WordPress tabanlı site kullanımı sadece ülkemizde değil tüm dünya genelinde oldukça yaygın. Konu hakkındaki güncel WordPress kullanım istatistiklerini de paylaşmak istiyorum:

• WordPress, 2019’da %4 artışla sitelerin % 34’ünü oluşturuyor ve her ay 400 milyondan fazla kişi WordPress siteleri ziyaret ediyor.
• Günlük 661 WordPress sitesi açılmaktadır.
• Tüm E-Ticaret sitelerinin yaklaşık % 28’i WooCommerce tabanlı ve her gün ortalama 281 WooCommerce tabanlı site açılmaktadır.

Konumuza dönecek olursak genel olarak WordPress tabanlı siteler, belli bazı standart özellikler ile sunulmakta ve bu alanda yeni olan site yöneticileri için bu durum güvenlik açıkları oluşturmakta ve nihayetinde ya site saldırıya uğramakta ya da başka bir siteye yönlendirilmektedir. Bu nedenle WordPress sitenizin güvenliğini sağlamak için yapmanız gerekenleri bilmeli ve bunları uygulamalısınız…

WordPress Site Güvenliği İçin Yapmanız Gerekenler

Genel olarak  WordPress siteye nasıl virüs girer, girdiğinde ne yapmalı konuları ile düzenli backup alma, veritabanı yedekleme, eklenti (plugin) kontrolleri, WordPress giriş bilgilerini değiştirme, sitede düzenli olarak malware taraması yapma, sisteme girişte iki adımlı doğrulamayı aktif hale getirme gibi konulardan bahsedip son olarak SSL ile ilgili yaşadığım bir sorunu anlatarak sizleri WordPress site güvenliği sağlama noktasında bilgilendirmeye çalışacağım…

WordPress Siteye Nasıl Virüs Girer?

WordPress sitelere %90 oranında eklenti (pluginler) üzerinden virüs bulaşmaktadır. Şimdi bu noktada bir konuyu açıklık getirmek gerekiyor. Ben eklentileri WordPress eklenti mağazasından yüklüyorum, bu kısımdaki eklentiler kontrol ediliyorlar ve virüs bu şekilde bulaşamaz diyenler için, eklenti üreticisinin WordPress eklentisinde bıraktığı bir açık, sitenize virüs bulaşmasına neden olabiliyor.

Örnek olarak Google Play üzerinde sürekli şu kadar uygulamada virüs bulundu, indirilenler bundan eklendi gibi haberler yapılıyor. Aslında uygulamalar sisteme yüklenmeden kontrolden geçiyor fakat bırakılan bir açık cihazların veya sitelere virüs bulaşmasına neden olabiliyor. Bu nedenle WordPress sitenize eklenti kurmadan önce mutlaka bir ön araştırma yapın, şikayetlere bakın ve emin olduktan sonra kurulumunu gerçekleştirin ve son olarak sürekli güncellenen eklentileri kullanmaya özen gösterin.

Bir diğer durum ise admin giriş bilgilerinizi, ftp veya cpanel bilgileriniz ele geçirilme ihtimalidir. Hatta bazı durumlarda şifrenizi ele geçiren kişiler sitede kendi adına bir kullanıcı oluşturabilir ve sizi saf dışı bırakabilir. Düzenli olarak, şifrelerinizi güncelleyin ve  güçlü şifreler kullanın.

Düzenli Site ve VeriTabanı Yedeklemesi Yapın

Sitenize emek harcıyorsunuz, tasarlıyor ve SEO’ya uygun hale getiriyor ve düzenli içerik giriyorsunuz. Bir sebepten sitenize virüs bulaşıyor ve elinizde yedek yok ise bütün emeğiniz boşa gidiyor.

Bu çok sinir bozucu ve üzücü bir senaryo. Bu nedenle düzenli olarak sitenizin ve veritabanınınızın yedeğini almanız, en ufak bir sorunun çözümünde bile oldukça önemlidir.

Site Yedeği Nasıl Alınır?

Site yedeği Cpanel, Ftp veya eklentiler sayesinde alınabilir.

Cpanel Üzerinden Yedek Alma

Cpanel üzerinden yedek almak için giriş yaptıktan sonra;

Dosyalar>Yedekleme bölümüne tıklayın

Açılan ekrandan “Tam Yedekleme” veya “Kısmi Yedekleme” seçeneklerinden tercihinize göre yedekleme türünü seçin.

Tam Yedekleme için;

Tam yedekleme tüm dosyalarınızı yedekleme amacı için kullanılabilir. Bu kısımda tüm dosyaların yedeği alınacağı için işlem biraz uzun sürmektedir. Bu nedenle “Download a Full Account Backup” seçeneğine tıkayın ve açılan ekranda isteğe bağlı olarak, işlem bittikten sonra dosyanın indirilmeye hazır olduğuna dair bilgiyi mail bilginizi girerek alabilir ve daha sonra indirme işlemini başlatabilirsiniz.

Bu kısımda önemli olan nokta yedeği indirdikten sonra dosya yöneticisine girerek sistemden silinmesidir. Düzenli alınarak silinmeyen yedekler, sistemi yavaşlatabilir. Bu nedenle Cpanel üzerinden “Dosya Yöneticisi”ne tıklayın,

Cpanel Yedeği Silme

Açılan ekranda aldığınız backup dosyasını bulun ve sistemden silin. Hepsi bu kadar…

Kısmi yedekleme için;

Kısmi yedekleme bölümünde ise giriş dizini yedeğini ayrı, veritabanı yedeğini ayrı olarak alabilirsiniz. Kısmı yedekleme bölümündeki butonlara tıkladığınızda otomatik indirme başlatılacaktır.

Not: Cpanel’e nasıl giriş yapıldığını bilmiyorsanız aşağıdaki yöntem ile giriş yapabilirsiniz:

http://sitenizin ip adresi:2082 – / site ip adresinizin sonuna:2082 yazılarak cPanel hesabınıza giriş yapabilirsiniz.

FTP Üzerinden Yedek Alma

FTP üzerinden yedek almak için FileZilla vb. bir FTP programı kurmanız gerekiyor. Bu kurulumu yaptıktan sonra FTP bilgilerinizle giriş yapınca karşınızdaki ekranda site bilgileriniz açılacaktır;

4. Kısım site dosyalarınızın bulunduğu kısımdır. Bu kısımda public_html klasörünün içindeki dosyaları bilgisayarınıza indirerek yedek alabilirsiniz.

Eğer FTP giriş bilgilerinizi bilmiyorsanız öğrenmek için;

Cpanel’de dosyalar kısmındaki “FTP Hesapları” kısmına girerek öğrenebilirsiniz.

Dilerseniz farklı WordPress eklentileri ile de backup alabilirsiniz. Ancak yeni başlayan kullanıcılar için özellikle Cpanel üzerinden yedek almayı öneriyorum. Nedeni ise eklenti üzerinden aldığınız backupları silmezseniz zamanla FTP içeriğinin boyutu artmaya başlar, herhangi bir sebeple siteye virüs bulaşması halinde virüslü backup dosyaları da sistemde durmaya devam eder.

VeriTabanı Yedeği Nasıl Alınır?

Sadece site yedeği almanız, olası bir sorunda kullanmak için yeterli değildir. Özellikle yazılar ve mail listeleri gibi bilgiler veritabanında tutulmaktadır. Düzenli olarak veritabanı yedeği almazsanız eski bir yedek yüklediğinizde, yedeğin oluşturulma tarihinden sonraki tüm içeriklerinizi kaybedersiniz.

Veritabanını yedeklemek için;

Cpanel üzerinden Veritabanları bölümünde “PhpMyAdmin” bölümüne tıklayın

Açılan ekranda veritabanları listelenecektir.

Yedeğini almak istediğiniz veritabanını seçerek dışa aktar seçeneğine tıklayın.

Herhangi bir değişiklik yapmadan “Git” butonuna basın ve yedeği bilgisayarınıza indirin.

Yedekleme konusunda dikkatinizi çekmek istediğim bir konu daha var. Aldığınız yedekleri bulut tabanlı (Google drive gibi) bir platformda saklarsanız, bilgisayar, usb yada harici bir bellekteki olası arızalara karşı da önlem almış olursunuz.

WordPress Admin Paneli Giriş Bilgilerini Değiştirme

Genel olarak siteye virüslerin nasıl girdiğine ve düzenli olarak yedek alarak olası bir kötü duruma karşı alınacak tedbirleri anlattıktan sonra, siteye saldırının önlenmesi açısından oldukça önemli bir konuya geldik.

WordPress siteyi ister siz kurun, ister bir firma aracılığı ile bu işlemi gerçekleştirmiş olun, site admin paneline ulaşmak için ya wp-login.php ya da wp-admin.php adresinden giriş yaparsınız. Bu da sitenin saldırılara karşı açık kapı bırakması demektir.

Bu wp-login.php ya da wp-admin.php giriş uzantıları default olarak sunulduğu için, en çok kullanılan saldırı yöntemidir. Bu nedenle önlem alınması oldukça önemlidir.

Genel olarak htaccess dosyasına;

RewriteRule ^giriş/(.*) wp-admin/ kodunun eklenmesi tavsiye edilir. Ancak bu kodun eklenmesi ile wp-login.php ya da wp-admin.php adresinden de giriş yapılabildiği için işe yaramamaktadır. Bu nedenle size işlem için bir eklenti tavsiye edeceğim.

WPS Hide Login eklentisini kurarak giriş bilgilerini değiştirebilirsiniz. Bu sayede wp-login.php ya da wp-admin.php girişleri de iptal olmaktadır.

Eklentiyi kurduktan sonra ayarlar bölümünden, Login url kısmına kendi isteğinize göre bir alan belirtebilir, wp-login.php ya da wp-admin.php yazıldığında hangi sayfaya yönlendirmek istediğinizi de ayrıca ayarlayabilirsiniz.

Site Malware Taraması

Nasıl ki işletim sistemimizde virüslere karşı önlem almak için antivirüs programları kullanıyorsak, sitemiz içinde aynısını yapmamız gerekiyor.

Sitede malware taraması için iki farklı yöntemi sizlere anlatmak istiyorum.

İlk olarak, Sucuri Malware Test Aracını kullanabilirsiniz.

Site adresinizi girerek, gerekli testleri gerçekleştirebilirsiniz.

2. Yöntem olarak da WordPress Wordfence eklentisini kullanabilirsiniz.

Bu eklenti sayesinde düzenli olarak sitenizi taratabilir ve herhangi bir sorun karşısında etkilenen dosyaların hangileri olduğunu öğrenebilir ve gerekli değişiklikleri yapabilirsiniz.

Genellikle virüs bulaştığında;

wp-content/themes/temanız/function.php dosyasını etkilemektedir. Bunu yedeklediğiniz dosyalardan değiştirmeniz gerekecektir. 

wp-includes/post.php aynı kod post.php dosyanızda olabilir. Onu da değiştirmeniz gerekecektir.

Wp-includes klasörü de bu saldırıdan etkilenir:
wp-feed.php , wp-vcd.php ve wp-tmp.php php dosyalarını da wp-includes klasöründen silmelisiniz.

Bu konuda oldukça önemli çünkü, ne yazık ki bu virüsler yüzünden Adsense hesabı askıya alınan kullanıcılar mevcut.

İki Adımlı Doğrulamayı Aktif Hale Getirme

Sisteme girişte iki adımlı doğrulamayı aktif hale getirmeniz, parolanızın ele geçirilmesi durumunda da sizi koruyacaktır. Bunun için Google Authenticator eklentisini kurmanız gerekiyor.

Eklentiyi kurduktan sonra gerekli ayarlamaları yaparak, iki adımlı doğrulamayı aktif hale getirebilirsiniz.

WordPress güvenliği ile ilgili yaşadığım bir sorunu da sizlerle paylaşacağımı söylemiştim. Siteyi ilk kurduğumuz zamanlar Google’ın önerileri üzerine SSL sertifikası edinmek istedik. Bir sitede SSL ile ilgili ücretsiz hizmet veriliyor, motto olarak da daha güvenli internet kullanılıyordu fakat kurulum yapıldıktan sonra site başka sitemize virüs bulaştı ve temizlemesi oldukça zor oldu. Bu nedenle güvenilir olmayan hiçbir kaynaktan bir şey kullanmayın.

Unutmayın; bir şey ücretsiz ise orada ürün sizsiniz!