Jamil Sultanli.
← Ana Səhifəyə Qayıt

Sıfırdan Saytın Təhlükəsizliyi Bələdçisi: WordPress və Veb Saytları Kiberhücumlardan Qorumağın Yolları

·12 dəqiqə

Rəqəmsal dünyada mövcud olmaq hər bir biznes və fərd üçün vacibdir. Lakin veb sayt yaratmaq işin yalnız yarısıdır. Hər gün dünyada minlərlə veb sayt kiberhücumların, zərərli proqramların (malware) və hakerlərin hədəfinə çevrilir. Bir çox kiçik biznes sahibi "mənim saytım kiçikdir, hakerlərə maraqlı deyil" deyə düşünsə də, statistika tamamilə fərqli mənzərəni ortaya qoyur. Kiberhücumların böyük bir hissəsi avtomatlaşdırılmış botlar vasitəsilə həyata keçirilir və təhlükəsizlik boşluğu olan hər bir sayt potensial qurbandır.

Bu bələdçidə həm WordPress, həm də xüsusi kodlanmış (custom) veb saytların təhlükəsizliyini sıfırdan necə təmin edəcəyinizi, ən çox yayılan hücum növlərini və onlardan qorunma yollarını addım-addım öyrənəcəksiniz.

Kiberhücumların Əsas Növləri və Onların Təhlükəsi

BUNLARI DA OXUYUN

Sıfırdan Sayt Hazırlamaq Bələdçisi: Kod Yazmadan Professional Veb Sayt Necə Qurulur?

Kod yazmadan professional veb sayt hazırlamaq istəyirsiniz? WordPress, Webflow və Shopify ilə addım-addım sayt qurmaq bələdçisi və ən yaxşı platformalar.

Oxumağa davam et

Saytımızı qorumaq üçün ilk növbədə düşmənimizi tanımalıyıq. Veb saytlara edilən ən populyar hücum növləri aşağıdakılardır:

  • Brute Force (Kobud Qüvvə) Hücumları: Hakerlərin və ya botların sizin idarəetmə panelinizə (admin panel) daxil olmaq üçün minlərlə şifrə kombinasiyasını saniyələr ərzində sınaması prosesidir.
  • SQL Injection (SQLi): Saytın giriş formalarından (məsələn, axtarış və ya əlaqə forması) verilənlər bazasına (database) zərərli SQL kodlarının göndərilməsi və məlumatların oğurlanması.
  • Cross-Site Scripting (XSS): Zərərli skriptlərin digər istifadəçilərin brauzerlərində işlədilməsi üçün saytın koduna sızdırılması.
  • DDoS Hücumları: Saytın serverinə eyni anda həddindən artıq saxta sorğu göndərərək serverin çökməsinə və saytın fəaliyyətinin dayanmasına səbəb olmaq.

Vacib qeyd: Google təhlükəsizlik boşluğu olan və zərərli proqram yayan saytları dərhal axtarış nəticələrindən bloklayır (blacklist). Bu isə sizin aylarla qazandığınız SEO reytinqinin bir gündə sıfırlanması deməkdir.

WordPress və Xüsusi Saytların Təhlükəsizlik Müqayisəsi

Hər iki platformanın özünəməxsus zəif və güclü tərəfləri var. Aşağıdakı cədvəldə bu fərqləri vizual olaraq görə bilərsiniz:

Təhlükəsizlik ParametriWordPress SaytlarıXüsusi Kodlanmış Saytlar (Custom)
Hədəf Olma EhtimalıÇox yüksək (Dünya saytlarının 43%-i WordPress-dir)Aşağı (Hakerlər üçün xüsusi araşdırma tələb edir)
Zəifliklərin SəbəbiKöhnəlmiş pluginlər və mövzularKodlaşdırma zamanı buraxılan proqramlaşdırma xətaları
Yenilənmə SürətiÇox sürətli (Qlobal icma tərəfindən təhlükəsizlik yamaları buraxılır)Yavaş (Yalnız sizin proqramçı tərəfindən düzəldilə bilər)
İdarəetmə AsanlığıTəhlükəsizlik pluginləri ilə çox asanServer səviyyəsində və kod daxilində çətin idarəetmə

Addım-addım Veb Sayt Təhlükəsizliyi Planı

Saytınızın təhlükəsizliyini maksimum səviyyəyə çatdırmaq üçün aşağıdakı praktiki addımları mütləq tətbiq etməlisiniz.

1. SSL Sertifikatının (HTTPS) Aktiv Edilməsi

SSL sertifikatı istifadəçi brauzeri ilə sizin serveriniz arasındakı məlumat mübadiləsini şifrələyir. Bu, xüsusilə e-ticarət saytlarında kart məlumatlarının və şəxsi dataların qorunması üçün məcburidir. SSL olmayan saytlar Google Chrome tərəfindən "Təhlükəsiz deyil" olaraq işarələnir.

2. Güclü Şifrə Siyasəti və İki-Faktorlu Autentifikasiya (2FA)

Ən sadə görünən, lakin ən çox buraxılan səhv zəif şifrələrdən istifadə etməkdir. Admin panel üçün heç vaxt "admin", "123456" və ya saytınızın adını ehtiva edən şifrələr təyin etməyin. Şifrənizdə böyük-kiçik hərflər, rəqəmlər və xüsusi simvollar (məsələn: @, #, $, %) olmalıdır. Həmçinin, giriş panelinə 2FA (Google Authenticator) əlavə edərək təhlükəsizliyi ikiqat artırın.

3. Giriş Cəhdlərinin Limitlənməsi

Brute Force hücumlarının qarşısını almaq üçün giriş cəhdlərini məhdudlaşdırın. Məsələn, bir istifadəçi şifrəni 3 dəfə səhv daxil edərsə, onun IP ünvanını 1 saatlıq bloklayın.

4. WordPress WP-Admin Giriş Yolunun Dəyişdirilməsi

Bütün WordPress saytlarının standart giriş ünvanı saytadi.com/wp-admin şəklindədir. Botlar birbaşa bu ünvana hücum edir. Bu ünvanı fərqli və təxmin edilməsi çətin olan bir sözlə dəyişdirin (Məsələn: saytadi.com/menim-giris-qapim).

WordPress üçün .htaccess Faylı ilə Təhlükəsizliyin Gücləndirilməsi

Apache serverlərində .htaccess faylı vasitəsilə saytın kök qovluğuna giriş qaydalarını tənzimləmək olar. Aşağıdakı kod blokunu .htaccess faylınıza əlavə edərək vacib sistem fayllarını kənar şəxslərdən gizlədə bilərsiniz.

# WordPress konfiqurasiya faylını qorumaq
<Files wp-config.php>
order allow,deny
deny from all
</Files>

# .htaccess faylının özünü qorumaq
<Files .htaccess>
order allow,deny
deny from all
</Files>

# XML-RPC funksiyasını söndürmək (DDoS və Brute Force hücumlarının qarşısını almaq üçün)
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

# Qovluqların siyahılanmasını (Directory Browsing) qadağan etmək
Options -Indexes

Saytın Təhlükəsizliyini Təmin Etmək üçün Ən Yaxşı Pluginlər

Əgər WordPress istifadə edirsinizsə, kod yazmadan da saytınızı qoruya bilərsiniz. Bunun üçün ən etibarlı təhlükəsizlik pluginləri bunlardır:

  1. Wordfence Security: Real zamanlı firewall (təhlükəsizlik divarı) və zərərli proqram skaneri təqdim edir. Sayta daxil olan şübhəli IP-ləri avtomatik bloklayır.
  2. iThemes Security (Solid Security): Giriş limitləri qoymaq, admin panelin ünvanını dəyişmək və verilənlər bazasının adını dəyişmək üçün mükəmməldir.
  3. Sucuri Security: Saytınızın fəaliyyətini izləyir və hər hansı bir fayl dəyişikliyi olduqda sizə dərhal e-poçt vasitəsilə bildiriş göndərir.

Nəticə və Qızıl Qaydalar

Veb saytın təhlükəsizliyi birdəfəlik edilən bir iş deyil, davamlı bir prosesdir. Saytınızı kiber təhlükələrdən uzaq tutmaq üçün bu üç qızıl qaydanı heç vaxt unutmayın:

  • Həmişə Yeniləyin: WordPress nüvəsini, mövzuları və bütün pluginləri hər zaman ən son versiyaya yeniləyin. Köhnə versiyalar hakerlər üçün açıq qapıdır.
  • Mütəmadi Yedəkləmə (Backup): Hər hansı bir problem baş verərsə, saytınızı geri qaytarmaq üçün həftəlik və ya aylıq olaraq saytın tam nüsxəsini (həm faylları, həm də verilənlər bazasını) bulud yaddaşına köçürün.
  • Lisenziyasız (Nulled) Mövzu və Pluginlərdən Qaçın: Pulsuz tapdığınız ödənişli pluginlərin içində demək olar ki, hər zaman gizli zərərli kodlar (backdoor) yerləşdirilir. Yalnız rəsmi mənbələrdən istifadə edin.
JS
YAZAR

Jamil Sultanli

Rəqəmsal marketinq, SEO və startuplar üzrə məsləhətçi. Datanın tətbiqi ilə işlərin miqyaslanması (Scaling) və inkişaf (Growth) strategiyalarının idarə olunması haqqında yazır.

Bunları da oxuyun