WordPress Oturum Açma Güvenliği: Oturum Açma Sayfanızı Kolayca Güvenli Hale Getirin - MalCare

WordPress web sitelerinde dakikada 90.000'den fazla hack saldırısı olduğunu biliyor muydunuz? Bu son derece yüksek bir istatistik ve göz ardı edemeyiz.

Bilgisayar korsanları, WordPress sitelerini hacklemek için en çok giriş sayfasını hedefler. Bunun nedeni, bir bilgisayar korsanının sitenize bu sayfadan erişerek sitenizin tüm kontrolünü ele geçirebilmesidir.

Ortaya çıkan hasarın siteniz üzerinde ciddi bir etkisi olacaktır. Bilgisayar korsanları, sizin adınıza yasa dışı ürünler satabilir veya ziyaretçilerinizi kötü amaçlı web sitelerine gönderebilir. Ayrıca ziyaretçileri aynı ürünleri satın almaları veya kötü amaçlı yazılım indirmeleri için kandırabilirler. Bu, işinize ve itibarınıza ciddi zararlar verebilir.

Neyse ki, en çok hedeflenen sayfa olan giriş sayfasını koruyarak bilgisayar korsanlarının web sitenizi kötüye kullanmasını önleyebilirsiniz. MalCare'de bu saldırılarla günlük olarak ilgileniyoruz ve bu sorunu tüm WordPress kullanıcılarına iletmek istiyoruz. Burada, oturum açma sayfanızı bilgisayar korsanlarından korumak için alabileceğiniz en iyi güvenlik önlemlerini göstereceğiz. Ayrıca, web sitenizi bilgisayar korsanlarından nasıl koruyacağınızla ilgili kılavuzumuza da göz atabilirsiniz.

TL;DR: Uygulaması kolay ve oturum açma sayfanızı otomatik olarak koruyacak bir WordPress güvenlik çözümüne ihtiyacınız varsa, MalCare Güvenlik Eklentimizi yükleyin. Giriş denemelerini anında sınırlandıracak ve ayrıca WordPress web sitenizi sağlamlaştırma seçenekleri sunacaktır.

[lwptoc jumpHeadingLevel=”h3,h4,h5,h6″]

WordPress Giriş Sayfanızı Güvenli Hale Getirmek İçin 5 Adım

WordPress Giriş Sayfanızın güvenliğini sağlamak için alabileceğiniz birkaç önlem vardır. Ancak attığınız her adım etkili olmuyor. Bazen giriş sayfanız savunmasız kalırken sadece gürültü ekliyorsunuz.

Bu yazıda, etkili olduğu kanıtlanmış ve sitenizi kesinlikle güvende tutacak, atabileceğiniz 5 önemli adıma odaklanacağız.

Sitenizde halihazırda SSL kurulu olduğunu varsayıyoruz. SSL korumanız yoksa barındırma sağlayıcınızdan veya bir SSL sağlayıcıdan hemen eklemeniz gerekir. Her web sitesinde ilk temel site güvenlik önlemi olarak SSL kurulu olmalıdır. Web siteniz ve sunucunuz arasında aktarılan verileri şifreler. Bu, bilgisayar korsanlarının, siteniz ile barındırma sunucusu arasında geçiş yaparken verilerinizi çalamayacağı anlamına gelir. Bu nedenle, oturum açma sayfasından kullanıcı kimlik bilgilerini çalmaya çalışan bilgisayar korsanlarının bunu yapması engellenecektir.

1. Oturum Açma Sayfasını Güvenli Hale Getirmek İçin Güçlü Kullanıcı Adları ve Parolalar Kullanma

WordPress sitelerinde kullanıcı hesapları oluştururken, insanlar hatırlaması kolay veya diğer tüm hesaplar için kullandıkları bir şeyi kullanma eğilimindedir. Bununla ilgili sorun, bir bilgisayar korsanının işini çok daha kolay hale getirmesidir.

İlk olarak, bilgisayar korsanları, hesabınıza girme yollarını tahmin etmeye çalışmak için farklı kullanıcı adları ve parolalar denedikleri, kaba zorlama adı verilen bir teknik kullanırlar. Bunu, birkaç saniye içinde binlerce girişimde bulunabilen otomatik botlar ve algoritmalar kullanarak yapıyorlar. “password123' gibi basit parolalar kullanıyorsanız, bir bot ilk birkaç denemede parolayı tahmin edebilecektir.

İkincisi, tüm hesaplarınız için aynı kimlik bilgilerini kullanıyorsanız, bu sorun yaratır. En iyi şirketlerin çok sayıda veri ihlali oldu ve yalnızca 2019'da 4,1 milyar kayıt açığa çıktı. Kullanıcı adınız ve parolanız örneğin bir alışveriş sitesinde çalındıysa, bilgisayar korsanları bunu e-postanız, internet bankacılığı veya WordPress siteniz gibi diğer hesaplarınızı ele geçirmek için kullanabilir.

Yönetici oturum açma kimlik bilgileriniz, evinizin veya ofisinizin anahtarları gibidir. Bu nedenle oturum açma güvenliğindeki ilk adım, sağlam kullanıcı adları ve parolalar kullanmaktır.

• Varsayılan kullanıcı adı olan 'admin'i asla kullanmamanızı öneririz. Web sitenizin adı thefirstexample.com ise, yönetici kullanıcı adınızı "the firstexample" yapmayın. Bunlar, bilgisayar korsanlarının oturum açma ekranında deneyecekleri ilk birkaç kullanıcı adıdır. Bunun yerine, kimsenin tahmin etmesi zor olan sıra dışı ve benzersiz olanları kullanın.
• Parolalara gelince, herkesin tahmin etmesi zor olan bir parola kullanmanız gerekir. Semboller ve rakamlarla birlikte bir parola kullanmanızı öneririz. Bu, şifrenizi gerçekten güçlü kılar.

Parolanızı oluştururken, WordPress parolanızın ne kadar zayıf veya güçlü olduğunu gösterecektir. Size bir örnek vermek gerekirse, WordPress yönetici hesabımızda aşağıdakileri oluşturduk:

WordPress, şifrenin çok zayıf olduğunu belirtti. Bu yüzden oyunumuzu bununla yükselttik:

Son olarak, WordPress web siteniz değerli bir varlık olduğundan, benzersiz bir şifreyi hak ettiğini düşünüyoruz. Başka hiçbir sitede kullanmadığınız bir tane bulun.

Artık oturum açma kimlik bilgilerinizin güvende olduğunu biliyorsunuz. WordPress sitenizde birden fazla kullanıcı varsa, WordPress giriş sayfanızı korumada çok önemli bir adım olduğundan hepsinin bu tavsiyelere uyması önemlidir.

2. Daha İyi Güvenlik İçin Giriş Denemelerinin Sayısını Sınırlayın

Varsayılan olarak, WordPress sınırsız sayıda oturum açma denemesine izin verir. Bilgisayar korsanları, kaba kuvvet saldırıları yoluyla bu özellikten yararlanır. Bir kullanıcıya verilen başarısız giriş denemelerinin sayısını sınırlayarak kaba kuvvet koruması elde edebilirsiniz.

Bir web sitesinde, özellikle de çevrimiçi bankacılıkta yanlış bir parola girdiğinizde bu istemi görmüş olabilirsiniz:

Bunun nedeni, web sitesinin sınırlı oturum açma denemeleri gerçekleştirmesidir. Bir kullanıcının, hesabına girmek için doğru kimlik bilgilerini girmesi için üç şansı vardır. Üç yanlış denemeden sonra hesapları kilitlenecek ve 'Şifremi unuttum' seçeneğini kullanmak zorunda kalacaklardı.

Bu özelliği iki şekilde uygulayabilirsiniz:

• Eklenti kullanma – MalCare güvenlik eklentisini öneriyoruz. Kurulduktan sonra, sınırlı WordPress oturum açma koruması otomatik olarak uygulanır. Eklenti ayrıca, kötü botların sitenize erişmesini önleyecek Captcha tabanlı koruma sağlar.
• Manuel olarak – Oturum açma denemelerinin sayısını manuel olarak sınırlamak için, functions.php dosyanıza erişmeniz gerekir. Karşılık gelen bir geri arama işleviyle bir WordPress eylemi ve kanca filtresi eklemeniz gerekir. Bu yöntem teknik ve risklidir. Kodlama konusunda bilgili değilseniz, bunu denememek en iyisidir.

Bu iki önlem uygulandığında, WordPress web siteniz, giriş sayfanız için halledilen temel güvenlik önlemlerine sahiptir. Artık daha gelişmiş önlemlere geçebiliriz.

[ss_click_to_tweet tweet=”WordPress, varsayılan olarak sınırsız sayıda giriş denemesine izin verir. Sınırlı oturum açma denemelerini otomatik olarak uygulamak için MalCare'i kullanın." content=”WordPress, varsayılan olarak sınırsız sayıda giriş denemesine izin verir. Sınırlı oturum açma denemelerini otomatik olarak uygulamak için MalCare'i kullanın." stil=”varsayılan”]

3. Daha Güçlü Oturum Açma Güvenliği için 2 Faktörlü Kimlik Doğrulamayı Kullanma

Gmail hesabınıza giriş yapmaya çalışırken iki adımı izlemeniz gerektiğini fark etmişsinizdir.

Birinci adım, kimlik bilgilerinizi girmeyi içerir. İkinci adımda Gmail, kayıtlı telefon numaranıza veya e-posta adresinize bir doğrulama kodu gönderir. Bundan sonra, e-postalarınıza erişmek için bu numarayı Gmail hesabınıza girmeniz gerekecek. Bu, İki adımlı doğrulama veya İki faktörlü kimlik doğrulamadır.

Hesaba erişen kullanıcının gerçek olduğundan emin olmak için işlem, normal kimlik bilgilerinin yanı sıra gerçek zamanlı olarak oluşturulan tek seferlik bir parola (OTP) kullanır.

Bu nedenle, bir bilgisayar korsanı kimlik bilgilerinizi tahmin etse bile, size gönderilen tek seferlik kodu girmeleri gerekir ve WordPress giriş sayfanızı kolayca güvence altına alabilirsiniz.

Bir eklenti kullanarak 2 Faktörlü Kimlik Doğrulamayı uygulayabilirsiniz. Önerdiğimiz iki eklenti Google Authenticator 2FA ve Two Factor Authentication'dır.

Not: MalCare eklentisini kullanıyorsanız, 2 Faktörlü Kimlik Doğrulama yakında kullanılabilecektir.

4. Coğrafi Engelleme – Bir Bilgisayar Korsanının WordPress Web Sitenize Ulaşmasını Önleyin

Bir WordPress sitesi kurduğunuzda, belirli bir bölge için yapılandırmadığınız sürece dünyanın her yerinden gelen trafiği otomatik olarak karşılarsınız.

Trafiğinizin nereden geldiğini görmek için Google Analytics'e kaydolmanız gerekir. Kontrol panelinde 'Kullanıcılarınız nerede?' seçeneğini göreceksiniz. 'Konuma Genel Bakış'ı tıklayarak, ziyaretçilerinizin tam olarak nereden geldiğini görebilirsiniz.

Alternatif olarak, MalCare gibi bir eklenti de size trafiğinizin nereden kaynaklandığını gösterir.

Çoğu zaman, belirli ülkelerden istenmeyen trafik aldıklarını fark eden web sitesi sahipleriyle karşılaştık.

Ne demek istediğimizi size göstermek için bir örnek verelim. Diyelim ki, yalnızca İngiltere'ye hitap eden bir web siteniz var – example.co.uk. Ancak Analytics'i kontrol ettiğinizde, web sitenizin trafiğinin çoğunun Rusya, Singapur ve Amerika Birleşik Devletleri gibi diğer ülkelerden geldiğini görürsünüz. Bunu bir kırmızı bayrak olarak düşünmelisiniz.

Bu sadece bilgisayar korsanlarının göstergesidir, trafiğin gerçekten kötü amaçlı olup olmadığını görmek için MalCare eklentisini kullanabilirsiniz.

MalCare eklentisini yükledikten sonra kontrol paneline erişin. "Güvenlik" altında, web sitenizde yapılan giriş denemelerinin sayısını ve eklentinin kaç tanesini engellediğini göreceksiniz.

'Daha fazlasını göster'i tıkladığınızda denetim günlükleri size trafiğin tam olarak nereden geldiğini ve hangi kullanıcı adının denendiğini gösterir.

Böyle bir trafiğin istenmeyen bir risk olduğunu düşünüyorsanız, tüm ülkeleri engelleyebilirsiniz. Bunu yapmak için MalCare'in, seçtiğiniz ülkeden herhangi bir IP adresini engelleyerek bir güvenlik katmanı ekleyecek 'geoblocking' adlı bir seçeneği vardır. İşte nasıl:

• Kontrol panelinde sitenizi seçin ve ardından 'Geoblocking'i tıklayın.

• Ardından, açılır menüden engellemek istediğiniz ülkeleri seçin. "Ülkeyi Engelle"ye tıkladığınızda, "Seçili Ülkelerin IP'leri başarıyla engellendi" uyarısı görüntülenecektir.

Coğrafi engelleme veya ülke engelleme, saldırıya uğrama riskini azaltmaya yardımcı olur. Trafiğin bir kısmı meşru olabileceğinden, tüm ülkeleri engellemeniz önerilmez. Bununla birlikte, o ülkeden gelen herhangi bir trafiğe ihtiyacınız olmadığından %100 eminseniz, bir bilgisayar korsanının girmesine izin vermeyerek WordPress giriş sayfanızı güvenceye alabilmek için en iyisi bunu engellemektir.

Ayrıca Okuyun: WordPress Oturum Açma Güvenli Değil sorunları nasıl düzeltilir

5. Otomatik Çıkış

Bir hesaba giriş yapma ve hesabı açık bırakma alışkanlığına sahip olmak alışılmadık bir durum değildir. Hesaplardan çıkmadan kendinizi tarayıcıyı kapatırken bulabilirsiniz. Sisteminizi gözetimsiz bırakırsanız, bir bilgisayar korsanı tarayıcınızı yeniden açabilir ve otomatik olarak hesaplarınıza giriş yapabilir.

Bu tür alışkanlıklar saldırı riskini artırır. Bu tür riskleri azaltmak için birçok web sitesi 'otomatik çıkış' uygular. Bu, çevrimiçi bankacılıkta yaygın bir uygulamadır. Belirli bir süre hareketsiz kalırsanız, web sitesi otomatik olarak oturumunuzu kapatır. Aşağıdaki gibi bir bilgi istemi görebilirsiniz:

Bu, WordPress web sitenize uygulayabileceğiniz önemli bir önlemdir. Kullanıcı sisteminden uzaktayken oturum açmış bir hesabı kimsenin istismar etme şansının olmamasını sağlar.

Bu önlem, özellikle uzaktan veya kendi kişisel cihazlarında çalışan kişiler için önerilir. Bir web sitesi sahibi olarak, etkin olmadıklarında oturumu kapatmayı hatırlayacaklarından asla emin olamazsınız. Herkese açık bir bilgisayar veya güvenli olmayan halka açık bir Wi-Fi kullanıyorlarsa, web sitenizi daha büyük risk altına sokar.

E-bankacılık hizmetlerinin aksine WordPress, etkin olmadıklarında kullanıcıları otomatik olarak kapatmaz. Ancak Bulletproof Security gibi eklentileri kullanarak bu güvenlik önlemini uygulayabilirsiniz.

Eklenti, etkinleştirebileceğiniz 'Idle Session Logout' adlı bir güvenlik özelliğine sahiptir. Bir kullanıcının otomatik olarak oturumunun kapatılacağı etkinlik dışı kalma süresini seçebilirsiniz.

Bu önlem, sitenizin yanlış ellere geçmesini önleyecektir.

[ss_click_to_tweet tweet=”MalCare'in bu güvenlik kılavuzu ile WordPress oturum açma sayfamı kolayca güven altına aldım.” content=”MalCare'in bu güvenlik kılavuzu ile WordPress oturum açma sayfamı kolayca güven altına aldım.” stil=”varsayılan”]

Sonuç Olarak: Bu Sadece Giriş Sayfanız Değil

WordPress giriş sayfanızın güvenliğini korumak, sizi güvenli bir WordPress web sitesine bir adım daha yaklaştırır. Bilgisayar korsanları, kolayca girilebilen web sitelerini avlamayı sever. Bu nedenle, web sitenizi temel önlemlerle koruyarak, bilgisayar korsanları muhtemelen sitenizi birkaç kez deneyecek ve ardından daha kolay bir hedefe geçecektir.

Ancak bu, bilgisayar korsanlarının sitenizi hackleyemeyeceğini garanti etmez. Bilgisayar korsanları, web sitenizde buldukları tüm güvenlik açıklarını tespit eder ve bunlardan yararlanır. Güvenlik açığı olan, yüklediğiniz yeni bir eklentide olabilir. Uzun zaman önce kurduğunuz ve güncellemeyi unuttuğunuz bir tema zamanla bir güvenlik açığı geliştirmiş olabilir. Bilgisayar korsanlarının yararlandığı bu tür birçok fırsat vardır.

Gerçekten ihtiyacınız olan kapsamlı bir koruma planıdır. IP engelleme, siteyi wp-config.php ile güvenli hale getirme, WordPress güvenliği hakkındaki bu eksiksiz kılavuzu izleme ve sitenizi günün her saati koruyacak en iyi WordPress güvenlik eklentilerinden biri olan MalCare gibi birkaç güvenlik önlemi daha almanızı şiddetle tavsiye ederiz. Düzenli tarama raporlarına erişmenizi sağlar ve ayrıca önerilen WordPress güçlendirme önlemlerini uygulayabilirsiniz. Bu şekilde, WordPress sitenize girmek son derece zor olacaktır!

MalCare Güvenlik Eklentimizle sitenizi koruyun !