Saytı hack-dən qoruyun - 10 vacib təhlükəsizlik tədbiri (2026)

?️

Saytın "qapısı" möhkəm olsun

Hər gün dünyada minlərlə sayt hack olur. Çoxları kiçik biznesindir - çünki onlar "məni tanımırlar, niyə hack etsinlər?" deyə düşünür. Hackerlər avtomatik botlarla işləyir - hədəf seçmirlər, hər saytı yoxlayırlar. Bu 10 tədbir ilə saytınız 95% hücumlardan qorunur.

Məqalə icmalı

  1. Güclü parol və 2FA
  2. Plugin və tema yeniliyini avtomat et
  3. Admin URL-i dəyişdir
  4. SSL məcburi et
  5. Firewall plugin (Wordfence)
  6. Bilinməyən plugin-ləri sil
  7. PHP versiyasını yenilə
  8. Müntəzəm backup
  9. Brute-force qoruma
  10. Malware scan
1

Güclü parol və 2FA

Statistika: hack olan saytların 60%-i zəif parol səbəbiylədir. "123456", "admin", "qwerty" - bunlar 1 saniyəyə qırılır.

Düzgün parol

  • Ən azı 16 simvol
  • Hərf (böyük + kiçik) + rəqəm + xüsusi simvol
  • Lüğətdə olan söz olmasın
  • Nümunə: Tx7!gB#wPmZ9$qLk

Parol meneceri

Bütün parollarınızı yaddaşda saxlamaq mümkünsüzdür. Bitwarden (pulsuz, açıq kod), 1Password (10 USD/ay) və ya LastPass istifadə edin. Hər saytda ayrı uzun parol.

2FA (Two-Factor Authentication)

WordPress admin-də 2FA aktiv edin. Hətta parolunuz oğurlansa da, hacker telefonunuza giriş etməyincə daxil ola bilməz. Plugin: Wordfence Login Security və ya WP 2FA. Google Authenticator app + telefonunuz.

2

Plugin və tema yeniliyini avtomatik et

WordPress hack-larının 90%-i köhnə plugin və ya tema vasitəsilə olur. Yeniliklər tipik təhlükəsizlik dəliklərini bağlayır.

Avtomatik yenilik

WordPress 5.5+-da plugin avtomatik yenilənməsi var:

  1. WP admin → Plugins → Installed Plugins
  2. Hər plugin sətirində "Enable auto-updates" linki
  3. Avtomatik yenilik istədiyiniz hər plugin-ə basın

WordPress core (özü) də avtomatik yenilənir - Settings → General-da yoxlayın.

⚠️

Risk: Avtomatik yenilik bəzən saytı sındıra bilər. UpdraftPlus ilə gündəlik backup mütləq olmalıdır - sındısa 5 dəqiqəyə əvvəlki vəziyyətə qayıdarsınız.

3

Admin URL-i dəyişdir

Default WP admin URL saytinız.az/wp-admin. Hacker-lər avtomatik bu URL-də login cəhdi edir. Dəyişdirsəniz - 80% brute-force avtomatik dayanır.

WPS Hide Login plugin

  1. Plugins → Add New → WPS Hide Login install + activate
  2. Settings → General → "Login URL" sahəsində yeni URL yazın (məs. gizli-giris)
  3. Save Changes

İndi sizin login: saytinız.az/gizli-giris. Heç kim default URL-ə girə bilmir.

4

SSL məcburi et

SSL həm təhlükəsizlik (parol şifrələmə), həm SEO. Hostinq.az-da AutoSSL onsuz da aktivdir. Sizin işiniz HTTP → HTTPS redirect-ı təmin etməkdir:

.htaccess əlavə (cPanel)

  • File Manager → public_html → .htaccess Edit
  • Aşağıdakı kodu əlavə edin:
  • RewriteEngine On
  • RewriteCond %{HTTPS} off
  • RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Really Simple SSL plugin

WordPress-də manual etmək istəmirsinizsə: Really Simple SSL plugin install edin - bir kliklə bütün konfiqurasyon edilir.

5

Firewall plugin - Wordfence

Wordfence - WordPress üçün ən tanınmış pulsuz təhlükəsizlik plugin. 4+ milyon aktiv install. Aşağıdakı funksiyaları edir:

  • Web Application Firewall (WAF) - SQL injection, XSS, brute-force qarşısı
  • Malware Scanner - fayl tarama, zərərli kod tapma
  • Login Security - 2FA, captcha, login attempt limit
  • Real-time IP blocking - bot hücumları
  • Email alerts - hər təhlükəsizlik hadisəsi

İlk konfiqurasyon

  1. Install + Activate
  2. License: Free version kifayətdir
  3. Email yazın - alert-lər gələcək
  4. Setup başla → Recommended Settings
  5. Wordfence → Firewall → "Optimize the Wordfence Firewall" basın - daha güclü qoruma
6

Bilinməyən / istifadə olunmayan plugin-ləri sil

Hər plugin potensial təhlükəsizlik dəliyidir. Ehtiyacınız olmayanı SAXLAMAYIN.

  1. WP admin → Plugins → Installed Plugins
  2. Aktiv olmayan və 6 aydan istifadə etmədiklərinizi seçin
  3. Bulk Actions → Delete
?

Qayda: Hər plugin-i araşdırın əvvəlcə - son yenilik tarixi, support cavabları, rating. 2 ildir yenilənməyən plugin → istifadə etməyin.

7

PHP versiyasını yenilə

PHP 7.x və köhnə versiyalar artıq təhlükəsizlik yenilikləri almır. PHP 8.1+ istifadə edin.

cPanel-də PHP versiyası

  1. cPanel → Software → Select PHP Version
  2. Mövcud versiyaları görəcəksiniz
  3. Yuxarı seçin (8.2 və ya 8.3)
  4. Set as Current

Köhnə tema/plugin uyğun deyilsə 8.0-a qayıdın, sonra plugin yeniliyini gözləyin.

8

Müntəzəm backup

Hack baş versə də backup-dan 5 dəqiqəyə bərpa olarsınız. UpdraftPlus + Google Drive birləşməsi pulsuz və etibarlıdır. (Hostinq.az saytında WordPress backup - UpdraftPlus bələdçisi oxuya bilərsiniz.)

Hosting tərəfində Hostinq.az gündəlik server-side backup edir - qoşa qoruma.

9

Brute-force qoruma

Hacker-lər robotlarla minlərlə login cəhdi edirlər. Wordfence-i quraşdırdıqda bu qarşısını alır, amma əlavə tədbir:

Limit Login Attempts Reloaded

  1. Plugin install: Limit Login Attempts Reloaded
  2. Settings: 3 fail attempt → 20 dəqiqə bloklama
  3. Lockout sonra 4 dəfə → 24 saat bloklama

Hostinq.az server-side qoruma

Server-də CSF + LFD aktivdir - IP 5 dəfə uğursuz login etsə avtomatik bloklanır. Sizin müdaxiləniz lazım deyil, amma plugin əlavə qatdır.

10

Müntəzəm malware scan

Hack olduğunuzu necə bilərsiniz? Çox vaxt görmürsünüz - hacker arxa qapı qoyub gözləyir. Aylıq malware scan vacibdir.

Wordfence Scan

  1. Wordfence → Scan
  2. "Start New Scan" düyməsi
  3. 15-60 dəqiqə davam edir (sayt ölçüsündən asılı)
  4. Tapılan problemlər siyahıda görünür - "Repair" və ya "Delete" basın

İmunify360 (Hostinq.az-da daxildir)

Hostinq.az hostingində İmunify360 AV aktivdir - gündəlik real-time malware skan. Tapılan zərərli fayllar avtomatik karantinaya götürülür.

Tez-tez verilən suallar

Hack oldumsa necə bilərəm?

Əlamətlər: sayt qəfildən yavaş açılır, Google Search Console "Site contains malware" göstərir, Google nəticələrdə sayt başlığı dəyişib (məs. dərman/casino reklamı), admin panelə girə bilmirsiniz, naməlum admin user yaranıb.

Hack olduqda nə etməli?

1) Saytı dərhal offline et (maintenance mode), 2) Bütün parolları dəyiş (WP, FTP, cPanel, MySQL), 3) Backup-dan bərpa et (sayt hack olunmamış vaxtdakı), 4) Bütün plugin/tema-ları sil və təzə install et, 5) Wordfence malware scan, 6) Hostinq dəstəyə müraciət.

Hackerlər niyə kiçik saytları hack edir?

3 əsas məqsəd: 1) Saytdan spam mail göndərmək, 2) Trafiki başqa saytlara redirect etmək (SEO spam), 3) Botnet-ə saytın resurslarını qoşmaq (DDoS hücumları). Pulunuza ehtiyacı yoxdur - saytınız onlar üçün vəsaitdir.

Wordfence pullu versiyası lazımdırmı?

Pulsuz Wordfence çox saytlar üçün kifayətdir. Pullu (90 USD/il) gerçək vaxt firewall qaydaları + premium dəstək verir - kommersiya saytları üçün dəyər.

Hostinq.az təhlükəsizliyi onsuz da daxildir

İmunify360 AV + CSF Firewall + LFD brute-force qoruma + AutoSSL + gündəlik backup - bütün hosting paketlərində pulsuzdur.

Hosting paketlərinə bax