Web siteniz, dijital dünyadaki evinizdir. Peki, bu evin kapısını açık bırakıp uyur musunuz? Ben Tunçer Şen. Sakarya sanayisindeki kaynak atölyelerinde öğrendiğim “önce güvenlik” ilkesini, 15 yıldır American LIFE Dil Okulları’nın tüm şubeleri için yönettiğim dijital altyapılara uyguluyorum.
Birçok kişi WordPress güvenliği denince karmaşık kodlar hayal eder. Oysa Toyota fabrikasında öğrendiğim “Poka-Yoke” (Hata Önleme) sistemi gibi, güvenlik de basit ama disiplinli adımlarla başlar. Sağlık sorunlarım nedeniyle fiziksel müdahalelerim kısıtlı olsa da, doğru kurulan bir güvenlik sistemi sayesinde geceleri başımı yastığa rahat koyuyorum. İşte tecrübeyle sabit, sitenizi bir kaleye çevirecek 15 altın kural.
1. “Admin” Kullanıcı Adını Tarihe Gömün
Bir hacker sitenize saldırdığında deneyeceği ilk kullanıcı adı “admin“dir. Bu, anahtarınızı paspasın altına bırakmak gibidir. Kullanıcı adınızı tahmin edilmesi zor bir isimle değiştirin.
2. Şifreleriniz “Şase Kaynağı” Kadar Sağlam Olsun
Doğum tarihiniz, evcil hayvanınızın adı veya “123456” gibi şifreler, dijital intihardır. En az 12 karakterli, büyük-küçük harf ve özel karakter içeren şifreler kullanın.
3. İki Faktörlü Doğrulama (2FA) Hayat Kurtarır
American LIFE sistemlerinde uyguladığım değişmez kuraldır: Şifreniz çalınsa bile telefonunuza gelen kod olmadan kimse içeri girememeli. Google Authenticator gibi araçlarla WordPress güvenliği seviyenizi ikiye katlayın.
4. Güncellemeler: Dijital “Kaizen”iniz Olsun
Toyota’daki “sürekli iyileştirme” (Kaizen) mantığı burada da geçerli. WordPress çekirdeği, temalar ve eklentiler sürekli güncellenmelidir. Eski sürüm yazılım, paslanmış demir gibidir; en küçük darbede kırılır.
WordPress Güvenliği
5. Giriş Denemelerini Sınırlandırın
Hackerlar “Brute Force” (Kaba Kuvvet) saldırısıyla şifrenizi binlerce kez dener. “Limit Login Attempts” gibi eklentilerle, 3 hatalı denemeden sonra kapıları kilitleyin.
6. SSL Sertifikası: Olmazsa Olmaz
Adres çubuğundaki o kilit işareti (HTTPS), verilerin şifreli gittiğini gösterir. Google, SSL olmayan siteleri “Güvenli Değil” olarak işaretler. Bu, itibarınız için bir yıkımdır.
7. Düzenli Yedekleme: Dijital Kaskonuz
En iyi WordPress güvenliği önlemi, siteniz yok olduğunda onu geri getirebilme yeteneğinizdir. Ben otomasyon araçlarıyla günlük yedek alırım. Site çökerse, 5 dakika içinde yeniden ayağa kaldırabilirim.
8. Dosya İzinlerini Doğru Ayarlayın
Sunucu tarafında wp-config.php gibi kritik dosyaların izinlerini (genellikle 400 veya 440) doğru yapılandırın. Herkesin her dosyayı yazıp silmesine izin vermeyin.
9. XML-RPC Özelliğini Kapatın
Eğer mobil uygulama üzerinden site yönetmiyorsanız, bu eski protokolü kapatın. Hackerlar için sık kullanılan bir arka kapıdır.
Güvenlik Eklentisi – WordPress Güvenliği
10. Güvenlik Eklentisi Kullanın (Ama Abartmayın)
Wordfence veya iThemes Security gibi kendini kanıtlamış WordPress güvenliği eklentilerinden birini kullanın. American LIFE projelerimde Wordfence tercih ediyorum çünkü anlık tehditleri çok iyi raporluyor.
11. WordPress Sürüm Bilgisini Gizleyin
Kaynak kodunuzda “WordPress 6.4.2 kullanıyor” diye bağırmayın. Eski bir sürüm kullanıyorsanız, hackerlar o sürümün açıklarını bildikleri için işlerini kolaylaştırmış olursunuz.
12. Veritabanı Önekinizi Değiştirin
Varsayılan wp_ öneki, saldırganların tablolarınızı tahmin etmesini kolaylaştırır. Kurulum aşamasında bunu ts80_ veya al_ gibi benzersiz bir önekle değiştirin.
13. Kaliteli Hosting Seçimi
Temeli çürük binaya çelik kapı takılmaz. Güvenliği sunucu tarafında sağlayan, WAF (Web Application Firewall) hizmeti sunan kaliteli bir hosting firmasıyla çalışın.
14. Kullanılmayan Eklenti ve Temaları Silin
Sitenizde aktif olmayan her eklenti, potansiyel bir güvenlik açığıdır. “Belki lazım olur” diyerek dijital çöplük yaratmayın; kullanmıyorsanız silin.
15. Etkinlik Günlüklerini (Log) İzleyin
Sitenizde kim ne zaman oturum açtı? Hangi dosyayı değiştirdi? “WP Activity Log” gibi eklentilerle sitenizin nabzını tutun.
Etkinlik Günlüklerini – WordPress Güvenliği
Güvenlik Bir Varış Noktası Değil, Bir Yolculuktur
45 yıllık hayatımda, sanayiden IT uzmanlığına uzanan yolda öğrendiğim en büyük ders şudur: Disiplin, yetenekten daha önemlidir. Bu 15 kuralı uyguladığınızda, sadece WordPress güvenliği sağlamış olmazsınız; aynı zamanda benim gibi sağlık sorunlarına rağmen üretmeye devam eden bir profesyonelin “iç huzuruna” sahip olursunuz.
Unutmayın, dijital mirasınızı korumak sizin elinizde. Eğer temanızı seçtiyseniz (Bkz: [WordPress Tema Seçimi Rehberi]), şimdi onu koruma vakti.