WordPress Admin Panelini Güvende Tutmak

0
41

WordPress admin panelini güvende tutmak tüm WordPress sitenizi güvende tutmak demektir. Hemen hemen herkes WordPress admin paneline varsayılan olarak nasıl erişileceğini bilir. Bunu engellemek ve WordPress admin panelini güvende tutmak için web sitenizde bir dizi güvenlik işlemleri gerçekleştirmelisiniz. Bilgisayar korsanlarının bu sayfaların giriş alanlarını bulup saldırmaları kolaydır. Buyüzden hack saldırılar, WordPress sitelerinde görülen en yaygın saldırı türleri arasındadır. Peki WordPress admin panelinin çok basit koruyucu önlemleri uygulayarak korunacağını biliyor musunuz? Bugün sizlere bu koruma tekniklerinin ne kadar yararlı olduğunu ve onları nasıl uygulayacağınızı göstereceğim.

Eğer WordPress alt yapısı kullanarak oluşturduğunuz bir web siteniz varsa ve WordPress admin panelini nasıl güvende tutacağınızı bilmiyorsanız internet sitenizin güvenliği için bu yazıyı sonuna kadar okuyun ve anlatılanları mutlaka adım adım uygulayın.

KONU BAŞLIKLARI

1- Admin Panel İçin Güçlü Şifreler Kullanın

WordPress’in güvenliği güçlü bir parola ile başlar. Güçlü bir şifre karmaşık ve özenlidir. Tanınan kelimeler, adlar, tarihler veya sayılar içermediğinden tahmin etmek kolay değildir. Web sitenizin şifresini düzenli olarak değiştirdiğinizden emin olun. Birçok kişi hâlâ şifre olarak “123456” ya da sevilen birinin doğum gününü kullanmaktadır. Ancak, bu kolay tahmin edilebilir şifreler web sitenizi bilgisayar korsanlarının saldırılarına karşı savunmasız bırakmaktadır.

Bu yüzden güçlü bir şifre oluştururken, en az 20 karakter (Tercihen daha fazla) büyük ve küçük harfler, sayılar ve ünlem soru işareti gibi özel karakterler ekleyerek şifrenizin gücünü arttırabilirsiniz. Örnek olarak bahsettiğimiz yönergelere uygun “ Br89?Hek16!!@gck??K0l “ şeklinde şifreler kullanabilirsiniz. Daha güçlü bir parola oluşturmanıza yardımcı olması için bir parola oluşturma aracı da kullanabilirsiniz. Kullanıyorsanız güvenli bir araç kullandığınızdan emin olun!

WordPress kurulumunu yaparken wp-admin paneline erişmek için zaten bir kullanıcı adı ve şifre belirtmiştiniz eğer parolanızıGüçlü Şifreler Kullanın yönergemize uygun olarak oluşturduysanız bu işlem admin panelini koruma altına alacaktır. Bu işlem tek başına yeterli değildir.  WodPress yönetici alanını güvence altına almanın bir diğer yolu Hosting firmanızın size sunduğu kontrol paneli üzerinden wp-admin dizinini şifrelemektir.

2- Kullanıcı Adını ”Admin” Olark Ayarlamayın

WordPres’de kullanıcı adlarının pekde bir önemi yoktur. (Bu benim Görüşüm) Çünkü wp-admin panelinin korunması ilk olarak oluşturacağınız güçlü bir şifreyle gerçekleşir. Ama yinede siz WordPress kurulumu yaparken ”admin” kullanıcı adını kullanmayın. Eğer admin olarak kurulum yapmışsanız bunu hemen değiştirin. Genelde Bilgisayar korsanları kullanıcı adlarını kolayca tahmin edebilir. Bunu yapmak istediklerinde tarayıcının adres satırına küçük bir kod ekleyerek gerçekleştirebilirler. Örneğin herhangi bir WordPress’le oluşturulmuş web sitesine girdiklerinde tarayıcının adres satırına https://siteismi/?author=1 şeklinde bir kod eklediklerinde artık wp-admin panel kullanıcı adını biliyorlar demektir. Geriye sadece deneme yanılma yöntemiyle hack’lemek istedikleri admin panelinin şifresini öğrenmek kalıyor.

Sadece kullanıcı adı ve şifrelerle web siteleriniz bilgisayar korsanlarının saldırılarına maruz kalmayacaktır. Havij tarzı programlarla sql açıkları tespit edilerek veritabanındaki bilgileri cekmek suretiyle web sitenize zarar verilebilir. bu yüzden sql açıklarınıda kontrol etmlisiniz.

3- Çok Sayıda Yapılan Hatalı Giriş Denemelerini Sınırlayın

Bazı bilgisayar korsanları deneme yanılma yöntemiyle wordpress admin paneline erişmeye çalışır. Bu amaçlarına, kolay tahmin edilen kullanıcı adı ve şifreleri kullanarak ulaşmaya çalışırlar. Muhtemelen ellerinde bu tarz kolay tahmin edilen kullanıcı adı ve şirlerlerden oluşan bir liste vardır. Bu listedeki bütün kullanıcı adlarını ve şifreleri deneyerek WordPress admin paneline ulaşmaya çalışırlar. Bunu engellemek için çok sayıda yapılan hatalı giriş denemelerini sınırlandırmalısınız.

WordPress varsayılan olarak giriş sayfası üzerinden veya özel çerezler göndererek sınırsız giriş denemelerine izin verir. Böylece kullanıcı adları ve şifrelerin kolayca kırılmasına sebep olur. Bu giriş denemelerini eklenti kullanarak sınırlandırabilir ve belirli bir sınıra ulaştıktan sonra wp-admin paneline girişi engelleyebilirsiniz. Bu işlem hernekadar saldırıları imkânsız hale getirmesede zorlaştırır.

WordPress admin panel giriş denemelerini sınırlandırmak için WPS Limit Login eklentisini kullanabilirsiniz. Eklenti nasıl kurulur? bilmiyorsanız WordPress eklenti kurulumu sayfamıza gözatabilirsiniz.

WordPress WPS Limit Login Eklenti Kurulumu ve Ayarları

Öncelikle eklenti sayfasına giderek eklentiyi indirip kurulumu gerçekleştirin. Kurulum işlemini gerçekleştirdikten sonra eklentinin Ayarlar >> WPS Limit Login bölümüne gidin ve aşağıdaki resimde gösterilen ayarları uygulayın.

WordPress Eklentisi WPS Limit Login Ayarları
WordPress Eklentisi WPS Limit Login Eklentisi Ayarları

WordPress WPS Limit Login eklentisinde müsade edilen giriş denemesi limitine ulaşıldığında kullanıcıya aşağıdaki gibi bir uyarı gösterilir.

WordPress WPS Limit Login Eklentisi Hata Mesajı
WordPress WPS Limit Login Eklentisi Hata Mesajı

4- Admin ”URL” Yolunu Değiştirin

Bilgisayar korsanları web sitenize zarar vermek istediklerinde yönelecekleri ilk yer wp-admin sayfanızdır. Kolay şifreler kullandığınızı ümit ederek deneme yanılma yöntemiyle WordPress admin paneline ulaşmaya çalışırlar. WordPress Admin panelini bilgisayar korsanlarının yapacağı atak saldırılarına karşı korumanın ve güvende tutmanın bir diğer yoluda admin panelinin ”URL” yolunu eklenti ile değiştirmektir. Bunu gerçekleştirmek için kullanacağımız eklenti WordPress WPS Hide Login eklentisidir. Eklenti kurulumunu WordPress eklenti kurulumu  sayfamızdan öğrenebilirsiniz.

WordPress WPS Hide Login Eklentisi Kurulum ve Ayarları

Kulanacağınız eklentiyi kurup etkinleştirin. Daha sonra Ayarlar >> WPS Hide Login bölümüne gidin.

Ayarlar bölümünde Login url yazan yere istediğiniz admin URL yolunu yazın. Redirection url yazan yere  wp-admin sayfanızı yönlendirmek istediğiniz URL yolunu yazın.

WordPress WPS Hide Login Ayarları
WordPress WPS Hide Login Eklentisi Ayarları

Hepsi bukadar artık http://domain.com/yonet yazdığınızda yeni admin sayfanıza yönlenirsiniz. Bilgisayar korsanları http:// domain.com wp-admin yazarak ulaşmaya çalıştıklarında sizin istediğiniz URL adresine yönlendirmiş olursunuz

6- WordPress Admin Panelini Parola İle Koruyun

WordPress admin dizini herhangi bir WordPress sitesinin kalbidir. Bu nedenle, sitenizin bu kısmına erişilirse, tüm site zarar görebilir. Bunu önlemenin olası yolu, wp-admin dizinini parola ile korumaktır. Böyle bir güvenlik önlemi uygulayan web sitesi sahibi, bundan böyle iki şifre göndererek kontrol paneline erişebilir. Birinci şifre wp-admin sayfasını korurken, diğer şifre WordPress yönetici alanını korur.

A- Cpanel Üzerinden WordPress Admin Panelini Şifreleyin

Öncelikle hosting firmanızın size sağlamış olduğu Cpanel’e giriş yapın. Bunu nasıl yapacağınızı bilmiyorsanız lütfen hosting firmanıza başvurun.

Daha sonra Dizin Gizliliği bağlantısına tıklayın.

Cpanel wp-admin Dizin Şifreleme
Cpanel wp-admin Dizin Şifreleme

Cpanel üzerinden şifrelemek istediğiniz dizini açmak için public_html klasörünün sol tarafında bulunan dizin ikonu‘na tıklayın.

Cpanel wp-admin Dizin Şifreleme
Cpanel wp-admin Dizin Şifreleme

Şifrelemek istediğiniz wp-admin dizinini açın.

Cpanel wp-admin Dizin Şifreleme
Cpanel wp-admin Dizin Şifreleme

Şifrelemek istediğiniz wp-admin dizini için bir kullanıcı adı ve şifre belirleyin. Lütfen parolanızı Güçlü Şifreler Kullanın yönergemize uygun belirleyin.

cPanel wp-admin Dizin Şifrele
cPanel wp-admin Dizin Şifrele

B- İki Faktörlü Kimlik Doğrulama İle Admin Panelini Koruyun

wp-admin panelini şifrelemek için kullanılan bir diğer yöntemde iki faktörlü kimlik doğrulamadır. Bu işlemi gerçekşeltirmek için WordPress Sitemize Google Authenticator eklentisini ve Android Telefonumuza Google Authentication Uygulamasını yükleyeceğiz. Eklentiyi WordPress.org sitesinden indirin yada Admin Panel >> Eklentiler >> Yeni Ekle kısmından aratarak kurulumu gerçekleştirin.

Uygulamayı Play Store‘den Aratarak Telefonunuza yükleyin. Daha sonra aşağıdaki adımları sırasıyla takip edin

1. ADIM: Ayarlar >> Google Authenticator linkine tıklayın.

Google Authentication
Google Authentication

2. ADIM : Android Telefonuna Google Authentication uygulamasını yükleyin.

Android Google Authentication Yükle
Android Google Authentication Uygulama Yükle

3. ADIM: Yüklediğiniz uygulamayı açın.

Android Google Authentication Uygulama Aç
Android Google Authentication Uygulama Aç

4. ADIM: Başla Butonuna tıklayın.

Android Google Authentication Uygulama Başla
Android Google Authentication Uygulama Başla

5. ADIM: Hesap Ekleme kısmından Sağlanan bir Anahtar Girin linkine tıklayın.

Android Google Authentication Uygulama Anahtar Gir
Android Google Authentication Uygulama Anahtar Gir

6. ADIM: Anahtarınız WordPress sitenizin Google Authentication Settings Kısmının Secret alanında bulunmaktadır.

Android Google Authentication Uygulama secret
Android Google Authentication Uygulama secret

7. ADIM: Hesap bilgileri oluşturma kısmında bir Hesap adı ve Anahtarınızı girin ve ardından Ekle butonuna tıklayın.

Android Google Authentication Uygulama Hesap Bilgileri
Android Google Authentication Uygulama Hesap Bilgileri

8.ADIM: Hesap eklendikten sonra size 6 haneli bir kod verilecektir.

Android Google Authentication Uygulama Hesap Eklendi
Android Google Authentication Uygulama Hesap Eklendi

9. ADIM: Size verilen bu kodu WordPress Google Authentication Settings Kısmında bulunan Authenticator Code Kısmına Ekleyin.

Android Google Authentication Uygulama Kodu
Android Google Authentication Uygulama Kodu

10. ADIM: Tekrar Ayarlar >> Google Authenticator linkine tıklayın. Google AuthenticationSettings kısmındaki giriş ayarlarını aşağıdaki gibi aktif hale getirin ve değişikliklerinizi kaydedin.

Google Authentication Ayarları
WordPress Eklentisi Google Authentication Ayarları

Unutmayın yorum yazarsanız okurum soru sorarsanız cevaplarım

YORUM EKLE

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz