

 

Üstelik Google virüslü siteleri aylarca kara listeye alıyor ve bu siteleri arama sonuçlarında göstermediği için site sahipleri büyük ziyaretçi kaybına uğruyor (reklam ve satış kaybı da cabası). Öyle ki Dark Horse çizgi roman sitesinin, bir şirketin e-mail hesabının veya Amazon’un kara listesine bile girebilirsiniz.

Oysa bütün bu riskleri birkaç basit WordPress eklentisi kullanarak ve bazı temel tedbirler alarak önemli ölçüde azaltmak mümkün. Lafı uzatmadan başlayalım.

 

 

Sitenizi düzenli olarak yedekleyin

Sitenizi düzenli olarak yedeklerseniz sizin yaptığınız bir hata yüzünden, örneğin yanlış kurulan bir eklenti yüzünden sitenizin açılmaması gibi bir sorunu kolayca aşarsınız. Bunun için sitenizin yedeğini geri yüklemeniz yeterli. Ancak sitenizin resimlerle videolar dahil tüm klasörlerini ve ayarlarını yedekleyin ki geri yükleme işi sorunsuz olsun.

Bu basit yöntem aynı zamanda sitenizin virüs bulaşmayan bir sürümünü geri yükleyerek WordPress hesabınızı temizlemenizi sağlıyor, fakat bunun için düzenli yedekleme yapmanız lazım. Sitenizin tek bir yedeği varsa (son yedek) ve ona da virüs bulaşmışsa işiniz zor.

Bunun için Online Backup For WordPress veya UpdraftPlus – Backup/Restore gibi bir eklenti kullanabilirsiniz. Yedeklemeyi Google’dan API yetki kodu alıp doğrudan Google Drive hesabınıza yapmanız en iyisi. Böylece hangi bilgisayarı açarsanız açın sitenizi geri yükleyebilirsiniz.

 

 

Çok sayıda giriş yapma talebi

Hackerlar site yöneticisinin kullanıcı adı ve şifresini öğrenmek için farklı giriş kombinasyonları deneyerek kısa sürede çok sayıda giriş denemesi yaparlar. Bu en basit yönteme “kaba kuvvet yöntemi” de diyebiliriz. Şansımıza bu saldırıyı önlemenin yolu da basit.

WordPress’e 15 dakika içinde üst üste 3 kez başarısız giriş denemesi yapılırsa WordPress yönetici sayfasına erişimi en az 3 saat engelleyen (bu ayarları değiştirebilirsiniz) güvenlik eklentileri var. Nitekim WordPress varsayılan olarak böyle bir eklenti ile geliyor. Bunlar sizi koruyacaktır.

Öte yandan eklenti bozulur ve sizin de siteye girmenizi engellerse bu eklentiyi geçici olarak etkisizleştirebilirsiniz:

 

1) SFTP kullanarak wp-content/plugins klasörünüzü açın. (Güvenli FTP bağlantısı ile sitenizin barındırıldığı adresteki site klasörlerinize erişin).

2) Sitede etkin olduğunu bildiğiniz bir eklentinin klasörünü açın.

3) Ardından da klasörün adını taşıyan ana dosyayı açın (Şimdi bu dosyayı bilgisayarınızda düzenleyeceksiniz. Orijinalini ne olur ne olmaz diye yedekleyin!).

4) Sayfanın başında ilk satıra şunu yazın: <?php:

remove_action(‘plugins_loaded’, ‘limit_login_setup’, 99999);

5) Ayar dosyasını kaydedin.

 

Artık çok sayıda giriş denemesine karşı hesabınızı 24 saat kilitleyen eklentiyi etkisizleştirdiniz ama bunu geçici olarak yapın! Çünkü geçici olarak sorun yaşadığınız bu güvenlik eklentisi sonuçta sizi kötü niyetli hackerlardan koruyor. 24 saat sonra o satırı yukarıdaki adımları tekrarlayarak silin ve güvenlik eklentisini yeniden etkinleştirin.

 

 

Siz hâlâ annenizin adını mı kullanıyorsunuz?

Demek istiyorum ki ‘Admin’, ‘Yönetici’ gibi kullanıcı adlarını hiç kullanmayın. Çünkü hackerların ilk denediği kullanıcı adları bunlar. Bunu çözerlerse geriye bir tek şifrenizi tahmin etmeleri kalıyor. İşlerini kolaylaştırmayın.

Güçlü bir kullanıcı şifresi seçmek için şu yazıya göz atın. Yönetici girişi için kullanıcı adınız ve şifrenizi WordPress denetim masasından değiştirebilirsiniz. İpucu: WordPress kullanıcı adını ve şifrenizi başka hiçbir yerde kullanmayın (örneğin Twitter şifreniz farklı olsun).

 

 

İki ayrı yönetici atayın

Diyelim ki tek bir yönetici hesabı var ve bu hesabı ele geçirdiler. Yedek WordPress yönetici hesabınız yoksa işiniz zor. Şifrenizi değiştirdilerse siz bile siteye giriş yapamazsınız, ama yedek hesabınız varsa işiniz kolay.

Sitenize asıl hesabınızla erişemiyorsanız yedek hesabınızla giriş yapın. Asıl hesabınızı silin. Yedek hesabı ana hesap yapın, ikinci bir yedek hesap oluşturun ve sitenizi temiz yedek dosyalarıyla geri yükleyerek durumu kurtarın.

Yedek kullanıcı hesabınızda adınız yazmasın, ayrıca yedek yönetici hesabı için farklı bir e-posta adresi seçin. Aynı adresi seçerseniz hackerlar asıl bilgilerinize ve e-posta hesabınıza kolayca erişebilir. Yedek hesabınızı harici sabit disk sürücüsünde tutun veya bir yere yazın. Giriş bilgilerinizi buluta (Google Drive vb.) yüklemeyin veya Gmail adresinize göndermeyin! Yedek hesabınızı kimseyle paylaşmayın.

 

 

Kontrol panelinden dosya düzenlemeyi engelleyin

WordPress denetim masası tema dosyalarının kodlarının değiştirebileceği ‘file editor’a (dosya düzenleyicisi) doğrudan erişim sağlıyor. Oysa hackerlar gizlice sitenize girerse bu kodlara virüs bulaştırabilirler. Bunu engellemek için wp-config.php dosyasına şu satırı ekleyin.

 

Define (‘DISALLOW_FILE_EDIT’, true);

 

Ücretsiz tema kullanmayın

Nasıl ki akıllı telefonlardaki pek çok ücretsiz mobil uygulama aslında sizi gözetleyen casus yazılımlardır (örneğin telefonunuzu yavaşlatan termometre uygulamaları), WordPress için WordPress sitesi dışında sağlanan ücretsiz temaların büyük kısmı da casus uygulamalardır. Bunlar virüslü olmasa bile gerektiğinde virüs yerleştirecek şekilde tasarlanıyor veya sizi gözetlemek için ekstra kodlar içeriyor. Worpress onaylı ücretsiz temaları kullanabilirsiniz.

 

Güvenlik eklentileri kullanın

WordPress varsayılan olarak güçlü güvenlik özellikleriyle geliyor. Ancak sitenizin daha güvenli olması için sadece WordPress sitesinden ekstra güvenlik eklentileri seçebilirsiniz: Örneğin All In One WP Security & Firewall eklentisini.

 

Peki bu eklentiler ne işe yarıyor?

1) Kötü amaçlı web sitelerinin sitenize erişmesini engelliyor.

2) Dosya değişikliklerini kaydediyor ve sizi belki virüs bulaştı diye uyarıyor.

3) Sizden habersiz birisi sitenize giriş yaptığı zaman bilgi veriyor (Bunu siz de görebilirsiniz. Sitenize kimin ne zaman giriş yaptığını listeden kontrol etmeniz yeterli).

4) Virüs taraması yapıyor.

5) Depolama alanını izliyor.

6) Bazı IP adreslerini kara listeye alıyor.

 

Bu noktada LionScripts: IP Blocker Lite gibi bir IP adresi engelleme eklentisi kullanmanızı öneririm. Böylece sitenizden izinsiz haber çeken sahte siteleri elle engelleyebilirsiniz. Bunun için WordPress denetim masasında yorumlara gidin (yazılarınıza yapılan yorumları gösteren liste) ve sizin yazınızı alıntılayan IP adreslerine bakın. İstemediğiniz adresi eklentideki kutuya girip engelleyin. Sakın kendi IP adresinizi ve kendi VPN IP adresinizi engellemeyin!

İpucu: Engellediğiniz sitenin sosyal ağ hesapları da olabilir ve site sahipleri paylaşımlarınızı bu hesaplar üzerinden gözetleyebilir. Facebook, Twitter, Google+ üzerinde o hesapları arayın, bulduğunuz hesapları sosyal ağlarda da engelleyin. Ayrıca güvenlik açıklarına karşı WordPress’in her zaman en güncel sürümünü kullanın (güncellemeden önce sitenizi mutlaka yedekleyin).

 

 

Paniğe kapılmayın! WordPress her şeyi biliyor

Belki de bu ilk web siteniz, ilk blogunuz. Bu yüzden sitenizi nasıl koruyacağınızdan emin değilsiniz. Ancak Google arama motoruna veya WordPress sayfasındaki eklenti arama kutusuna WordPress security yazarsanız istediğiniz bütün bilgilere erişebilirsiniz. WordPress’in yardım sayfası ve kullanıcı forumları İngilizce veya Türkçe olarak size yardımcı olacaktır. Olmazsa forumlarda veya sosyal ağlarda bir bilene sorun (detayları özelden konuşun tabii 🙂 ) Hepinize güvenli siteler!