WordPress WooCommerce E-ticaret siteleri güvenlik önlemleri
- İlk olarak: WooCommerce WordPress güvenliğinin dört katmanını öğrenin
- Sunucu katmanınızı korumak için WooCommerce mağazanız için doğru Hosting seçimi
- Otomatik yedeklemeler
- WooCommerce güvenliği için sunucu taraflı kötü amaçlı yazılım taraması
- Kesinti süresi izleme
- Paylaşımlı hosting mi kullanıyorsunuz? İzolasyona dikkat edin
- Woo-Commerce’e özel optimizasyon
- SSL sertifikaları ve HTTPS desteği
- Destek
- WooCommerce mağazanızın ağ katmanını bir güvenlik duvarı ile koruyun
- WooCommerce mağazanızın uygulama düzeyini güvence altına alma
- Sadece güvenli eklentiler seçin
- WooCommerce sitenizin güvenliğini sağlamak için eklentileri ve bileşenleri düzenli olarak güncelleyin
- WooCommerce mağazanızı eklenti saldırılarına karşı koruma
- WooCommerce hala WordPress’tir – güçlendirme yöntemlerini kullanın
- wp-admin dizinine erişimi kısıtlayın
- WooCommerce mağazanızı korumak için dosya düzenlemeyi devre dışı bırakın
- Hassas dizinlerde kod yürütülmesini önleyin
- Ve bunu yaparken, dizin indekslemeye ve taramaya izin vermeyin
- XML-RPC’yi devre dışı bırak
- WooCommerce mağazanızı sahte kayıtlardan ve form doldurmalardan koruyun
- WooCommerce sitenizin kullanıcılarını yönetirken En Az Ayrıcalık İlkesini kullanın
- Ödeme işleme, PCI-DSS ve WooCommerce
- Güvenli ödeme ağ geçitlerini seçin
- SSL sertifikalarınızın güncel olduğundan emin olun
- Etkinlik kaydı
- Güvenlik açığı izleme
- Bu basit kontrol listesi ile WooCommerce mağazanızı korumaya hazır mısınız?
WooCommerce güvenliğinin dört katmanını öğrenin
- Ağ katmanı güvenliğiniz – Sitenizi, ona erişmeye çalışan kötü niyetli trafiğe karşı korumak.
- Sunucu katmanı güvenliği – Bazıları bot veya saldırgan olabilecek ziyaretçilere sitenizi “sunan” web sitesi altyapınızı korumak.
- Uygulama katmanı – WordPress örneğinizi korumak.
- İnsan katmanı – Şifrenizin 1453 veya ali123 olmadığından emin olmak.
Sunucu Katmanı Korumak için doğru Hosting seçimi
En iyi uygulama olarak, çoğu e-ticaret geliştiricisi ve uzmanı yönetilen barındırmayı seçer çünkü daha fazla hizmetin yanı sıra sektörünüzde uzmanlaşmış hizmetleri de alırsınız (portföyden bilgi sitelerine kadar herkese sağlanan genel barındırmanın aksine)
WordPress sitelerinizi ve WooCommerce mağazanızı ağ katmanını bir güvenlik duvarıyla koruyun
Web Uygulaması Güvenlik Duvarlarını (WAF), WordPress sitenizle, WooCommerce mağazanıza erişmeye çalışan şüpheli trafikle aranızdaki bir tampon olarak düşünün.
WooCommerce WordPress güçlendirme yöntemleri
Mağazanızı güvenlik açıklarından korumak WordPress örneğinizi daha güvenli hale getirmek için kullanabileceğiniz başka yöntemler de vardır.
- Giriş denemelerini sınırlayın
- Güçlü parolalar ve 2FA/MFA uygulayın
- /login sayfası URL’sini değiştirmek gibi giriş koruma özellikleri ekleyin
WooCommerce mağaza uygulama/eklenti tarafı güvenlik önlemleri
- WordPress deposu gibi güvenilir kaynaklardan gelen eklenti
- 100’den fazla yeni, olumlu incelemeye sahip
- Aktif bir güncelleme geçmişine sahip
Eklenti güncelleme geçmişi özellikle önemlidir. Eklentiler 2023 yılında WordPress’teki tüm güvenlik açıklarının %97’sinden sorumludur.
Sitenizle ziyaretçi arasında tampon
WooCommerce mağazanızı eklenti saldırılarına karşı koruma; Site kodunuzu değiştirmeden veya işlevselliği etkilemeden eklenti güvenlik açıkları için gerçek zamanlı koruma elde edersiniz.
Wp-admin dizinine erişimi kısıtlayın
Bunun için wp-admin’inize erişimi yalnızca yasal olarak erişen IP adresleriyle (yani yalnızca sizin ve diğer Yönetici kullanıcılarının adresleriyle) kısıtlayın. Bunu Wordfence
.htaccess (Apache açıksa) Kullanabilirsiniz yalnızca belirli IP adreslerine izin vermek için. Sadece değiştirin “your-ip-address” kendi IP’nizle:
<Files wp-login.php>
order deny,allow
Deny from all
Allow from your-ip-address
</Files>
WooCommerce mağazanızı korumak için dosya düzenlemeyi devre dışı bırakın
Bir yönetici olarak tema ve eklenti dosyalarını doğrudan kontrol panelinden düzenleyebildiğiniz için, bir saldırganın erişim kazanması durumunda bu bir risk olabilir. Dosya düzenlemeyi devre dışı bırakırsanız, çekirdek dosyalarınızı herhangi bir saldırıya karşı korumuş olursunuz:
Add this line to your wp-config.php file:
define(‘DISALLOW_FILE_EDIT’, true);
Hassas dizinlerde kod yürütülmesini önleyin
wp-content/uploads gibi bazı WordPress dizinlerinin PHP çalıştırmasına ihtiyacı yoktur. Bunu devre dışı bırakmak, saldırganların kötü amaçlı komut dosyaları çalıştırmasını engelleyebileceğiniz anlamına gelir.
Hassas dizinlerdeki .htaccess dosyasına aşağıdakileri ekleyin:
<Files *.php>
deny from all
</Files>
Ve bunu yaparken, dizin indekslemeye ve taramaya izin vermeyin
Dizin taramayı devre dışı bırakmak saldırganların sitenizin klasör yapısını görmesini engeller, böylece hassas dosyaları bulmaları biraz daha zorlaşır.
Add this line to your site’s .htaccess file:
Options -Indexes
XML-RPC’yi devre dışı bırak
XML-RPC, WordPress sitenize harici bağlantılara izin verir, bu nedenle saldırılarda sıklıkla kullanılır. Emin olmak için XML-RPC’yi özel eklentiler aracılığıyla veya .htaccess dosyanızda devre dışı bırakabilirsiniz:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
WordPress sitenizi ve WooCommerce mağazanızı sahte kayıtlardan ve form doldurmalardan koruyun
Bunu birkaç eklenti ile yapabilirsiniz. Akismet eklentisi en güzel spam’dan koruma yöntemlerinden biridir. WordPress kurulduktan sonra kurulması gereken bence zorunlu hatta çekirdekte olması gerekenlerden biridir. Onun dışında Gooogle reCAPTCHA eklentisini kullanabilirsiniz. bbPress spamlarından korunmak için WP Armour eklentisini kullanabilirsiniz.
Ayrıcalıkları en az vermeye çalışın
WordPress yazarlarınız, editörleriniz, WooCommerce mağaza yöneticiniz dışındakilere ayrıcalık vermeyin. Bunlara ayrıcalık verirken yönetici panelinizden çok dikkatli davranın.
Hatırlatma: WordPress site WooCommerce güvenliğinizi bu kontrol listesine göre ayarlarken her şeyi doğru yapabilirsiniz ve birisi şifresini 12345ali yaparsa yine de tehlikeye girebilirsiniz!
Ödeme işleme, PCI-DSS ve WooCommerce
Bir e-ticaret işletmesi olarak, Payu, Iyzico, Paytr, Stripe gibi üçüncü taraf ödeme işlemcileri kullanıyor olsanız bile, PCI-DSS’ye (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı) uymanız gerekir. Bununla ilgili dikkat etmeniz gerekenlere buradan ulaşabilirsiniz.
Güvenli ödeme ağ geçitlerini seçin
Stripe veya PayPal gibi sağlayıcılar PCI-DSS sorumluluklarınızı azaltır çünkü ödeme verilerini doğrudan WooCommerce sitenizde işlemek veya depolamak zorunda kalmazsınız
Log, etkinlik kayıtlarınızı takip
Özellikle müşterilerin bilgilerine erişim söz konusu olduğunda, sitenizdeki etkinlikleri izlediğinizden emin olun. Veri erişimini izlemenin yanı sıra, şüpheli davranışları tespit edebilmek için aşağıdaki etkinlikleri de izleyin:
- Eklenti ve tema değişiklikleri.
- Kullanıcı eylemleri (Örn. ayarlarda yapılan değişiklikler, yeni kayıtlar, vb.)
- Giriş denemeleri ve kilitlenmeler
Güvenlik açığı, Kötü Dosya, Malware izleme
Her zaman güvenlik açığınız var mı? kötü, malware dosyaları var mı yok mu? sitenize otomatik link ekleniyor mu dikkatli olun. Sharing hosting kullanan tüm sitelerin ekstra dikkat etmesi gerekiyor. PCI DSS periyodik güvenlik açığı taramaları gerektirir.
Yukarıda saydığımız basit kontroller ile WordPress sitenizi veya WooCommerce mağazanızı kısmen korumaya alabilirsiniz. Ancak Güvenlik risklerini yönetmek, sürekli teyakkuzda olmak önemlidir. Gerektiğinde WordPress güvenlik hizmeti alabilir, profesyonel bir güvenlik eklentisinde yardım alabilirsiniz. Şimdilik WordPress site ve WooCommerce mağazanızı korumak için güvenlik eklentileri bu kadar. Siz de tavsiye edebileceğiniz yöntemleri yorumlar kısmında yazabilirsiniz.
Kaynaklar: WordPress.com Security Team
Patchstack.com Protect your store the ultimate woocommerce security checklist