WordPress Giriş Sayfanızı Nasıl Güvenli Hale Getirirsiniz?
WordPress Giriş Sayfanızı Nasıl Güvenli Hale Getirirsiniz?
Tüm site yöneticileri, WordPress giriş sayfasının güvenliği konusunda endişe duymalıdır.
WordPress, dünyadaki en popüler içerik yönetim sistemidir çünkü onunla bir web sitesi oluşturmak çok kolaydır. Ücretsiz bir CMS olmasına rağmen, güvenliğini artırmak için bazı adımlar vardır. WordPress çok öngörülebilirdir ve bu da onu bazen bilgisayar korsanları için bir hedef haline getirir.
Örneğin, WordPress giriş sayfasını alın
Her WordPress web sitesinin bir giriş sayfası vardır (/wp-admin.com veya /wp-login.php). Giriş URL’si tüm WordPress siteleri için aynı olduğundan, tüm bilgisayar korsanları sitenin giriş sayfasını ilk hedefleri haline getirir.
Güvenlik uzmanları, giriş sayfasının bir web sitesindeki en savunmasız sayfa olduğunu söylüyor. Bilgisayar korsanları her gün o sayfada kaba kuvvet saldırıları gerçekleştirmek için botlar kullanır. Oturum açma kimlik bilgilerini belirterek, CMS’nize kolayca erişebilirler. Bu nedenle, WordPress giriş sayfanızın güvenliğini artırmak için elinizden gelen her şeyi yapmalısınız.
- WordPress ile web sitesi tasarımı daha mı iyi yoksa özel mi?
- Ücretsiz ve pratik WordPress ile mağaza sitesi oluşturma adımları
Bu yazıda, size WordPress oturum açma güvenliğini iyileştirmenin ve bilgisayar korsanlığını önlemenin 5 ileri yolunu öğreteceğiz.
WordPress giriş sayfasının güvenliği nasıl artırılır?
Bu yazımızda size WordPress giriş sayfasının güvenliğini arttırmada oldukça etkili olan yöntemleri göstereceğiz:
Giriş sayfasının URL’sini değiştirme (giriş sayfası)
İki adımlı doğrulamayı etkinleştir
Oturum açma girişimi sınırını ayarlayın
Kullanıcı adı keşfini engelle
Otomatik oturum kapatmayı kullanma
Yukarıdakilere güçlü parolalar uygulamaya ve SSL sertifikaları yüklemeye yer vermediğimizi fark etmişsinizdir. Çünkü bu eylemleri yapmak herkes için bir zorunluluktur ve bunları zaten yaptığınızı varsayıyoruz.
Not: Aşağıda bahsettiğimiz adımları gerçekleştirmek için bir veya iki eklenti kurmanız gerekmektedir. Ve en iyi eklentilerin bile sitede sorunlara neden olabileceğini biliyoruz. Bu nedenle, devam etmeden önce web sitenizin bir yedeğini alın.
1. Giriş sayfasının URL’sini değiştirme (giriş sayfası)
Yazının başında da söylediğimiz gibi varsayılan WordPress giriş sayfası aşağıdaki gibidir:
www.website.com/wp-admin/
veya
www.website.com/wp-login.php/
WordPress oturum açma sayfalarını hedefleyen botlar tasarlayan bilgisayar korsanları da dahil olmak üzere herkes bunu biliyor. Ve çoğu kişi zayıf şifreler kullandığından, giriş sayfasında bir web sitesini hacklemek çok kolaydır.
Sonuç olarak, WordPress giriş sayfasının güvenliğini artırmanın yollarından biri giriş URL’sini değiştirmektir.
Yeni bir özel oturum açma sayfası URL’si oluşturmak kolaydır. Bunu birkaç tıklamayla yapmanıza izin veren bir dizi eklenti vardır.
Bu işlemi yapmak için WPS Hide Login eklentisini kullanacağız. WPS Hide Login eklentisini yükleyin ve etkinleştirin. Ayarlar >> WPS Girişi Gizle’ye gidin.
Sayfanın en altına gidin, Oturum Açma URL’si alanına yeni URL’yi girin ve Değişiklikleri Kaydet’i tıklayın.
Bundan sonra, sitenizin yönetici kontrol paneline yalnızca yeni URL ile girebilirsiniz.
2. WordPress oturum açma güvenliğini artırmak için iki adımlı doğrulamayı etkinleştirme
Facebook ve Gmail kullanırken iki adımlı kimlik doğrulama ile karşılaşmış olmalısınız. Hizmetler, genellikle hesabınıza giriş yapmak istediğinizde kayıtlı cep telefonu numaranıza benzersiz bir kod gönderir. Bu güvenlik önlemi, yalnızca hesap sahibinin erişebilmesini sağlamak için uygulanmaktadır. Bilgisayar korsanları şifrenizi ele geçirseler bile, kayıtlı cep numaranıza gönderilen benzersiz kodu çalmalarının hiçbir yolu yoktur.
İki faktörlü kimlik doğrulama, WordPress web sitenize de uygulanabilir. Aslında giriş sayfasına bir güvenlik katmanı ekler. Tek yapmanız gereken aşağıdaki eklentilerden birini yüklemek:
İki faktörlü bir kimlik doğrulama eklentisi kurmak çok kolaydır. Bu eğitimde Google Authenticator miniOrange kullanıyoruz.
Google Authenticator miniOrange’ı yükleyin. Eklentiyi etkinleştirir etkinleştirmez başlatma widget’ı görünecektir. İlk seçeneği, yani Google Authenticator’ı seçin.
Ardından, akıllı telefonunuza Google Authenticator uygulamasını indirin. Uygulamayı açın ve QR kodunu tarayın.
Program bir kod üretir. Kurulum widget’ına girin ve Kaydet’e tıklayın.
WordPress 2FA oturum açma güvenliği artık oturum açma sayfanızda etkinleştirildi.
3. Oturum açma girişimi sınırını ayarlama
WordPress, kullanıcılarına sınırsız oturum açma denemesi sağlar. Bu kulağa zararsız gelebilir, ancak dürüst olmak gerekirse, göze batan bir güvenlik açığıdır.
Sınırsız oturum açma denemesi, bilgisayar korsanlarının kaba kuvvet saldırıları gerçekleştirmesine olanak tanır. Bu tür saldırılarda bilgisayar korsanları, doğru kullanıcı adı ve parola kombinasyonunu bulmak için botları kullanır. Botlar, uygun güvenilirliği elde etmeden önce birkaç kez başarısız olacaktır. Bot saldırılarıyla mücadele etmenin en etkili yollarından biri, giriş denemelerini sınırlamaktır.
Aşağıdaki eklentiler bunu yapmanıza yardımcı olacaktır:
Giriş denemelerinin sayısını sınırlamak için Limit Login Attempts Reloaded eklentisini kullanıyoruz. Eklentiyi yükleyin ve ardından Ayarlar >> Giriş Denemelerini Sınırla >> Yerel Uygulama’ya gidin. Burada, web sitenize kaç giriş denemesine izin verildiğini belirleyebilirsiniz. Ve belirli sayıda oturum açma girişiminden sonra bir kişinin ne kadar süreyle kilitleneceği.
4. Kullanıcı adının keşfedilmesini önleyin
Tipik olarak, bir kullanıcı adı bir paroladan daha az önemlidir. Ancak durum böyle değil çünkü kullanıcı adı kredinizin yarısıdır. Bu yüzden bir şifre gibi korunmalıdır.
Bir WordPress web sitesinde, gönderilerde ve yazar arşivlerinde görüntülenen kullanıcı adlarını göreceksiniz. Neyse ki, ikisini de devre dışı bırakmanın bir yolu var.
Bu, herhangi bir SEO eklentisinin yardımıyla yapılabilir. Bu bölümde, bunu göstermek için Yoast SEO kullanıyoruz.
SEO → Arama Görünümü → Arşivler’e gidin ve ardından Yazar Arşivlerini devre dışı bırakın. Değişikliği kaydet’i tıklayın.
Varsayılan olarak görünen ad ve kullanıcı adı (oturum açmak için kullandığınız kullanıcı adı) aynıdır. Kullanıcı adının keşfedilmesini önlemek için görünen adı başka bir adla değiştirebilirsiniz.
Kullanıcılar >> Kimlik >> Takma Ad’a gidin. Görünen adı doğrudan değiştiremezsiniz. Önce nicki değiştirmelisin. Ardından, aşağıdaki açılır menüden yeni bir takma ad seçin.
5. Otomatik oturum kapatmayı kullanma
Web sitelerinden otomatik çıkış, casuslara karşı koruma sağlar. Kullanıcılar oturumu gözetimsiz bıraktığında, otomatik oturum kapatma oturumu sonlandırır ve web sitesini korur.
WordPress’in varsayılan davranışı, oturum çerezinin süresi dolduktan 48 saat sonra kullanıcının oturumunu kapatmaktır. Kullanıcı “Beni Hatırla” kutusunu işaretlediyse, 14 gün boyunca oturum açmış olursunuz. Boşta kalma süresi nedeniyle oturumu sonlandırmak için ayrı bir eklenti yüklemeniz gerekir.
Aşağıdaki eklentiler, etkin olmayan bir kullanıcı oturumunu sonlandırmak için oturumu kapatmanıza yardımcı olur:
Eklentiyi etkinleştirin ve ardından Ayarlar >> Etkin Olmayan Çıkış’a gidin. Boşta kalma süresi için saati ayarlayın. Role dayalı zaman aşımları için seçenekler de vardır.
WordPress giriş sayfasının güvenliği hakkında sonuç
Yukarıda tartışıldığı gibi, bilgisayar korsanlarının bir siteyi hacklemeye yönelik ilk girişimleri, sitenizin giriş sayfasına girmektir, bu nedenle siteyi güvende tutmak çok önemlidir. Bu eğitimde, size bunu yapmanın çok pratik 5 yolunu öğrettik.
