WordPress Yöneticinizin (Wp-Admin) Güvenliğini Nasıl Sağlarsınız?

Yayınlanan: 2022-08-27

WordPress güvenliği, WordPress ekosisteminde oldukça önemlidir. Alınacak güvenlik yaklaşımlarından biri, Wp-admin'inizin güvenliğini sağlamaktır. Bunun nedeni, Wp-admin'in saldırganların sitenize erişmeye çalışmak için kullanacağı ilk nokta olması muhtemeldir.

Varsayılan olarak WordPress yönetim dosyaları Wp-admin klasöründe saklanır. WordPress'in klasörü korumak için çeşitli güvenlik önlemleri olmasına rağmen, varsayılan WordPress yöneticisinin yaygın olarak bilinmesi, bu onu bilgisayar korsanları için kolay bir hedef haline getirir. Bu nedenle, WordPress yöneticisinden tetiklenen web saldırıları riskini azaltmak önemlidir.

Bu makalede, WordPress yöneticinizin güvenliğini sağlamak için kullanabileceğiniz bazı yaklaşımları inceleyeceğiz.

İçindekiler

Wp-admin'inizi Güvence Altına Alma Yaklaşımları

  • Varsayılan "yönetici" Kullanıcı Adını kullanmaktan kaçının
  • Güçlü Parolalar Oluşturma
  • Wp-admin alanını parolayla koruyun
  • Özel Giriş URL'si oluşturun
  • İki Faktörlü Kimlik Doğrulama/Doğrulama Dahil Edin
  • Otomatik çıkışları etkinleştir
  • Giriş denemelerinin sayısını sınırlayın
  • IP kısıtlamasını uygula
  • Giriş sayfasındaki Hataları Devre Dışı Bırak
  • Güvenlik Eklentisi Kullanma
  • WordPress'i en son sürüme güncelleyin

Çözüm

Wp-admin'inizi Güvence Altına Alma Yaklaşımları

WordPress yönetici alanını güvence altına almak için kullanabileceğiniz çeşitli yollar vardır. Aşağıda bu güvenlik uygulamalarının hızlı bir listesi bulunmaktadır.

1. Varsayılan "admin" Kullanıcı Adını kullanmaktan kaçının

Yeni bir WordPress kurulumunda oluşturulan ilk hesap yönetici hesabıdır. "admin", böyle bir kurulumda varsayılan kullanıcı adı olarak ayarlanır. Bu aslında halkın bilgisidir.

Bir bilgisayar korsanının kullanıcı adınız olup olmadığını kolayca anlayabilmesinin bir yolu, site giriş URL'nize erişmek ve "yönetici" kullanıcı adını denemektir. Eğer “admin” aslında site içinde bir kullanıcı adı ise, giriş ekranında böyle bir hata mesajı alacaklardır; “ Hata: Kullanıcı adı yöneticisi için girdiğiniz şifre yanlış. Parolanızı mı kaybettiniz?”

Böyle bir hata mesajı, bilgisayar korsanına sitede bir "yönetici" kullanıcı adı bulunduğunun bir onayı olarak hizmet eder.

Bu aşamada, bir bilgisayar korsanının sitenizle ilgili olarak zaten iki parçası vardır. Bunlar kullanıcı adı ve oturum açma URL'sidir. Bilgisayar korsanının ihtiyacı olan tek şey sitenin şifresidir.

Bu noktada bir bilgisayar korsanı, siteye erişmek için bu kullanıcı adına karşı parola çalıştırarak saldırılar gerçekleştirmeyi deneyecektir. Bu, manuel olarak veya hatta botlar aracılığıyla gerçekleştirilebilir.

Bir bilgisayar korsanının kullanabileceği başka bir yaklaşım, URL'ye “?yazar=1/” sorgusunu eklemek ve böylece etki alanınız/?yazar=1/ olarak okunmasıdır. Kullanıcı yöneticisi ile bir kullanıcı adınız varsa, URL, kullanıcıdan gelen gönderileri döndürür veya kendisiyle ilişkili herhangi bir gönderi yoksa hiçbirini döndürmez. Aşağıda örnek bir gösterim verilmiştir:

Her iki durumda da, bir 404 hatası döndürülmediği sürece, bu, "admin" kullanıcı adına sahip bir kullanıcı adının kesinlikle var olduğunun bir teyidi işlevi görecektir.

Yukarıdaki senaryolara göre, varsayılan kullanıcı adı "admin" varsa, WordPress panonuzdaki Kullanıcılar > Yeni Ekle bölümünden yeni bir yönetici hesabı oluşturmanız çok önemlidir.

Bu yapıldıktan sonra, önceki "yönetici" hesabını sildiğinizden emin olun.

2. Güçlü Parolalar Oluşturma

Güçlü şifreler, oradaki herhangi bir WordPress sitesi için çok önemlidir. Zayıf Parolalar ise bilgisayar korsanlarının WordPress sitenize erişmesini kolaylaştırır.

Dahil edebileceğiniz bazı parola güvenlik önlemleri şunları içerir:

  • Parolanın yeterince uzun olduğundan emin olun (en az 10 karakter)
  • Şifre en azından alfanümerik karakterler, boşluklar ve özel karakterler içermelidir.
  • Parolaların düzenli olarak değiştirildiğinden veya güncellendiğinden emin olun
  • Şifreleri tekrar kullanmadığınızdan emin olun
  • Parolalar sözlük kelimeleri olmamalıdır
  • Parola yöneticisi kullanarak parolaları saklayın
  • Siteye kaydolan kullanıcıların güçlü şifreler girmelerini sağlayın

Parolalar da yine bir güvenlik tehdidi oluşturacağından tahmin edilebilir olmamalıdır.

3. Wp-admin alanını Parola ile koruyun

WordPress, kullanıcıların oturum açmak için kullanıcı adlarını ve şifrelerini girmelerine izin vererek Wp-admin'e bir güvenlik seviyesi sunar. Ancak bu yeterli olmayabilir çünkü bilgisayar korsanları Wp-admin'e eriştiklerinde gerçekten web saldırıları gerçekleştirebilirler. Bu nedenle Wp-admin'e ekstra bir güvenlik katmanı eklemeniz önerilir. Bu, şu yollarla gerçekleştirilebilir:

i) cPanel

ii) .htaccess

cPanel aracılığıyla

Wp-admin'i cPanel üzerinden parola ile korumak için aşağıdakileri yapmanız gerekecektir:

Önce cPanel kontrol panelinize erişin ve “Dizin Gizliliği”ne tıklayın.

Ardından, public_html klasörüne erişin.

İçinde wp-admin dizini içindeki “Düzenle” düğmesine tıklayın.

Bir sonraki ekranda, “Bu dizini şifreyle koru” seçeneğini etkinleştirin ve “Korunan dizin için bir ad girin” alanına tercih ettiğiniz bir adı girin ve değişikliklerinizi kaydedin.

Bu yapıldıktan sonra, bir adım geri gidin ve istediğiniz ayrıntılarla (kullanıcı adı ve şifre) yeni bir kullanıcı oluşturun.

Yukarıdakilerin gerçekleştirilmesiyle, bir kullanıcı wp-admin klasörüne erişmeye çalışırsa, WordPress yöneticisini doldurması gereken ekrana yönlendirilmeden önce yeni oluşturulan kullanıcı adını ve şifreyi doldurması gerekecektir. kimlik bilgileri.

.htaccess aracılığıyla

.htaccess, Apache tarafından dizinlerde değişiklik yapmak için kullanılan bir yapılandırma dosyasıdır. Bu makaledeki dosya hakkında daha fazla bilgi edinebilirsiniz.

Bu bölümde, wp-admin klasörünü kısıtlamak için .htaccess dosyasının nasıl kullanılacağına bakacağız. Bunu yapmak için aşağıdakileri gerçekleştirerek iki dosya (.htaccess ve .htpasswd) oluşturmamız gerekecek:

i) Bir .htaccess dosyası oluşturun

Tercih ettiğiniz bir metin düzenleyiciyi kullanarak .htaccess adında yeni bir dosya oluşturun.

Dosyaya aşağıdaki içerikleri ekleyin:

 AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail

Yukarıdaki kodda, belirtilen “AuthUserFile” yolunu (/home/user/public_html/mydomain.com/wp-admin/) .htpasswd dosyasını yükleyeceğiniz wp-admin dizin yolunuzla değiştirmeniz gerekecektir. . Ayrıca, "require user" satırındaki "usernamedetail" kısmını da istediğiniz kullanıcı adı ile değiştirmeniz gerekecektir.

ii) Bir .htpasswd dosyası oluşturun

Yine de tercih ettiğiniz bir metin düzenleyiciyi kullanarak .htpasswd adında yeni bir dosya oluşturun.

wtools.io oluşturucuya erişin.

Htpasswd Formundaki özel alanlara kullanıcı adınızı ve şifrenizi girin ve “Oluştur” düğmesine tıklayın.

Bittiğinde, sonucu .htpasswd dosyanıza kopyalayın ve değişikliklerinizi kaydedin.

iii) Dosyaları FTP yoluyla yükleyin

Dosyaları FTP üzerinden yüklemek için Filezilla gibi bir araç kullanmanız gerekecektir.

Başlamak için .htaccess dosyanızı sitenizin wp-admin dizinine ve ardından .htpasswd dosyasına yüklemeniz gerekir.

Bir kullanıcı şimdi /wp-admin'e erişmeye çalıştığında, kendisine aşağıda görülene benzer bir giriş ekranı sunulacaktır:

4. Özel Giriş URL'si Oluşturun

WordPress giriş URL'lerine, wp-admin veya wp-login.php? etki alanınıza. Bunların varsayılan WordPress giriş bitiş noktaları olması, bir bilgisayar korsanının etki alanına erişimi olduğu sürece, giriş URL'nize kolayca erişebileceği anlamına gelir.

Ayrıca varsayılan "yönetici" kullanıcı adını kullanıyorsanız, bu yine bir bilgisayar korsanının yalnızca bir bilgi parçası bulması gerektiği anlamına gelir, bu da "parola"dır.

Bu nedenle, siteniz için özel bir giriş URL'sine sahip olmak önemlidir. Bunu başarmanın bir yolu, WPS Hide Login eklentisini yüklemeniz gerekmesidir.

Eklentiyi yükledikten sonra, Ayarlar > WPS Girişi Gizle bölümüne gidin ve istediğiniz giriş URL'sini ve oturum açmamış bir kullanıcı Wp-login.php veya Wp-admin'e erişmeye çalıştığında erişilecek bir yönlendirme URL'sini belirtin.

Bu yapıldıktan sonra, değişikliklerinizi kaydedin.

Bu, web sitenizin oturum açma bilgilerine erişmeye çalışan herkesin işini zorlaştıracak ve böylece olası görevleri azaltacaktır.

5. İki Faktörlü Kimlik Doğrulama/Doğrulama Dahil Edin

İki Faktörlü kimlik doğrulama, ekstra bir kimlik doğrulama gereksinimi eklenerek ekstra bir güvenlik katmanının sağlandığı bir güvenlik mekanizmasıdır.

WordPress sitenizde İki Faktörlü Kimlik Doğrulamayı uygulamak için tercih ettiğiniz bir üçüncü taraf eklentisini kullanabilirsiniz. Bu kılavuzda, kullanım kolaylığı nedeniyle WordPress eklentisi için WP 2FA – İki faktörlü kimlik doğrulamayı kullanmanızı öneririz.

Eklentiyi kullanmak için WordPress panosundaki Eklentiler > Yeni Ekle bölümüne gidin ve WP 2FA'yı arayın.

Eklentiyi kurun ve etkinleştirin.

Bu yapıldıktan sonra, Kullanıcılar > Profil bölümüne gidin ve “2FA Yapılandır” düğmesine tıklayın.

Bir sonraki ekranda, istediğiniz 2FA yöntemini seçin. Buradaki durumumuzda, “Seçtiğiniz uygulama ile oluşturulan tek seferlik kod” seçeneğini seçeceğiz.

Seçimin ardından bir sonraki adıma geçin. Burada, sağlanan simge listesinden kimlik doğrulama için istediğiniz uygulamayı seçin. Bir simgeye tıklamak, uygulamanın nasıl kurulacağına ilişkin kılavuza yönlendirilecektir.

Buradaki durumumuzda “Google Authenticator” uygulamasını kullanacağız. Bu nedenle, önce Google Authenticator uygulamasını mobil cihaz gibi istediğiniz cihaza yükleyerek başlayabilirsiniz.

Bu yapıldıktan sonra uygulamayı açın ve uygulamanın sağ alt bölgesindeki kayan “+” simgesine dokunun.

Ardından, yukarıda gösterilen ekran görüntüsündeki QR kodunu taramanız istenecektir.

Bunu yaptığınızda, 2FA kodunun yanında yeni eklenen hesabın bulunduğu bir ekrana yönlendirileceksiniz.

Ardından sitenize geri dönün ve 2FA kodunuzu doldurun, yapılandırmayı doğrulayın ve kaydedin. Aşağıda örnek bir gösterim verilmiştir:

Bu yapıldıktan sonra, artık bir başarı mesajı alacaksınız ve ardından kodlarınızın yedeğini alabilirsiniz.

Bunun nasıl yapılacağına dair ayrıntılı çizimler için buradaki kılavuza göz atabilirsiniz.

Bir kullanıcı, ilk girişi atlayarak bile siteye giriş yapmaya çalıştığında, kendisine kimlik doğrulama kodunu doldurmasının gerekeceği ekstra bir kimlik doğrulama katmanı sunulacaktır.

6. Otomatik çıkışları etkinleştirin

Bir web sitesine giriş yaptıktan ve kullanıcılar tarayıcı pencerelerini kapatmadıktan sonra, oturumlar uzun bir süre sonlandırılmaz. Bu, böyle bir web sitesini çerez kaçırma yoluyla bilgisayar korsanlarına eğilimli hale getirir. Bu, bir bilgisayar korsanının, bir kullanıcının tarayıcısındaki çerezleri çalarak veya bunlara erişerek bir oturumu tehlikeye atabileceği bir tekniktir.

Bir güvenlik mekanizması olarak, bu nedenle, web sitesinde boşta kalan kullanıcıların oturumlarını otomatik olarak kapatmak önemlidir. Bunu başarmak için Inactive Logout eklentisi gibi bir eklenti kullanabilirsiniz.

Eklenti, önce onu arayarak, yükleyerek ve etkinleştirerek Eklentiler > Yeni Ekle bölümünden yüklenebilir.

Eklentiyi etkinleştirdikten sonra Ayarlar > Etkin Olmayan Çıkış bölümüne gidin, “Boşta Kalma Zaman Aşımı”nı ayarlayın ve değişikliklerinizi kaydedin.

Değeri tercihinize göre ayarlayabilirsiniz, ancak 5 dakika ideal olacaktır.

7. Giriş denemelerinin sayısını sınırlayın

Varsayılan olarak WordPress, bir web sitesindeki giriş denemelerinin sayısı için bir sınır sunmaz. Bu, bilgisayar korsanlarının web sitesine girmeye çalışmak için ortak kullanıcı oturum açma ayrıntılarını içeren komut dosyaları çalıştırmasını mümkün kılar. Deneme sayısı çok fazlaysa, sunucunuzda aşırı yüklenmeye neden olabilir ve sonunda muhtemelen web sitesinde bir kesinti olabilir. Ortak oturum açma verilerini kullandığınız bir durumda, bir bilgisayar korsanının da siteye başarıyla erişmesi olasıdır.

Bu nedenle, bir web sitesindeki giriş denemelerinin sayısını sınırlamak önemlidir. Bu uygulama için Login Lockdown gibi bir eklenti kullanabilirsiniz.

Wordpress.org'daki diğer eklenti kurulumlarına benzer şekilde, Giriş Kilitleme eklentisini Eklentiler > Yeni Ekle bölümünden yükleyebilirsiniz. Bu bölümde eklentiyi arayın, kurun ve etkinleştirin.

Aktivasyon üzerine, Ayarlar > Oturum Açma Kilidi'ne gidin ve tercihinize göre Maks. Oturum Açma Denemeleri, Yeniden Deneme Süresi Kısıtlaması, Kilitleme uzunluğu ve daha fazlası gibi istediğiniz kilitleme ayarlarını belirtin.

8. IP kısıtlaması uygulayın

IP kısıtlaması, Wp-admin'e erişimi engellemek için de uygulayabileceğiniz bir yaklaşımdır. Ancak, statik bir IP kullanıyorsanız bu yöntem önerilir.

IP kısıtlamasını uygulamak için, zaten yoksa wp-admin dizini içinde bir .htaccess dosyası oluşturmanız ve dosyaya aşağıdaki kodu eklemeniz gerekir:

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>

Tamamlandığında, kod içindeki xx.xx.xx.xxx'i erişim vermek istediğiniz IP adresleriyle değiştirmeniz gerekecektir.

Ağınızı da değiştirirseniz, siteye giriş yapabilecek konumda olabilmek için site dosyalarınıza erişmeniz ve yeni IP'yi eklemeniz gerekecektir.

Şimdi IP'ye erişmesine izin verilmeyen bir kullanıcı wp-admin'e erişmeye çalışırsa, aşağıdaki çizime benzer bir Yasaklı hata mesajıyla karşılaşacaktır.

9. Giriş sayfasındaki Hataları Devre Dışı Bırakın

Bir kullanıcı yanlış kimlik bilgileri kullanarak siteye giriş yapmaya çalışırsa, WordPress varsayılan olarak giriş sayfasında hatalar oluşturur. Bu hata mesajlarının bazı örnekleri şunlardır:

  • HATA: Geçersiz kullanıcı adı. Şifreni mi unuttun?
  • HATA: Yanlış şifre. Şifreni mi unuttun?

Bu tür mesajlar işlendiğinde, aslında yanlış oturum açma ayrıntıları hakkında ipuçları veriyorlar ve bu, bir bilgisayar korsanının anlaması gereken tek bir ayrıntıyla bırakılacağı anlamına geliyor. Örneğin ikinci mesaj, parolanın yanlış olduğuna dair bir ipucudur. Bu nedenle, bilgisayar korsanının siteye erişmek için yalnızca şifreyi bulması gerekir.

Bu hata mesajlarını devre dışı bırakmak için aşağıdaki kodu temadaki function.php dosyasına eklemeniz gerekir:

 function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );

Bir kullanıcı şimdi yanlış kimlik bilgileriyle siteye giriş yapmaya çalışırsa, herhangi bir hata mesajı görüntülenmez. Aşağıda bununla ilgili örnek bir örnek verilmiştir:

10. Bir Güvenlik Eklentisi Kullanma

WordPress güvenlik eklentileri, web sitenizdeki güvenlik tehditlerini azaltmada hep. Bu güvenlik eklentilerinden bazıları, reCaptcha eklenmesi, IP kısıtlaması ve daha pek çok özellik sunar.

Bu nedenle, Wp-admin içindeki saldırı olasılığını azaltmak için bir güvenlik eklentisi kullanmayı düşünmeniz önemlidir. Kullanmayı düşünebileceğiniz bazı örnek güvenlik eklentileri şunlardır: WordFence ve Malcare.

11. WordPress'i en son sürüme güncelleyin

WordPress düzenli olarak güncellenen bir Yazılımdır. Bazı güncellemeler güvenlik düzeltmelerini içerir. Örneğin, Wp-admin'i hedefleyen bir güvenlik sürümü varsa ve sizin durumunuzda WordPress sürümünüzü güncelleyemiyorsanız, bu, Wp-admin'inizin saldırılara açık olduğu anlamına gelir.

Bu nedenle, web sitenizdeki istismar riskini azaltmak için WordPress sürümünüzü düzenli olarak güncellemeniz önemlidir.

Çözüm

WordPress yöneticisi, web sitenizin tam kontrolünü ele geçirmeleri için bilgisayar korsanları tarafından büyük bir hedeftir. Bu nedenle, web sitenizin WordPress yönetici bölümünü korumanız önemlidir.

Bu makalede, WordPress yöneticinizin güvenliğini sağlamak için kullanabileceğiniz birkaç yolu inceledik. Makalenin bilgilendirici ve yararlı olduğunu umuyoruz. Herhangi bir sorunuz veya öneriniz varsa, lütfen aşağıdaki yorumlar bölümünü kullanmaktan çekinmeyin.