Merhaba arkadaşlar. Bu yazımda WordPress sitenizi korumanız için mutlaka bilmeniz gereken yöntemlerden bahsedeceğim.
Hata mesajınızı hackerlara göstermeyin!
WordPress sitemize giriş yaparken şifreyi yanlış yazarsak “şifre yanlış” uyarısı verir. Bu sayede hesabınızı çalmaya çalışan kişi, kullanıcı adını doğru yazdığını anlar ve şifreyi kırmaya çalışır. Aynısı kullanıcı adı için de geçerlidir. Öyleyse hangisini yanlış yazdığını öğrenmesini engellememiz lazım. Aşağıdaki kodu, kullandığınız temanın functions.php dosyasında <?php kısmının altına yapıştırıyoruz.
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
Bu işlem sayesinde, giriş bilgilerini yanlış yazdığımızda, hangi bilginin yanlış olduğunu gizlemiş olduk.
WordPress Sürümünüzü Gizleyin
Gelelim ikinci adıma. WordPress, her ne kadar zaman zaman güvenlik güncellemeleri yayınlasa da her sürümde mutlaka açık bulunur. Hangi sürümde hangi açığın bulunduğunu bilen korsanlar, kullandığınız WordPress versiyonunu bulduklarında denemeleri gereken yöntemlerin sayısı azalacaktır. Bundan dolayı kullandığımız WordPress versiyonunu gizleyerek işlerini zorlaştırmak iyi bir fikir. Aşağıdaki kodu, temamızın functions.php dosyasında herhangi bir yere yapıştırıyoruz.
remove_action(‘wp_head’, ‘wp_generator’);
Admin Nickini Değiştirin!
Belki de en önemli kısım burası. Birçoğumuz, WordPress sitemizde kullanıcı adımızı “admin” yapıyoruz. İşte bu çok tehlikeli bir şey çünkü hackerlar da bunu biliyor. Sitenizi ele geçirmeye çalıştıklarında kullanıcı adınız zaten çantada keklik. Kullanıcı adınızı değiştirebilirsiniz. Her ne kadar ayarlar bölümünde değiştiremezsiniz yazsa da.
Kullanıcılar> Yeni Ekle bölümünden kendimiz için yeni kullanıcı oluşturuyoruz. Kullanıcı adımızı admin dışında bir şey koyuyoruz. Diğer bilgilerimizi doldurduktan sonra yeni kullanıcı oluşturuyoruz ve oluşturduğumuz yeni kullanıcının yetkisini “yönetici” yapıyoruz. Daha sonra şimdiki hesabımızdan çıkış yapıp oluşturduğumuz hesaba giriş yapıyoruz. Kullanıcılar bölümünden, eski “admin” hesabımızı siliyoruz. Merak etmeyin, emekleriniz çöpe gitmeyecek. Hesabı sil dedikten sonra tüm verileri yeni oluşturduğumuz hesaba bağlıyoruz. Artık kullanıcı adı “admin” olmayan yeni hesabımızı kullanabiliriz. Yazdığımız yazılarda yazar olarak yeni kullanıcı gözükecektir.
Güçlü Bir Şifre Kullanın
Belki sık sık duyduğunuz bir şey ama çok önemli. Hesabınıza şifre koyarken, WordPress şifrenizin güvenlik derecesini size gösterir. Maksimum güvenlikte şifre koymalısınız. Şifrenizde harf, rakam ve sembol kesinlikle olmalıdır. Ama ardışık sayı ve rakamlar olmaması lazım. İçinde abc, xyz, 123 gibi karakterler bulunan şifrelerin kırılması zor değil. Bu siteden, hackerların şifrenizi ne kadar sürede kırabileceğini ölçebilirsiniz. Eğer şifreniz güçlüyse yıllar, trilyon yıllar süreceğini gösteriyor. Çok ilginç bir site. Güçlü şifre önemlidir.
Veritabanınızı Yedekleyin
Evet, yedekleme yapmak güvenliğinizi sağlamaz ama çok önemlidir. Eğer bir saldırı yüzünden veritabanınız silinirse veya hasar görürse. Hemen yedeğini kullanabilirsiniz.
Güncellemeleri Mutlaka Yapın
Her güncellemede birçok açık kapatılır. Güncellemek oldukça kolay ve önemlidir. Aksatmayın derim.
Giriş Denemelerini Kısıtlayın
Sitenizi ele geçirmeye çalışan kişi, büyük ihtimalle şifrenizi tahmin etmeye çalışacaktır. Limit Login Attempts eklentisini yükleyerek bunu engelleyebilirsiniz. Belirlediğiniz bir sayıya kadar deneme yapılabilir ama örneğin 5. denemeden sonra 20 dakika kilitlenmesini sağlayabilirsiniz. Deneme sayısını ve kilitlenme süresini kendiniz belirleyebilirsiniz. Merak etmeyin, sadece korsanın bilgisayarındaki giriş sayfası kilitlenir.
Giriş sayfanızı değiştirin
Genellikle siteadi.com/wp-login.php adresinden giriş yapılır. Ancak bunu herkes bilir. Onun için burayı değiştirmekte yarar var. Rename wp-login.php eklentisini yüklüyoruz. Ve settings kısmından giriş sayfası adresini kolayca değiştirebilirsiniz.
Bunlar temel önlemlerdir. Bu önlemleri almadan sitemizin güvende olmasını bekleyemeyiz. Her türlü sorununuzu ve düşüncenizi yorumlarda belirtebilirsiniz.