Gerçekten yardım etmek isteyen iyi niyetli kişiler tarafından yazılmış birçok WordPress güvenlik önerisi bulacaksınız. Ne yazık ki, bu tavsiyelerin bir kısmı WordPress güvenlik efsaneleri üzerine kuruludur ve WordPress web sitenize ek bir güvenlik sağlamamaktadır. Aslında, bazı WordPress güvenliği “ipuçları” sorun ve hatalarla karşı karşıya kalma olasılığınızı artırabilir.
Efsane 1: /wp-admin veya /wp-login adresini gizlemelisiniz
wp-admin’i gizlemenin arkasındaki fikir, bilgisayar korsanlarının bulamadıklarını hackleyememesidir. Giriş adresiniz standart WordPress /wp-admin değilse, kaba kuvvet saldırılarından korunmuş olur musunuz?
Gerçek şu ki bu özelliklerin çoğu, basit bir güvenlik stratejisi olan belirsizlik yoluyla güvenliktir. Arka panel adresinizi gizlemek, giriş bilgilerinizdeki bazı saldırıların hafifletilmesine yardımcı olabilirken, bu yaklaşım hepsini durdurmaz.
Bunun nedeni, bir tarayıcı kullanmanın yanı sıra, XML-RPC veya REST API kullanarak da WordPress sitelenize giriş yapmanın başka yolları da olmasıdır. Giriş adresinizi değiştirdikten sonra, başka bir eklenti veya tema yeni adresinize bağlantı verebilir.
Gerçek şu ki, WordPress web sitenizin admin giriş sayfasını tamamen gizleyemezsiniz. Wp-admin adresini değiştirirseniz sitenizi bozarsınız. Sitenize, WordPress dahil olmak üzere yüklediğiniz her şey wp-admin’in orada olacağını varsayar. Bir gönderi oluşturmak kadar basit bir şey yaptığınızda, /wp-admin/post.php adresine gitmeden önce wp-admin’den geçmelisiniz.
Giriş adresini özelleştirmenin bazı çakışmalara neden olduğu bilinmektedir. wp-login.php kodlarını kendi kodlarına ekleyen bazı eklentiler, temalar veya üçüncü taraf uygulamalar var. Bu nedenle, kodlanmış bir yazılım parçası site.com/wp-login.php dosyasını aradığında, bunun yerine bir hata bulur.
Sonuçta, arka planı gizleme yaklaşımı insanlara yanlış bir güvenlik hissi verir, bunun yerine WordPress iki faktörlü kimlik doğrulama gibi daha sağlam güvenlik önlemleri kullanabilirsiniz.
Efsane 2: Tema Adınızı ve WordPress Sürüm Numaranızı Gizlemelisiniz
Tarayıcınızın geliştirici araçlarını kullanıyorsanız, WordPress sitesinde çalışan tema adını ve WordPress sürüm numarasını oldukça hızlı bir şekilde görebilirsiniz. Tema adınızı ve WP sürümünüzü gizlemenin arkasındaki teori, saldırganların bu bilgilere sahip olmaları halinde sitenize girme planlarının olacağıdır.
Bu efsanedeki sorun, bilgisayarın başında temanın ve WordPress sürüm numarasının mükemmel bir kombinasyonunu arayacak gerçek bir adamın bulunmamasıdır. Bununla birlikte, web sitenizde yayınlanan gerçek kodda bilinen güvenlik açıklarını araştırmak için interneti tarayan, bu yüzden tema adınızı ve WP sürüm numaranızı gizleyemeyeceğiniz akıllı botlar var.
Temayı veya sürüm numarasını gizleme konusunda endişelenmek yerine, en son güvenlik düzeltmelerine sahip olduğunuzdan emin olmak için WordPress yazılımınızı güncel tutun.
Efsane 3: wp-content Dizininizi Yeniden Adlandırmalısınız
wp-content dizini eklentileri, temaları ve medya klasörlerini içerir. Bu, hepsi bir dizinde bulunan çalıştırılabilir kod demektir, bu nedenle insanların bu klasörü proaktif ve güvenli yapmak istedikleri anlaşılabilir.
Ne yazık ki, wp-content adının değiştirilmesinin siteye ekstra bir güvenlik katmanı ekleyeceği bir efsanedir. Bu kesinlikle olmayacak. Değiştirilen wp-content dizininizin adını tarayıcı geliştirici araçlarını kullanarak kolayca bulabiliriz. Bu sebepten dizinin adını değiştirmek sitenize herhangi bir güvenlik sağlamaz, ancak kodlanmış ve /wp-content dizin yolu arayan eklentiler için çakışmalara neden olabilir.
İçerik diziniyle ilgili endişelenmenizin tek nedeni, güvenlik açığı olan bir eklenti veya tema içeriyor olmasıdır. Temalarınızı ve eklentilerinizi güncel tutmak, güvenli bir yazılım kullandığınızı bilmenin en iyi yoludur.
Efsane 4: Sitem Hackerların Dikkatini Çekecek Kadar Büyük Değil
Bu WordPress güvenlik efsanesi, bir çok siteyi saldırılara açık hale getirmekte. Trafik yoğunluğu olmayan küçük bir sitenin sahibi olsanız bile, web sitenizi güvenli hale getirmede proaktif olmanız çok önemlidir.
Gerçek şu ki, siteniz veya işiniz, bir saldırganın dikkatini çekmek için büyük olmak zorunda değildir. Hackerlar yine de ziyaretçilerinizi kötü amaçlı sitelere yönlendirmek, posta sunucunuzdan spam göndermek, virüs yaymak ve hatta Bitcoin kazanmak için sitenizi bir yol olarak kullanma fırsatı görürler ve alabilecekleri her şeyi alırlar.
Web sitenizi korumak için aktif güvenlik önlemleri alın. Örneğin, temalarınızı, eklentilerinizi ve WordPress’inizi güncel tutun, güvenilir bir WordPress güvenlik eklentisi yükleyin, kaliteli WordPress barındırma ve etkin WordPress iki faktörlü kimlik doğrulama kullanın.
Efsane 5: WordPress Güvensiz bir Platformdur
En zarar verici WordPress güvenlik efsanesi, WordPress’in kendisinin güvensiz olmasıdır. Bu kesinlikle doğru değildir. WordPress, dünyadaki en popüler içerik yönetim sistemidir ve güvenliği ciddiye almadan bu şekilde olamaz.
Gerçek şu ki, en büyük WordPress güvenlik açığı kullanıcılarıdır. Platformdaki çoğu WordPress saldırısı, site sahiplerinin biraz çabasıyla önlenebilir.
Başarılı WordPress saldırılarının bir numaralı sebebinin eski yazılım olduğunu unutmayın. Bir güvenlik açığına yönelik bir düzeltme almak için, sitenizi güncel tutmanız gerekir. WordPress otomatik güncellemeleri etkinleştirmenize izin verir, böylece güncellemeleri manuel olarak çalıştırmanıza gerek kalmaz. Ancak bazı insanlar, sitelerini düzenli aralıklarla güncellemeyi öncelikli olarak görmüyor. Böylece bu siteler saldırı için bekleyen eski yazılımlarla doluyor. Bir bilgisayar korsanı bir güvenlik açığı kullandığında, bu bir WordPress hatası değil, bir kullanıcı hatasıdır.
