Web sitenizin ele geçirildiğini öğrenmekten daha kötüsü yoktur. WordPress yönetici alanı, bilgisayar korsanları için ana giriş noktasıdır ve bu da sitenizin korunması gereken en kritik parçası haline gelir.
Brute force saldırıları veya veri hırsızlığı hakkında düşünmenin stresli olabileceğini biliyoruz. Birçok web sitesi sahibi, panolarını düzgün bir şekilde güvence altına almak için yeterli teknik beceriye sahip olmadıklarından endişe duyuyor.
Harika haber şu ki, büyük bir etki yaratmak için bir güvenlik uzmanı olmanıza gerek yok. Binlerce WordPress sitesini yönetme deneyimimizde, güçlü bir savunma oluşturmak için yalnızca birkaç basit değişikliğin yeterli olduğunu gördük.
Bu rehberde, yönetici alanınızı güvence altına almak için en etkili ipuçlarını adım adım anlatacağız. Bu basit adımlar size gönül rahatlığı sağlayacak ve web sitenizi güvende tutacaktır.
Birçok ipucunu ele alacağız ve aralarında atlamak için aşağıdaki hızlı bağlantıları kullanabilirsiniz:
- 1. Güvenlik Duvarı Kullanın
- 2. WordPress Yönetici Dizinini Parola ile Koruyun
- 3. Her Zaman Güçlü Parolalar Kullanın
- 4. WordPress Giriş Ekranında İki Adımlı Doğrulamayı Kullanın
- 5. Giriş Denemelerini Sınırla
- 6. Giriş Erişimini IP Adresleriyle Sınırlayın
- 7. Oturum Açma İpuçlarını Devre Dışı Bırak
- 8. Kullanıcıların Güçlü Parolalar Kullanmasını Zorunlu Kılın
- 9. Tüm Kullanıcılar İçin Parola Sıfırlama
- 10. WordPress'i Güncel Tutun
- 11. Özel Giriş ve Kayıt Sayfaları Oluşturun
- WordPress Kullanıcı Rolleri ve İzinleri Hakkında Bilgi Edinin
- 13. WordPress Yönetici Paneli Erişimi Sınırlama
- 14. Boşta Kalan Kullanıcıları Oturumu Kapat
- WordPress Yönetici Güvenliği Hakkında Sıkça Sorulan Sorular
- WordPress Güvenliği İçin Ek Kaynaklar
1. Güvenlik Duvarı Kullanın
Bir web sitesi uygulama güvenlik duvarı (WAF), site trafiğinizi izler ve şüpheli istekleri sunucunuza ulaşmadan engeller. Bu, hackleme girişimlerine karşı ilk savunma hattınızdır.
Birkaç WordPress güvenlik duvarı eklentisi olmasına rağmen, Cloudflare gibi bir DNS düzeyinde güvenlik duvarı öneririz. DNS düzeyinde güvenlik duvarları daha etkilidir çünkü tehditleri ağ kenarında engellerler, böylece kötü amaçlı trafik web sitenize asla ulaşmaz.
WPBeginner olarak, web sitemizi hackleme girişimlerinden, kötü amaçlı yazılımlardan ve diğer kötü amaçlı faaliyetlerden korumak için Cloudflare'ın kurumsal planını kullanıyoruz. Adım adım kurulum talimatları için, web siteniz için Cloudflare ücretsiz CDN'sini nasıl kuracağınız hakkındaki makalemize bakın.
Daha önce kullandığımız başka bir harika seçenek de Sucuri'dir. Daha fazla ayrıntı için, Sucuri'den Cloudflare'a neden geçtiğimiz hakkındaki makalemize bakın.
2. WordPress Yönetici Dizinini Parola ile Koruyun
Son derece etkili bulduğumuz bir diğer ipucu da WordPress yönetici dizinine parola koruması eklemektir. Bu, kontrol panelinize erişmek için iki ayrı parola gerektiren ikinci bir savunma katmanı ekler.
Bunu WordPress web barındırma kontrol panelinizden yapabilirsiniz. cPanel için adımlar şunlardır:
- WordPress barındırma cPanel kontrol panelinize giriş yapın ve ‘Dizin Gizliliği’ simgesine tıklayın.
- Genellikle
/public_html/dizininde bulunanwp-adminklasörünüzü seçin. - 'Bu dizini parolayla koru' kutusunu işaretleyin ve ona bir ad verin.
- 'Kaydet'e tıklayın, ardından yeni bir kullanıcı adıyla yeni bir kullanıcı oluşturmak için geri dönün.
Artık yönetici oturum açma sayfanıza erişmeye çalışan herkes önce bir kimlik doğrulama istemi görecektir.
Bu, çoğu otomatik bot saldırısını engeller.
Daha ayrıntılı talimatlar için, WordPress yönetici (wp-admin) dizinini şifreyle nasıl koruyacağınız hakkındaki kılavuzumuza bakın. Lütfen bu adımların cPanel kullanan barındırıcılar için olduğunu unutmayın. Farklı bir kontrol paneli kullanıyorsanız, barındırıcınızın belgelerine bakın.
3. Her Zaman Güçlü Parolalar Kullanın
Tüm WordPress hesaplarınız için güçlü, karmaşık parolalar kullanmalısınız. Zayıf parolalar, web sitelerinin hacklenmesinin en yaygın nedenlerinden biridir.
Güçlü bir parola, büyük ve küçük harflerin, sayıların ve özel karakterlerin (!, #, @, %, vb.) birleşimini kullanır. Ne kadar uzun olursa, o kadar güvenli olur.
Düzinelerce karmaşık parolayı hatırlamak neredeyse imkansızdır. Bu yüzden WPBeginner'daki tüm ekibimiz, her hizmet için güvenli bir şekilde benzersiz parolalar oluşturmak ve saklamak için 1Password gibi bir parola yöneticisi uygulaması kullanır.
Bu konu hakkında daha fazla bilgi için, WordPress yeni başlayanlar için parolaları yönetmenin en iyi yolu hakkındaki kılavuzumuza bakın.
4. WordPress Giriş Ekranında İki Adımlı Doğrulamayı Kullanın
İki adımlı doğrulama, iki faktörlü kimlik doğrulama (2FA) olarak da bilinir, başka bir kritik güvenlik katmanı ekler. 2FA'yı yalnızca WordPress web sitelerimizde değil, seçenek mevcut olduğunda tüm çevrimiçi hesaplarımızda da kullanıyoruz.
Parolanızı girdikten sonra, telefonunuzdaki bir uygulama tarafından oluşturulan zamana duyarlı bir kod da sağlamalısınız, örneğin 1Password veya Authenticator. Bir hacker parolanızı çalsa bile, telefonunuz olmadan giriş yapamayacaktır.
Ayrıntılı adım adım talimatlar için, Google Authenticator kullanarak WordPress'te 2 adımlı doğrulamayı nasıl kuracağınız hakkındaki kılavuzumuza bakın.
5. Giriş Denemelerini Sınırla
Varsayılan olarak WordPress, kullanıcıların istedikleri kadar çok oturum açma denemesi yapmalarına izin verir. Bu, bilgisayar korsanlarının "kaba kuvvet saldırısı" olarak bilinen binlerce parola kombinasyonunu denemek için otomatik komut dosyaları kullanmalarına olanak tanır.
Bunu Limit Login Attempts Reloaded eklentisini yükleyerek kolayca durdurabilirsiniz. Etkinleştirdikten sonra, bir IP adresinin geçici olarak engellenmesinden önce kaç başarısız denemeye izin verildiğini yapılandırmak için Ayarlar » Giriş Denemelerini Sınırla'ya gidin.
Ayrıntılı talimatlar için, WordPress'te giriş denemelerini neden sınırlamanız gerektiği hakkındaki kılavuzumuza bakın.
Eklenti hakkında daha fazla bilgi edinmek için, ayrıntılı Limit Login Attempts incelememize de bakabilirsiniz.
6. Giriş Erişimini IP Adresleriyle Sınırlayın
Uyarı: Bu gelişmiş bir tekniktir ve yalnızca statik (sabit) bir IP adresiniz varsa kullanılmalıdır. Çoğu ev internet bağlantısı düzenli olarak değişen dinamik IP'ler kullanır. Bu yöntemi dinamik bir IP ile kullanırsanız, kendi web sitenize erişiminizi engelleyeceksiniz.
Sabit bir IP'niz varsa, yönetici alanınıza erişimi yalnızca o adrese kısıtlayabilirsiniz. Bu kodu .htaccess dosyanıza eklemeniz yeterlidir:
'xx' değerlerini kendi IP adresinizle değiştirmeyi unutmayın. Mevcut IP adresinizi Google'da "IP adresim nedir" diye aratarak kolayca bulabilirsiniz. Birden fazla IP adresi kullanıyorsanız, bunları da eklediğinizden emin olun.
Ayrıntılı talimatlar için, .htaccess kullanarak WordPress yöneticisine erişimi nasıl sınırlayacağınız hakkındaki kılavuzumuza bakın.
7. Oturum Açma İpuçlarını Devre Dışı Bırak
Bir giriş başarısız olduğunda, WordPress size kullanıcı adının veya parolanın yanlış olduğunu söyler. Kullanıcılar için faydalı olsa da, bu ipuçları saldırgana geçerli bir kullanıcı adı da onaylar ve işini kolaylaştırır.
Bu ipuçlarını temanızın functions.php dosyasına aşağıdaki kodu ekleyerek gizleyebilirsiniz. Ancak, WPCode gibi bir kod parçacığı eklentisi kullanmanızı öneririz. Site hataları riski olmadan özel kodu yönetmenin çok daha güvenli bir yoludur.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Daha fazla ayrıntı için, web sitenizi bozmadan WordPress'e özel kod nasıl ekleyeceğiniz hakkındaki kılavuzumuza bakın.
8. Kullanıcıların Güçlü Parolalar Kullanmasını Zorunlu Kılın
Eğer çok yazarlı bir WordPress sitesi çalıştırıyorsanız, zayıf parolaya sahip tek bir kullanıcı herkes için bir güvenlik açığı oluşturabilir. Bunu önlemek için güçlü bir parola politikası uygulayabilirsiniz.
Bunu yapmak için, SolidWP ekibi tarafından geliştirilen Solid Security (eski adıyla iThemes Security) eklentisini kurup etkinleştirebilirsiniz.
Ardından, WordPress'te kullanıcılara güçlü şifreleri zorlama konusundaki eksiksiz kılavuzumuzdaki adımları izleyebilirsiniz.
9. Tüm Kullanıcılar İçin Parola Sıfırlama
Çok kullanıcılı WordPress siteleri için, tüm kullanıcıları şifrelerini sıfırlamaya zorlayarak güvenliği artırabilirsiniz. Bu, özellikle bir güvenlik ihlalinden şüpheleniyorsanız veya sadece yeni bir şifre politikası uygulamak istiyorsanız kullanışlıdır.
Öncelikle Acil Durum Şifre Sıfırlama eklentisini kurun ve etkinleştirin. Etkinleştirdikten sonra, Kullanıcılar » Acil Durum Şifre Sıfırlama sayfasına gidin ve ‘Tüm Şifreleri Sıfırla’ düğmesine tıklayın.
Ayrıntılı talimatlar için, WordPress'te tüm kullanıcıların şifrelerini nasıl sıfırlayacağınız konusundaki kılavuzumuza bakın.
10. WordPress'i Güncel Tutun
WordPress, özellik eklemek ve güvenlik açıklarını düzeltmek için sık sık yeni sürümler yayınlar. Güncel olmayan bir WordPress sürümü, eklentileriniz veya temanız çalıştırmak, alabileceğiniz en büyük güvenlik risklerinden biridir.
Her zaman WordPress çekirdek yazılımının en son sürümünü, ayrıca tüm eklentilerinizin ve temalarınızın en son sürümlerini kullandığınızdan emin olun. Bununla ilgili daha fazla bilgi için, neden her zaman WordPress'in en son sürümünü kullanmanız gerektiği konusundaki kılavuzumuza bakın.
11. Özel Giriş ve Kayıt Sayfaları Oluşturun
Üyelik siteleri veya çevrimiçi mağazalar gibi kullanıcı kaydı gerektiren siteler için özel giriş ve kayıt sayfaları oluşturmalısınız.
Bu, yönetici olmayan kullanıcıların varsayılan WordPress giriş ekranını görme veya erişme ihtiyacını ortadan kaldırır. Daha profesyonel bir kullanıcı deneyimi sunar ve üyelerinizi veya müşterilerinizi etkilemeden standart wp-admin erişimini tamamen kilitlemenize olanak tanır.
Bunu yapmanın en kolay yolu, güçlü bir Kullanıcı Kaydı eklentisine sahip olan WPForms gibi bir eklentidir. Ayrıntılı talimatlar için, WordPress'te özel giriş ve kayıt sayfaları nasıl oluşturulur konusundaki kılavuzumuza bakın.
WordPress Kullanıcı Rolleri ve İzinleri Hakkında Bilgi Edinin
WordPress, farklı roller ve yeteneklere sahip yerleşik bir kullanıcı yönetim sistemine sahiptir. Yanlış rol atamak, bir kullanıcıya ihtiyaç duyduğundan çok daha fazla izin verebilir ve potansiyel bir güvenlik riski oluşturabilir.
Sitenize kullanıcı eklemeden önce her rolün ne yapabileceğini anlamak önemlidir. İşte 5 varsayılan rol:
- Yönetici: Sitedeki tüm ayarlara ve içeriğe tam erişime sahiptir.
- Düzenleyici: Diğer kullanıcılarınkiler de dahil olmak üzere tüm gönderileri yayınlayabilir ve yönetebilir.
- Yazar: Yalnızca kendi yazılarını yayınlayabilir ve yönetebilir.
- Katkıda Bulunan: Kendi yazılarını yazabilir ve yönetebilir, ancak yayınlayamaz.
- Abone: Yalnızca kendi profiline giriş yapabilir ve yönetebilir.
Tam bir döküm için, WordPress kullanıcı rolleri ve izinleri hakkında başlangıç kılavuzumuza bakın.
13. WordPress Yönetici Paneli Erişimi Sınırlama
Bazı sitelerde, belirli kullanıcıların WordPress yönetici paneline hiç erişmesi gerekmeyebilir. Varsayılan olarak, yetenekleri sınırlı olsa bile herhangi bir kullanıcı oturum açabilir ve yönetici alanını görebilir.
Bunu düzeltmek için Yönetici Paneli Erişimi Kaldır eklentisini kurun ve etkinleştirin. Etkinleştirdikten sonra, Ayarlar » Yönetici Paneli Erişimi'ne gidin ve hangi kullanıcı rollerinin yönetici alanına erişebileceğini seçin. Diğerleri ana sayfaya veya başka bir URL'ye yönlendirilebilir.
Daha ayrıntılı talimatlar için, WordPress'te yönetici paneli erişimini nasıl sınırlayacağınız konusundaki kılavuzumuza bakın.
14. Boşta Kalan Kullanıcıları Oturumu Kapat
Bilgisayarlarından uzaklaşan oturum açmış kullanıcılar güvenlik riski oluşturabilir. Bilgisayarları halka açık veya paylaşımlı ise, başka biri hesaplarına erişebilir.
Bunu Etkin Olmayan Oturum Kapatma eklentisini kurarak çözebilirsiniz. Ayarlar » Etkin Olmayan Oturum Kapatma'ya gidin ve bir zaman sınırı belirleyin. Bu hareketsizlik süresinden sonra, kullanıcılar otomatik olarak oturum kapatacaktır.
Daha fazla ayrıntı için, WordPress'te boşta kalan kullanıcıları otomatik olarak nasıl oturum kapatacağınız hakkındaki makalemize bakın.
WordPress Yönetici Güvenliği Hakkında Sıkça Sorulan Sorular
WordPress yönetici alanımı güvence altına almak için en önemli adım nedir?
Bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmak en kritik ilk adımdır. Cloudflare veya Sucuri gibi iyi bir güvenlik duvarı, kötü amaçlı trafiği sitenize ulaşmadan engeller ve çok çeşitli saldırıları önler.
wp-admin dizinini parolayla korumak gerçekten gerekli mi?
Zorunlu olmasa da oldukça etkilidir. Giriş sayfanıza kaba kuvvetle saldırmaya çalışan neredeyse tüm otomatik botları durduran ikinci bir kimlik doğrulama katmanı ekler. Güvenliği önemli ölçüde artıran basit bir değişikliktir.
Bu ipuçlarını izleyerek kendi sitemden kilitlenebilir miyim?
Evet, dikkatli olmazsanız. Giriş erişimini belirli IP adresleriyle sınırlama ipucu yalnızca statik IP'ye sahip ileri düzey kullanıcılar içindir. Normal, dinamik bir IP adresi kullanırsanız, kendinizi kilitlemiş olursunuz. .htaccess gibi dosyaları düzenlemeden önce sitenizin yedeğini her zaman alın.
WordPress Güvenliği İçin Ek Kaynaklar
Bu makalenin WordPress yönetici alanınızı korumak için bazı yeni ipuçları ve püf noktaları öğrenmenize yardımcı olduğunu umuyoruz.
Sitenizi güvende tutmak için diğer uzman kılavuzlarımıza da bakmak isteyebilirsiniz:
- Nihai WordPress Güvenlik Rehberi – Adım Adım
- Sitenizi Korumak İçin En İyi WordPress Güvenlik Eklentileri (Karşılaştırıldı)
- WordPress Sitenizi Potansiyel Olarak Kötü Amaçlı Kodlara Karşı Nasıl Tararsınız
Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.
Danang Sukma
Gönderiniz için teşekkürler.
Cpanel'de wp-admin klasörüm için şifre koruması kullanıyorum, bu yeterli mi?
mby
uh ne kadar faydalı bir bilgi beyler, kesinlikle yardımcı olabilir!!
paylaştığınız için teşekkürler! ^_^
anthony
Bu harika bir bilgi, en kısa sürede uygulayacağım! Blogumun hacklendiğini daha önce yaşadım, bu yüzden bu konularda endişeliydim. Çok teşekkürler!!
shoaib hussain
blogunuzda bir yazıdan diğerine geçiyorum ve çok beğendim.çok teşekkürler.sanırım şimdi abone olmam gerekecek.
tzutzu
HARİKA yazı!! Bu bilgi için teşekkürler
Marlin
Teşekkürler Güzel liste, bu kesinlikle wordpress yönetici panelini güvence altına almaya yardımcı olacaktır.
Abhilash Thekkel
Çok faydalı ipuçları. Teşekkür ederim
Jessica
Şu anda WP geliştirme öğreniyorum. WP e-Commerce eklentisini kullanarak WordPress ile bir e-ticaret sitesi yapmak istiyorum. Bu ipuçlarının e-ticaret sitemi güvende tutacağını bilen var mı?
Yayın Kadrosu
Tüm işlemler için e-ticaret sitenizde SSL Koruması olduğundan emin olun. Bunlar yalnızca yönetici alanınızı korumak içindir.
Yönetici
Ursula Comeau
Vay canına – bu HARİKA bir yazı! Tüm bu bilgileri paylaştığınız için çok teşekkürler – ve harika eklentiler de cabası!
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
Lilia
Eklentilerle ilgili sorun, her zaman her sürümle uyumlu olmamaları ve her zaman güncellenmemeleridir.
Yayın Kadrosu
Çoğu eklenti daha yeni sürümlerle uyumludur ve geliştirici eklentinin geliştirilmesinden vazgeçmeye karar verirse, başkaları genellikle devreye girer ve gelecekteki sürümler için düzeltmeler içeren bir eklenti oluşturur. Sadece toplulukta aktif kalmanız gerekir.
Yönetici
Smashing Themes
Cidden çocuklar, site adınızı WP ROCKER yapın, siz harikasınız. Bu harika gönderiyi okuduktan sonra yönetici panelimi korumak için üç eklenti yükledim.
Dagmar
Ayrıca bazı ücretli eklentiler de bulunmaktadır – yani “WP Secure” gibi, bu da WP'nizi bilgisayar korsanlarından koruyacağını iddia ediyor. Bu, yukarıdaki ilkelerin bir kısmına dayanarak çalışır – yani özel olarak tasarlanmış giriş sayfası, tek IP onayı vb.
Satın almaya değer mi? = herhangi biri, yukarıda bahsedilenlerden bazılarından daha kolay kullanılıp kullanılamayacağını biliyor mu?
Yayın Kadrosu
Ücretsiz iş yapabiliyorsanız, ödemenin ne anlamı var?
Yönetici
iHacks
WordPress Güvenlik Duvarı Eklentisine Bağlantı?
Yayın Kadrosu
Artık çalışıyor.
Yönetici
Kjetil
Merhaba
Tavsiyeleriniz için çok teşekkürler.
8 numaralı ipucuyla ilgili olarak, kodu nasıl ekleyeceğimi merak ediyorum
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
Kullanılacak tam fonksiyon nedir?
AskApache Password Protect kullandığım için denemek isterim ve bu eklenti Secure Wordpress ile uyumlu değil.
Teşekkürler,
Kjetil
– http://www.dolcevita.no
Yayın Kadrosu
functions.php'ye gidersiniz ve bu kodu eklersiniz. Sorunuzu net bir şekilde anladıysak hepsi bu. Bu sorunuzu yanıtlamadıysa, lütfen yoruma yanıt verin ve biz de kesinlikle göz atacağız.
Yönetici
Robinoz
Bu paha biçilmez bilgiler için teşekkürler. Blogumu bir gün veya iki gün çevrimdışı bırakan bir kötü amaçlı yazılım saldırısı yaşadım, bu sırada Wordpress programcım halletti. Çok zahmetliydi.
Yaptığınız önerilerden bazılarını bir veya iki gün içinde uygulayacağım.
Robinoz
http://www.e1jobs-blog.com (Tüm İşler Hakkında blog”
güvenli sunucu
wordpress'i güvence altına almak için iyi ipuçları. zaman geçtikçe, barındırma hizmetlerinin ya daha katı ve güvenli hale geldiğini ya da cms paketlerinin kurulumda birkaç güvenlik girişimi daha uygulaması gerektiğini göreceğiz.
abbie
Merhaba. Çok iyi bir yazı yazmışsınız.
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
Yayın Kadrosu
Bu konuda size bir e-posta gönderdik. Tam makale çevirisine izin vermiyoruz. Lütfen özetleyin ve kullanıcılarınız tam ipuçlarını okumak isterse makalemize bağlantı verin.
Yönetici
abbie
Thanks for your response.
I’ll revise my post.
Arie
Merhaba..
Size bir şey sormak istiyorum.
Bunun yanı sıra askimet, captcha kelimesi, güçlü şifre kullanmam gerekiyor, hackerların web sitemize sabotaj yapmasının başka bir yolu var mı?
Sorun bu, lütfen e-postama yanıt verin.
Saygılarımla,
Arie
Yayın Kadrosu
Evet, barındırma hizmetinizde güvenlik açıkları varsa, bilgisayar korsanı sizi de indirebilir.
John Macpherson
Bunu anlamam birkaç dakika sürdü ama bu fonksiyonun etrafına yanlış türde tırnak işaretleri koymuşsunuz
add_filter(’login_errors’,create_function(’$a’, “return null;”));
Şöyle olmalı:
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
Bunun dışında harika bir yazı.
jakesjohn
Wp-PreventCopyBlogs Wordpress Eklentisinden Neler Bekleyebilirsiniz
1. İçeriğinizi kopyalamaya çalışan ziyaretçileri izleyin.
Dolandırıcılık yoluyla kopyalama yapmaya çalışan kullanıcının IP'sini ve sitenizin yönlendirme URL'sini kaydedin. Kötü bir şey fark ederseniz gerekli önlemleri almanıza yardımcı olabilir.
3. Kullanıcının seçimi üzerine kullanıcınıza gösterilen Mesajı etkinleştirin.
4.Seçiminizi ve metninizi sağ tıklamayı kullanıcılar için seçeneğe bağlı olarak devre dışı bırakın.
Srecko Bradic
Bu mükemmel makale için sizi tebrik etmeliyim!!! Dürüst olmak gerekirse, bazı ipuçlarını biliyordum ama bazı çok önemli bilgiler benim için şimdiye kadar bilinmiyordu!
Keep on good work
Soxialize
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
Heather
Harika yazı, sanırım bu gece daha iyi uyuyacağım!
Henry
6 numaralı maddeyle ilgili olarak, aşağıdaki .htaccess dosyasını kullanırsanız, iki adımlı bir işlemle diğer konumlardan giriş yapabileceksiniz. Bu, bir htpasswd dosyası eklemenizi gerektirir (sunucu belgelerinizi okuyun).
AuthUserFile ‘bazı htpasswd dosyası’
AuthGroupFile /dev/null
AuthName “WordPress Yönetici Erişim Kontrolü”
AuthType Basic
sipariş reddet,izin ver
hepsinden reddet
Geçerli kullanıcı gerektir
# Syed'in IP adresini beyaz listeye ekle
xx.xx.xx.xxx'ten izin ver
# David'in IP adresini beyaz listeye ekle
xx.xx.xx.xxx'ten izin ver
# Amanda'nın IP adresini beyaz listeye ekle
xx.xx.xx.xxx'ten izin ver
# Muhammed'in IP adresini beyaz listeye ekle
xx.xx.xx.xxx'ten izin ver
# İş IP adresini beyaz listeye ekle
xx.xx.xx.xxx'ten izin ver
Herhangi Birini Tatmin Et
“require valid user” ve “satisfy any” satırları, WordPress Giriş ekranına erişmeden önce Apache Sunucusunun bir Kullanıcı Adı ve Şifre istemesini zorlayacaktır. Lütfen htpasswd dosyasındaki Kullanıcı Adı ve Şifreyi WordPress erişiminiz için kullandığınızla AYNI KULLANMAYIN, aksi takdirde ek güvenlik katmanının amacını ortadan kaldırmış olursunuz.
Yayın Kadrosu
Thanks for the suggestion. Post updated with a link to this way as well
Yönetici
Laura
Harika makale için teşekkürler. Kendi blogumu daha güvenli hale getirmeyi dört gözle bekliyorum.
A.rnaud
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
Yayın Kadrosu
Thanks for the translation
Yönetici
Konstantin
Merhaba, 3 yıldır blog yazıyorum. Blogum Haziran 2009'da hacklendi ve 30 gün boyunca Google tarafından yasaklandı, sayfa görüntülemelerim anında günde 800'den günde 100'ün altına düştü.
WordPress güvenlik duvarı eklentisi kurmanızı şiddetle tavsiye ederim. Eklenti, biri blogunuzu hacklemeye çalıştığında hacker'ın IP adresiyle birlikte size her zaman bir e-posta gönderecektir. Eklenti, garip istekleri algılar ve engeller, saldırıyı ana sayfaya yönlendirir.
Pazartesi günü hafta sonu altı adet hack girişimi hakkında bir e-posta aldım. Hacker yönetici sayfasını üç kez denedi, bu başarısız olunca kullanmadığım wordspew eklentisini aramayı denedi.
Tüm yeni başlayanlara bol şans
Yayın Kadrosu
Thanks for suggesting this one. Its now added in the post
Yönetici
Renee Fischer
Bir hack başarılı olduğunda, bot veya insan hacker verilerinizi saklayacak ve geri dönmenin bir yolunu arayarak web sitenizin dosyalarını tekrar tekrar tarayacaktır. Acımasız olmaya devam edecekler. E-postanızı, bilgisayarınızı veya sunucunuzu hacklemeyi başardılarsa, dokunduğunuz her şeyi hackleyene kadar devam edecekler. Evinize giden kırıntıları bulan hamam böcekleri gibidirler.
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
Tayfun
Gerçekten çok faydalı bir makale. Tweetledim.
Bu arada bir şey sormak istiyorum; Stealth Login misafir yazarlar için nasıl çalışır?
Yayın Kadrosu
Güvendiğiniz kişilere oluşturduğunuz özel URL'yi verirsiniz. Çoğu durumda, misafir yazarlar sitenizin yazarı olmadıkça yönetici paneline bile alınmamalıdır. Birisi siteniz için birden fazla yazı yazdıysa, güvenilir oldukları için onlara özel /login veya /googlogin veya oluşturduğunuz herhangi bir URL'yi verebilirsiniz.
En iyi blogların çoğu, misafir gönderilerini e-posta yoluyla kabul eder ve bu misafir yazarlar düzenli yazarlar haline gelirse, ancak o zaman yönetici paneline girmelerine izin verilir.
Yönetici
Misao
Teşekkürler! Çok yardımcı bir makale. İpuçlarınızı ve hilelerinizi bazı bloglarımda deneyeceğim.
sriganesh
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
Merhaba
Güzel liste! Wordpress için güzel “Tek Seferlik Şifre” eklentisini de eklemek isteyebilirsiniz:
http://wordpress.org/extend/plugins/one-time-password/
quicoto
Thanks for the tips
Tim
Harika ipuçları.
İlgili okuyucular için 6 numarada bir yanlışlık var.
Bu yöntemin dezavantajı, yönetici paneline başka bir yerden erişmek istediğinizde, .htaccess dosyanıza ek IP adresini eklemediğiniz sürece bunu yapamayacak olmanızdır.
İzin verdiğiniz IP adresi SSH ile bağlanabileceğiniz bir kutu ise, onun üzerinden SSH tüneli kurabilirsiniz (anahtarı çok kolay değiştirdiği için foxyproxy kullanıyorum). Ayrıca, apache yerine nginx kullanıyorsanız, URI'yi normal ifadelerle değerlendirerek wp-app.php'den wp-trackback.php'ye kadar her şeyi engelleyebilir (veya hangilerini engellemek istemediğinizi seçici olarak belirleyebilirsiniz). Bunu http://www.phrison.com/securing-arbitrary-uris/ adresinde ele alıyorum ancak deneyimsizler için değildir.
Geniş bir alüminyum folyo şapka koleksiyonum var.
Yayın Kadrosu
Haklısınız.
Uyarı: Yeni kullanıcılar bunu hiç denemeyin. Bu yalnızca deneyimli kullanıcılar içindir.
Yönetici
SaigonNezumi(Kevin)
Bu yazı için teşekkürler. Bunun gibi bir makale bekliyordum. İpuçlarınızdan birkaçını eklemek WP sitelerimi güvence altına almama yardımcı olacaktır.
Tekrar teşekkürler.
Yayın Kadrosu
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
Yönetici
Dana DeFazio
WordPress.com sitesi olduğu için blogum için karşılaştırılabilir bir şey olup olmadığını ve ayrıca danaddiamond.BlogSpot.com adresinde yeni bir blogum olduğunu merak ediyorum.
Yayın Kadrosu
WordPress.com birçok ayrıcalığa sahip olmanıza izin vermez ancak sunucularıyla, büyük ölçüde güvendesiniz.
Yönetici
Tinh
Mükemmel ipuçları ve püf noktaları, önerdiğiniz 11 ipucundan sadece 6'sını uyguladım, diğerlerini deneyeyim.
Jo
Bu site benim için mutlu bir yeni keşif (bilginize, @Problogger sayesinde Twitter'da) ve daha fazla keşif yapmayı dört gözle bekliyorum. Bu makale, bu günlerde çok nadir görülen sıkı, net yazım türüdür. Gerçekten yardımcı bilgiler için teşekkürler.
Yayın Kadrosu
Sitemizi beğendiğinize sevindik ve Darren'ın makaleyi paylaşmaya değer bulduğuna da çok sevindik. Tüm güzel eğitimlerden haberdar olmak için bizi Twitter'da takip etmenizi umuyoruz.
Yönetici
Marc
Vay canına – WP'ye oldukça yeniyim ve bilgisayar korsanları için bu kadar çok geçit olduğunu bilmiyordum. Bunlardan birkaçını ekledikten sonra yollarını bulamayacaklarından eminim.
Teşekkürler.
Roger Duck
WordPress güvenliği büyüyen bir sorundur ve bu adımlar bir WordPress sitesini güvence altına almak için kritik öneme sahiptir. Güvenliği artırmak, tüm topluluğun yanı sıra kendi sitenizin de bu fikirleri uygulama zamanı almasına yardımcı olur. Aferin.
Rob
Ve tüm sıkı çalışmanızı / güvenlik özelliklerinizi müşterilerinizden korumak için….
http://wordpress.org/extend/plugins/hide-admin-panels/
James Morrison
Sitenizi güvence altına almak için hayati ipuçlarının iyi bir listesi. Özellikle #8'i beğendim, bunu daha önce hiç yapmamıştım ama bundan sonra yapacağım!
#7 ile ilgili – ‘admin’ kullanıcı adını kaldırın:
Yönetici kullanıcı adını kaldırmıyorum, yeni bir yönetici hesabı oluşturuyorum ve ardından 'admin' kullanıcı hesabının türünü abone olarak değiştiriyorum.
Böylece biri parolayı kırsa bile bu işe yaramaz bir hesap olur. Eğer onu kaldırırsanız, biri o kullanıcı adını kaydedebilir...
Kathlene
James Morrison için Soru. Ne dediğinizi ve nasıl yapacağınızı biraz daha açıklayabilir misiniz?
Personel için akisnet eklentisi numarasını almak için birkaç kez denedim ve bir tane bulamadım. Nasıl elde edilir?
Çok güzel bir yazı. Bunları doğrudan uygulayacağım. Bir keresinde bloglarımdan biri 30 gün içinde iki kez hacklendi.
Harika bilgi için teşekkürler.
James Morrison
Bu adımları izleyin:
1.) Yönetici erişimine sahip yeni bir kullanıcı hesabı oluşturun (örneğin ‘James’)
2.) Yeni hesapla WP Yönetici'ye giriş yapın
3.) ‘admin’ kullanıcılarının hesabını düzenleyin ve erişimi abone olarak değiştirin
Böylece biri yönetici hesabını ele geçirmeye çalışıp başarılı olsa bile sitenize zarar veremez.
Bir akismet anahtarı almak için http://www.wordpress.com adresinden kaydolmanız gerekir.
Umarım bu yardımcı olur!
Mathdelane
Varsayılan "admin" kullanıcı adını phpMyadmin veritabanı aracılığıyla istediğiniz herhangi bir şeyle değiştirebilirsiniz. Blog hackleme ve güvenlikle ilgili gönderim ve deneyimlerim hakkında da bir yazım var:
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
Ucuz Siteler
Tüm öneriler için teşekkürler, birkaç büyük proje üzerinde çalışıyorum ve bloglar yayına girdikten sonra bu kesinlikle yardımcı olacaktır.
Buraya ilk gelişim ve blogu çok sevdim, iyi iş çıkarmışsınız!
Dan
Yayın Kadrosu
Burayı sevdiğinize sevindim. Herhangi bir sorunuz olursa veya WPBeginner'da belirli bir konu hakkında bilgi almak isterseniz önerilerinizi çekinmeden iletebilirsiniz.
Yönetici
Flow Interactive
İyi ipuçları. Ek bir güvenlik katmanı sağlamak için wp_config.php dosyanızı web kökünün dışına taşıyabilirsiniz.
Yayın Kadrosu
Evet, bunu yapabilirsiniz, ancak bu makalede yalnızca WordPress Yönetici Paneli'nden bahsediyorduk, genel olarak tüm siteden değil. Sitenizin tamamını, tüm WordPress blogunuzu korumanın birçok başka yolu vardır.
Yönetici
Shabayek
Peki ya blog ziyaretçilerinizin kaydolmasına izin verirseniz ve yorum göndermeden önce oturum açmalarını zorunlu tutarsanız?
Yayın Kadrosu
O zaman IP korumayı ve diğerlerini kullanamazsınız, ancak yine de limit kilitlemeyi kullanmalı, yönetici kullanıcı adı kullanmamalı ve yarı güvenli oturum açmalısınız.
Yönetici
Gerald Weber
Giriş denemelerini IP adresime sınırlıyorum. Bu, http://www.domainname.com/wp-admin adresine erişmeye çalışan ve isteği IP adresimden gelmeyen herkesin basitçe bir 404 sayfası alacağı anlamına gelir.
Blogspot'tan WordPress'e
Hey çok faydalı bir yazı.
En İlginç Fikirler blogu
Blogum için faydalı bir yazı.
Dreyer
Yardımcı bir liste. Bunları deneyeceğim. Tedbirli olmak, pişman olmaktan iyidir.
Rafi
Merhaba, bu harika bir ipuçları ve hileler koleksiyonu, çok kullanışlı. Her WP blog yazarının listeyi gözden geçirmesini ve adımları izlemesini ve ayrıca başka yerlerde bulunan diğer faydalı kaynakları da kullanmasını tavsiye ederim. Sonuçta bloglarımızı kimsenin hayatımızı kontrol etmesi için kurmadık. Lanet olsun.
Paylaştığınız için teşekkürler, WPBeginner.
Sergej Müller
WordPress Antivirüs Koruması bağlantısı?
Yayın Kadrosu
Ne kadar çok gözden geçirirseniz geçirin, bazı şeyler her zaman gözden kaçar. Sizin gibi kullanıcılara sahip olduğumuz için mutluyuz. Bağlantı eklendi. Tekrar teşekkürler.
Yönetici
Lolic
Aksimet ve captcha sistemleri hakkında ne düşünüyorsunuz?