WordPress Yönetici Alanını Güvenli Hale Getirmek İçin En İyi 12 İpucu ve Teknik

Yayınlanan: 2023-05-01

Bu blogda, WordPress web sitelerinizin yönetici alanını etkili bir şekilde güvence altına almak için en iyi teknikleri tartışacağız.

İnsanlar genellikle web sitelerinin bilgisayar korsanlarının ilgilenemeyeceği kadar küçük olduğunu düşünür. Ama bu çok büyük bir hata olur. Herhangi bir web sitesi istenmeyen e-posta, kötü amaçlı yazılım, kaba saldırılar, SQL enjeksiyonları vb.

Açıkçası, bir gün uyandığınızda web sitenizin saldırıya uğradığını ve tüm hassas verilerinizin sızdırıldığını keşfetmek istemezsiniz. Bu nedenle, WordPress web sitenizin yönetici alanını bazı güvenilir araçlarla güçlendirmek en iyisi olacaktır.

İçindekiler tablosu gösterisi
  • WordPress web sitelerinizin yönetici alanını güvence altına almak için en iyi ipuçları ve teknikler
    • 1. WordPress sürüm güncellemesi
    • 2. Güvenlik eklentileri
    • 3. Yönetici kullanıcı adını ve şifresini değiştirin
    • 4. Özel bir oturum açma URL'si oluşturun
    • 5. Giriş denemelerini sınırlayın
    • 6. Oturum açma sayfasını ve yönetici alanını bir SSL sertifikasıyla güvenceye alın
    • 7. wp-admin dizinini bir parola ile güvenli hale getirin
    • 8. Giriş sayfasına bir captcha ekleyin
    • 9. Oturum açma sayfasından hata mesajını kaldırın
    • 10. Belirli IP'lerin oturum açmasına izin verin
    • 11. İki Faktörlü Kimlik Doğrulama ile fazladan bir katman ekleyin
    • 12. Tek kullanımlık şifre (OTP)
  • Nihayet!

WordPress web sitelerinizin yönetici alanını güvence altına almak için en iyi ipuçları ve teknikler

WordPress-çalışma-dizüstü-masa-ofis

Bu güvenlik ipuçları, web sitelerini aşağıdaki gibi güvenlik açıklarından korumak için çok önemlidir:

  • Dağıtılmış Hizmet Reddi (DDoS) Saldırısı: DDoS, web sitenizi gereksiz bağlantılarla doldurup çökerterek hareketsiz hale getirir.
  • SQL enjeksiyonu (SQLi): Verileri manipüle etmek için sistemde kötü amaçlı SQL sorgularını zorla yürütür.
  • Yerel dosya dahil etme (LFI): LFI, siteyi web sunucusuna yerleştirilen kötü amaçlı dosyaları işlemeye zorlar.
  • Siteler arası istek sahteciliği (CSRF): Web kullanıcılarını güvenilir bir web uygulamasında istenmeyen eylemler gerçekleştirmeye zorlayabilir.
  • Kimlik doğrulama baypası: Bu güvenlik tehdidi, bilgisayar korsanlarının orijinallik doğrulaması olmadan web sitenizin hassas kaynaklarına erişmesini sağlar.
  • Siteler arası komut dosyası oluşturma (XSS): XSS, kötü amaçlı yazılımı web siteniz aracılığıyla taşımak için kötü amaçlı kod enjekte eder.

Web sitenizin bu güvenlik tehditlerine karşı savunmasız olmadığından emin olmak için aşağıda belirtilen ipuçlarını ve teknikleri uyguladığınızdan emin olun:

Size tavsiyemiz: WordPress Web Sitenizin Bakıma İhtiyacı Olmasının 10 Nedeni.

1. WordPress sürüm güncellemesi

senkronizasyon senkronizasyon senkronize güncelleme

Web sitenizin güvenliğini güçlendirmenin basit bir yolu, WordPress'i ve kurulu tüm güvenlik eklentilerini en son sürümlerine güncellemektir. WordPress açık kaynaktır, bu nedenle katkıda bulunanlar her yeni sürümde özellikleri ve güvenliği iyileştirmek için yorulmadan çalışırlar. Bu nedenle, web sitesinin güvenliğini artırmak için CMS'yi en son sürümüne güncellemelisiniz.

2. Güvenlik eklentileri

güvenli-WordPress-admin-güvenlik-eklentileri

WordPress ile ilgili en iyi şeylerden biri, web sitesinin mümkün olan hemen hemen her özelliği ve işlevi için bir eklenti bulabilmenizdir. Ancak, her güvenlik eklentisi giriş sayfasını korumaya uygun olmayabilir. Bu nedenle, web sitenizin yönetici alanının güvenliğini güçlendirmenin en iyi yolu, Sucuri, MalCare, Wordfence vb.

Bu eklentiler, web sitesinin performansını en ufak bir şekilde etkilemeden kötü amaçlı trafiğin engellenmesine yardımcı olur.

3. Yönetici kullanıcı adını ve şifresini değiştirin

WordPress-Dashboard-Yönetici-Alan-Yeni-Kullanıcı Ekle

Web sitesini güvenli hale getirmenin ilk yollarından biri, varsayılan kullanıcı adını ve şifreyi değiştirmektir. Her WordPress kurulumu için varsayılan olarak ilk oturum açma kullanıcı adı Yönetici'dir. Bu tür bir kullanıcı adı, bilgisayar korsanları için yalnızca bir yemdir; bundan sonra sadece şifreyi tahmin etmeleri gerekecekti.

Bu nedenle, kullanıcı adını ve parolayı daha özelleştirilmiş bir şeyle değiştirmelisiniz. İlk olarak, WordPress kontrol panelini açın. Kullanıcılar'ı seçin ve "Tüm Kullanıcılar"a tıklayın.

Kullanıcı adını "admin"den "mynameisadmin"e değiştirmek bile web sitenizi bilgisayar korsanlarından korumaya yardımcı olabilir. Parolalar söz konusu olduğunda, ne kadar güçlü olduğunu gösteren küçük bir ekran var. Bu nedenle, birinden memnun kalana kadar büyük ve küçük harf, sembol ve sayısal kombinasyonlarla farklı şifreler deneyin. Web sitesini bilgisayar korsanlarından korumak için her zaman parolanın olabildiğince güçlü olduğundan emin olun. Hatta uzmanlar, şifreleri daha belirsiz hale getirmek için harf yerine sembol ve rakam kullanılmasını bile önermektedir. Örneğin, parolanızın "Kaliforniya" olmasını istiyorsanız, bunun yerine "[email korumalı][email korumalı]" gibi bir parola seçin. Bu tahmin etmeyi zorlaştıracak.

Çoğu zaman, insanlar girmemeleri gereken bir yerde oturum açmaya çalıştıklarında, yalnızca parolaya odaklanırlar ve farklı denemelerde kullanıcı adını aynı tutarlar. Bu nedenle, hem kullanıcı adını hem de şifreyi değiştirmek mükemmel bir fikir olacaktır.

4. Özel bir oturum açma URL'si oluşturun

web sitesi-emniyet-güvenlik-https-ssl-secure-socket-layer

URL'sinden sonra /wp-login.php yazarak herhangi bir WordPress web sitesinin oturum açma sayfasına erişebilirsiniz. Örneğin, WordPress web sitenizin URL'si www.mywebsitename.com ise, oturum açma sayfasına www.mywebsitename.com/wp-login.php adresinden erişebilirsiniz.

Bu tür kolay giriş sayfası erişimi, web sitenizi siber tehditlere karşı daha savunmasız hale getirir. Bu nedenle, oturum açma URL bilgisini, WPS Hide Login gibi eklentiler aracılığıyla daha özelleştirilmiş bir şeyle değiştirin. Bu eklenti, oturum açma formu sayfasının URL'sini istediğiniz herhangi bir şeyle değiştirir ve wp-admin dizini ile wp-login.php sayfasını erişilemez hale getirir. Bu nedenle, onları kaybedebileceğiniz için bu sayfalara yer işareti koymak en iyisidir.

WPS Hide Login'i yükledikten sonra, Ayarlar'a gidin ve WordPress kontrol panelinizde WPS Hide Login'i seçin. Ardından, Oturum Açma URL'si alanına yeni bir URL girin ve değişiklikleri kaydedin. Bundan sonra, web sitenizin yönetici sayfalarına yalnızca bu sayfalar üzerinden erişilebilecektir.

Yani artık birisi kullanıcı adınızı ve şifrenizi bilginiz dışında bilse bile giriş sayfanıza erişemez ki bu büyük bir rahatlamadır. Bu nedenle, kişiselleştirilmiş oturum açma URL'leri her zaman özel WordPress geliştirmeye dahil edilir.

5. Giriş denemelerini sınırlayın

Secure-WordPress-Dashboard-Admin-Area-WordFence-Brute-Force-Protection

Bilgisayar korsanlarının web sitenizin şifresini bilmeseler bile web sitenizi hackleyebileceklerini biliyor muydunuz? Otomatik betikler aracılığıyla, doğru parolayı bulmak ve sonunda başarılı olmak için anında binlerce olası parolayı deneyebilirler. Bunun olmasını önlemek için web sitenizdeki giriş denemelerini sınırlayabilirsiniz.

Bu amaçla, WordPress'in resmi kütüphanesinde yardımcı olabilecek Wordfence Security ve Login Lockdown gibi belirli eklentiler bulunur. Bu eklentilerden herhangi birini kurduktan sonra, kaç oturum açma denemesine izin verileceğini ve oturum açma sınırını aştıktan sonra kişinin ne kadar süreyle kilitleneceğini belirleyebilirsiniz.

Örneğin, deneme sayısı için 3 ve blokaj süresi için 24 saat sınırı belirleyebilirsiniz. Bu nedenle, birinin 3'ten fazla başarısız denemesi varsa, IP'si sonraki 24 saat boyunca kilitlenir ve ardından tekrar deneyebilir.

6. Oturum açma sayfasını ve yönetici alanını bir SSL sertifikasıyla güvenceye alın

HTTP-to-HTTPS-SSL-Sertifikası

Bazen, genel bir ağda web sitenize giriş yapmanız gerekebilir ve keyfi bir saldırı durumunda sitenizi bilgisayar korsanlarına karşı savunmasız bırakabilirsiniz. Genel bir ağda, bilgisayar korsanları HTTP isteklerinize erişebilir ve oturum açma kimlik bilgilerinizi gün gibi görebilir.

Bu keyfi saldırıları önlemek için, web sitenize HTTPS üzerinden erişebileceğiniz bir SSL girişi kullanabilirsiniz. Genellikle barındırma sağlayıcısından bir SSL oturum açma sertifikası alabilirsiniz. Ancak değilse, bir tane satın almanız ve web sitenizin sunucusunda kurmanız gerekir.

Web sitenizde HTTPS üzerinde çalışacak bir SSL sertifikanız varsa, wp-config.php dosyanızı açın ve şu şekilde düzenleyin:

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

FORCE_SSL_LOGIN ile giriş sayfanız sadece HTTPS'de açılacak ve web sitenizin yönetici alanı boyunca güvenli bağlantı sağlanacaktır. Bu nedenle, WordPress geliştiricilerini işe aldığınızda, ilgilendikleri ilk güvenlik kurulumlarından biri, oturum açma sayfası ve yönetici alanı için bir SSL sertifikası kullanmaktır.

İlginizi çekebilir: Bir WordPress Web Sitesi Oluşturmak İster misiniz? Bu 13 Kolay Adımı izleyin.

7. wp-admin dizinini bir parola ile güvenli hale getirin

e-posta-güvenlik-ipuçları-benzersiz-şifre oluştur

"wp-admin" dizinini parolayla korumak, web sitenize ve WordPress yönetici alanına ikinci bir güvenlik katmanı eklemek gibidir. Buna yaklaşmanın en iyi yollarından biri, ev sahipliğinizin "Dizin Gizliliği" ayarlarıdır. wp-admin dizininizi parola ile korumak için bir cPanel web barındırıcısı kullanıyorsanız, cPanel Parola Korumasını bir Dizinde de kullanabilirsiniz.

8. Giriş sayfasına bir captcha ekleyin

wordpress-giriş-sayfası

Yönetici alanındaki captcha'lar, otomatik komut dosyaları tarafından yürütülen kaba kuvvet siber saldırılarını önlemeye yardımcı olabilir. Google reCAPTCHA, BestWebSoft tarafından reCaptcha, WPForms, vb. gibi WordPress eklentileri aracılığıyla oturum açma sayfanıza bir captcha ekleyebilirsiniz.

Bu teknik, otomatikleştirilmiş komut dosyaları aracılığıyla bilgisayar korsanlığı girişimlerini durdurmada oldukça etkilidir.

9. Oturum açma sayfasından hata mesajını kaldırın

WordPress-Yönetici-Alan-Giriş-Sayfası

Bir captcha da dahil olmak üzere, bilgisayar korsanlarının doğrudan web sitenize giriş yapmak isteyecekleri üç şey vardır. Genellikle oturum açmaya çalıştıklarında ve başarısız olduklarında, bir veya daha fazla kimlik bilgisinin yanlış olduğunu belirten bir hata mesajı görüntülenir.

Öyleyse, bilgisayar korsanlarının kullanıcı adını, parolayı ve captcha'yı girdiğini ve kimlik bilgilerinden birinin yanlış olduğunu varsayalım; "Yanlış Kullanıcı Adı" veya "Yanlış Parola" hata mesajını göreceklerdir. Bu durumda, kimlik bilgilerinden birinin doğru olduğunu bilecekler ve sadece diğeri üzerinde çalışmaları gerekecek.

Ancak hata mesajını kaldırırsanız, birini mi yoksa ikisini birden mi yanlış yerleştirdikleri konusunda yanlış yönlendirileceklerdir. Ardından, ikisi üzerinde tekrar çalışmaya başlayacaklar. Şimdi, bu stratejiye ek olarak giriş deneme sayısını sınırlandırırsanız, bilgisayar korsanlarına karşı size daha fazla zaman kazandıracaktır.

Bu nedenle, hata mesajını giriş sayfasından kaldırın.

10. Belirli IP'lerin oturum açmasına izin verin

403-Yasak-HTTP-Hata-Kodu

Web sitesinin güvenliğini sağlamak için belirli statik IP'lere erişimi sınırlayabilirsiniz. Kendi IP adresinizi biliyorsanız, wp-admin klasöründeki .htaccess dosyası aracılığıyla ona erişim verin.

Sadece wp-admin klasörünü açın, .htaccess adlı bir dosyayı düzenleyin ve şu kodu ekleyin:

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Tek yapmanız gereken 99.99.99.99'u IP'nizle veya erişim vermek istediğiniz IP ile değiştirmek.

Yani artık erişimi olmayan biri giriş yapmaya çalışırsa bu mesajı görecek.

11. İki Faktörlü Kimlik Doğrulama ile fazladan bir katman ekleyin

erişim-alarm-ev-kimlik doğrulama-kilit-güvenlik-koruma-parola-güvenli-WordPress-admin-2fa

Web sitenizin güvenliğini artırmanın bir başka yolu da, iki faktörlü kimlik doğrulama ile başka bir katman eklemek için bir WordPress eklentisi kullanmaktır. Tek yapmanız gereken WP 2FA gibi bir eklenti yüklemek ve ayarlamaktır; web siteniz otomatik komut dosyaları ve kaba kuvvet saldırıları gibi siber tehditlere karşı güvende olacaktır.

12. Tek kullanımlık şifre (OTP)

secure-WordPress-admin-OTP-emniyet-güvenlik-internet-şifre-kilidi

Adından da anlaşılacağı gibi, tek seferlik şifreler, web sitesine yalnızca bir kez geçerli olan bir şifre ile giriş yapmanızı sağlar. Bu şifreleri posta veya cep telefonu numaranıza alırsınız. OTP'ler posta ve cep telefonu aracılığıyla gönderildiğinden ve yalnızca bir oturum için iyi olduğundan, siber kafe gibi yerlerden giriş yaparken ana şifrenizin çalınmasından endişe etmenize gerek kalmayacak. Söylemeye gerek yok, bazı WordPress eklentileri giriş sayfanıza bir OTP işlevi eklemenize yardımcı olabilir.

Bu teknikler, WordPress web sitenizin yönetici alanını kaba kuvvet saldırıları, spam, kötü botlar, SQL enjeksiyonları ve en önemlisi otomatik komut dosyaları (şifre oluşturmak için) gibi siber tehditlerden korumaya yardımcı olacaktır.

Şunlar da ilginizi çekebilir: Şema Nedir? WordPress Web Sitenize Şema İşaretlemesi Nasıl Eklenir?

Nihayet!

başarı-iş-pazarlama-başarı-beğenmek-kazan-sonuç

Yeni bir WordPress web sitesi tasarladığınızda, saldırıya uğradığı düşüncesi çok uzaktır. Ama yine de bir olasılık. Bu nedenle, bilgisayar korsanlarının web sitenizin hassas bilgilerine erişememesi için yönetici alanını korumak ve güvenliğini sağlamak için güvenliği özel WordPress geliştirmesinin ayrı bir parçası haline getirmeniz gerekir.

Bu nedenle, web sitenizin bilgisayar korsanlarından korunmasını sağlamak için WordPress güncellemeleri, güvenlik eklentileri, OTP, şifrelenmiş parolalar, iki faktörlü kimlik doğrulama, captcha'lar vb. gibi bu ipuçlarını ve teknikleri listeledik. Yeni bir web sitesi oluşturmak veya eskisini güncellemek için WordPress geliştiricilerini işe alırken bu teknikleri tartıştığınızdan emin olun.

Yazar: Palak Şah

Bu makale Palak Shah tarafından yazılmıştır. Palak, WPWeb Infotech için kaliteli bir içerik yazarıdır ve WordPress, teknoloji ve küçük işletmeler hakkında yazmayı sever. İnanılmaz bir takım oyuncusu ve harika sonuçlar elde etmek için takımla yakın işbirliği içinde çalışıyor. Netflix izliyor ve büyük kişiliklerin kurgusal olmayan, kendi kendine yardım ve otobiyografilerini okuyor.