WordPress Yönetici Alanınızı Korumak İçin 12 Adım

WordPress ile bir blog veya web sitesi oluşturmak çok kolaydır. Yine de, insanların WordPress web sitesinin veya blogunun güvenlik özelliklerine dikkat etmedikleri için acı çektikleri (gün geçtikçe artan) durumlar vardır. Serbest çalışan web sitelerine baktığınızda, insanların web sitelerinin ve bloglarının saldırıya uğradığı ve biraz yardım istedikleri birçok durum vardır.

Bu olaylar, WordPress web sitenizin güvenliğine dikkat etmediğinizde, bilgisayar korsanları tarafından saldırıya uğrama ihtimalinin olduğunu gösteriyor. Bu durumlardan kaçınmak için WordPress Yönetici Alanınızı ve Giriş Sayfasını korumalı tutmanız gerekir. Bu yazımda size WordPress sitenizin en gelişmiş alanı olan “WordPress admin alanı”nı korumanın yolları ve adımları hakkında bilgi vereceğim. Başlayalım,

1. Varsayılan Yönetici Kullanıcı Adını Değiştirin ve Güçlü Bir Parola Seçin

WordPress yüklüyorsanız, varsayılan yönetici hesabı olarak olmak asla izin admin . Bu, kaba kuvvet saldırısı veya başka bir saldırı için denemek için çok öngörülebilir.

Burada admin kullanıcı adınızı iamadmin olarak değiştirseniz bile çok büyük bir fark yaratabilir ve sizi bir çok dertten kurtarabilir (Ama bu isme gitmeyin, admin kullanıcı adını değiştirmenin nasıl bir şey yapabileceğini gösteren bir örnektir. bir fark).

Şifreler konusunda her zaman WordPress kılavuzunu takip edin . Giriş kutusunun altına şifreyi girdiğinizde, şifrenizin ne kadar güçlü olduğunu gösterir. Parolanızı her zaman bu açıdan güçlü tutun.

Şimdi, web siteniz bilgisayar korsanına herhangi bir finansal ayrıcalık sağlamasa bile, bu bilgisayar korsanının web sitenize erişmeye çalışmasını engellemez. Size WordPress web sitelerinde oldukça yaygın olan basit bir senaryo sunmama izin verin. Aşağıdaki şekle bir göz atın:

Gördüğünüz gibi, bir günde bir WordPress web sitesinde bu hack girişimleri var. Dolayısıyla, şekilden de anlaşılacağı gibi, tüm kilitleme girişimlerinin admin kullanıcı adını hedeflediği oldukça açıktır. Yani, burada amacımı yaptığımı düşünüyorum.

Şimdi, basit soru şu ki, neden denemeye devam ediyorlar? En önde gelen ve en yaygın nedenlerden biri, “WordPress'in herhangi bir saldırgan üzerinde yasaklama kuralına sahip olmamasıdır”. Yani, hiçbir şey yapmazsanız, denemekten vazgeçmeyecekler.

Bu bizi bir sonraki noktamıza götürür.

2. Özel Giriş Bağlantıları Oluşturun

WordPress admin paneline erişmek için /wp-login.php ile sitenin URL'sini /wp-login.php . Şimdi, aynı şifreyi birden fazla yerde kullandıysanız ve tehlikeye girdiyseniz, bilgisayar korsanının sitenizi hacklemesi kolaydır.

Gizli Oturum Açma adlı bir eklenti, WordPress blogunuz için oturum açmak, oturumu kapatmak, yönetmek ve kaydolmak için özel URL'ler oluşturmanıza olanak tanır. Ayrıca, kullanıcıların wp-login.php doğrudan erişmesini engelleyen “Gizlilik Modu”nu da etkinleştirebilirsiniz. Daha sonra giriş URL'nizi daha şifreli bir şeye ayarlayabilirsiniz. Bu, web sitenizi mükemmel bir şekilde güvenceye almaz, ancak biri şifrenizi kırmayı başarırsa, gerçekte nereden giriş yapacaklarını bulmalarını zorlaştırabilir. Bu aynı zamanda kötü niyetli amaçlar için kullanılan botların wp-login.php erişmesini de engeller. wp-login.php dosyası ve wp-login.php girmeye çalışıyor.

3. Giriş Denemelerini Sınırlayın

Bir önceki noktayı söyleyerek bitirdiğim gibi, WordPress herhangi bir kullanıcının başarısız bir şekilde bir hesaba giriş yapmayı denemesini yasaklamaz. Bu nedenle, oturum açmayı yönetici alanınızla sınırlamanız ve kullanıcıyı belirli bir süre yasaklamanız gerekir, aksi takdirde WordPress blogunuz veya web siteniz için sonsuza kadar başarılı bir şekilde tahmin etmeye çalışmaya devam ederler.

Bunun için Wordfence Security, WP Limit Login Attempts, Login LockDown gibi eklentileri kullanabilirsiniz. Aşağıda, şu anda kullandığım için WP Limit Login'in bir ekran görüntüsü var. Yani, herhangi bir yanlış kimlik bilgisi girdiğinizde, şöyle görünür,

Bir sonraki noktamıza geçelim:

4. Oturum Açma Sayfalarında ve Yönetici Alanında SSL'yi Zorlayın

Herkese açık bir ağ üzerinden WordPress web sitenize giriş yaptığınız zamanlar vardır. Bu, “ortadaki adam saldırılarına” maruz kalabileceğiniz durumlardan biridir. Bilgisayar korsanları trafiği dinleyebilir ve HTTP isteğinize erişebilir. WordPress'teki isteğinize eriştikten sonra, WordPress kimlik bilgilerinizi düz metin olarak görebilirler.

Bu, SSL oturum açma kullanılarak önlenebilir. SSL girişi, WordPress web sitenizin HTTPS üzerinden erişilebilir olmasını sağlar. Genellikle, barındırma hizmetleriniz bunu aboneliğinizde sağlar. Değilse, bir SSL sertifikası satın almanız ve web sitesi sunucunuza ayarlamanız gerekir. Ucuz SSL Mağazası gibi bazı SSL sertifika mağazalarından bazı seçeneklere göz atmak isteyebilirsiniz. Veya sunucunuza sahipseniz SSL kurmak için bu kılavuzu takip edebilirsiniz.

Web sitenizin zaten bir SSL sertifikası varsa ve HTTPS üzerinde çalışıyorsa, wp-config.php dosyanızı açın ve aşağıdaki kodla düzenleyin:

 // Oturum açma sayfası için SSL (HTTPS) kullanın.
define('FORCE_SSL_LOGIN', doğru);
// Tüm yönetici alanı için SSL (HTTPS) kullanın.
define('FORCE_SSL_ADMIN', true);

FORCE_SSL_LOGIN sabiti, oturum açma sayfasının yalnızca HTTPS'de açılmasını sağlar. FORCE_SSL_LOGIN sabiti, WordPress yönetici alanı boyunca 2. sıraya güvenli bağlantı koydu.

5. Parola Korumalı WP-Yönetici Dizini

İki şifreye sahip olmanın yanlış bir tarafı yok. Yalnızca WordPress Yönetici Alanınıza başka bir güvenlik düzeyi ekler. Bu, AskApache Password Protect adlı bir eklenti kullanılarak yapılabilir. Parolanızı şifreler ve .htpasswd dosyasını oluşturmanın yanı sıra her ikisinde de güvenliği artırılmış doğru dosya izinlerini ayarlar. wp-admin dizinini parola ile korumak için bir cPanel Web Host kullanıyorsanız, bir Dizinde cPanel Parola Korumasını da kullanabilirsiniz.

6. Giriş sayfasına bir CAPTCHA yerleştirin

Yönetici alanında bir CAPTCHA kullanmak, otomatik komut dosyalarının kaba kuvvet uygulamasını veya oturum açma sayfanıza herhangi bir otomatik saldırı olasılığını önlediği için bilgisayar korsanlığı girişimlerini azaltabilir. Kontrol panelinize ve ardından Eklentiler → Yeni Ekle'ye gidin ve ardından 'CAPTCHA' yazın. Giriş sayfanızda CAPTCHA'yı etkinleştirmek için bir sürü WordPress Eklentisi alacaksınız.

Şu anda BestWebSoft'un Captcha eklentisini kullanıyorum. Bu eklenti 300.000'den fazla aktif yüklemeye ve iyi bir dereceye sahiptir. Bu eklenti, giriş sayfanızda yeni bir alan oluşturur. Basitçe bu eklentiyi etkinleştirmek, kimsenin kullanıcı adını ve şifreyi bilse bile oturum açamayacağı bir CAPTCHA görüntüsü oluşturacaktır. Bu, otomatik komut dosyasıyla yazılmış kaba kuvvet saldırılarını etkili bir şekilde engeller. Eklenti yardımcı programının verilen ekran görüntüsüne bir göz atın.

Bunun dışında SI CAPTCHA Anti-Spam, Really Simple CAPTCHA ve Math Captcha gibi captcha eklentilerini de tercih edebilirsiniz.

7. Giriş Sayfasındaki Hata Mesajını Kaldırın

Yanlış bir şifre veya geçersiz bir kullanıcı adı girdiğinizde, giriş sayfasında bir hata mesajı alırsınız. Bu nedenle, bir bilgisayar korsanı bir şeyi doğru yaparsa, hata mesajı bunu belirlemelerine yardımcı olur. Bu nedenle, bu hata mesajını tamamen kaldırmalısınız. Tema klasörünüzde bulunan functions.php dosyasını açın ve aşağıdaki kodu yapıştırın:

 add_filter('login_errors',create_function('$a', "boş döndür;");

Secure WordPress adlı bir eklenti de bunu başarır ve başka özellikleri de vardır. Ve sonuç bu:

8. Yalnızca Belirli IP'lerin Oturum Açmasına İzin Verin.

Bu noktayı daha fazla ileri götürmeden önce, açık olmak istiyorum. Bu adımı yalnızca statik IP adresine sahip olanlar için öneriyorum.

IP adresinizi biliyorsanız, wp-admin klasörünüzdeki .htaccess dosyasını kullanarak bu IP'yi beyaz listeye alın. Yine de birçok IP adresinin yönetici alanınıza giriş yapmasına izin verebilirsiniz, ancak yine de benim tavsiyem sadece statik IP sahipleri içindir.

Bir IP'yi beyaz listeye almak için wp-admin klasörünüzü açmanız ve .htaccess adlı bir dosyayı düzenlemeniz ve aşağıdaki kodları eklemeniz yeterlidir:

 sipariş reddet, izin ver
# 99.99.99.99'u istediğiniz IP adresiyle değiştirin
99.99.99.99'dan itibaren izin ver
# Aşağıdaki satırın yorumunu kaldırarak ve IP adresini düzenleyerek daha fazla IP adresinin wp-admin alanına erişmesine izin verin
# 98.98.98.98'den izin ver
herkesten inkar

Gördüğünüz gibi, ikinci IP için de benzer şekilde istediğiniz IP adresinden 99.99.99.99 değiştirin.

Herhangi bir IP adresi eklemediğinizde ve yönetici alanınıza erişmeye çalıştıklarında şu mesajı alırlar:

9. İki Faktörlü Kimlik Doğrulama ile Ekstra Katman Ekleyin

WordPress yönetici alanınıza ekstra bir güvenlik katmanı eklemek için iki faktörlü kimlik doğrulamayı kullanabilirsiniz. Web sitenize uygulamak için bir eklenti yüklemeniz ve etkinleştirmeniz yeterlidir. WordPress web sitesinin eklentiler sayfasında İki Faktörlü Kimlik Doğrulamayı aradığınızda, aşağıdaki sonuçları göreceksiniz:

İki faktörlü kimlik doğrulamanın nasıl kurulacağını tam olarak öğrenmek için bu makaleyi okuyun.

10. Oturum Açmak İçin Şifreli Parola Kullanın

SSL etkin olmadığında, bu yöntem işe yarar. Bu işi yapmanıza izin veren bir eklenti var ve buna Semisecure Login Reimagined deniyor. Semisecure Login Reimagined, bir kullanıcı oturum açtığında istemci tarafında parolayı şifrelemek için bir RSA genel anahtarı kullanarak oturum açma işleminin güvenliğini artırır. Sunucu daha sonra özel anahtarla şifrelenmiş parolanın şifresini çözer. Şifrelemeyi etkinleştirmek için JavaScript gereklidir.

11. Tek Kullanımlık Şifre

Tek Kullanımlık Parola eklentisi, yalnızca bir oturum için geçerli olan parolaları kullanarak WordPress web günlüğünüze giriş yapmanızı sağlar. Tek seferlik şifreler, ana WordPress şifrenizin internet kafeler gibi daha az güvenilir ortamlarda, örneğin keylogger'lar tarafından çalınmasını önler.

12. WordPress'i En Son Sürüme Güncelleyin

Son fakat kesinlikle en az olmayan şey, WordPress'in en son sürümüyle güncel kalmaktır, çünkü her sürüm yayınlandıktan sonra, WordPress ayrıca yükseltme yapmazsanız Yönetici Alanınızı riske atan önceki sürümün hatalarını ve açıklarını da serbest bırakır.

Sonunda

WordPress'in kullanımı çok kolaydır ve bu yüzden herkes onu sever. Ancak, başka birinin web sitenize erişim sağlaması durumunda bu işlevsellik kolaylığının acımasız olabileceğini unutuyoruz. Bu yüzden tavsiyem, yukarıda makalede bahsettiğim tüm adımları takip etmenizdir.

Herhangi bir sorunla karşılaşırsanız, yorumlar aracılığıyla bana bildirin, bu sorunu çözmenize yardımcı olacağım.

Yazar Bio – Kerin Miller tutkulu bir blogcu ve WordPress meraklısıdır. Stellen Infotech ile ilişkilidir ve özel WordPress Web Sitesi geliştirme için optimum çözümler sunar. Ayrıca zamanını uzmanlık alanı hakkında blog yazmaya ayırmayı da seviyor. Onu Facebook'ta ve Twitter'da takip edebilirsiniz!