WordPress yönetim paneline çok fazla saldırı mı alıyorsunuz? Yönetici alanını yetkisiz erişime karşı korumak, birçok yaygın güvenlik tehdidi engellemenizi sağlar. Bu makalede, size bazı önemli ipuçlarını ve WordPress yönetim panelini korumak için yapılan güvenlik önlemlerini göstereceğim.
1. WordPress Firewall Eklentisi Kullanın
WordPress Firewall eklentisi veya WAF, web sitesi trafiğini izler ve şüpheli isteklerin web sitenize ulaşmasını engeller.
Gelişmiş bir web sitesine sahip olan kişiler bir takım ücret ödeyerek, web sitesini korumak için bulut tabanlı bir WAF sunan bir web sitesi güvenlik ve izleme servisi alıyor. Bunlardan en popüler olarak kullanılan firewall eklentisi ise Sucuri’dir.
Sucuri’nin popüler olmasının nedenlerine gelince web sitenizin tüm trafiği önce bulut proxy’sinden geçiyor, burada her isteği analiz ediyor ve şüpheli olanları web sitenize ulaşmasını engelliyorlar. Web sitenizi muhtemel saldırı girişimleri, kimlik avı, kötü amaçlı yazılımlar ve diğer kötü amaçlı faaliyetlerden alıkoyuyor.
Paralı güvenlik uygulamalarının yanı sıra Wordfence Security ve ya Bulletproof Security gibi popüler firewall eklentilerinin basic programlarını ücretsiz olarak kullanabilirsiniz.
2. WordPress Admin Panelini Şifre ile Koruyun
WordPress yönetici alanınız zaten WordPress şifrenizle korunuyor. Bununla birlikte, WordPress wp-admin dizininize şifre koruması eklenmesi, web sitenize ikinci bir güvenlik katmanı ekler.
Öncelikle Hosting yönetici panelinden cPanel’e giriş yapın ve ardından “Dizin Gizliliği” ikonuna tıklayın.
Sonra, /public_html / dizininde bulunan wp-admin klasörünü seçmeniz gerekecektir. Bunu yapabilmek için /public_html’in sağında bulunan klasöre tıklayın.
Bir sonraki ekranda, ‘Bu dizine şifre koruması koyun.” seçeneğinin yanındaki kutuyu işaretlemeniz ve korumalı dizin için bir ad vermeniz gerekir.
Ardından, bir kullanıcı adı / şifre girmeniz ve daha sonra kaydet düğmesine basmanız istenir.
İşlem bu kadar, şimdi birisi web sitenizde WordPress admin veya wp-admin dizinini ziyaret etmeye çalışırsa kullanıcılardan kullanıcı adı ve parola girmesi istenecektir.
3. WordPress Giriş Ekranında İki Adımlı Doğrulama kullanın
İki adımlı doğrulama, parolalarınıza başka bir güvenlik katmanı ekler. Parolayı tek başına kullanmak yerine, telefonunuzdaki Google Authenticator uygulaması tarafından oluşturulan bir doğrulama kodunu girmenizi ister.
Birisi WordPress şifrenizi tahmin edebiliyor olsa bile, yönetici paneline giriş yapabilmek için Google Authenticator koduna ihtiyaç duyacaktır.
Bu konu hakkında detaylı bir makale yazmayı düşünüyorum, şimdilik sadece eklenti linkini bırakıyorum. Google Authenticator
4. Giriş Girişimlerini Sınırlayın
Varsayılan olarak, WordPress kullanıcılara şifreleri istediği gibi birçok kez girmelerini sağlar. Bu, birisinin farklı kombinasyonlar girerek WordPress parolanızı tahmin etmeye çalışmasına olanak sağlar. Ayrıca bilgisayar korsanlarının şifreleri kırmak için otomatik komut dosyaları kullanmalarına izin verir.
Bunu düzeltmek için sizlere tavsiyem iThemes Security eklentisini yüklemeniz ve etkinleştirmenizdir. Etkinleştirme sonrasında, eklenti ayarlarını yapılandırmak için WordPress yönetici panelinden Security > Setting sayfasından “Local Brute Force Protection” ayarlarına girin.
Max Login Attempts Per Host: Bir kullanıcının bilgisayarında sistemin dışında kalması için giriş denemesi sayısı.
Max Login Attempts Per User: Kullanıcıların kullanıcı adı sisteme kilitlenmeden önceki giriş girişimleri sayısı.
Minutes to remember bad Login: Hatalı girişlerin hatırlanması için gereken dakika sayısı.
Automatically ban “admin” user: “Admin” kullanıcı adını kullanarak giriş yapmayı deneyen birini hemen yasaklar.
5. Giriş “Hata Bildirimini” Devre Dışı Bırakın
Başarısız bir giriş girişimi üzerine WordPress, kullanıcılara kullanıcı adlarının veya şifrelerinin hatalı olup olmadığını söyleyen hata bildirimlerini gösterir. Bu hata bildirimleri birisi tarafından kötü niyetli girişimler için kullanılabilir.
Aşağıda ki kodları temanızın functions.php dosyasına ekleyerek hata bildirimlerini kolayca gizleyebilirsiniz.
function no_wordpress_errors(){
return ‘Something is wrong!’;
}
add_filter( ‘login_errors’, ‘no_wordpress_errors’ );
6. Her Zaman Güncel WordPress Kullanın
WordPress sıklıkla yazılımın yeni sürümlerini yayınlar. WordPress’in her yeni sürümünde önemli hata düzeltmeleri, yeni özellikler ve güvenlik düzeltmeleri bulunur.
Sitenizde WordPress’in daha eski bir sürümünü kullanmak, bilinen açıkları ve potansiyel güvenlik açıklarını açık bırakır. Bunu düzeltmek için WordPress’in en yeni sürümünü kullandığınızdan emin olmanız gerekir.
Benzer şekilde, WordPress eklentileri genellikle yeni özellikler eklemek veya güvenlik ve diğer sorunları düzeltmek için güncellenir. WordPress eklentilerinizin de güncel olduğundan emin olun.
7. Her Zaman Güçlü Parolalar Kullanın
Eğer siteniz popülerleşmeye başladıysa hackerların gözüne yavaştan girdiniz demektir. Özellikle şifreniz de yeterince kompleks değilse tehlike çanlarının çaldığının göstergesidir. WordPress sitenizi de içeren tüm çevrimiçi hesaplarınız için daima güçlü parolalar kullanın. Parolalarınızda harf, rakam ve özel karakterlerin bir kombinasyonunu kullanmanızı öneririm. Bu, bilgisayar korsanlarının sizin şifrenizi tahmin etmesini zorlaştırıyor.
function no_wordpress_errors(){
return ‘Something is wrong!’;
}
add_filter( ‘login_errors’, ‘no_wordpress_errors’ );
kod tam olarak hangi satıra gelecektir, konulduğunda sorun ile karşılaşıyoruz site açılmıyor
functions.php dosyasının en alt satırına ekleyebilirsin.