• Anasayfa
  • Nesne
  • Kılavuz
  • WordPress Giriş Sayfanızın Güvenliğini Nasıl Sağlarsınız (Tam Kılavuz)

WordPress Giriş Sayfanızın Güvenliğini Nasıl Sağlarsınız (Tam Kılavuz)

Yayınlanan: 2022-08-16

Başarılı bir WordPress web sitesi çalıştırmanın kritik bir faktörü, izleme ve güvenlik önlemleri uygulamaktır. Sonuçta, saldırıya uğramış bir site, sitenizin ticari veya kişisel amaçlarla kullanılmasından bağımsız olarak çok fazla baş ağrısına neden olabilir. Gelirinizi etkileyebilir, ziyaretçilerinizin bilgilerini riske atabilir ve itibarınızı mahvedebilir.

Bilgisayar korsanları için tipik bir giriş noktası, bugün odak noktamız olacak olan WordPress giriş sayfasıdır. Aşağıda, kötü niyetli aktörlerin sitenizi ihlal etmemesi için WordPress giriş güvenliğini güçlendirmenin 14 yolunun bir özeti bulunmaktadır.

WordPress giriş sayfanızı neden güvenli hale getirmelisiniz?

Güvenlik ipuçları listesine girmeden önce, ilk olarak WordPress giriş sayfanızı neden kaba kuvvet saldırılarına karşı veya başka bir şekilde korumak isteyebileceğinizi kısaca tartışalım.

  • WordPress çok popülerdir, bu nedenle siber suçlular genellikle çok sayıda siteden yararlanabilecekleri yeni güvenlik açıkları ararlar.
  • Bilgisayar korsanları WordPress'e aşina olduklarından, bir web sitesinin ne zaman eski olduğunu ve her sürümde hangi güvenlik açıklarının bulunduğunu bilirler.
  • Bir oturum açma sayfası aracılığıyla erişim elde etmek için bilgisayar korsanlarının her zaman gelişmiş geliştirme bilgisine veya özel becerilere ihtiyacı yoktur.

Güvenli bir WordPress giriş sayfası tutmak, web sitenizin uzun vadeli başarısı ve genel performansı için çok önemlidir.

WordPress giriş güvenliğinizi nasıl sağlamlaştırabilirsiniz?

Öyleyse neden güvenli bir WordPress girişi oluşturmanız gerektiğini biliyorsunuz, ancak bunu nasıl başarabilirsiniz? Verilerinizin veya müşteri bilgilerinizin güvenliğini şansa bırakmak zorunda kalmamanız için WordPress giriş sayfanızı düzgün bir şekilde güvenceye almanın 14 yolunu bir araya getirdik.

1. Bir WordPress güvenlik eklentisi yükleyin

Yüksek kaliteli bir WordPress güvenlik eklentisi yükleyerek çoğu güvenlik sorununu yalnızca birkaç dakika içinde halledebilirsiniz. Pek çok eklenti, bir sitenin belirli yönlerini veya belirli saldırı türlerine karşı koruma konusunda uzman olsa da, ortalama bir site için daha kapsamlı bir yaklaşım en iyisidir. Hepsi bir arada güvenlik eklentisi, denetim günlükleri, kötü amaçlı yazılım taramaları, güvenlik duvarları ve oturum açma güvenlik araçları gibi özellikleri tek bir çözümde içerecektir.

Ve önerilerimiz listesinin başında Jetpack Security var.

Jetpack Güvenlik ana sayfası

Jetpack Security, çok sayıda güvenlik görevini otomatik olarak üstlenerek çalışır. Ve hem ücretsiz hem de ücretli özelliklerle, bir WordPress web sitesine sahip herkes için bir düzeyde koruma mevcuttur. Güvenlik ihlallerini önlemek için çalışabilecek, aynı zamanda karşılaştığınız herhangi bir olayı teşhis etmenize ve kurtarmanıza yardımcı olabilecek güçlü bir özellik yelpazesine sahiptir. Bunlar şunları içerir:

  • Kaba kuvvet saldırı koruması
  • Spam önleme
  • Kötü amaçlı yazılım taraması
  • Kesinti izleme
  • Yedeklemeler
  • Etkinlik günlükleri
  • İki faktörlü kimlik doğrulama

Burada özetlenen adımların geri kalanını kendi başınıza ilerleyebilirsiniz, ancak Jetpack Security gibi bir eklenti kullanmak, oturum açma sağlamlaştırma sürecini kolaylaştıracaktır.

2. WordPress giriş URL'nizi değiştirin ve gizleyin

Giriş sayfanızı daha güvenli hale getirmenin bir başka yolu da onu meraklı gözlerden gizlemektir. Varsayılan olarak, tüm WordPress siteleri için giriş adresi http://www.websiteadiniz.com/wp-admin'dir ve bu temelde bir hırsıza ev adresinizi vermek gibidir. Yani bunu gizlemek için yapabileceğiniz her şey iyi bir fikirdir.

WordPress giriş URL'sini değiştirmek, bilgisayar korsanının işini daha zor hale getirmek için engeller koymanın harika bir yoludur. Bunu sizin için yapan bir eklenti bulabilirsiniz, ancak bunu kendiniz de yapabilirsiniz.

Bunun için web sitenize FTP erişimine ihtiyacınız olacak. Bunu öğrendikten sonra, öğreticimizdeki talimatları izleyin: WordPress Giriş URL'si: Nasıl Bulunur, Değiştirilir ve Gizlenir.

3. WordPress'te oturum açmak için güçlü bir parola kullanın

Ayrıca daha güçlü bir parolaya geçerek site güvenliğinizi artırabilirsiniz. Güçlü parola önlemleri uygulamak, bir bilgisayar korsanının veya botun bunu "tahmin edebilmesini" çok daha az olası kılar. "Fluffy21"i hatırlamak kolay olsa da, tahmin etmesi çok kolaydır - özellikle "Fluffy" sevilen bir evcil hayvanın adıysa.

İsimlere, yaşlara veya evcil hayvanlara göre şifreler seçmek yerine, harf ve sayıları, büyük ve küçük harfleri ve birkaç sembolü birleştiren bir şifre oluşturmak çok daha iyidir. Birkaç yolla güçlü bir parola oluşturabilirsiniz:

  • Yerleşik güçlü bir parola aracı. WordPress, sizi doğal olarak seçmeye meyilli olabileceğiniz parolalardan daha güçlü bir parola oluşturmaya teşvik eden güçlü bir parola aracına sahiptir.
  • Bir şifre üreticisi. Birçok şifre üreticisi, sezgisel olarak tahmin edilemeyen güçlü bir şifre geliştirmeyi kolaylaştırır.
  • Bir parola koruyucusu/yöneticisi. Güçlü parolalarla ilgili tek sorun, hatırlamalarının zor olmasıdır. Bir parola tutucu veya yönetim aracı kullanmak bu sorunu ortadan kaldırır. Popüler seçenekler arasında LastPass, DashLane ve 1Password bulunur.
LastPass ana sayfası

4. Giriş sayfanızı parolayla koruyun

Varsayılan olarak, WordPress sitenizin giriş sayfasına herkes erişebilir. Daha önce tartıştığımız gibi, oturum açma URL'nizi gizleyebilir veya değiştirebilirsiniz, ancak wp-admin klasörüne hala erişilebilirse bilgisayar korsanları onu bulabilir.

Bu nedenle, oturum açma sayfasına erişmeden önce başka bir koruma katmanı eklemek iyi bir fikirdir. Ve bunu wp-admin klasörünü parola ile koruyarak yapabilirsiniz. Web barındırıcınız cPanel kullanıyorsa, bu işlem nispeten kolaydır.

Barındırma sağlayıcı hesabınıza giriş yapın, cPanel'e erişin ve ardından Dizin Gizliliği klasörüne gidin.

Sitenizin dosyalarını görüntülerken public_html/wp-admin'e gidin. Bu dizini parola korumasını okuyan görünür bir onay kutusu olmalıdır. Kutuyu kontrol et. Ardından wp-admin klasörüne erişmek için yeni bir kullanıcı adı ve şifre oluşturun. Değişikliklerinizi kaydedin.

Her zamanki gibi sitenize giriş yapmayı deneyin. Şimdi, WordPress'te oturum açma izni verilmeden önce başka bir kimlik bilgisi girmelisiniz.

Not: Bu işlem, oturum açma sayfanızın konumunu değiştirmiş olsanız bile aynı olacaktır. wp-admin olmasa bile, oturum açma sayfanızın bulunduğu klasörü parola ile koruyun.

5. Giriş denemelerinin sayısını sınırlayın

WordPress giriş sayfasının güvenliğini sağlamak için yapmanız gereken bir diğer şey de giriş denemelerini sınırlamaktır. Bilgisayar korsanları, kodu çözene kadar tekrarlanan oturum açma girişimleri yapmak için botları kullanabilir - yani, şifrenizi bulup web sitenize erişim elde edin. Ne yazık ki, WordPress varsayılan olarak sınırsız oturum açmaya izin verir.

Bu potansiyel erişim noktasını önlemek için oturum açma girişimlerini sınırlayabilirsiniz. Bunu başarmanın en iyi yolu bir eklentidir. Aslında Jetpack Security, hepsi bir arada güvenlik çözümünün bir parçası olarak Brute Force Attack Protection sunar.

Jetpack tarafından engellenen kaba kuvvet saldırılarının sayısı

Kaba kuvvet saldırıları, bilgisayar korsanları erişim elde etmeden önce bile web sitenizin işleyişinde inanılmaz derecede yıkıcı olabilir. Örneğin, sitenizi önemli ölçüde yavaşlatabilir veya tamamen yanıt vermemesine neden olabilirler. Tekrarlanan oturum açma girişimleri sonunda başarılı olabilir ve bilgisayar korsanı daha sonra kötü amaçlı yazılım enjekte etmeye, bağlantı eklemeye veya başka bir şekilde kargaşaya neden olabilir. Bu saldırılar ayrıca kişisel bilgilerinizi riske atabilir.

Jetpack Security'de bulunan Brute Force Attack Protection özelliği, saldırıları engellemek ve kötü niyetli bilgisayar korsanlarının verilerinize erişmesini önlemek için gerekli araçları sağlar. Kötü amaçlı IP'leri sitenize ulaşmadan önce engelleyerek çalışır. Ayrıca toplam saldırı sayısı sağlar ve bilinen IP adreslerini beyaz listeye almanızı sağlar.

6. WordPress giriş formunuza bir güvenlik sorusu ekleyin

Ayrıca, oturum açma işlemine bir (veya iki) güvenlik sorusu ekleyerek oturum açma formunuzun güvenliğini artırabilirsiniz. Bu nedenle, yalnızca bir kullanıcı adı ve şifre girmek yerine, kullanıcıların erişim elde etmek için bir güvenlik sorusunu da yanıtlaması gerekir.

Bu tek adım, web sitenizi hacklemeyi çok daha zor hale getirir. Ve uygulanması nispeten kolaydır.

No-Bot Kayıt eklentisi bunu başarmanın harika bir yoludur. Eklentiler → Yeni Ekle'ye giderek indirin, ardından eklentinin adını yazın. Göründüğünde, indirin ve etkinleştirin.

Botsuz Kayıt eklentisi

Etkinleştirildiğinde, WordPress kontrol panelinden Ayarlar'a gidin. Burada eklentiyi kurabilir ve güvenlik sorularının ne zaman kullanılacağına (kayıt, oturum açma veya unutulan şifre sayfalarında) ilişkin kuralları yapılandırabilirsiniz.

Bu, yalnızca basit ve mantıklı bir soruyu yanıtlamayı gerektirdiğinden, bir CAPTCHA'dan çok daha kullanıcı dostudur.

7. WordPress'e iki faktörlü kimlik doğrulama ekleyin

Ardından, iki faktörlü kimlik doğrulamayı etkinleştirebilirsiniz. Gmail de dahil olmak üzere birçok web sitesi ve uygulama bu popüler güvenlik seçeneğini kullanır. Telefonunuza, oturum açma işlemini tamamlamadan önce girmeniz gereken bir SMS kodu göndererek çalışır.

Bu, kimliğinizi doğrulamak ve erişimin yalnızca yetkili kullanıcılara verilmesini sağlamak için kullanılır. Sürece eklediğiniz her kimlik doğrulama katmanı, birinin sitenizi hacklemesini önemli ölçüde zorlaştırır. Kötü bir oyuncu giriş bilgilerinize erişse bile, 2FA sürecini engellemeleri pek olası değildir.

WordPress'e iki faktörlü kimlik doğrulama eklemenin en kolay yolu 2FA eklentisi kullanmaktır. Birkaç güvenlik eklentisi bu özelliği içerir, ancak yine Jetpack Security, Güvenli Kimlik Doğrulama ile güçlü bir şekilde gelir.

Güvenli Kimlik Doğrulama, standart WordPress.com kimlik bilgilerinizi kullanarak oturum açmanıza ve ayrıca varsayılan oturum açma formunu tamamen devre dışı bırakmanıza veya atlamanıza olanak tanır. Ayrıca, sitenize daha fazla koruma sağlamak için tüm kullanıcılar için iki faktörlü kimlik doğrulamayı bir gereklilik haline getirmeyi seçebilirsiniz.

8. WordPress sitenize bir SSL sertifikası yükleyin

Başka bir koruma yolu da bir SSL sertifikası yüklemektir. Ücretsiz bir SSL sertifikası almak kolaydır, bu nedenle kimsenin atlamaması gereken bir güvenlik önlemidir.

SSL, çoğu web sitesinin verilerini koruma yöntemidir. URL alanındaki “HTTP”ye “S” eklendiğinden bir sitenin ne zaman güvenli olduğunu anlayabilirsiniz, bu nedenle “HTTPS” okur. Tarayıcılar, ziyaretçilerin sitenizin etkin bir SSL sertifikasına sahip olduğunu bilmelerini sağlamak için genellikle yeşil bir kilit simgesi gibi diğer görsel göstergeleri kullanır.

Güvenlik etkilerinin ötesinde, ziyaretçiler sitenizin güvenli olmadığını görürlerse sitenizde gezinmeye devam etmeyebilirler. Ayrıca, SSL sertifikasına sahip siteler arama motorlarında daha üst sıralarda yer alma eğilimindedir ve bazı tarayıcılar, sizde yoksa ziyaretçilere bir uyarı bile gösterir.

Bu adımı atlamayın. Ücretsiz bir SSL sertifikasını nasıl alacağınızı öğrenin.

9. Başarısız giriş denemelerinden sonra WordPress giriş ipuçlarını devre dışı bırakın

Giriş ipuçları, gerçek WordPress kullanıcıları için gerçekten yararlı olabilir, ancak bazen bilgisayar korsanlarına kullanıcı adınız ve şifreniz hakkında çok fazla bilgi verebilirler. Bir WordPress sitesine giriş yapmaya çalıştığınızda ve kullanıcı adını yanlış aldığınızda, “Kullanıcı adı bu sitede kayıtlı değil. Kullanıcı adınızdan emin değilseniz, bunun yerine e-posta adresinizi deneyin."

kayıtlı olmayan bir kullanıcı adıyla ilgili hata mesajı

Doğru kullanıcı adını veya e-posta adresini ancak yanlış şifreyi yazarsanız benzer bir şey olur.

yanlış şifre hatası

Oturum açma ipuçlarını kaldırmak için sitenizin function.php dosyasına birkaç satır kod eklemeniz gerekir.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Birisi - gerçek veya bot - yanlış bir kullanıcı adı veya şifre girdiğinde, varsayılan yerine "Bir hata var" mesajıyla karşılaşıyorlar.

10. WordPress kurulumunuzu ve eklentilerinizi güncel tutun

Bilgisayar korsanları ayrıca eski kurulumlar aracılığıyla WordPress sitelerine giriş noktaları bulur. WordPress her güncellendiğinde, onarılan tüm hata düzeltmeleri ve güvenlik açıkları çevrimiçi olarak yayınlanır. Kurulumunuz eskiyse, bilgisayar korsanlarının sitenizi ihlal etmek için bir kullanım kılavuzu vardır.

Yeni WordPress çekirdek güncellemeleri kullanıma sunulduğunda, sitenizi yedeklemeli ve güncellemeyi olabildiğince çabuk yüklemelisiniz.

Ancak dikkat etmeniz gereken tek şey bu değil. Üçüncü taraf yazılımlar, yani eklentiler ve temalar da potansiyel zayıf noktalardır. Eklentiler ve temalar, farklı standartlar ve yaklaşımlarla çeşitli geliştirme şirketleri tarafından yapıldığından, güncel tutulmaları daha da önemlidir.

Bu nedenle yüklediğiniz eklentiler ve temalar konusunda seçici olmalısınız. Go-to-sosyal paylaşım eklentiniz iki yıl içinde güncellenmediyse, düzenli olarak güncellenen birini bulmanın zamanı gelmiş olabilir.

11. WordPress sürüm numaranızı gizleyin

Giriş sayfasının güvenliğini artırmanın hızlı bir yolu, WordPress sürüm numarasını gizlemektir. En azından, bu, bilgisayar korsanlarının hangi güvenlik açıklarından yararlanacaklarını belirlemek için daha kapsamlı görünmesini sağlayacaktır. Ve oldukça kolay bir şekilde kaldırabilirsiniz.

Functions.php dosyasını bulun ve (sitenizi yedekledikten sonra) dosyaya aşağıdaki kod satırını ekleyin:

 remove_action('wp_head', 'wp_generator');

12. WordPress giriş kullanıcı adınızı gizleyin

Yapabileceğiniz başka bir adım, WordPress giriş kullanıcı adınızı gizlemektir. Çoğu zaman, süper güvenli bir şifre oluşturmaya önem verilir - ki bu mükemmeldir - ancak kullanıcı adınızı da düşünmeniz gerekir. Genellikle halka açıktır - bilgisayar korsanlarının yararlanabileceği bir fırsat.

Kullanıcı adınızı meraklı gözlerden gizlemenin en hızlı yolu, onu blog yazılarında ve yazar arşivlerinde görünmesini engellemektir.

Kullanıcı adınızı blog gönderilerinden kaldırmak için WordPress'te oturum açmışken Kullanıcılar → Profil → Takma ad'a gitmeniz yeterlidir. Buradan, kullanıcı adınız artık site ziyaretçileri tarafından görülmeyecek şekilde takma adı değiştirebilirsiniz. Böylece “blogperson02”yi görmek yerine adınızı, adınızı ve soyadınızı veya yapılandırdığınız başka bir takma adı görecekler.

Kullanıcı adınızın yazar arşivlerinde görünmesini engellemek için Yoast SEO gibi bir SEO eklentisine ihtiyacınız olacak.

Yoast'ı diğer eklentiler gibi kurun, ardından WordPress panosunda SEO → Arama Görünümü → Arşivler menüsüne gidin. Burada yazar arşivlerini devre dışı bırakmak için bir seçenek var. Bunu yapın, ardından Değişiklikleri Kaydet 'i tıklayın.

Yoast ile yazar arşivlerini devre dışı bırakma

13. WordPress otomatik çıkış zamanlayıcınızı kısaltın

Sık kullandığınızda hesaplarınızda oturumunuzun açık kalması yaygındır. Ancak bu, özellikle sitenizde birkaç kişinin hesabı varsa, potansiyel ihlallere neden olabilir. Otomatik oturum kapatma zamanlayıcısı uygulamak, bu güvenlik açıklarını kapatmanın harika bir yoludur.

Bir oturum katılımsız bırakıldığında, oturum otomatik olarak kapatılacaktır. Varsayılan olarak, WordPress 48 saat sonra kullanıcıların oturumunu kapatacaktır. “Beni Hatırla” kutusunun işaretlenmesi, kullanıcıların 14 gün boyunca oturum açmalarını sağlar. Üçüncü taraf bir eklenti kullanarak bu zaman dilimlerini biraz değiştirebilirsiniz. Bu özelliğe adanmış olanlardan biri Etkin Olmayan Oturum Kapatma'dır.

Kurulduktan sonra Ayarlar → Etkin Olmayan Oturumu Kapat → Temel Yönetim seçeneğine gidin. Ardından, oturum kapatmayı tetiklemek istediğiniz boşta kalma süresini seçin.

14. Eski ve kullanılmayan WordPress kullanıcı hesaplarını silin

Son olarak, artık kullanılmayan hesapları silmek de WordPress güvenliğinizi artırmanıza yardımcı olabilir. Sitenizde birden fazla açık hesaba sahip olmak, her birinin özel verilere erişim noktası olduğu anlamına gelir. Ve bu hesapların şifrelerini düzenli olarak güncellemiyorsanız, önemli zayıflıklar gösterebilirler.

Bunu önlemek için eski ve kullanılmayan hesapları silin. Bunu düzenli site bakım planınızın bir parçası yapın.

Ayrıca, yalnızca onlara ihtiyaç duyan kullanıcılara ayrıcalıklar sağlamalısınız. Her kullanıcının Düzenleyici veya Yönetici ayrıcalıklarına ihtiyacı yoktur.

Aynı şekilde, listelenen hesaplara da göz atın. Bazen, bilgisayar korsanları sahte bir hesap oluşturur. Bir tane belirirse, hemen silin ve diğer güvenlik önlemlerinizi güçlendirin. WordPress web siteniz saldırıya uğradıysa ne yapacağınızı öğrenin.

WordPress giriş sayfanızı güvenli hale getirin

Bir web sitesine sahip olmak, içeriği ve kullanıcıları için bir düzeyde sorumluluk taşımak anlamına gelir. Tabii ki, müşteri bilgilerini toplarsanız bu durum iki katına çıkar. Ancak WordPress sitenizi nasıl kullanırsanız kullanın, giriş sayfasında güvenliği artırmak, verilerinizi uzun süre güvende tutmanın harika bir yoludur.

Ve burada sunulan ipuçları, WordPress güvenlik bakımında kısa sürede verimli olmanıza yardımcı olacaktır.

İlk adımı atmaya hazır mısınız? Jetpack Security'yi kullanmaya başlayın.