WordPress yönetici alanınızda çok sayıda saldırı görüyor musunuz? Yönetici alanını yetkisiz erişimden korumak, birçok yaygın güvenlik tehdidini engellemenize olanak tanır. Bu yazıda, WordPress yönetici alanınızı korumak için size bazı önemli ipuçlarını ve saldırıları göstereceğiz.
1. Bir Web Sitesi Uygulama Güvenlik Duvarı kullanın
Bir web sitesi uygulaması güvenlik duvarı veya WAF, web sitesi trafiğini izler ve şüpheli isteklerin web sitenize ulaşmasını engeller.
Piyasada birkaç WordPress güvenlik duvarı eklentisi olsa da Sucuri kullanmanızı öneririz. Web sitenizi korumak için bulut tabanlı bir WAF sunan bir web sitesi güvenlik ve izleme hizmetidir.
Web sitenizin tüm trafiği önce bulut proxy’lerinden geçer, burada her bir isteği analiz eder ve şüpheli olanların web sitenize ulaşmasını engeller. Web sitenizi olası bilgisayar korsanlığı girişimlerinden, kimlik avından, kötü amaçlı yazılımlardan ve diğer kötü niyetli faaliyetlerden korur.
Daha fazla ayrıntı için, Sucuri’nin bir ayda 450.000 saldırıyı engellememize nasıl yardımcı olduğunu görün.
2. Şifre Korumalı WordPress Yönetici Dizini
WordPress yönetici alanınız zaten WordPress şifreniz tarafından korunmaktadır. Ancak, WordPress yönetici dizininize parola koruması eklemek, web sitenize başka bir güvenlik katmanı ekler.
Öncelikle WordPress hosting cPanel panonuza giriş yapın ve ardından ‘Password Protect Dizinleri’ veya ‘Directory Privacy’ simgesine tıklayın.
Ardından, normalde / public_html / dizininde bulunan wp-admin klasörünüzü seçmeniz gerekecektir.
Bir sonraki ekranda, ‘Bu dizini parola ile koru’ seçeneğinin yanındaki kutuyu işaretlemeniz ve korumalı dizin için bir ad girmeniz gerekir.
Bundan sonra, izinleri ayarlamak için kaydet düğmesine tıklayın.
Ardından, geri düğmesine basmanız ve ardından bir kullanıcı oluşturmanız gerekir. Bir kullanıcı adı / şifre girmeniz ve ardından kaydet düğmesine tıklamanız istenecektir.
Artık birisi web sitenizdeki WordPress admin veya wp-admin dizinini ziyaret etmeye çalıştığında, kullanıcı adını ve şifreyi girmesi istenecek.
Daha ayrıntılı talimatlar için, WordPress yönetici (wp-admin) dizininin nasıl parola ile korunacağına ilişkin kılavuzumuza bakın.
3. Her Zaman Güçlü Parolalar Kullanın
WordPress siteniz dahil tüm çevrimiçi hesaplarınız için her zaman güçlü parolalar kullanın. Şifrelerinizde harf, rakam ve özel karakter kombinasyonu kullanmanızı öneririz. Bu, bilgisayar korsanlarının şifrenizi tahmin etmesini zorlaştırır.
Yeni başlayanlar tarafından sık sık tüm bu şifreleri nasıl hatırlayacağımızı sorarız. En basit cevap, ihtiyacın olmadığıdır. Bilgisayarınıza ve telefonlarınıza yükleyebileceğiniz gerçekten harika bazı şifre yöneticisi uygulamaları var.
Bu konu hakkında daha fazla bilgi için, WordPress’e yeni başlayanlar için şifreleri yönetmenin en iyi yolu hakkındaki kılavuzumuza bakın.
4. WordPress Giriş Ekranına İki Adımlı Doğrulamayı Kullanın
İki adımlı doğrulama, parolalarınıza başka bir güvenlik katmanı ekler. Yalnızca şifreyi kullanmak yerine, telefonunuzda Google Authenticator uygulaması tarafından oluşturulan bir doğrulama kodunu girmenizi ister.
Birisi WordPress şifrenizi tahmin edebilse bile, içeri girmek için yine de Google Authenticator koduna ihtiyaç duyacaktır.
Ayrıntılı adım adım talimatlar için Google Authenticator kullanarak WordPress’te 2 adımlı doğrulamanın nasıl kurulacağına ilişkin kılavuzumuza bakın.
5. Oturum Açma Girişimlerini Sınırlayın
Varsayılan olarak WordPress, kullanıcıların istedikleri kadar şifre girmesine izin verir. Bu, birisinin farklı kombinasyonlar girerek WordPress şifrenizi tahmin etmeye devam edebileceği anlamına gelir. Ayrıca bilgisayar korsanlarının parolaları kırmak için otomatik komut dosyaları kullanmasına da olanak tanır.
Bunu düzeltmek için Login LockDown eklentisini kurmanız ve etkinleştirmeniz gerekir. Etkinleştirdikten sonra, eklenti ayarlarını yapılandırmak için Ayarlar »Oturum Açma Kilitleme sayfasını ziyaret edin.
Ayrıntılı talimatlar için, WordPress’te oturum açma girişimlerini neden sınırlamanız gerektiğine ilişkin kılavuzumuza bakın.
6. Oturum Açma Erişimini IP Adresleriyle Sınırlandırın
WordPress girişini güvenli hale getirmenin bir başka harika yolu, erişimi belirli IP adresleriyle sınırlandırmaktır. Bu ipucu, sizin veya yalnızca birkaç güvenilir kullanıcının yönetici alanına erişmesi gerekiyorsa özellikle yararlıdır.
Bu kodu .htaccess dosyanıza eklemeniz yeterlidir.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx </LIMIT>
Xx değerlerini kendi IP adresinizle değiştirmeyi unutmayın. İnternete erişmek için birden fazla IP adresi kullanıyorsanız, bunları da eklediğinizden emin olun.
Ayrıntılı talimatlar için .htaccess kullanarak WordPress yöneticisine erişimin nasıl sınırlandırılacağına ilişkin kılavuzumuza bakın.
7. Oturum Açma İpuçlarını Devre Dışı Bırakın
Başarısız bir giriş denemesinde, WordPress, kullanıcılara kullanıcı adlarının yanlış mı yoksa şifre mi olduğunu söyleyen hatalar gösterir. Bu oturum açma ipuçları kötü niyetli girişimler için birisi tarafından kullanılabilir.
Bu kodu temanızın functions.php dosyasına veya siteye özel bir eklentiye ekleyerek bu giriş ipuçlarını kolayca gizleyebilirsiniz.
function no_wordpress_errors(){ return 'Something is wrong!'; } add_filter( 'login_errors', 'no_wordpress_errors' ); 8. Kullanıcıların Güçlü Parolalar Kullanmasını İste
Çok yazarlı bir WordPress sitesi çalıştırırsanız, bu kullanıcılar profillerini düzenleyebilir ve zayıf bir şifre kullanabilir. Bu şifreler kırılabilir ve birisinin WordPress yönetici alanına erişmesine izin verebilir.
Bunu düzeltmek için Force Strong Passwords eklentisini kurabilir ve etkinleştirebilirsiniz. Kutudan çıkar çıkmaz çalışır ve yapılandırmanız gereken hiçbir ayar yoktur. Etkinleştirildikten sonra, kullanıcıların daha zayıf şifreleri kaydetmesini engeller.
Mevcut kullanıcı hesapları için parola gücünü kontrol etmez. Bir kullanıcı zaten zayıf bir parola kullanıyorsa, parolasını kullanmaya devam edebilir.
9. Tüm Kullanıcılar için Parolayı Sıfırlayın
Çok kullanıcılı WordPress sitenizde şifre güvenliği konusunda endişeli misiniz? Tüm kullanıcılarınızdan şifrelerini sıfırlamalarını kolayca isteyebilirsiniz.
Öncelikle, Acil Parola Sıfırlama eklentisini kurmanız ve etkinleştirmeniz gerekir. Etkinleştirmenin ardından Kullanıcılar »Acil Durum Parola Sıfırlama sayfasına gidin ve ‘Tüm Parolaları Sıfırla’ düğmesine tıklayın.
Ayrıntılı talimatlar için, WordPress’teki tüm kullanıcılar için parolaların nasıl sıfırlanacağına ilişkin kılavuzumuza bakın.
10. WordPress’i Güncel Tutun
WordPress genellikle yazılımın yeni sürümlerini yayınlar. WordPress’in her yeni sürümü, önemli hata düzeltmeleri, yeni özellikler ve güvenlik düzeltmeleri içerir.
Sitenizde WordPress’in eski bir sürümünü kullanmak sizi bilinen istismarlara ve olası güvenlik açıklarına açık bırakır. Bunu düzeltmek için, WordPress’in en son sürümünü kullandığınızdan emin olmanız gerekir. Bu konu hakkında daha fazla bilgi için, neden her zaman WordPress’in en son sürümünü kullanmanız gerektiğine dair kılavuzumuza bakın.
Benzer şekilde, WordPress eklentileri de yeni özellikler sunmak veya güvenlik ve diğer sorunları düzeltmek için sıklıkla güncellenir. WordPress eklentilerinizin de güncel olduğundan emin olun.
11. Özel Oturum Açma ve Kayıt Sayfaları Oluşturun
Birçok WordPress sitesi, kullanıcıların kaydolmasını gerektirir. Örneğin, üyelik siteleri, öğrenim yönetim siteleri veya çevrimiçi mağazalar, kullanıcıların bir hesap oluşturmasına ihtiyaç duyar.
Ancak, bu kullanıcılar hesaplarını WordPress yönetici alanına giriş yapmak için kullanabilirler. Bu büyük bir sorun değil çünkü sadece kullanıcı rolleri ve yeteneklerinin izin verdiği şeyleri yapabilecekler. Ancak, kullanıcıların kaydolması, profillerini yönetmesi ve oturum açması için bu sayfalara ihtiyaç duyduğunuzdan, oturum açma ve kayıt sayfalarına erişimi uygun şekilde sınırlamanızı engeller.
Bunu düzeltmenin kolay yolu, özel oturum açma ve kayıt sayfaları oluşturmaktır, böylece kullanıcılar doğrudan web sitenizden kaydolabilir ve oturum açabilir.
Ayrıntılı adım adım talimatlar için, WordPress’te özel oturum açma ve kayıt sayfalarının nasıl oluşturulacağına ilişkin kılavuzumuza bakın.
12. WordPress Kullanıcı Rolleri ve İzinleri Hakkında Bilgi Edinin
WordPress, farklı kullanıcı rolleri ve yeteneklerine sahip güçlü bir kullanıcı yönetim sistemi ile birlikte gelir. WordPress sitenize yeni bir kullanıcı eklerken onlar için bir kullanıcı rolü seçebilirsiniz. Bu kullanıcı rolü, WordPress sitenizde neler yapabileceklerini tanımlar.
Yanlış kullanıcı rolü atamak, insanlara ihtiyaç duyduklarından daha fazla yetenek verebilir. Bundan kaçınmak için, WordPress’te hangi yeteneklerin farklı kullanıcı rolleriyle geldiğini anlamanız gerekir. Bu konu hakkında daha fazla bilgi için yeni başlayanlar için WordPress kullanıcı rolleri ve izinlerine bakın.
13. Kontrol Paneli Erişimini Sınırlayın
Bazı WordPress sitelerinin kontrol paneline erişmesi gereken belirli kullanıcıları ve olmayan bazı kullanıcıları vardır. Ancak, varsayılan olarak tümü yönetici alanına erişebilir.
Bunu düzeltmek için, Pano Erişimini Kaldır eklentisini kurmanız ve etkinleştirmeniz gerekir. Etkinleştirmenin ardından Ayarlar »Kontrol Paneli Erişimi sayfasına gidin ve sitenizdeki yönetici alanına hangi kullanıcı rollerinin erişebileceğini seçin.
Daha ayrıntılı talimatlar için, WordPress’te pano erişiminin nasıl sınırlandırılacağına ilişkin kılavuzumuza bakın.
14. Boştaki Kullanıcılardan Çıkış Yapın
WordPress, açık bir şekilde çıkış yapana veya tarayıcı penceresini kapatana kadar kullanıcıların oturumunu otomatik olarak kapatmaz. Bu, hassas bilgiler içeren WordPress siteleri için bir endişe olabilir. Bu nedenle finans kurumu web siteleri ve uygulamaları, etkin olmadıklarında kullanıcıların oturumlarını otomatik olarak kapatır.
Bunu düzeltmek için Idle User Logout eklentisini kurabilir ve etkinleştirebilirsiniz. Etkinleştirmenin ardından, Ayarlar »Boşta Kalan Kullanıcı Oturum Kapatma sayfasına gidin ve kullanıcıların otomatik olarak çıkış yapmasını istediğiniz süreyi girin.
Daha fazla ayrıntı için, WordPress’te boşta kalan kullanıcıların otomatik olarak nasıl çıkış yapacağına ilişkin makalemize bakın.
Bu makalenin, WordPress yönetici alanınızı korumak için bazı yeni ipuçları ve hackler öğrenmenize yardımcı olacağını umuyoruz. Yeni başlayanlar için adım adım WordPress güvenlik kılavuzumuzu da görmek isteyebilirsiniz.
