WordPress admin panelini güvende tutmak tüm WordPress sitenizi güvende tutmak demektir. Hemen hemen herkes WordPress admin paneline varsayılan olarak nasıl erişileceğini bilir. Bunu engellemek ve WordPress admin panelini güvende tutmak için web sitenizde bir dizi güvenlik işlemleri gerçekleştirmelisiniz. Bilgisayar korsanlarının bu sayfaların giriş alanlarını bulup saldırmaları kolaydır. Buyüzden hack saldırılar, WordPress sitelerinde görülen en yaygın saldırı türleri arasındadır. Peki WordPress admin panelinin çok basit koruyucu önlemleri uygulayarak korunacağını biliyor musunuz? Bugün sizlere bu koruma tekniklerinin ne kadar yararlı olduğunu ve onları nasıl uygulayacağınızı göstereceğim.
Eğer WordPress alt yapısı kullanarak oluşturduğunuz bir web siteniz varsa ve WordPress admin panelini nasıl güvende tutacağınızı bilmiyorsanız internet sitenizin güvenliği için bu yazıyı sonuna kadar okuyun ve anlatılanları mutlaka adım adım uygulayın.
Önerilen Okuma: Yeni başlayanlar için hacklenmiş WordPress sitenizi düzeltme
KONU BAŞLIKLARI
- Admin Panel İçin Güçlü Şifreler Kullanın
- Kullanıcı Adını ”Admin” Olark Ayarlamayın
- Çok Sayıda Yapılan Hatalı Giriş Denemelerini Sınırlayın
- Admin ”URL” Yolunu Değiştirin
- WordPress Admin Panelini Parola İle Koruyun
1- Admin Panel İçin Güçlü Şifreler Kullanın
WordPress’in güvenliği güçlü bir parola ile başlar. Güçlü bir şifre karmaşık ve özenlidir. Tanınan kelimeler, adlar, tarihler veya sayılar içermediğinden tahmin etmek kolay değildir. Web sitenizin şifresini düzenli olarak değiştirdiğinizden emin olun. Birçok kişi hâlâ şifre olarak “123456” ya da sevilen birinin doğum gününü kullanmaktadır. Ancak, bu kolay tahmin edilebilir şifreler web sitenizi bilgisayar korsanlarının saldırılarına karşı savunmasız bırakmaktadır.
Bu yüzden güçlü bir şifre oluştururken, en az 20 karakter (Tercihen daha fazla) büyük ve küçük harfler, sayılar ve ünlem soru işareti gibi özel karakterler ekleyerek şifrenizin gücünü arttırabilirsiniz. Örnek olarak bahsettiğimiz yönergelere uygun “ Br89?Hek16!!@gck??K0l “ şeklinde şifreler kullanabilirsiniz. Daha güçlü bir parola oluşturmanıza yardımcı olması için bir parola oluşturma aracı da kullanabilirsiniz. Kullanıyorsanız güvenli bir araç kullandığınızdan emin olun!
WordPress kurulumunu yaparken wp-admin paneline erişmek için zaten bir kullanıcı adı ve şifre belirtmiştiniz eğer parolanızı “Güçlü Şifreler Kullanın“ yönergemize uygun olarak oluşturduysanız bu işlem admin panelini koruma altına alacaktır. Bu işlem tek başına yeterli değildir. WodPress yönetici alanını güvence altına almanın bir diğer yolu Hosting firmanızın size sunduğu kontrol paneli üzerinden wp-admin dizinini şifrelemektir.
2- Kullanıcı Adını ”Admin” Olark Ayarlamayın
WordPres’de kullanıcı adlarının pekde bir önemi yoktur. (Bu benim Görüşüm) Çünkü wp-admin panelinin korunması ilk olarak oluşturacağınız güçlü bir şifreyle gerçekleşir. Ama yinede siz WordPress kurulumu yaparken ”admin” kullanıcı adını kullanmayın. Eğer admin olarak kurulum yapmışsanız bunu hemen değiştirin. Genelde Bilgisayar korsanları kullanıcı adlarını kolayca tahmin edebilir. Bunu yapmak istediklerinde tarayıcının adres satırına küçük bir kod ekleyerek gerçekleştirebilirler. Örneğin herhangi bir WordPress’le oluşturulmuş web sitesine girdiklerinde tarayıcının adres satırına https://siteismi/?author=1 şeklinde bir kod eklediklerinde artık wp-admin panel kullanıcı adını biliyorlar demektir. Geriye sadece deneme yanılma yöntemiyle hack’lemek istedikleri admin panelinin şifresini öğrenmek kalıyor.
Sadece kullanıcı adı ve şifrelerle web siteleriniz bilgisayar korsanlarının saldırılarına maruz kalmayacaktır. Havij tarzı programlarla sql açıkları tespit edilerek veritabanındaki bilgileri cekmek suretiyle web sitenize zarar verilebilir. bu yüzden sql açıklarınıda kontrol etmlisiniz.
3- Çok Sayıda Yapılan Hatalı Giriş Denemelerini Sınırlayın
Bazı bilgisayar korsanları deneme yanılma yöntemiyle wordpress admin paneline erişmeye çalışır. Bu amaçlarına, kolay tahmin edilen kullanıcı adı ve şifreleri kullanarak ulaşmaya çalışırlar. Muhtemelen ellerinde bu tarz kolay tahmin edilen kullanıcı adı ve şirlerlerden oluşan bir liste vardır. Bu listedeki bütün kullanıcı adlarını ve şifreleri deneyerek WordPress admin paneline ulaşmaya çalışırlar. Bunu engellemek için çok sayıda yapılan hatalı giriş denemelerini sınırlandırmalısınız.
WordPress varsayılan olarak giriş sayfası üzerinden veya özel çerezler göndererek sınırsız giriş denemelerine izin verir. Böylece kullanıcı adları ve şifrelerin kolayca kırılmasına sebep olur. Bu giriş denemelerini eklenti kullanarak sınırlandırabilir ve belirli bir sınıra ulaştıktan sonra wp-admin paneline girişi engelleyebilirsiniz. Bu işlem hernekadar saldırıları imkânsız hale getirmesede zorlaştırır.
WordPress admin panel giriş denemelerini sınırlandırmak için WPS Limit Login eklentisini kullanabilirsiniz. Eklenti nasıl kurulur? bilmiyorsanız WordPress eklenti kurulumu sayfamıza gözatabilirsiniz.
WordPress WPS Limit Login Eklenti Kurulumu ve Ayarları
Öncelikle eklenti sayfasına giderek eklentiyi indirip kurulumu gerçekleştirin. Kurulum işlemini gerçekleştirdikten sonra eklentinin Ayarlar >> WPS Limit Login bölümüne gidin ve aşağıdaki resimde gösterilen ayarları uygulayın.
WordPress WPS Limit Login eklentisinde müsade edilen giriş denemesi limitine ulaşıldığında kullanıcıya aşağıdaki gibi bir uyarı gösterilir.
4- Admin ”URL” Yolunu Değiştirin
Bilgisayar korsanları web sitenize zarar vermek istediklerinde yönelecekleri ilk yer wp-admin sayfanızdır. Kolay şifreler kullandığınızı ümit ederek deneme yanılma yöntemiyle WordPress admin paneline ulaşmaya çalışırlar. WordPress Admin panelini bilgisayar korsanlarının yapacağı atak saldırılarına karşı korumanın ve güvende tutmanın bir diğer yoluda admin panelinin ”URL” yolunu eklenti ile değiştirmektir. Bunu gerçekleştirmek için kullanacağımız eklenti WordPress WPS Hide Login eklentisidir. Eklenti kurulumunu WordPress eklenti kurulumu sayfamızdan öğrenebilirsiniz.
WordPress WPS Hide Login Eklentisi Kurulum ve Ayarları
Kulanacağınız eklentiyi kurup etkinleştirin. Daha sonra Ayarlar >> WPS Hide Login bölümüne gidin.
Ayarlar bölümünde Login url yazan yere istediğiniz admin URL yolunu yazın. Redirection url yazan yere wp-admin sayfanızı yönlendirmek istediğiniz URL yolunu yazın.
Hepsi bukadar artık http://domain.com/yonet yazdığınızda yeni admin sayfanıza yönlenirsiniz. Bilgisayar korsanları http:// domain.com wp-admin yazarak ulaşmaya çalıştıklarında sizin istediğiniz URL adresine yönlendirmiş olursunuz
6- WordPress Admin Panelini Parola İle Koruyun
WordPress admin dizini herhangi bir WordPress sitesinin kalbidir. Bu nedenle, sitenizin bu kısmına erişilirse, tüm site zarar görebilir. Bunu önlemenin olası yolu, wp-admin dizinini parola ile korumaktır. Böyle bir güvenlik önlemi uygulayan web sitesi sahibi, bundan böyle iki şifre göndererek kontrol paneline erişebilir. Birinci şifre wp-admin sayfasını korurken, diğer şifre WordPress yönetici alanını korur.
A- Cpanel Üzerinden WordPress Admin Panelini Şifreleyin
Öncelikle hosting firmanızın size sağlamış olduğu Cpanel’e giriş yapın. Bunu nasıl yapacağınızı bilmiyorsanız lütfen hosting firmanıza başvurun.
Daha sonra Dizin Gizliliği bağlantısına tıklayın.
Cpanel üzerinden şifrelemek istediğiniz dizini açmak için public_html klasörünün sol tarafında bulunan dizin ikonu‘na tıklayın.
Şifrelemek istediğiniz wp-admin dizinini açın.
Şifrelemek istediğiniz wp-admin dizini için bir kullanıcı adı ve şifre belirleyin. Lütfen parolanızı Güçlü Şifreler Kullanın yönergemize uygun belirleyin.
B- İki Faktörlü Kimlik Doğrulama İle Admin Panelini Koruyun
wp-admin panelini şifrelemek için kullanılan bir diğer yöntemde iki faktörlü kimlik doğrulamadır. Bu işlemi gerçekşeltirmek için WordPress Sitemize Google Authenticator eklentisini ve Android Telefonumuza Google Authentication Uygulamasını yükleyeceğiz. Eklentiyi WordPress.org sitesinden indirin yada Admin Panel >> Eklentiler >> Yeni Ekle kısmından aratarak kurulumu gerçekleştirin.
Uygulamayı Play Store‘den Aratarak Telefonunuza yükleyin. Daha sonra aşağıdaki adımları sırasıyla takip edin
1. ADIM: Ayarlar >> Google Authenticator linkine tıklayın.
2. ADIM : Android Telefonuna Google Authentication uygulamasını yükleyin.
3. ADIM: Yüklediğiniz uygulamayı açın.
4. ADIM: Başla Butonuna tıklayın.
5. ADIM: Hesap Ekleme kısmından Sağlanan bir Anahtar Girin linkine tıklayın.
6. ADIM: Anahtarınız WordPress sitenizin Google Authentication Settings Kısmının Secret alanında bulunmaktadır.
7. ADIM: Hesap bilgileri oluşturma kısmında bir Hesap adı ve Anahtarınızı girin ve ardından Ekle butonuna tıklayın.
8.ADIM: Hesap eklendikten sonra size 6 haneli bir kod verilecektir.
9. ADIM: Size verilen bu kodu WordPress Google Authentication Settings Kısmında bulunan Authenticator Code Kısmına Ekleyin.
10. ADIM: Tekrar Ayarlar >> Google Authenticator linkine tıklayın. Google AuthenticationSettings kısmındaki giriş ayarlarını aşağıdaki gibi aktif hale getirin ve değişikliklerinizi kaydedin.
WordPress admin panelini güvende tutmak için hazırladığımız bu makale Umarız admin panelinizi güvende tutmanızı öğrenmenize yardımcı olmuştur. Eğer herhangi bir sorunuz varsa aşağıdaki yorum kısmına yazabilirsiniz.
Bu makaleyi beğendiyseniz, lütfen WordPress eğitimleri için YouTube kanalımıza abone olun. Bizi Instagram, Twitter ve Facebook‘ta da bulabilirsiniz.
Unutmayın yorum yazarsanız okuruz soru sorarsanız cevaplarız
Bir cevap yazın