WordPress Yönetici Alanınızı Nasıl Korursunuz: 15 İpucu

15 Ekim 2023
Makaleler

İnternet güvenliği endişeleri her yerde artıyor ve kendi WordPress yönetici alanınız güvenlik tehditlerine açık olabilir. Bu güvenlik tehditlerinden bazıları endişe verici derecede yaygındır, fakat neyse ki en yaygın sorunların düzeltilmesi çok kolaydır. Bu yazıda, WordPress yönetici alanınızı saldırılardan korumanın birkaç kolay yolunu ele alacağız.

Yönetici alanınızı güvende tutmak için şunları yapabilirsiniz:

  • Daima Güçlü Bir Parola Kullanın

  • İki Faktörlü Kimlik Doğrulamayı Tanıtın

  • Giriş Denemelerini Sınırla

  • Giriş Sayfanıza CAPTCHA ekleyin

  • Oturum Açma Sayfasından Hata Mesajını Kaldırma

  • Ele Geçirilmiş Parolaları Değiştirin

  • Giriş Erişimini Kısıtla

  • SSL kullan

  • Özel Giriş URL’si oluşturun

  • Kontrol Paneli Erişimini Sınırla

  • Boştaki Kullanıcıların Oturumunu Kapatın

  • Acil Durum Sıfırlama Şifreleri

  • Güvenlik Duvarı Kullanın

  • WordPress Yönetici Dizininizi Parolayla Koruyun

  • Her Şeyi Güncelle

Daima Güçlü Bir Parola Kullanın

Daima Güçlü Bir Parola Kullanın

Bu bir verili olmalıdır: Önemli bir şey bir yana, hiçbir şey için varsayılan bir parolaya güvenmemelisiniz ve aynı şey zayıf parolalar için de geçerlidir. En endişe verici şekilde, milyonlarca insan şifre olarak 123456’yı kullanıyor.

Bu yüzden her zaman güçlü bir parola kullanın. Ama tam olarak güçlü bir parola nedir?

Son on yıldır internetteyseniz, bir şifrenin “en az bir rakam, bir özel karakter, bir Mısır hiyeroglifi” vb. Bu aslında işin gerçeğinden çok da uzak değil: online olarak kolayca erişilebilen sözlük sözcüklerini, adları, doğum tarihlerini ve diğer kişisel verileri kullanmaktan kaçının. Bir şifre oluşturucu kullanın (online olarak bunlardan çok sayıda var) ve sizin için hiçbir anlam ifade etmeyen bir şifreyi hatırlamaktan endişe ediyorsanız, bir şifre yöneticisi aracı kullanmanızı öneririz.

Ayrıca tüm kullanıcılarınızın, özellikle yönetici kimlik bilgilerine sahip kullanıcıların güçlü parolalar kullanmasını zorunlu kılmalısınız.

İki Faktörlü Kimlik Doğrulamayı Tanıtın

İki Faktörlü Kimlik Doğrulamayı Tanıtın

Potansiyel bilgisayar korsanları için kolayca kurulabilen bir başka engel de iki faktörlü kimlik doğrulama eklemektir. En basit ifadeyle, iki faktörlü kimlik doğrulama, parolaya ek olarak kullanıcı kimliği gerektirir, böylece oturum açma verileriniz tehlikeye girse veya kötü niyetli bir kullanıcı tarafından bilinse bile yönetici alanınıza erişemezler.

Bu durum kullanıcının cep telefonuna metin yoluyla gönderilen başka bir kod biçimindeki benzersiz bir tanımlayıcıyı veya ek bir defalık şifreyi veya benzerini içerir.

Giriş Denemelerini Sınırla

Giriş sayfanızı daha fazla korumak için, web sitenizdeki giriş denemelerinin sayısını sınırlamanızı öneririz. Bazen bir bilgisayar korsanı, web sitenize erişmek için kaba kuvvet saldırısı adı verilen bir şey kullanır. Bu temelde şifrenizi tahmin etme eylemidir. Tabii ki, bu bir insan tarafından yapılmaz: bilgisayar korsanları, parolanıza rastlamalarını umarak binlerce tahminde bulunmak için komut dosyaları kullanır. Bu arada, sözlük kelimelerinden kaçınmanızın nedeni de budur.

Herkes şifresini unutur veya zaman zaman yazım hatası yapar. Bu yüzden bir giriş sınırlayıcıyı makul bir şekilde kullanın, fakat kullanın. İyi niyetli bir kullanıcı yine de birçok kez oturum açmayı başaramıyorsa, bu dünyanın sonu değil – birden çok başarısız oturum açma girişimiyle uğraşmak size biraz zaman kaybettirebilir, fakat bir bilgisayar korsanının arka uca erişmesinin sonuçları web sitesi çok daha kötü.

Giriş Sayfanıza CAPTCHA ekleyin

Giriş Sayfanıza CAPTCHA ekleyin

CAPTCHA, Bilgisayarları ve İnsanları Ayırmak için Tamamen Otomatik Genel Turing testi anlamına gelir. Özetle, insan girdisini makine girdisinden ayırmanın kolay bir yoludur. Bu durum web sitenizi CAPTCHA ile korursanız, kaba kuvvet saldırılarını daha da zorlaştıracağınız ve aksi takdirde web sitenize ekstra bir güvenlik katmanı ekleyeceğiniz anlamına gelir.

Oturum Açma Sayfasından Hata Mesajını Kaldırma

Varsayılan olarak WordPress, yanlış giriş verileri giren bir kullanıcıyı yanlış bir kullanıcı adı veya yanlış bir şifre kullanarak oturum açmaya çalışırsa ve bunlardan hangisinin yanlış olduğunu bilgilendirecektir. Bir bilgisayar korsanının, bildiği gerçek verilerinizin bir kısmını kullanarak oturum açmaya çalıştığını varsayarsak, bu yararlı bir ipucudur. Aşağıdaki kodu functions.php dosyanıza ekleyerek hata mesajını kaldırabilirsiniz:

add_filter('login_errors',create_function('$a', "return null;"));

Functions.php dosyanıza Görünüm/Tema Düzenleyici’ye gidip sağ taraftaki menüden seçerek erişebilirsiniz. Yukarıdaki kod satırını yapıştırın, fakat zaten orada olabilecek diğer kodları bozmadığınızdan emin olun.

Ele Geçirilmiş Parolaları Değiştirin

Ele Geçirilmiş Parolaları Değiştirin

Çok uzun bir süre boyunca, tüm şifreleri periyodik olarak – genellikle üç aylık aralıklarla – değiştirmek geleneksel bir fikirdi. Bu şekilde, şifrenizin ele geçirilmesi durumunda, şifrenin geçerli olduğu sürenin olası zararı sınırlanmış olur.

Bu günlerde, bir güvenlik ihlalinin farkında olmadığınız sürece, genellikle güçlü bir parola tutmanız önerilir. Pwned oldum mu gibi bir web sitesi kullanabilirsiniz. bilinen kullanıcı veri ihlallerini kontrol etmek için.

Giriş Erişimini Kısıtla

Yönetici alanınızı korumak için yapabileceğiniz başka bir şey de oturum açma erişimini kapalı bir IP adresi kümesiyle kısıtlamaktır. Elbette, bir IP adresini maskelemenin yolları vardır, fakat bu, bir bilgisayar korsanının aşması gereken başka bir engeldir.

Ayrıca bunu yalnızca statik IP adresleri olan kullanıcılar için önerebiliriz. Kullanıcılarınızın statik veya dinamik IP adresleri kullanıp kullanmadığından emin değilseniz, önceden öğrendiğinizden emin olun.

Bir IP adresine oturum açma erişimine izin vermek için, bu kodu web sitenizin wp-admin klasöründe bulunan .htaccess dosyasına ekleyin:

order deny, allow
allow from XX.XX.XX.XX
deny from all

Elbette, yer tutucu IP’yi (XX.XX.XX.XX) uygun bir IP adresiyle değiştirmeniz gerekir. Başka bir adres eklemek için, dosyanıza başka bir izin satırı eklemeniz yeterlidir.

Fakat bazı dosyaların gizlenmiş olabileceğini ve .htaccess dosyasını bulmakta sorun yaşayabileceğinizi unutmayın.

SSL kullan

SSL, Güvenli Yuva Katmanı anlamına gelir ve online olarak kullanılan standart bir veri şifreleme protokolüne indirgenir. Teknik düzeyde, HTTP yerine HTTPS aktarım protokolünün kullanılmasını içerir, fakat bu, ortalama bir kullanıcı için neredeyse hiçbir şey ifade etmez.

Ortalama bir kullanıcı için çok şey ifade eden ve eden şey, ücretsiz olarak bir SSL sertifikasının nasıl ekleneceğine ilişkin eğitimimizdir. Yalnızca kötü amaçlı yazılımları engellemekle kalmaz, aynı zamanda web sitesi hızı üzerinde olumlu bir etkiye sahiptir.

Özel Giriş URL’si oluşturun

İnternetin yaklaşık %40’ına güç sağlayan WordPress, pek çok web sitesinin sonunda aynı temel mimariye sahip olması şaşırtıcı olmamalıdır: bir web sitesi URL’sine wp-login.php ekleyin ve oturum açma sayfasına ulaştınız.

Bunun yerine web sitenize özel benzersiz bir oturum açma URL’si oluşturabilir ve böylece daha az becerikli bilgisayar korsanlarından bazılarını engelleyebilir veya en azından saldırılarını kolayca otomatikleştirme fırsatından mahrum kalabilirsiniz. Nasıl kod yazacağınızı bilmenize bile gerek yok: Theme My Login gibi ücretsiz bir eklenti kullanılarak özel bir oturum açma sayfası oluşturmak kolayca yapılabilir.

Kontrol Paneli Erişimini Sınırla

Kontrol Paneli Erişimini Sınırla

Kullanıcılarınızın web sitenizi kullanmak için kaydolması gerekebilir, fakat tüm kullanıcılarınızın kontrol panelinize erişebilmesi gerekmez. Ayrıca ne kadar çok kullanıcınız olursa, yönergelere bağlı kalmayan ve kolayca kırılabilir veya güvenliği ihlal edilmiş bir parola kullanan bir kullanıcı edinme olasılığınız o kadar artar.

Çözüm, kontrol panelinize erişimi role göre güvenilir kullanıcılarla sınırlandırmaktır: süper yöneticiler, yöneticiler ve editörler. Gerekli işlevsellik, (örneğin) ücretsiz ve kullanıcı dostu bir eklenti olan Remove Dashboard Access ile sağlanır.

Boştaki Kullanıcıların Oturumunu Kapatın

Yukarıda açıklanan ipuçlarının çoğu gibi, bu da kullanıcı hatasıyla ilgilidir. Bununla birlikte kullanıcı hatasının türü farklıdır. Yetkisiz kullanıcıların oturum açmasını engellemek için ne yaparsanız yapın, bir kullanıcı cihazına yetkisiz bir kişiye erişim izni verirse, hiçbir anlam ifade etmeyecektir.

Boştaki kullanıcıların oturumunu kapatmak, tam da bu olasılığa karşı bir korumadır: oturum açmışken cihazını kaybeden bir kişi veya başkalarının erişebildiği bir cihazı kullanan ve oturumu kapatmayı unutan bir kişi. WordPress’in varsayılan olarak bir oturumda üst sınırı yoktur, bu nedenle bir kullanıcı teorik olarak süresiz olarak oturum açabilir. Bu durum Etkin Olmayan Oturum Kapatma gibi bir eklentiyle giderilir.

Acil Durum Sıfırlama Şifreleri

Belirli bir kullanıcının güvenliği ihlal edilirse, parolasını sıfırlayabilir ve yeniden güvenli hale getirebilirsiniz. Yerel ana bilgisayarda parolaları sıfırlamak için birkaç yöntem deneyebilir veya veritabanından bir parola sıfırlayabilirsiniz. Özellikle çok sayıda kullanıcının veya bir grup kullanıcının etkilenmesi durumunda, MASS Kullanıcı Parola Sıfırlama gibi bir eklentiyi de deneyebilirsiniz.

Bunu, güvenliği ihlal edilen kullanıcı tekrar oturum açtıktan hemen sonra güçlü bir parola seçerek takip edilmelidir.

Güvenlik Duvarı Kullanın

Güvenlik Duvarı Kullanın

Güvenlik duvarı, web sitenizin aldığı trafik için bir filtredir ve bunlardan çok sayıda vardır. Barındırma sağlayıcınız zaten bir güvenlik duvarı sunuyor olabilir veya kendi güvenlik duvarınızı kurabilir ve istenmeyen trafiği filtreleyebilirsiniz.

Her ikisini de kullanmanızı engelleyen hiçbir şey yok: barındırma sağlayıcınızın bir güvenlik duvarı olsa bile, korumanızı ikiye katlayabilir ve bir şekilde sağlayıcınızın savunmasını zorlayan istenmeyen trafiği dışarıda tutmak için bir WordPress güvenlik duvarı eklentisi yükleyebilirsiniz.

WordPress Yönetici Dizininizi Parolayla Koruyun

Bazı kritik dosyaları içeren wp-admin klasörünüzü parola ile koruyarak web sitenizin arka ucuna ek bir koruma katmanı ekleyebilirsiniz. Bunu yapmak için, hosting sağlayıcınızın cPanel panosunu kullanın; burada Dizin Gizliliği klasör simgesini bulabilirsiniz.

Oraya vardığınızda, public_html/wp-admin’e gidin ve Bu dizini Parola ile koruyun seçeneğini işaretleyin. Daha sonra dizin için oturum açma kimlik bilgileri oluşturmanız istenecek ve o andan itibaren, wp-admin klasörüne erişmeye çalışan herkesin atlayabileceği başka bir çember olacaktır.

Her Şeyi Güncelle

Her Şeyi Güncelle

Eski temalar ve eklentiler ile WordPress’in kendisi bir sorumluluktur. Aslında, WordPress’in, temaların ve eklentilerin sık sık güncellenmesinin bir nedeni de güvenlik açıklarını onarmaktır. Bir geliştirici işsiz kalabilir ve bir yazılım parçasını tamamen terk etmeyi seçebilir ve birçok kullanıcıyı savunmasız bırakabilir.

Bu sebeple güncelliğini yitirmiş bir yazılımı asla kullanmamalısınız. Bir güncelleme mevcutsa, alın. WordPress’i güncelleyin, temanızı güncelleyin, eklentilerinizi güncelleyin – her şeyi güncelleyin.

Çözüm Yolu

İşte WordPress yönetici alanınızı nasıl koruyacağınızla ilgili ipuçları listemiz. Bu ipuçlarının çoğunun uygulanması tam anlamıyla bir dakikadan az sürer ve ücretsizdir, bu nedenle yönetici alanınızı vicdan sahibi olmayan insanlardan daha az korumanın yollarını arıyorsanız, tam bir araç kutunuz var. Ve son olarak, her şey başarısız olursa en son yedeklemeye geri dönün.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Birlikte Büyüyen Bir İş Kurma Fırsatı!

İş birliği yaparak, işinizi yalnızca bir adım öteye taşıyoruz. Daha detaylı bilgi isterseniz mail adresinizi bize iletebilirsiniz.

  • Arin Yazılım © 2014 – 2024 · Tüm hakları saklıdır
Bize Ulaşın