WordPress Yönetici Alanını Güvenli Hale Getirmek İçin En İyi 12 İpucu ve Teknik
Yayınlanan: 2023-05-01Bu blogda, WordPress web sitelerinizin yönetici alanını etkili bir şekilde güvence altına almak için en iyi teknikleri tartışacağız.
İnsanlar genellikle web sitelerinin bilgisayar korsanlarının ilgilenemeyeceği kadar küçük olduğunu düşünür. Ama bu çok büyük bir hata olur. Herhangi bir web sitesi istenmeyen e-posta, kötü amaçlı yazılım, kaba saldırılar, SQL enjeksiyonları vb.
Açıkçası, bir gün uyandığınızda web sitenizin saldırıya uğradığını ve tüm hassas verilerinizin sızdırıldığını keşfetmek istemezsiniz. Bu nedenle, WordPress web sitenizin yönetici alanını bazı güvenilir araçlarla güçlendirmek en iyisi olacaktır.
- WordPress web sitelerinizin yönetici alanını güvence altına almak için en iyi ipuçları ve teknikler
- 1. WordPress sürüm güncellemesi
- 2. Güvenlik eklentileri
- 3. Yönetici kullanıcı adını ve şifresini değiştirin
- 4. Özel bir oturum açma URL'si oluşturun
- 5. Giriş denemelerini sınırlayın
- 6. Oturum açma sayfasını ve yönetici alanını bir SSL sertifikasıyla güvenceye alın
- 7. wp-admin dizinini bir parola ile güvenli hale getirin
- 8. Giriş sayfasına bir captcha ekleyin
- 9. Oturum açma sayfasından hata mesajını kaldırın
- 10. Belirli IP'lerin oturum açmasına izin verin
- 11. İki Faktörlü Kimlik Doğrulama ile fazladan bir katman ekleyin
- 12. Tek kullanımlık şifre (OTP)
- Nihayet!
WordPress web sitelerinizin yönetici alanını güvence altına almak için en iyi ipuçları ve teknikler
Bu güvenlik ipuçları, web sitelerini aşağıdaki gibi güvenlik açıklarından korumak için çok önemlidir:
- Dağıtılmış Hizmet Reddi (DDoS) Saldırısı: DDoS, web sitenizi gereksiz bağlantılarla doldurup çökerterek hareketsiz hale getirir.
- SQL enjeksiyonu (SQLi): Verileri manipüle etmek için sistemde kötü amaçlı SQL sorgularını zorla yürütür.
- Yerel dosya dahil etme (LFI): LFI, siteyi web sunucusuna yerleştirilen kötü amaçlı dosyaları işlemeye zorlar.
- Siteler arası istek sahteciliği (CSRF): Web kullanıcılarını güvenilir bir web uygulamasında istenmeyen eylemler gerçekleştirmeye zorlayabilir.
- Kimlik doğrulama baypası: Bu güvenlik tehdidi, bilgisayar korsanlarının orijinallik doğrulaması olmadan web sitenizin hassas kaynaklarına erişmesini sağlar.
- Siteler arası komut dosyası oluşturma (XSS): XSS, kötü amaçlı yazılımı web siteniz aracılığıyla taşımak için kötü amaçlı kod enjekte eder.
Web sitenizin bu güvenlik tehditlerine karşı savunmasız olmadığından emin olmak için aşağıda belirtilen ipuçlarını ve teknikleri uyguladığınızdan emin olun:
Size tavsiyemiz: WordPress Web Sitenizin Bakıma İhtiyacı Olmasının 10 Nedeni.
1. WordPress sürüm güncellemesi
Web sitenizin güvenliğini güçlendirmenin basit bir yolu, WordPress'i ve kurulu tüm güvenlik eklentilerini en son sürümlerine güncellemektir. WordPress açık kaynaktır, bu nedenle katkıda bulunanlar her yeni sürümde özellikleri ve güvenliği iyileştirmek için yorulmadan çalışırlar. Bu nedenle, web sitesinin güvenliğini artırmak için CMS'yi en son sürümüne güncellemelisiniz.
2. Güvenlik eklentileri
WordPress ile ilgili en iyi şeylerden biri, web sitesinin mümkün olan hemen hemen her özelliği ve işlevi için bir eklenti bulabilmenizdir. Ancak, her güvenlik eklentisi giriş sayfasını korumaya uygun olmayabilir. Bu nedenle, web sitenizin yönetici alanının güvenliğini güçlendirmenin en iyi yolu, Sucuri, MalCare, Wordfence vb.
Bu eklentiler, web sitesinin performansını en ufak bir şekilde etkilemeden kötü amaçlı trafiğin engellenmesine yardımcı olur.
3. Yönetici kullanıcı adını ve şifresini değiştirin
Web sitesini güvenli hale getirmenin ilk yollarından biri, varsayılan kullanıcı adını ve şifreyi değiştirmektir. Her WordPress kurulumu için varsayılan olarak ilk oturum açma kullanıcı adı Yönetici'dir. Bu tür bir kullanıcı adı, bilgisayar korsanları için yalnızca bir yemdir; bundan sonra sadece şifreyi tahmin etmeleri gerekecekti.
Bu nedenle, kullanıcı adını ve parolayı daha özelleştirilmiş bir şeyle değiştirmelisiniz. İlk olarak, WordPress kontrol panelini açın. Kullanıcılar'ı seçin ve "Tüm Kullanıcılar"a tıklayın.
Kullanıcı adını "admin"den "mynameisadmin"e değiştirmek bile web sitenizi bilgisayar korsanlarından korumaya yardımcı olabilir. Parolalar söz konusu olduğunda, ne kadar güçlü olduğunu gösteren küçük bir ekran var. Bu nedenle, birinden memnun kalana kadar büyük ve küçük harf, sembol ve sayısal kombinasyonlarla farklı şifreler deneyin. Web sitesini bilgisayar korsanlarından korumak için her zaman parolanın olabildiğince güçlü olduğundan emin olun. Hatta uzmanlar, şifreleri daha belirsiz hale getirmek için harf yerine sembol ve rakam kullanılmasını bile önermektedir. Örneğin, parolanızın "Kaliforniya" olmasını istiyorsanız, bunun yerine "[email korumalı][email korumalı]" gibi bir parola seçin. Bu tahmin etmeyi zorlaştıracak.
Çoğu zaman, insanlar girmemeleri gereken bir yerde oturum açmaya çalıştıklarında, yalnızca parolaya odaklanırlar ve farklı denemelerde kullanıcı adını aynı tutarlar. Bu nedenle, hem kullanıcı adını hem de şifreyi değiştirmek mükemmel bir fikir olacaktır.
4. Özel bir oturum açma URL'si oluşturun
URL'sinden sonra /wp-login.php yazarak herhangi bir WordPress web sitesinin oturum açma sayfasına erişebilirsiniz. Örneğin, WordPress web sitenizin URL'si www.mywebsitename.com ise, oturum açma sayfasına www.mywebsitename.com/wp-login.php adresinden erişebilirsiniz.
Bu tür kolay giriş sayfası erişimi, web sitenizi siber tehditlere karşı daha savunmasız hale getirir. Bu nedenle, oturum açma URL bilgisini, WPS Hide Login gibi eklentiler aracılığıyla daha özelleştirilmiş bir şeyle değiştirin. Bu eklenti, oturum açma formu sayfasının URL'sini istediğiniz herhangi bir şeyle değiştirir ve wp-admin dizini ile wp-login.php sayfasını erişilemez hale getirir. Bu nedenle, onları kaybedebileceğiniz için bu sayfalara yer işareti koymak en iyisidir.
WPS Hide Login'i yükledikten sonra, Ayarlar'a gidin ve WordPress kontrol panelinizde WPS Hide Login'i seçin. Ardından, Oturum Açma URL'si alanına yeni bir URL girin ve değişiklikleri kaydedin. Bundan sonra, web sitenizin yönetici sayfalarına yalnızca bu sayfalar üzerinden erişilebilecektir.
Yani artık birisi kullanıcı adınızı ve şifrenizi bilginiz dışında bilse bile giriş sayfanıza erişemez ki bu büyük bir rahatlamadır. Bu nedenle, kişiselleştirilmiş oturum açma URL'leri her zaman özel WordPress geliştirmeye dahil edilir.
5. Giriş denemelerini sınırlayın
Bilgisayar korsanlarının web sitenizin şifresini bilmeseler bile web sitenizi hackleyebileceklerini biliyor muydunuz? Otomatik betikler aracılığıyla, doğru parolayı bulmak ve sonunda başarılı olmak için anında binlerce olası parolayı deneyebilirler. Bunun olmasını önlemek için web sitenizdeki giriş denemelerini sınırlayabilirsiniz.
Bu amaçla, WordPress'in resmi kütüphanesinde yardımcı olabilecek Wordfence Security ve Login Lockdown gibi belirli eklentiler bulunur. Bu eklentilerden herhangi birini kurduktan sonra, kaç oturum açma denemesine izin verileceğini ve oturum açma sınırını aştıktan sonra kişinin ne kadar süreyle kilitleneceğini belirleyebilirsiniz.
Örneğin, deneme sayısı için 3 ve blokaj süresi için 24 saat sınırı belirleyebilirsiniz. Bu nedenle, birinin 3'ten fazla başarısız denemesi varsa, IP'si sonraki 24 saat boyunca kilitlenir ve ardından tekrar deneyebilir.
6. Oturum açma sayfasını ve yönetici alanını bir SSL sertifikasıyla güvenceye alın
Bazen, genel bir ağda web sitenize giriş yapmanız gerekebilir ve keyfi bir saldırı durumunda sitenizi bilgisayar korsanlarına karşı savunmasız bırakabilirsiniz. Genel bir ağda, bilgisayar korsanları HTTP isteklerinize erişebilir ve oturum açma kimlik bilgilerinizi gün gibi görebilir.
Bu keyfi saldırıları önlemek için, web sitenize HTTPS üzerinden erişebileceğiniz bir SSL girişi kullanabilirsiniz. Genellikle barındırma sağlayıcısından bir SSL oturum açma sertifikası alabilirsiniz. Ancak değilse, bir tane satın almanız ve web sitenizin sunucusunda kurmanız gerekir.
Web sitenizde HTTPS üzerinde çalışacak bir SSL sertifikanız varsa, wp-config.php dosyanızı açın ve şu şekilde düzenleyin:
// Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);
FORCE_SSL_LOGIN ile giriş sayfanız sadece HTTPS'de açılacak ve web sitenizin yönetici alanı boyunca güvenli bağlantı sağlanacaktır. Bu nedenle, WordPress geliştiricilerini işe aldığınızda, ilgilendikleri ilk güvenlik kurulumlarından biri, oturum açma sayfası ve yönetici alanı için bir SSL sertifikası kullanmaktır.
İlginizi çekebilir: Bir WordPress Web Sitesi Oluşturmak İster misiniz? Bu 13 Kolay Adımı izleyin.
7. wp-admin dizinini bir parola ile güvenli hale getirin
"wp-admin" dizinini parolayla korumak, web sitenize ve WordPress yönetici alanına ikinci bir güvenlik katmanı eklemek gibidir. Buna yaklaşmanın en iyi yollarından biri, ev sahipliğinizin "Dizin Gizliliği" ayarlarıdır. wp-admin dizininizi parola ile korumak için bir cPanel web barındırıcısı kullanıyorsanız, cPanel Parola Korumasını bir Dizinde de kullanabilirsiniz.
8. Giriş sayfasına bir captcha ekleyin
Yönetici alanındaki captcha'lar, otomatik komut dosyaları tarafından yürütülen kaba kuvvet siber saldırılarını önlemeye yardımcı olabilir. Google reCAPTCHA, BestWebSoft tarafından reCaptcha, WPForms, vb. gibi WordPress eklentileri aracılığıyla oturum açma sayfanıza bir captcha ekleyebilirsiniz.
Bu teknik, otomatikleştirilmiş komut dosyaları aracılığıyla bilgisayar korsanlığı girişimlerini durdurmada oldukça etkilidir.
9. Oturum açma sayfasından hata mesajını kaldırın
Bir captcha da dahil olmak üzere, bilgisayar korsanlarının doğrudan web sitenize giriş yapmak isteyecekleri üç şey vardır. Genellikle oturum açmaya çalıştıklarında ve başarısız olduklarında, bir veya daha fazla kimlik bilgisinin yanlış olduğunu belirten bir hata mesajı görüntülenir.
Öyleyse, bilgisayar korsanlarının kullanıcı adını, parolayı ve captcha'yı girdiğini ve kimlik bilgilerinden birinin yanlış olduğunu varsayalım; "Yanlış Kullanıcı Adı" veya "Yanlış Parola" hata mesajını göreceklerdir. Bu durumda, kimlik bilgilerinden birinin doğru olduğunu bilecekler ve sadece diğeri üzerinde çalışmaları gerekecek.
Ancak hata mesajını kaldırırsanız, birini mi yoksa ikisini birden mi yanlış yerleştirdikleri konusunda yanlış yönlendirileceklerdir. Ardından, ikisi üzerinde tekrar çalışmaya başlayacaklar. Şimdi, bu stratejiye ek olarak giriş deneme sayısını sınırlandırırsanız, bilgisayar korsanlarına karşı size daha fazla zaman kazandıracaktır.
Bu nedenle, hata mesajını giriş sayfasından kaldırın.
10. Belirli IP'lerin oturum açmasına izin verin
Web sitesinin güvenliğini sağlamak için belirli statik IP'lere erişimi sınırlayabilirsiniz. Kendi IP adresinizi biliyorsanız, wp-admin klasöründeki .htaccess dosyası aracılığıyla ona erişim verin.
Sadece wp-admin klasörünü açın, .htaccess adlı bir dosyayı düzenleyin ve şu kodu ekleyin:
order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all
Tek yapmanız gereken 99.99.99.99'u IP'nizle veya erişim vermek istediğiniz IP ile değiştirmek.
Yani artık erişimi olmayan biri giriş yapmaya çalışırsa bu mesajı görecek.
11. İki Faktörlü Kimlik Doğrulama ile fazladan bir katman ekleyin
Web sitenizin güvenliğini artırmanın bir başka yolu da, iki faktörlü kimlik doğrulama ile başka bir katman eklemek için bir WordPress eklentisi kullanmaktır. Tek yapmanız gereken WP 2FA gibi bir eklenti yüklemek ve ayarlamaktır; web siteniz otomatik komut dosyaları ve kaba kuvvet saldırıları gibi siber tehditlere karşı güvende olacaktır.
12. Tek kullanımlık şifre (OTP)
Adından da anlaşılacağı gibi, tek seferlik şifreler, web sitesine yalnızca bir kez geçerli olan bir şifre ile giriş yapmanızı sağlar. Bu şifreleri posta veya cep telefonu numaranıza alırsınız. OTP'ler posta ve cep telefonu aracılığıyla gönderildiğinden ve yalnızca bir oturum için iyi olduğundan, siber kafe gibi yerlerden giriş yaparken ana şifrenizin çalınmasından endişe etmenize gerek kalmayacak. Söylemeye gerek yok, bazı WordPress eklentileri giriş sayfanıza bir OTP işlevi eklemenize yardımcı olabilir.
Bu teknikler, WordPress web sitenizin yönetici alanını kaba kuvvet saldırıları, spam, kötü botlar, SQL enjeksiyonları ve en önemlisi otomatik komut dosyaları (şifre oluşturmak için) gibi siber tehditlerden korumaya yardımcı olacaktır.
Şunlar da ilginizi çekebilir: Şema Nedir? WordPress Web Sitenize Şema İşaretlemesi Nasıl Eklenir?
Nihayet!
Yeni bir WordPress web sitesi tasarladığınızda, saldırıya uğradığı düşüncesi çok uzaktır. Ama yine de bir olasılık. Bu nedenle, bilgisayar korsanlarının web sitenizin hassas bilgilerine erişememesi için yönetici alanını korumak ve güvenliğini sağlamak için güvenliği özel WordPress geliştirmesinin ayrı bir parçası haline getirmeniz gerekir.
Bu nedenle, web sitenizin bilgisayar korsanlarından korunmasını sağlamak için WordPress güncellemeleri, güvenlik eklentileri, OTP, şifrelenmiş parolalar, iki faktörlü kimlik doğrulama, captcha'lar vb. gibi bu ipuçlarını ve teknikleri listeledik. Yeni bir web sitesi oluşturmak veya eskisini güncellemek için WordPress geliştiricilerini işe alırken bu teknikleri tartıştığınızdan emin olun.
Yazar: Palak Şah
Bu makale Palak Shah tarafından yazılmıştır. Palak, WPWeb Infotech için kaliteli bir içerik yazarıdır ve WordPress, teknoloji ve küçük işletmeler hakkında yazmayı sever. İnanılmaz bir takım oyuncusu ve harika sonuçlar elde etmek için takımla yakın işbirliği içinde çalışıyor. Netflix izliyor ve büyük kişiliklerin kurgusal olmayan, kendi kendine yardım ve otobiyografilerini okuyor.