WordPress'te başarısız oturum açma girişimleri nasıl engellenir

Yayınlanan: 2021-10-26

Başarısız oturumlar çeşitli nedenlerle olabilir. Genellikle, parolasını gerçekten unutan bir kullanıcının sonucudur. En iyilerimizin başına gelir ki çok sert yargılamayalım. Ancak bazen daha ciddi bir şey olabilir - biri içeri girmeye çalışıyor.

Başarısız oturum açma sorunlarını giderme sanatı

Diğer tüm WordPress sorunları gibi, sorun giderme (diğer bir deyişle her şeyin özüne inmek), üstlenmemiz gereken ilk adımdır. Bu, semptomuyla değil, asıl sorunla uğraştığımızdan emin olmamıza yardımcı olacaktır. Neyse ki, bu süreci başlatmanın kolay bir yolu var – verilere bakın. Esasen, iki şeyden birini görmelisiniz:

  • Yanlış kullanıcı adı ve yanlış şifre kombinasyonları

Yanlış kullanıcı adı ve şifre kombinasyonları iki nedenden biri nedeniyle olabilir. Ya birisi ya da bir şey erişim elde etmek için bir kullanıcı adı/şifre kombinasyonunu tahmin etmeye çalışıyor ya da bu hedefe yönelik bir saldırı. İlk seçenek söz konusu olduğunda, bu oldukça yaygın bir durumdur. Aksi takdirde, web sitenize erişmek veya web sitenize aşırı yüklenmek (DoS/DDoS) için hedefli bir saldırı olabilir.

  • Doğru kullanıcı adı ve yanlış şifre kombinasyonları

Doğru kullanıcı adı ve yanlış şifre kombinasyonları iki şeyden biri anlamına gelebilir. Ya birisinin parolasını unutması gerçek bir durumdur ya da birisi WordPress'inizde kayıtlı gerçek bir kullanıcı adı keşfetti ve şimdi parolayı tahmin etmeye çalışıyor.

Bakmayı hatırlamanız gereken bir diğer şey de frekanstır. Kısa bir süre içinde çok sayıda deneme, genellikle otomatik bir saldırının işaretidir. Öte yandan, yavaş ve düzensiz bir zaman çizelgesi, henüz kahvesini içmemiş bir kişinin masalsı bir işaretidir.

Çok sayıda başarısız oturum açma girişiminin tehlikeleri

Parola tahmin eden saldırılar oldukça yaygındır. Çok sayıda başarısız WordPress oturum açma girişimi genellikle bu tür saldırıların göstergesidir. Bunu yönetmenin bir yolu olmadan sitenizi saldırılara ve kesintilere açık bırakıyor olabilirsiniz. Neyse ki, bu riski yönetmek çok kolaydır ve çok az idari çaba gerektirir.

WordPress, başarısız oturum açma girişimleri olduğunda sınırlama veya kaçınma eylemleri gerçekleştirme işlevi sunmaz. Bir kullanıcı, doğru anlayana kadar mide bulandırıcı bir şekilde denemeye devam edebilir. İnsanlara ekstra şans vermenin yapılacak etik bir şey olduğu iddia edilebilirken, limitler ve kontroller dayatmak, WordPress web sitenizin güvenliğini ve bütünlüğünü sağlamada uzun bir yol kat edebilir.

WordPress'te başarısız oturum açma girişimleri nasıl önlenir

Bir WordPress başarısız oturum açma politikası uygulamak göründüğünden daha kolaydır. Öncelikle, şimdi tartışacağımız iki seçenek arasından seçim yapabilirsiniz.

Başarısız oturumları manuel olarak sınırlayın

Bir eklenti olmadan WordPress başarısız oturum açma işlemlerini sınırlamak istiyorsanız, etkin temanın function.php dosyasını değiştirebilir ve ilgili kodu ekleyebilirsiniz. WordPress web sitelerine özel kod eklemenin birkaç yolu vardır; ancak bu, PHP'nin ve WordPress'in nasıl çalıştığının iyi anlaşılmasını gerektirir.

Bir eklenti yükleyin

Bir başka ve en pratik seçenek daha var – bir eklenti kullanın. Eklentiler, yalnızca oturum açma girişimlerini sınırlayan eklentiler ve daha da sıkı kontrol ve güvenlik için WordPress'te bir parola güvenlik politikası uygulamanıza izin veren eklentiler de dahil olmak üzere tüm şekil ve boyutlarda gelir.

WPassword böyle bir WordPress eklentisidir. Yöneticilere, WordPress web sitelerinde parolaların nasıl kullanıldığı ve yönetildiği konusunda daha fazla kontrol sağlar. Diğer birçok özelliğinin yanı sıra, başarısız oturum açma girişimleriyle açıkça ilgilenen bir politika oluşturma yeteneğini içerir.

Dikkate alınması gereken diğer şeyler

Bahsetmeye değer diğer bir seçenek de CAPTCHA'dır. Advanced noCaptcha ve görünmez Captcha gibi eklentiler, otomatik saldırıları durdurmanıza yardımcı olmakta harikadır. Bir günlük kaydı denemesi yapılmadan önce bir CAPTCHA'nın tamamlanması gerektiğinden, bu tür saldırıların arkasındaki botlar testi geçemez ve tek bir oturum açma girişiminde bulunmaz.

Başarısız oturum açma politikalarıyla ilgili konuşmalarda ortaya çıkan başka bir seçenek de IP'leri engellemektir. Bu seçenek aracılığıyla, rahatsız edici IP kara listeye alınır ve ilk etapta web sitenize erişmesi engellenir. Bu teknik olarak doğru olsa da, kalıcı bir kötü niyetli aktör, kolaylıkla farklı bir IP kullanabilir. Bu nedenle, IP'leri engelleme stratejisi genellikle bir kedi ve fare oyunu olur.

Daha iyi bir seçenek, bir CDN (İçerik Dağıtım Ağı) kullanmak ve rahatsız edici IP'leri engelleme ile ilgilenmelerine izin vermektir. Bu, üretken şeylere yatırım yapabileceğiniz değerli zamandan tasarruf etmenizi sağlayabilir.

Bir WordPress başarısız oturum açma politikası nasıl tasarlanır

Bir WordPress web sitesinde başarısız bir oturum açma politikasını uygulamaya başlamadan önce düşünmemiz gereken birkaç şey var. Diğer tüm güvenlikle ilgili sorunlar gibi, başarısız oturum açma girişimlerinin yönetimi de güvenlik/kullanılabilirlik paradoksunun sıkıntısını çeker. Bir şey ne kadar güvenliyse, o kadar az kullanılabilir hale gelir. Tersi de aynı derecede doğrudur. Kimsenin giriş yapmasına izin vermemek çok güvenli ama pek kullanışlı değil. Kullanıcılara günlüğe kaydetmede sınırsız şans vermek, güvenliği tehlikeye atabilir ancak kullanılabilirliği artırır.

Anlamanız gereken şey, kullanıcılarınıza ne kadar boşluk bırakmak istediğinizdir. Geleneksel olarak, üç girişim hem yeterli hem de makul olarak görülür. Bazıları bu fikre katılmaz ve izin verilen maksimum giriş denemesini on olarak belirler. Her iki durumda da, sınırsız giriş denemesi teklif etmek iyi bir strateji değildir ve olumsuz sonuçları olabilir.

İşin aslı, doğru ya da yanlış cevap olmadığıdır. Üç güvenli bir sayıdır, ancak idari yükü artıracaktır. On, daha düşük idari genel giderlere sahip olabilir, ancak daha fazla risk taşır.

Bu nedenle, oturum açma denemelerinin sayısını üç ile sınırlandırarak başlamak ve ardından durumu değerlendirmek isteyebilirsiniz. WPassword kullanırken bu numarayı değiştirmek çok kolaydır. Bu nedenle, politikayı kullanıcılarınıza ve koşullarınıza göre çok kolay bir şekilde uyarlayabilirsiniz.

Bir hesap kilitlendiğinde ne olacağını da düşünseniz iyi olur. Hesap, önceden yapılandırılmış bir zaman aralığından sonra otomatik olarak mı açılmalı, yoksa bir yönetici manuel olarak mı açmalı? Bu soru, öncekiyle aynı soruna yenik düşüyor: Kullanılabilirlik ve güvenlik arasında karar vermeniz gerekiyor. Politikanın bu bölümünü etkileyebilecek bir diğer önemli husus, kullanıcılarınızın konumudur. İnsanlar dünyanın diğer tarafından giriş yapıyorsa, bir hesabın kilidini açmak için sabahın ikisinde uyanmaktan mutlu musunuz? Ve değilse, bir kullanıcı tekrar oturum açmadan önce ne kadar beklemeli? Bu onların üretkenliğini veya kârlılığınızı etkiler mi?

WordPress başarısız oturum açma işlemlerini yönetmek için doğru eklentileri (ve politikayı) seçme

Parolanızın ve başarısız oturum açma politikanızın nasıl görünmesini istediğinizi anladıktan sonra, uygulama üzerinde çalışmaya başlamanız gerekir. Daha önce ana aday olarak WPassword'den bahsetmiştik. Birçok yapılandırma seçeneği sunarak parola politikanızı yapılandırırken ve uygularken size hatırı sayılır bir hareket alanı sağlar.

WordPress için başarısız oturum açma politikasını etkinleştirdikten sonra, kullanıcıların hesapları kilitlenmeden önce kaç deneme yapacaklarını seçebilirsiniz. Ayrıca, kilidin nasıl açılacağına ve aşağıda açıklandığı gibi kullanıcıları şifrelerini değiştirmeye zorlamak isteyip istemediğinize karar verebilirsiniz.

Adım 1: WPassword'ü kurun ve etkinleştirin

WPassword'ü yüklemek kolaydır. Parola güvenlik eklentisini doğrudan WP White Security'nin web sitesinden indirebilir ve ardından WordPress web sitenize yükleyebilirsiniz.

Eklentiyi yükledikten sonra, WordPress yan menüsünden Eklentiler'e tıklayın, eklentiyi bulun ve Etkinleştir'e tıklayın. Bu, tıklamanız gereken Şifre Politikaları adlı yeni bir menü seçeneği ekleyecektir.

2. Adım: Başarısız Oturum Açma Politikasını Etkinleştirin

WordPress web sitenizdeki başarısız oturum açma girişimlerini sınırlamak için Başarısız Oturum Açma İlkelerini Etkinleştir'in yanındaki onay kutusunu işaretleyin. Bir kullanıcıyı kilitlemeden önce Başarısız oturum açma denemelerinin sayısını girin, genellikle 3 – 5 iyi bir başlangıç ​​olarak kabul edilir.

Başarısız Oturum Açma Politikasını Etkinleştirme

Diğer yapılandırma seçenekleri, bir hesap kilitlendiğinde ne olacağını ve engellenen kullanıcıların engellemeyi kaldırırken şifrelerini sıfırlamalarının gerekip gerekmediğini içerir. Daha fazla bilgi için WordPress başarısız oturum açma politikası bilgi bankası makalesine bakın.

3. Adım: Ek güvenlik önlemleri alın

CAPTCHA

İnsanların botları ve diğer otomatik saldırı biçimlerini durdururken geçmesine izin vermek için tasarlanmış birçok oturum açma ve formda bulunan her yerde bulunan test olan CAPTCHA'ya da değindik. Advanced no Captcha ve görünmez Captcha gibi eklentiler, farklı sürümler için evrensel uyumluluk ve destek sunarken bu tür testlerin uygulanmasını çok kolaylaştırır.

İki faktörlü kimlik doğrulama

Oturum açma işlemlerinin güvenliğini artırmak için iki faktörlü kimlik doğrulama olmazsa olmazlardandır. Bu süreç boyunca, kullanıcıların akıllı telefonları aracılığıyla sağlanan tek seferlik bir parola girerek ikinci kez kimlik doğrulaması yapmaları gerekir. WP 2FA gibi eklentiler aracılığıyla kolayca yapabileceğiniz 2FA'yı kullanarak, şifreler ele geçirilse bile, kişinin telefonu o kullanıcı hesabına bağlı olmadığı sürece giriş yapamayacağından emin olabilirsiniz.

Adım 4: Bir adım daha ileri gitmek (Opsiyonel)

Parola ve başarısız oturum açma ilkeleri, CAPTCHA ve iki faktörlü kimlik doğrulama yürürlükteyken, iyi bir şekilde korunmalısınız.

Ancak, web sitenizde hala çok sayıda başarısız oturum açma girişimi varsa, bir CDN hizmeti kullanmayı düşünmelisiniz. Büyük ölçekli saldırılara uygun bir çözüm uygulamanıza yardımcı olması için web barındırma sağlayıcınızla konuşmak isteyebilirsiniz.

WordPress şifre güvenliği 360 yaklaşımı gerektirir

Makale boyunca gördüğümüz gibi, bir şifre politikası uygularken birkaç faktörün dikkate alınması gerekir. Başarısız WordPress girişlerini engellemek iyi bir ilk adım (ve bunda gerekli bir adım) olsa da, 360 yaklaşımını benimseyerek çok daha güvenli olabilirsiniz. Bu, yalnızca tüm temellerinizi kapsamanıza yardımcı olmakla kalmaz, aynı zamanda WordPress web sitenize daha fazla güven ve güven aşılamanıza da yardımcı olabilir.

360 derecelik bir yaklaşım, eklentiler ve temalar, barındırma, TLS, WordPress çekirdeği ve diğerleri dahil olmak üzere çeşitli faktörlere bakar. Bu şekilde, WordPress güvenliğinizin en üst düzeyde olmasını sağlayabilirsiniz.