Sitelerimiz, zaman zaman saldırıya maruz kalabilmektedir. Saldırgan, birçok farklı algoritmalarla bilgilerimizi çalabilir, veri tabanımızı silebilir, içerik linkleri değiştirilerek arama motoru indeksimizin düşmesini sağlayabilir, verilerinizi açıkça dağıtabilir ve sitenizin tüm bilgilerini yayarak sitemizin değerini oldukça düşürür ve site kapalı olduğu sürece gelen ziyaretçilerde karşılarında kötü bir görüntü göreceği içi sitemize karşı ön yargıları olabilir. WordPress sistemini kullanmakta olan site sahipleri oldukça fazla saldırı alabilmektedirler. Önlem alınmadan bir saldırıya maruz kalındığında ise sonuç hüsran olabilmektedir. Sonucun hüsran olmaması için site sahiplerinin yapması gereken bazı işlemler bulunmaktadır.
- WordPress’in düzenli olarak paylaştığı güncellemeleri eksiksiz almalısınız. Sistem çıkarmış olduğu güncellemeler de kendi güvenlik açıklarını önlemektedir. Güncellemeyi almayan siteler ise; açıkları kullanan hackerlar tarafından mağdur edilebilmektedir.
- Yönetim üyelerinin hesap şifreleri basit olmamalıdır, şifreler ilgili şifreleme programları ile şifre türetilerek oluşturulmalıdır. En güvenli şifreleme yöntemi olan bu yöntem sayesinde hesabınızın şifresini buldurmanız oldukça düşük bir ihtimal olacak ve sitenizin güvenliğini sağlamış olacaksınız.
- Sitenizin günlük veya haftalık periyotlar dahilinde yedeklerini alın. Herhangi bir saldırı olduğunda saldırı bitimi sonrası bu yedekleri yükleyerek, sitenizin en az hasar almasını sağlayın.
- Sisteminizi sık sık güncelleyemiyorsanız, sayfa kaynaklarında altyapınızın sürümünün gözükmesini engellemek için bir kod girişi yapabilirsiniz. “Functions.php” dosyasını açarak aşağıdaki kodu ekleyerek sürümünüzü gizleyebilirsiniz.
remove_action('wp_head', 'wp_generator');
- Kullandığınız eklentilerde açık olması durumunda, saldırı yapmayı planlayan kişi eklentide bulunan bu açık sayesinde sitenize saldırı gönderebilir. Bu açığı önlemek amacıyla eklentilerinizin ( plugins ) gösterimini engellemeniz gerekmektedir. Eklenti gösterimini engellemek amacıyla “ wp-content/plugins ” isimli klasöre giriş yaptıktan sonra index.html isminde bir sayfa oluşturuyoruz. Bu işlemin yapımı bittikten sonra kullanılan eklentiler kullanıcılar tarafından görülemeyecek hale gelecektir.
- En önemli güvenlik önlemlerinden biri ise wp-admin dizinini değiştirmek olacaktır. WordPress’in default şekilde yüklemiş olduğu admin yolları herkes tarafından açıkça bilinmekte ve görülmektedir.
- Admin panelini kurcalayan birisi, kullanıcı adınızı doğru bildiğinde sistem ona “şifreniz hatalıdır.” Mesajını verecektir. Bu sayesede kullanıcı adını doğru bilen kişi şifreye yönelecek ve edinebileceği bir program ile şifrenizi kırarak sitenizin yönetim paneline sızabilecektir. Bunu engellemek adına, “functions.php” dosyasını açarak aşağıdaki kodu eklememiz gerekmektedir.
Add_filter(‘login_errors‘,create_function(‘$a‘,”return null; ”));