2023’in En İyi WordPress Güvenlik Eklentisi – Sucuri

WordPress güvenlik eklentileri sitenizi kötü amaçlı kişilere karşı korumak için gerekli olan en önemli eklentilerdir. WordPress üzerinde pek çok şeyi yaparken eklentilerden yardım alırız. WordPress nofollow link ekleme, WordPress e-posta abonelik sistemi, WordPress ticket eklentileri gibi pek çok konuda, eklentiler yardımımıza koşar.

Yukarıda saydığım kategorilerin dışında, WordPress güvenliği için de eklentilerden yardım alırız. Ancak, burada ince eleyip sık dokumak gerekir çünkü sitenizin güvenliğini bir eklentiye emanet edeceksiniz.

WordPress En İyi Güvenlik Eklentisi – Sucuri

Uzun elemeler ve deneyimlerin sonucunda Sucuri eklentisini tanıtarak, 2023’ün en iyi WordPress güvenlik eklentisi seçiminize yardımcı olmak istedim.

Bu makalede, Sucuri WordPress güvenlik eklentisi ayarları ve nasıl kullanılması gerektiği ile ilgili tüm detayları bulacaksınız. 

Sucuri WordPress Eklentisi Özellikleri ve Kurulumu

Sucuri WordPress güvenlik eklentisi, tüm kullanıcılar için ücretsizdir. Kullanıcılara web siteleri için gelişmiş güvenlik önlemleri sunar ve güvenlik eksiklerini giderir.

Sucuri özelliklerini basitçe şu şekilde listeleyebilirim:

• Güvenlik etkinliği izleme ve denetimi
• Dosya bütünlüğü tehditleri denetimi
• Kötü amaçlı yazılım taraması
• Kara liste kullanımı ve izleme
• Hack sonrası güvenlik hareketleri
• Gelişmiş güvenlik bildirimleri
• Website güvenlik duvarı (ücretli versiyon)

Sucuri güvenlik duvarı, DDoS koruması için güçlü bir korumadır. Sitenizin DDoS tehditi varsa kullanmanızı tavsiye ederim. Ücretli versiyonda güvenlik duvarının yanı sıra, site yedeklemeleri ve acil durum bildirimleri gibi özellikler mevcut.

Sucuri Güvenlik Eklentisini Yükleme

Sucuri, WordPress.org eklenti dizininde bulunur. Bu da, FTP’ye ihtiyaç duymadan yükleyebileceğiniz anlamına gelir.

WordPress admin panelinize gidin ve eklentiler bölümünden ‘’Sucuri Security – Auditing, Malware Scanner and Security Hardening’’ aramasını yapın. Daha sonra eklentiyi yükleyin ve aktifleştirin.

API Key Alma

API key alıp etkinleştirmek, sitenizi Sucuri WordPress güvenlik eklentisi sunucusuna bağlar. Olası bir aksilik olduğunda ve güvenlik verileriniz kaybolduğunda, bu veriler Sucuri sunucularından kurtarılabilir.

API key oluşturmak için WordPress panelinize giriş yapın. Sucuri ana sekmesine gelin. Ekranın sağından ‘’Generate API Key’’ butonuna basın.

E-posta onaylarından sonra API keyinizi alacaksınız.

API Servis İletişimi

API key işlemlerini tamamladıktan sonra, eklenti Sucuri veritabanı ile bağlantı kuracak. Sitenizdeki olası bir aksilikte, sitenizin güvenlik kaydına erişebileceksiniz. İşin güzel yanı, sitenize saldıran kişilerin bunlara müdahale edemiyor olması.

Sucuri Hardening Bölümü ve Ayarları

En iyi WordPress güvenlik eklentileri arasında bulunan Sucuri’nin ‘’Hardening’’ bölümü, web sitenize saldırı olabilecek yöntemleri kısıtlamaya yönelik tedbirler sağlar. Bu işlemi, .htaccess dosyanıza birtakım kurallar ekleyerek yapar.

Bu bölümden istediğiniz özelliği seçerek aktifleştirebilirsiniz. Özelliklerin detaylarını anlatacağım.

Hardening Ayarlarını Aktifleştirme

Sucuri WordPress güvenlik eklentisi bölümüne gidin. Daha sonra yukarıdaki menüden ayarları seçin. Ayarlardan sonra göreceğiniz 2.menüde ‘’Hardening’’ bölümüne tıklayın. Bu bölümden, aktifleştirmek istediğiniz ayarın sağındaki ‘’Apply Hardening’’ butonuna basın.

Hardening ayarlarının açıklamaları:

• Websitesi güvenlik duvarı: Sucuri premium versiyonu kullanıyorsanız, güvenlik duvarını buradan aktifleştirebilirsiniz.
• WordPress sürümünü doğrulama: Sitenizin en güncel WordPress sürümünü kullanıp kullanmadığını kontrol eder. Kullanmıyorsanız bazı uyarılar alırsınız.
• WordPress sürüm bilgisini kaldırma: WordPress sürümünüzün herkese açık olarak görüntülenmesini kaldırır.
• Yükleme dizini üzerindeki PHP dosyalarını engelleme: Yükleme dizinindeki PHP dosyalarının yürütülmesini kaldırır. Bu, bazı eklentilerin çalışmasını bozabilir. Önceden test edin.
• Wp-content dizinindeki PHP dosyalarını engelleme: Harici erişimin önüne geçmek için dizine bir .htaccess dosyası yerleştirir.
• Wp-includes dizinindeki PHP dosyalarını engelleme: Yukarıdaki işlemi wp-includes dizini için yapar.
• Bilgi sızıntısı önleme: Sitenizde WordPress sürüm ve diğer bilgileri içeren readme.txt dosyasının varlığını kontrol eder.
• Varsayılan yöneticiyi onaylama: Yönetici kullanıcıyı onaylayarak olası sıkıntıları önler.
• Eklenti ve tema düzenlemeyi devre dışı bırakma: Bu ikiliyi, kullanıcıların sitenize sızıp, eklenti ve temalarınıza kötü amaçlı kod koymasını önlemek için devre dışı bırakır.

Revert Hardening Butonu

Yukarıda anlattığım şekilde güvenlik ayarlarını aktifleştirebilirsiniz. Ancak bazı durumlarda, bu ayarları geri almanız gerekebilir. Bunun da pratik bir yolu var.

Sucuri WordPress güvenlik eklentisi paneline gidin. Oradan tekrardan ‘’Hardening’’ kısmına gelin. Şimdi, aktifleştirdiğiniz özelliklerin sağında ‘’Revert Hardening’’ butonunu göreceksiniz. Bu buton yardımıyla özelliği devre dışı bırakabilirsiniz.

Beyaz Liste Özelliğini Kullanma

2.1 maddesinde, bazı eklenti ve temaların değişikliklerden sonra çalışmayabileceğini söylemiştim. Bu tarz durumlar için Sucuri’nin beyaz liste özelliği mevcut.

Beyaz liste (Sucuri’de whitelist diye geçmekte) ‘’Hardening’’ bölümünde yer alıyor. Bu bölüme geldikten sonra sayfanın en altına inin. Beyaz liste bölümü sizi karşılayacak.

Bu bölümde, ayarlardan etkilenen eklenti yahut tema dosyalarını eklemeniz gerekiyor. Tek yapmanız gereken dizini ve dosyayı girmek. Bu işlem sonunda, eskisi gibi sağlıklı çalışacaklardır.

Sucuri bu seçeneği ile, neden en iyi WordPress güvenlik eklentileri arasında bulunduğunu ispatlıyor.

E-Posta Uyarıları

Sucuri WordPress güvenlik eklentisi, varsayılan olarak e-posta raporları sunar. Eklentiyi ilk kurduğunuzda, ana yöneticinin mailine düzenli gönderimler yapılır.

Varsayılan olarak günlük taranan sitenizin tarama sıklığını değiştirebilir, ayrıca daha fazla kişinin rapor almasını ayarlayabilirsiniz. Bu bölümde de e-posta raporlarıyla ilgili özelleştirmeleri ele alacağım.

Özel E-Posta Uyarıları

Sucuri tarafından oluşturulan herhangi bir e-posta için, e-postayı ve alıcıları ayarlayabilirsiniz.

Bu ayarlara erişmek için WordPress panelinize gidin ve Sucuri bölümüne gelin. Buradan sağ üst köşedeki ‘’settings’’ butonuna basarak ayarlara gidin. Daha sonra menüden ‘’Alerts’’ kısmını seçmeniz yeterli. Ayarlamaları buradan yapabilirsiniz.

Pratik bir yöntem olarak, ‘’Alerts’’ sekmesi ile ‘’Hardening’’ sekmesi arasında bir sekme var diyebilirim.

Diğer Uyarı (Alerts) Seçenekleri

E-posta dışında birkaç uyarı için de ayarlama yapabiliyorsunuz. Alerts sayfasının devamında göreceksiniz.

Diğer Alerts bölümlerini şu şekilde listeleyebilirim:

• Trusted IP Addresses (Güvenilir IP Adresleri): Sucuri’nin beyaz listeye atmasını istediğiniz IP adresleri varsa, bu bölümden ayarlayabilirsiniz.
• Alert Subject (Uyarı Formu): Alacağınız e-postaların formunu buradan ayarlayabilirsiniz.
• Alerts Per Hour (Saat Başına Uyarı): Saat başına maksimum e-posta sayısını buradan düzenleyebilirsiniz. Bu sayıyı ayarlarken dikkat edin çünkü önemli güncellemeleri kaçırabilirsiniz.
• Password Guessing Brute Force Attack (BFA ile Şifre Tahmini): Burada, saat başına kaç oturum açma denemesi olduktan sonra mail almak istediğinizi ayarlayabilirsiniz.
• Security Alerts (Güvenlik Uyarıları): Burada da hangi olaylardan sonra mail almak istediğinizi seçebilirsiniz.
• Post-type Alerts (Gönderi Tipi Uyarıları): Hangi gönderi tiplerinin uyarıları tetiklemeyeceğini buradan ayarlayabilirsiniz.

Kötü Amaçlı Yazılım Taraması (Malware Scanning)

Malware Scanner, 2023 WordPress en iyi güvenlik eklentisi Sucuri içinde entegre gelmektedir. Sucuri SiteCheck tarafından da desteklenen bu araç, aşağıdaki hatalar bazında sitenizi tarar:

• Kötü amaçlı yazılım
• Kara liste durumu
• Web sitesi Hataları
• Yazılım güvenlik denetimi
• Güvenlik anormallikleri

Sucuri SiteCheck, ücretsiz bir web sitesi güvenlik tarayıcısıdır. Sucuri eklentisini kullanmasanız da sitenizi oradan taratabilirsiniz. Eklenti yahut siteden yaptığınız taramalar, sınırlı erişimli olabilir. Dolayısıyla verimli sonuçlar alamayabilirsiniz. Tam tarama için bir profesyonelden yardım almalısınız. Elbette bu tarayıcıyı kullanmayın demiyorum ancak çok da bel bağlamayın. Sucuri web sitesinde de aynen bu bilgilendirme mevcut.

Malware Scanning ayarlarını yapmak için, ‘’Hardening’’ in bulunduğu menüden ‘’Scanner’’ sekmesine tıklayın. Ayar bölümlerini şu şekilde özetleyebilirim:

• Scheduled Tasks (Zamanlanmış Görevler): Bunlar, bir eklenti ya da tema tarafından veritabanınıza kaydedilen kurallardır. Yapacakları görevlerin belli bir sıra ve zaman şemasında ilerlemesi için gereklidir.
• WordPress Integrity Diff Utility: Sitenizde bulunan mevcut dosyalar ve WordPress’in sağladığı dosyalar arasındaki fark için tarama yapar. Olası bir farkta, farkın ne olduğu ve neye sebep olduğuyla ilgili çıkarım yapabilirsiniz.
• Ignore Files And Folders During The Scans: Tarama sırasında güvenliğinden emin olduğunuz büyük boyutlu dosyaları vs. bu seçenek ile devre dışı bırakabilirsiniz. Ayardan sonra o dosyalar taranmaz.

Core Integrity Check (Çekirdek Bütünlük Kontrolü)

WordPress en iyi güvenlik eklentisi Sucuri, çekirdek dosyalarınızın bütünlülüğünü kontrol etmenize sağlayan araçlarla gelir. Peki bu ne işe yarar ?

Hackerlar, sitenize sızdıklarında tekrar rahatça girmek için backdoor (arka kapı) bırakırlar. Bu sayede, sonraki seferlerinde hiç çabalamadan sitenize girebilirler.

Backdoor oluşturmak için, çekirdek dosyalarınıza bazı kötü amaçlı kodlar yerleştirirler. Tarama yapıp orijinal dosyalarla karşılaştırmazsanız, kodları fark etmeniz çok zordur. Bu noktada Sucuri size yardımcı olur.

Sucuri, orijinal WordPress dosyalarıyla sizin dosyalarınızı karşılaştırır. Bir fark bulduğunda ise sizi uyarır. Bu araç sayesinde sitenizin çekirdek dosyalarınızın temizliğinden emin olabilirsiniz.

Otomatik Bütünlük Kontrolü

Sucuri, yukarıda anlattığım kontrolü otomatik olarak gerçekleştirir. Eğer herhangi bir fark bulursa sizi uyarır. Bu sayede ne zaman aksiyon alacağınızı bilirsiniz.

Bu bütünlük kontrol aracı, WordPress tarafından yayınlanan bir API ile çalışır. Bu API sayesinde, hangi dosyaların değiştirildiğini, hangilerinin eklendiğini ya da silindiğini rahatça bulur.

Eğer bütünlük kontrolünden bir bildirim aldıysanız, sorunu çözmek için aşağıdaki adımları takip edebilirsiniz.

Added File Hatası

Bütünlük kontrolünde görebileceğiniz hatalardan biri Added File hatasıdır. Site çekirdek dosyalarınızda WordPress orijinal versiyonda olmayan bir dosya varsa, bu uyarıyı alırsınız.

Örneğin çekirdek dosyanızda wp-crypto.php isimli bir dosya var. Bu dosya, WordPress orijinal çekirdek dosyalarında yoksa bu hatayla karşılaşırsınız.

Peki bu uyarıyı almanız her zaman kötü bir şey midir ? Elbette ki hayır. Bu dosya, sizin eklediğiniz bir dosya da olabilir ki öyleyse de bu hatayı alacaksınız. Eğer bu eklediğiniz dosyaya güveniyorsanız, Sucuri’ye dosyayı görmezden gelmesini söyleyebilirsiniz.

Deleted Files

Çekirdek dizininizden bir dosya silindiğinde bu hatayı alırsınız. Öte yandan, bu hatayı almanız çok muhtemel değil çünkü çekirdek dizinden dosya silindiğinde WordPress çalışmaz (Bazı dosyalar hariç.).

Bu hatayı aldığınızda Sucuri size eksik dosyayı yükleme fırsatı sunacaktır. WordPress en iyi güvenlik eklentisi sıfatına yakışır bir kullanıcı deneyimi.

Modified Files (Değiştirilmiş/Düzenlenmiş Dosyalar)

Çekirdek dizininizdeki bir dosyanın kodları değiştirildiğinde alacağınız hata budur. Sucuri, WordPress orijinal çekirdek dosyalarıyla sizinkini kıyaslar ve kodlar arasındaki farkları bulur.

Çekirdek dosyalarının yapılarıyla oynamak, sitenizin sağlığı için oldukça tehlikelidir. Dosyanın ve dolaylı olarak diğer dosyaların işleyişini bozar.

Bu hatayı aldığınızda, otomatik olarak dosyalar orijinalleriyle değiştirilecektir (Orijinal dosyalar WordPress resmi sitesinden alınmaktadır.).

Post-Hack (Hack Sonrası İşlemler)

Eğer web siteniz hack saldırısına uğradıysa, daha fazla zarar oluşmasını önlemek ve ziyaretçilerinize korumak için hemen aksiyona geçmeniz gerekir.

WordPress en iyi güvenlik eklentisi Sucuri’nin hack sonrası güvenlik önlemlerini şöyle listeleyebilirim:

• Update Secret Keys (Güvenlik Anahtarlarını Sıfırlama): Bu seçenek wp-config.php dosyasını düzenleyerek güvenlik anahtarlarını günceller.
• Reset User Password (Kullanıcı Şifrelerini Sıfırlama): Kullanıcılar için yeni rastgele şifreler oluşturur.
• Reset Installed Plugins (Yüklü Eklentileri Sıfırlama): Eklentilere virüs bulaştıysa, bu seçenek ile eklentilerinizi sıfırlayabilirsiniz.
• Available Plugin and Theme Updates (Yüklü Tema ve Eklentiler için Güncellemeler): Bu seçenek, hack saldırısı bir açıktan dolayı olduysa diye, eklenti ve temalar için güncellemeleri gösterir.

Update Secret Keys (Güvenlik Anahtarlarını Sıfırlama)

WordPress, kullanıcı oturumlarını 2 hafta süreyle aktif tutmak için çerezleri kullanır. Eğer saldırgan bunlara erişebilirse, şifrenizi yüzlerce kez değiştirseniz bile erişimini kaybetmeyecektir.

Bunu düzeltmek için güvenlik anahtarlarını sıfırlamanız gerekir. Bunu da Post-Hack bölümünden yapabilirsiniz. Update Secret Keys kısmından ‘’Generate New Security Keys’’ butonuna basmanız gerekir.

Bunu yaptığınızda güvenlik anahtarları değişecek ve saldırgan erişimini kaybedecektir. Ayrıca en iyi WordPress güvenlik eklentileri arasında olan Sucuri, bunu otomatik yapma özelliğine de sahiptir.

Reset User Passwords (Kullanıcı Şifrelerini Sıfırlama)

Bir hack saldırısından sonra şifrelerinizi sıfırlamanız gerekir. Sadece WordPress için değil, ‘’hosting hesabınız, FTP şifreleriniz, cPanel ve veritabanı’’ şifrelerinizi de sıfırlamanız gerekir.

Sucuri eklentisini kullanarak WordPress kullanıcı şifrelerini sıfırlamak için: Post-Hack bölümünden Reset User Passwords kısmına gelin. Burada kullanıcının yanına tik atıp ‘’submit’’ butonuna basın. Kullanıcı, yeni şifresini içeren bir e-posta alacaktır.

Sitenizde her zaman az yönetici bulundurmak en iyisidir. Ayrıca kullanıcılara gereğinden fazla yetki vermediğinize de dikkat edin. Sadece yazarlık yapan bir kullanıcıya site düzenleme yetkisi vermek, başınızı ağrıtabilir.

Reset Installed Plugins (Yüklü Eklentileri Sıfırlama)

Hack saldırısı sonrası kötü amaçlı kodları temizledikten sonra, yüklü eklentileri de sıfırlamanızı öneririm. Saldırı esnasında onlara da kötü amaçlı kod sızmış olabilir. Böyle bir durumda, sıfırlamak en iyi seçenektir.

Bunu, yine Post-Hack sekmesinden yapabilirsiniz. Sıfırlamak istediğiniz eklentilere tik atıp ‘’submit’’ butonuna basmanız yeterlidir.

Available Plugin and Theme Updates (Kullanılabilir Eklenti ve Tema Güncelleme)

İnternet üzerindeki sitelerin %30’undan fazlasına destek olan WordPress, eklenti ve temalardan güç alır. Hackerlar, WordPress çekirdek kodlarının dışında bu eklenti ve temalara da saldırır. O nedenle güncel eklenti ve tema kullanmak kritik önem taşır.

Sucuri, size güncellemeniz gereken tema ve eklentileri bu sekmede belirtir. Burada gördüğünüz eklentileri, WordPress eklenti ve tema panelinden güncelleyebilirsiniz.

WordPress güvenlik rehberinde de güncelliğin öneminden bahsetmiştim. Evet WordPress binlerce yazılımcı tarafından denetleniyor ve en güvenli site altyapılarından biri. Ancak bunun dışında eklenti ve temalara da dikkat etmeniz gerekiyor.

Geçenlerde Contact Form 7 eklentisinde güvenlik açığı bulundu ve 5 milyondan fazla site tehdit altında kaldı. Eklenti yapımcıları hemen güncelleme yayınlayarak açığı yamaladı. En basitinden, bu güncellemeyi kaçırsaydınız tehdit altında kalmaya devam edecektiniz.

Sucuri Firewall (Sucuri Güvenlik Duvarı)

Bu kısım, premium Sucuri eklentisi kullanıcıları için geçerlidir. Ücretsiz versiyon kullanıyorsanız bu bölümü atlayabilirsiniz.

Sucuri Güvenlik Duvarını Etkinleştirme

Öncelikle, Sucuri birçok siteye güvenlik duvarı hizmeti veriyor (eklentiden bağımsız olarak).  Sizin yapmanız gereken, hali hazırda kullandığınız güvenlik duvarını eklentiye entegre etmek.

Bunu da şu şekilde yapabilirsiniz:

• WordPress admin panelinizden Sucuri ayarlarına gelin.
• Sağ üst menüden Firewall (WAF) butonuna tıklayın.
• Bu kısma da Sucuri hesabınızın API kodunu girin ve ‘’Save’’ butonuna tıklayın.

Bu işlemden sonra Sucuri güvenlik duvarınız, Sucuri WordPress güvenlik eklentisi ile entegre bir biçimde çalışacaktır.

Web Sitesi Güvenlik Duvarının Faydaları

Kullanıcılar önlemlerini arttırdıkça, saldırganlar bir yenilerini buluyor. Bu bir döngü şeklinde sürekli ilerlerken, daha güçlü savunmalara duyulan ihtiyaç artıyor.

İşte güvenlik duvarı da bu savunmalardan biri. Sitenize gelen trafiği önce kendisi süzen ve filtreleyen bir güvenlik yöntemi.

Gelin, güvenlik duvarı kullanmanın faydalarına göz atalım:

• Gelecekteki Saldırıyı Önleme: Klasik hacker yöntemlerini ve davranışlarını bilen bir güvenlik duvarı, sitenize gerçekleştirilmesi planlanan bir saldırıyı önleyebilir.
• Sanal Güvenlik Güncellemesi: Hackerlar, temaları ve eklentileri açık bulmak için sürekli kontrol ederler. Bu nedenle bu 3.taraf yazılımları güncel tutmanızı tavsiye etmiştim. Olur da kendiniz güncellemeyi unutursanız, iyi bir güvenlik duvarı eklenti ve temalarınızdaki açığı kapatır.
• Brute Force Saldırılarını Engelleme: Bir güvenlik duvarı, yetkisi olmayan kişinin wp-admin veya wp-login sayfasına erişimini engeller. Bunun dışında, şifrenizi tahmin etmek için yapılan saldırıları (Brute Force Attack) önler.
• DDoS Saldırılarını Önleme: Güvenlik duvarı, sitenizin kaynaklarını aşırı kullandırmak için yapılan saldırıları (DDoS) engeller.
• Performans Optimizasyonu: Birçok güvenlik duvarı, önbelleğe alma hizmeti sunarak site performansınızı iyileştirir. Bu da, WordPress site hızlandırma konusunda yol kat etmenizi sağlar.

Bu rehberden sonra, 2023’ün en iyi WordPress güvenlik eklentileri arasında olan Sucuri’yi, daha rahat kullanırsınız diye umut ediyorum. Sucuri ayarlarını anlatarak kafanızdaki soru işaretlerini gidermeye çalıştım. Eklemek istedikleriniz varsa yorumlardan ekleyebilirsiniz.