WordPress Yönetici Alanını Korumak için 10 Harika İpucu
Yayınlanan: 2022-07-122016 için Hacked Web Sitesi Raporuna göre, Sucuri tarafından bilinen 8.000 virüslü web sitesi arasında, bunların %74'ü WordPress tabanlıdır. Bu ciddi istatistik, sitenizdeki web güvenliği konusundaki kalıcı ve süregelen endişeyi kısmen anlamanıza yardımcı olur.
Kötü niyetli üçüncü taraflar, WordPress web sitenize saldırmak için çeşitli yöntemler kullanır. Yönetici panosu en savunmasız hedef olacaktır. Sitenizin önemli verileri içeren merkezi gibidir. Yönetici panonuza girdikten sonra, sitenize önemli ölçüde zarar verecek tehlikeli eylemlerde bulunurlar.
Şüpheli saldırıları etkili bir şekilde önlemek için WordPress yöneticisini korumanız gerekir. Bugünkü makalemiz, giriş alanınızı sıkılaştırmanın 10 yolunu ele alıyor. Ayrıntılara girmeden önce, yönetici girişinizi güvenli hale getirmenin bazı nedenlerini kısaca açıklayalım.
WordPress Admin'in Güvenliğini Neden Sağlamalısınız?
Web sitesi istismarlarından bahsederken, kesinlikle bilgisayar korsanlarının karmaşık bilgisayar sistemleri kullanarak sunucunuza girdiğini düşünüyoruz.
Aslında süreç bundan çok daha kolay. Web sitenizin arka ucuna kolayca erişebilir ve onu kontrol edebilirler. Ardından, veri kaybetmenin, yasal sorunlarla karşılaşmanın ve web sitesini temizlemek için para harcamanın sonuçlarına katlanırsınız.
Çoğu durumda, bilgisayar korsanları telefon numaraları veya kredi kartı bilgileri gibi müşteri bilgilerini çalmak için sitenize kötü amaçlı yazılım bırakır. Bu özel bilgiler bir kez çalındığında, müşterileriniz sadece para kaybedip canını sıkmakla kalmaz, aynı zamanda marka itibarınızı da zedeler.
Alıcılar, bilgilerinin tamamen güvenli olup olmadığından emin olmadıkları için satın almak için asla çevrimiçi mağazanıza geri dönmez. Müşteri verilerini dikkatli bir şekilde korumadığınız için de davaya sürüklenebilirsiniz.
Ayrıca, bir siber saldırı nedeniyle web sitesini temizlemek maliyetlidir. Bununla başa çıkmak için WordPress bakım hizmetleri kiralamanız gerekir.
WordPress yöneticisini korumak için uygulayabileceğiniz birden çok teknik vardır. Aşağıda, teknik bilgi sahibi olmayanlardan teknoloji konusunda bilgili kişilere kadar herhangi bir site sahibi için en kolay 10 çözüm bulunmaktadır.
#1 Varsayılan Yönetici Kullanıcı Adını Değiştir
WordPress, tüm web sitelerinin varsayılan kullanıcı adlarına yönetici atar. Ve siber suçlular bunu kesinlikle biliyor. Sitenize giriş yapmak için şifrenizi kolayca tahmin ederler. Ya bir yerden elde edebilirler ya da kaba kuvvet saldırısı yapmaya çalışabilirler.
Yönetici girişini güvence altına almak için yönetici yerine başka bir kullanıcı adı almalısınız. Neyse ki, WordPress'te kullanıcı adlarını değiştirmek çocuk oyuncağı.
- Web sitenizin yönetici menüsünde Kullanıcılar'ı ziyaret edin
- Tüm Kullanıcılar'ı seçin ve yönetici profilini açın
- Kullanıcı adını ve şifreyi güncelleyin
- Değişikliklerinizi kaydedin
#2 WordPress Yöneticisini Korumak için Güçlü Parolalar Kullanın
Saldırıya uğramış WordPress sitelerinin %8'inin zayıf parolalardan türetildiği tahmin edilmektedir. Bu nedenle, hesabınız için güçlü bir şifre kullanmayı unutmayın. Şifre, harfleri, sayıları ve özel karakterleri birleştiren en az 8 karakter içermelidir. Yeni şifreyi, kullanıcı adını değiştirdiğiniz Kullanıcılar sayfasından girebilirsiniz.
Parola oluşturucular, rastgele ve güçlü parolalar oluşturmanıza büyük ölçüde yardımcı olur. Parolaya dahil etmek istediğiniz öğeleri seçin ve işi aracın halletmesine izin verin.
Ancak, yönetilmesi gereken tonlarca parola ve hesaba sahip olduğunuz için tüm parolalarınızı ezberlemek acı vericidir. Neyse ki, elinizin altında parola yöneticisi uygulamalarınız var ve bu uygulamalar, parolalarınızı saldırıya uğrama endişesi duymadan güvenli bir şekilde saklamanızı sağlıyor.
#3 Özel Giriş URL'si Oluşturun
Kullanıcı adının yanı sıra WordPress, web sitesi etki alanına /wp-login.php ekleyerek size varsayılan bir oturum açma bağlantısı da sağlar. Örneğin, www.example.com/wp-login.php . Hem varsayılan giriş URL'si hem de kullanıcı adı olarak kalırsanız, bilgisayar korsanları site yöneticinize yarı yarıya erişim sağlar.
wp-login.php dosyasını düzenleyerek özel bir yönetici oturum açma URL'si oluşturabilmenize rağmen, bir eklenti kullanmanızı şiddetle tavsiye ederiz. Sunucuya dokunmanız veya web sitesini yok edebilecek dosya ve klasörlerde değişiklik yapmanız gerekmez.
WordPress giriş bağlantısını özelleştirmek için bir eklenti seçerken WPS Girişi Gizle'yi dikkate alın. Eklenti, dünya çapında 1 milyondan fazla kullanıcının güvenini kazanıyor ve şimdiye kadar bu alanda en popüler çözümü kanıtlıyor.
Eklentiyi kullanmaya başlamak için aşağıdaki 4 adımı izleyin.
- Sitenize WPS Hide Login'i kurun ve etkinleştirin
- Yönetici menüsünde Ayarlar'a gidin
- WPS'yi seçin Girişi Gizle
- Giriş URL'si kutusuna yeni giriş bağlantısını girin
Değişikliklerinizi kaydetmeyi unutmayın. Bunu yaptıktan sonra, yalnızca yeni giriş bağlantısına ve doğru hesap ayrıntılarına sahip kullanıcılar yönetici sayfanıza ulaşabilir.
#4 Şifre Korumalı wp-admin Klasörü
wp-admin klasörü, kök dizinde bulunan hayati yönetim dosyalarından oluşur. Bu wp-admin klasörünü parola ile koruyarak yöneticiniz için ek bir güvenlik katmanı oluşturabilirsiniz.
- Barındırma cPanel'inize giriş yapın veya bir FTP istemcisine bağlanın
- Şifre Korumalı Dizinler veya Dizin Gizliliği'ne basın
- /public_html/ dizini altındaki wp-admin klasörünü bulun
- Bu dizini parolayla koru seçeneğini etkinleştirin
- Bir kullanıcı adı ve şifre sağlayın
- Kaydet'i tıklayın
Bu, kullanıcıların WordPress yönetici sayfanızı almaya çalışırken gördükleri şeydir. Yönetici kimlik bilgilerini göndermeden önce ilk kimlik doğrulama katmanını geçmek için doğru Kullanıcı Adı ve Şifreyi girmeleri gerekir.
#5 Tüm Kullanıcılar İçin Şifreleri Sıfırla
WordPress yöneticisini korumanın başka bir yolu da, özellikle çok kullanıcılı web sitelerinde her kullanıcıyı parolalarını sıfırlamaya zorlamaktan geçer. Bunu hızlı bir şekilde elde etmek için Acil Şifre Sıfırlama eklentisinden yardıma ihtiyacınız var.
Aktivasyon üzerine, yöneticilerin şifreleri sıfırlamasını ve tek bir tıklamayla otomatik olarak sıfırlama bağlantısını onlara e-postayla göndermesini sağlayacaktır. Aşağıdaki adımları uygulayın:
- Acil Şifre Sıfırlama eklentisini yükleyin
- Kullanıcılar → Acil Şifre Sıfırlama seçeneğine gidin
- Tüm şifreleri sıfırla düğmesine basın
Bu kadar!
#6 Giriş Denemelerini Sınırlayın
WordPress, kullanıcıların yönetici alanınıza başarıyla erişene kadar oturum açma bilgilerini istedikleri kadar girmelerine izin verir. Yine de bu seçenek, bilgisayar korsanlarına sitenize kaba kuvvet saldırısı yapma şansı verir.
Bu kötü niyetli kullanıcılar genellikle en yaygın olanlardan oluşan bir şifre kitaplığına sahiptir. Bilgisayar korsanları otomatik bir komut dosyası kullanacak ve binlerce olası parolayı gözden geçirecek.
Riski azaltmak için Wordfence Security eklentisi ile giriş denemelerini sınırlayabilirsiniz. Site güvenliğinden ve WordPress güvenlik duvarından sorumlu olan kaba kuvvet saldırılarını önlemek için bir eklentiden daha fazlasıdır. Gelecek bölümlerde bu eklentinin kullanışlılığını tartışacağız.
- Siteniz için Wordfence Security eklentisini kurun ve etkinleştirin
- Wordfence'i açın ve Tüm Seçenekler'i seçin.
- Güvenlik Duvarı Seçenekleri altında Kaba kuvvet korumasını etkinleştir'i açın
- Kullanıcıların başarısız oturum açma bilgilerini göndermelerine izin verilen süreyi girin
Maksimum deneme sayısına ulaşmış olmalarına rağmen giriş yapabilirlerse, eklenti IP adreslerini hemen engeller.
#7 Oturum Açma Erişimini IP Adresleriyle Kısıtlayın
Yönetici alanınıza erişmesi gereken birkaç kullanıcınız olması durumunda bu yöntem avantajlıdır. .htaccess dosyasını Dosya Aktarım Protokolü (FTP) veya web sunucunuzun dosya yöneticisi aracılığıyla düzenlemenizi gerektirir.
Aşağıdaki kodu dosyaya ekleyin:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Yönetici Erişim Kontrolü" AuthType Temel <SINIR ALMA> sipariş reddet, izin ver herkesten inkar # beyaz liste IP adresi xx.xx.xx.xxx'den izin ver </LIMIT>
xx.xx.xx.xxx'i gerçek IP adresiyle değiştirin.
.htaccess dosyasını değiştirmek çok tehlikelidir. .htaccess dosyasını düzenlemeden önce sitenizin bir yedeğini almayı unutmayın. Bu şekilde sitede herhangi bir yanlışlık olursa önceki sürümü geri alabilirsiniz.
#8 İki Faktörlü Kimlik Doğrulamayı Ayarlayın
İki Faktörlü Kimlik Doğrulama (2FA), WordPress yöneticinize ekstra bir güvenlik katmanı eklemenizi sağlar. Örneğin, mobil cihazınıza gönderilen güvenlik kodunu girin veya yüz kimliğinizi kullanın.
Yukarıda tanıttığımız Wordfence eklentisini kurduysanız, herhangi bir ek çözüm yardımı olmadan bu işlevden yararlanabilirsiniz.
- Wordfence'i ziyaret edin ve Giriş Güvenliği bölümünü açın
- Doğrulayıcı uygulamanızla QR kodlarını tarayın
#9 Giriş İpuçlarını Devre Dışı Bırak
Kullanıcılar yönetici panosuna giriş yapamadıklarında, WordPress kullanıcı adlarının veya şifrelerinin yanlış olup olmadığını bildiren bir hata mesajı görüntüler. Bu, kullanıcılara oturum açma kimlik bilgisi hakkında ipuçları verir.
Yönetici sayfasına erişmek için rastgele bir kullanıcı adı ve şifre kullanan bilgisayar korsanlarına bir örnek alın. Ayrıntılardan birini biliyorlarsa, doğru diğerini aramaları yeterlidir.
Bunu temanızın function.php dosyasını düzenleyerek durdurabilirsiniz. WordPress arka ucunda Görünüm → Tema Düzenleyici → function.php'ye gidin. Ardından, function.php dosyanıza aşağıdaki kodu girin.
işlev no_wordpress_errors(){ return 'Bir sorun var!'; } add_filter('login_errors', 'no_wordpress_errors');
#10 Bir Web Sitesi Uygulaması Güvenlik Duvarı Kullanın
Güvenlik duvarı, WordPress yöneticinizin güvenliğini sağlamak için asla eski bir çözüm değildir. Site trafiğini izler ve kötü niyetli isteklerin sitenize erişmesini engeller. Deneyebileceğiniz bazı popüler eklentiler arasında Wordfence, iThemes Security ve Sucuri bulunmaktadır.
Bu eklentiler yalnızca şüpheli kullanıcıları uzak tutmakla kalmaz, aynı zamanda kötü amaçlı yazılım taraması yapar. Kaba kuvvet saldırı önleme, iki faktörlü kimlik doğrulama, CAPTCHA vb. arasından seçilebilecek bir dizi oturum açma koruma seçeneği vardır.
WordPress Yöneticisini Koruma Zamanı
WordPress istismarlarının sonuçları yıkıcıdır. Yönetici oturum açma siber suçları nedeniyle müşteri, marka itibarı ve para kaybedersiniz.
Korunma her zaman tedaviden iyidir. Eklentili ve eklentisiz WordPress yönetici alanınızı güvence altına almak için en iyi 10 ipucunu gözden geçirdiniz.
Yönetici kullanıcı adını ve şifresini değiştirmeniz birkaç tıklama alır. Özel bir oturum açma URL'si oluşturmak, oturum açma girişimlerini sınırlamak, 2FA kurmak ve bir güvenlik duvarı uygulamak için eklentiler yükleyebilirsiniz. wp-admin klasörünü parola ile korumak, oturum açmayı IP adresleri ile kısıtlamak ve oturum açma ipuçlarını devre dışı bırakmak için kod kullanmanız gerekir.
Bu yöntemlerden kaç tanesini uyguladınız? Aşağıdaki yorum bölümünde bizimle paylaşın.