• Anasayfa
  • Nesne
  • Kılavuz
  • WordPress Admin Güvenliğinin Nasıl Sağlanacağına Dair Bir Kılavuz - MalCare

WordPress Admin Güvenliğinin Nasıl Sağlanacağına Dair Bir Kılavuz - MalCare

Yayınlanan: 2023-04-13

Güvenli WordPress Yöneticisi: WordPress web sitelerinde günün her dakikasında 90.000'den fazla saldırı girişimi yapıldığını biliyor muydunuz ? Bunun ima ettiği şey, sitenin büyük veya küçük olmasına bakılmaksızın, web sitelerinize yönelik saldırı girişimlerinin çok yakın olduğudur. Güvenlik, bir web sitesi için en önemli endişelerden biridir.

Bilgisayar korsanları, bir WordPress web sitesini hacklemek için çeşitli tekniklere başvurur ve kaba kuvvet saldırısı böyle bir tekniktir. Web sitesi giriş sayfasında yaygın olarak kullanılan kullanıcı adı ve şifrelerin bir kombinasyonunu denemeyi içerir .

Başarılı bir kaba kuvvet saldırısı, WordPress yöneticisine erişmenizi sağlar. WordPress yönetici alanı, WordPress destekli bir web sitesinin yönetim merkezidir. Yöneticiye tam erişimi olan herkes, site üzerinde tam denetime sahip olacaktır. Bu nedenle, WordPress yöneticinizi kaba kuvvet saldırılarından korumanız önemlidir.

WordPress Admin Güvenliği Nasıl Sağlanır?

Sitenizin WordPress yöneticisini hack girişimlerine karşı korumanıza yardımcı olacak bir dizi teknik bulduk.

1. Güçlü Parolalar Kullanın

Web sitesi sahiplerinin en sık yaptığı hatalardan biri zayıf şifre kullanmaktır. Yıllar geçtikçe şifre kırma teknikleri olgunlaştı. Tahmin edilmesi kolay şifreler birkaç dakika içinde kırılır. Güçlü parolalar, sitenizi bilgili parola kırma tekniklerine karşı savunmanıza yardımcı olur. İşte WordPress siteniz için gerçekten güçlü şifrelerin nasıl oluşturulacağına dair mükemmel bir makale.

Ancak, güçlü parolaları hatırlamak sorun olabilir. Bu gönderi , güçlü WordPress şifrelerinin nasıl yönetileceğini açıklar .

Birçok kişinin yaptığı bir diğer çok yaygın hata, birden fazla sitede aynı şifreyi kullanmalarıdır. Bir parolanın güvenliği ihlal edildiğinde, parolayla ilişkili tüm hesapların güvenliği ihlal edilmiş olur. Bu nedenle, hesaplar için farklı şifreler kullanmak bu durumun önlenmesine yardımcı olabilir.

2. Ortak Kullanıcı Adı Kullanmaktan Kaçının

WordPress şifresini güvence altına almak, WordPress oturum açma kimlik bilgilerini güvence altına almak için önemli bir adımdır. Bir oturum açma kimlik bilgisinin ikinci bileşeni, kullanıcı adıdır. Kullanıcı adınızı tahmin etmek kolaysa, bilgisayar korsanının yalnızca parolaya odaklanması gerekir.

En yaygın WordPress kullanıcı adlarından biri “admin” dir. Birkaç yıl öncesine kadar, WordPress kullanıcı adı olarak otomatik olarak "admin"i önerdi. WordPress, “admin” önermeyi bırakmış olsa da, birçok site sahibi hala bunu kullanıyor. Kullanıcı adı olarak "admin" kullanılarak birkaç yeni kullanıcı hesabı oluşturulmaktadır. Tüm bu web siteleri kendilerini kolay bir hedef haline getiriyor.

WordPress benzersiz kullanıcı adlarının kullanılmasını zorunlu kılmadığı için, kullanıcılarınızın hiçbirinin ortak kullanıcı adlarını kullanmadığından ve "admin" ile yeni bir hesap açılmadığından emin olmanız gerekir. Hangi kullanıcı adlarından kaçınmanız gerektiğini öğrenmek için yaygın olarak kullanılan kullanıcı adlarının bu kapsamlı listesine bir göz atın .

3. WordPress Giriş Sayfanızı Gizleyin

WordPress web siteleri önceden belirlenmiş bir şekilde çalışır. Örnek olarak, tüm WordPress web siteleri, “www.anysite.com/wp-admin” gibi görünen varsayılan bir giriş sayfasıyla birlikte gelir.Bu, bir bilgisayar korsanının işini kolaylaştırır çünkü aynı anda birkaç hedeflenen WordPress sitesine otomatik bir saldırı başlatabilirler. Ancak giriş sayfasını değiştirerek gizlerseniz, sitenize yönelik bu tür saldırıların önüne geçebilirsiniz.

Oturum açma sayfanızı değiştirmek ve eklentinin size önerdiği bir URL'yi kullanmak için kullanabileceğiniz birçok eklenti vardır. Aynı eklentiyi kullanan diğer web sitelerinin aynı URL'yi kullanması muhtemeldir. Bilgisayar korsanları URL biçimini biliyorsa, oturum açma sayfanızı gizlemenin hiçbir anlamı olmayacaktır. Bu nedenle, kendi özel oturum açma sayfası URL'nizi oluşturmanıza olanak sağlayan bir araç kullanın.

4. HTTP Kimlik Doğrulaması Uygulayın

WordPress yöneticisinin güvenliğini sağlamak için tüm wp-admin klasörünüzü parola ile koruyabilirsiniz. Wp-admin klasörü, WordPress kontrol paneline güç sağlayan yönetim dosyalarını içerir. Bu klasöre erişimi olan herkes tüm siteyi kontrol edebilir. Parolanız tüm klasörü koruyorsa, birisi yönetici bölümü için her istekte bulunduğunda, sunucu tekmesi bir kimlik doğrulama işlemi başlatır. Tarayıcı, kullanıcıdan bir HTTP kimlik doğrulama şifresi isteyecektir. HTTP Auth , AskApache Password Protect , vb. gibi WordPress yöneticinizde HTTP kimlik doğrulaması uygulamak için kullanabileceğiniz birçok araç vardır.

Güvenli WordPress Yöneticisi
WordPress giriş sayfamızda HTTP kimlik doğrulaması etkinleştirildi

5. Google Authenticator'ı kullanın

Web sitesi hackleme tekniklerinin bu günlerde giderek daha karmaşık hale gelmesiyle, güçlü kullanıcı kimlik bilgilerinin yanı sıra başka bir oturum açma koruması katmanı eklemek yaygın bir uygulamadır. Bu tekniğe iki faktörlü kimlik doğrulama (2FA) denir . Yöntem, akıllı telefonunuzda yalnızca sizin alabileceğiniz bir kod göndermeyi içerir. WordPress panonuza erişim izni verilmeden önce, sitenize benzersiz kodu girmeniz gerekir. Bu yaklaşımın faydaları, bilgisayar korsanları kimlik bilgilerinizi kırmayı başarsalar bile, yalnızca cihazınıza gönderilen koda ihtiyaç duymalarıdır.

Güvenli WordPress Yöneticisi
WordPress kontrol panelimize erişmek için akıllı telefonunuza gönderilen şifreyi girmemiz gerekiyordu.

2 faktörlü kimlik doğrulama için kullanabileceğiniz birçok WordPress eklentisi vardır. WordPress yöneticisini güvence altına almak için Mini Orange kullanarak sitemizde 2FA'yı etkinleştirdik ve bununla ilgili bir kılavuz yazdık .

6. Başarısız Giriş Denemelerinin Sayısını Sınırlandırma

Kaba kuvvet saldırıları altındaki web siteleri, yüzlerce başarısız oturum açma girişimi yaşar. WordPress yöneticinize yönelik bu acımasız saldırıyı önlemek için sitenizde yapılan başarısız oturum açma girişimlerinin sayısını sınırlayabilirsiniz. MalCare güvenlik eklentisi, kullanıcıların 3 başarısız oturum açma girişiminden sonra oturum açmaya çalışmasını engeller. WordPress giriş sayfasına tekrar erişmelerine izin verilmeden önce bir CAPTCHA çözmeleri gerekir. Bu, kullanıcının insan mı yoksa sitede kaba kuvvet saldırısı gerçekleştirmeye çalışan otomatik bir bot mu olduğunu belirlemeye yardımcı olur.

Güvenli WordPress Yöneticisi
Botlar, görüntü tabanlı CAPTCHA'yı atlayamaz

7. SSL Sertifikasını Kurun

Web sitemizin URL'sine bakın! Yanında "Güvenli" yazan yeşil bir kilit görüyor musunuz? Sitemizde SSL sertifikası kuruludur, bu da kimsenin etrafta dolaşıp kullanıcılarımızın giriş bilgilerini okuyamayacağı anlamına gelir. SSL sertifikası olmayan bir web sitesi, sitenin hassas bilgilerini farkında olmadan ifşa etme tehlikesiyle karşı karşıyadır.

Güvenli WordPress Yöneticisi
Bu web sitesinde SSL sertifikası kuruludur.

Eskiden SSL sertifikaları ya ödeme sayfaları ya da WordPress yönetici alanları içindi. Ancak artık SSL sertifikası tüm sitenizin güvenliğini sağlamaya yardımcı olabilir. Web'i daha güvenli bir yer haline getirme çabasında Google, SSL sertifikalarının bir sıralama faktörü olduğunu açıkça belirtti . Comodo , Let's Encrypt gibi sağlayıcılardan bir SSL sertifikası alabilirsiniz ve web barındırıcınız sitenizde sertifikanın kurulmasına yardımcı olacaktır.

8. Kara Liste Kötü Amaçlı IP Adresi

İnterneti kullanan herkesin bir IP adresi vardır. WordPress web sitelerine saldırı başlatan bilgisayar korsanının bile bir IP adresi vardır. Bu IP adreslerinin kaydını tutarsanız sitenize erişmelerini engelleyebilirsiniz. MalCare – en iyi WordPress güvenlik eklentilerinden biri, sitede yapılan başarısız oturum açma girişimlerinin ayrıntılarını (IP adresleri) sunar. Aynı IP'lerden neredeyse düzenli olarak çok sayıda başarısız girişimin yapıldığını gözlemlerseniz, aşağıdaki kodları .htaccess dosyamıza yerleştirerek bu şüpheli IP'lerin web sitelerinize erişmesini engelleyebilirsiniz:

 izin ver, reddet

192.168.20.10'dan reddet

hepsinden izin ver

"192.168.20.10", sitelerimizden birinde engellemek istediğimiz IP adresidir. Engellemek istediğiniz IP ile değiştirebilirsiniz.

9. Güvenlik Anahtarlarını Değiştirin

Sitenize her giriş yapmanız gerektiğinde oturum açma kimlik bilgilerinizi girmeniz gerekmez. Tarayıcınızın bu kimlik bilgilerini nasıl sakladığını hiç merak ettiniz mi? Hesabınızda oturum açtıktan sonra, oturum açma bilgileriniz şifreli bir şekilde tarayıcı çerezinde saklanır. Güvenlik anahtarları, bu şifrelemeyi geliştirmeye yardımcı olan yalnızca rastgele değişkenlerdir. Siteniz saldırıya uğrarsa, gizli anahtarların değiştirilmesi çerezi geçersiz kılar ve her aktif kullanıcıyı otomatik olarak oturumu kapatmaya zorlar. Bir kez dışarı atıldığında, bilgisayar korsanı WordPress yöneticinize erişemez.

Güvenli WordPress Yöneticisi
MalCare Security Service ile güvenlik anahtarlarını değiştirme

Sana doğru

Bir WordPress yöneticisini güvence altına almanın tek bir yolu yoktur, bu nedenle birden fazla yöntem kullandığınızdan emin olun. WordPress yöneticisinin güvenliğini sağlamanın en çok önerilen yollarından bazılarını sizinle paylaştık. Ancak bu yöntemlerden herhangi birini uygulamadan önce sitenizin yedeğini almalısınız . Bir şeyler ters giderse, bir yedeği geri yükleyebilir ve sitemizi hemen çalışır hale getirebilirsiniz.

Bunların yanı sıra, IP engelleme, oturum açma sayfasını koruma, siteyi wp-config.php ile güvence altına alma, WordPress güvenliği hakkındaki bu eksiksiz kılavuzu takip etme ve MalCare gibi bir WordPress güvenlik eklentisi yükleme gibi birkaç güvenlik önlemi daha alabilirsiniz.

MalCare, yukarıda bahsettiğimiz bazı önlemleri uygulamanıza yardımcı olacaktır. Örneğin, MalCare Güvenlik Eklentisi güvenlik anahtarlarını değiştirmenize, başarısız giriş denemelerinin sayısını sınırlamanıza, web sitenizin güncel kalmasını sağlamanıza ve diğer birçok şeye yardımcı olacaktır.

MalCare Güvenlik Eklentisini Hemen Deneyin!