Guvenlik bir websitesi icin olmazsa olmazlardan, bu yazimizda WordPress guvenligi ile ilgili ipuclarindan bahsedecegiz;
1) Core Guncellemeleri
WordPress genel olarak 4-5 ayda bir major surum cikarir, bunlarin cogu yenilikleri icerir ve beraberinde gozden kacan aciklarida icerebilir, bu yuzden guvenligin kritik oldugu bir kuruluma sahipseniz her zaman “son surum en iyisidir” demek dogru degil. Misal 4.6 guncellemesi icin 4.6.1 surumunu beklemek daha dogru olacaktir.
2) Eklentileri Guncel Tutmak Onemli
Eklentileri guncel tutmak onemli ama guncellemeden once changelog’u okumak fayda saglayacaktir, bir suru degisikligin ayni anda yapilmis eklentiyi aninda guncellemek sakincali olabiliyor, 1-2 gun icerisinde muhtemelen yeni bir surumu gorursunuz.
Eklentilere deginmisken, hangi eklentiyi kullandiginizda onemli, WordPress eklenti dizininde uzun suredir guncellenmeyen, guvenlik acigi bulunan, kotu yazilmis vs.. bir suru eklenti mevcut. Bu yuzden hangi eklentiyi kullandiginiza da onem gosterin.
Ozellikle, Automattic, WordPress.org Takimi, humanmade, 10up (bunlar ilk aklima gelenler) gibi guvenilir kaynaklari tercih edebilirsiniz.
3) WAF ve Servisler
WAF (Web Application Firewall) olarak cloudflare yada sucuri kullanabiliriniz. Baska servislerde vardir illaki ancak cok fazla bilgi sahibi olmadigim servisleri eklemedim.
4) Hardening
WordPress codex’te bahsedilen onlemleri ve tedbirleri almaniz faydaniza olacaktir. Bunun disinda periyordik araliklarla guvenlik taramasi yapmaniz faydali olacaktir. (netsparker cloud gibi bir servis kullanabilirsiniz)
5) Guvenlik Eklentileri
WordPress guvenligini sadece eklentilere birakmak yapilan genel hatalardan biri, wpvulndb‘ye gore en cok acik bildirilen 10 eklentiden 4 ve 5.ci sirada guvenlik eklentilerinin yer almasi bunu ispatliyor.
Yine de bu eklentiler hardening acisindan fayda saglayabilir, guncel tuttugunuz surece kullanabilirsiniz. (sucuri security fena durmuyor bu alanda)
6) Backup
Bir acigin neleri etkileyecegini kesin olarak bilemeyiz, belkide veritabaniniz komple yok olacak. Bu yuzden guncel bir yedek bulundurmaya ozen gosterin.
Cogu hosting firmasi yedekleme yapiyoruz demesine ragmen, bence elinizin altinda olmayan yedege cok guvenmeyin 🙂
Güzel yazı olmuş. Dikkat edilmesi gereken konular. 4. maddede var ama buraya da ayrıca ekleyim dosya haklarını ne olur 777 yapmayın 🙂 Bununla ilgili bir yazı da yazmıştım ilgilenenler bakabilir: http://wordpressokulu.com/blog/wordpress-dosya-izinleri/
Merhaba,
Yazınız için teşekkürler. WordPress güvenliği gerçekten ihmal edilmemesi gereken bir konu.
Ziyaretçilerin yazınızda belirttiğiniz hardening kısmını hem manuel hem de eklenti yardımı ile nasıl yapılacağını anlattığım https://www.ogrenio.com/wordpress-guvenlik-onlemleri/ bu yazıya da bir göz atmalarında fayda var. Düzenli olarak yeni bilgiler ekleyip yazıyı güncel tutmaya çalışıyorum.
İyi Çalışmalar.