WordPress Giriş ve Kayıt Ekranı İçin Güvenlik Önlemleri

WordPress Giriş ve Kayıt Ekranı İçin Güvenlik Önlemleri

Atakan Yıldırım tarafından paylaşıldı.

Bizim için WordPress giriş ekranı her ne kadar sadece giriş için işimize yarasa da, dünya çapında bir çok hacker (internet korsanı) bu ekranı kullanarak “brute force” yani deneme yanılma yöntemi ile hacklemeye çalışır.

WordPress giriş ve kayıt ekranlarına saldıran hackerlar, yazdıkları yazılımlar ile milyonlarca sitede binlerce bot hesap açabilir, giriş ekranlarınıza saldırarak şifrelerinizi bulabilir ve sitenizi ele geçirebilirler. Bir sabah kalktığınızda da sitenizin hacklendiğini, veri tabanının patladığını görebilirsiniz. Bu yüzden siteniz için güvenlik önlemleri almanız gerekir.

Alabileceğiniz en iyi güvenlik önlemleri ve kodlarını sizler için aşağıda sıraladım. İster 2 satır kod ile sitenizi koruyabilir, ister de eklenti kurarak internet sitenizin tam korumasını sağlayabilirsiniz.

Korumaya başlayabilmeniz için önerileri vermeye 0 eklenti 0 sorun yöntemi olan eklentisiz yöntemler ile başlayacağım. Eklentisiz olarak da sitenizi tam koruyabilirsiniz, tabii hiç anlamıyorsanız direkt olarak da eklentili yöntemlere geçebilirsiniz.

Eklentisiz Yöntem İle Korumaya Başlayın

Giriş Ekranını Brute-Force’den Koruma

Brute Force‘un açılımını yukarıda yapmıştım. Deneme-yanılma yöntemi diye anılan bu yöntem, hackerlar tarafından kodlanan yazılımlar ile yapılıyor. Bundan en iyi korunma yöntemi ise girişte yaşanan hatalar için bir limit belirlemektir. Aşağıda vereceğim kullanışlı kod da belirlediğiniz limit aşıldıktan sonra paneli belirlediğiniz saniye kadar kilitleyerek girişlere izin vermiyor.

Bu özelliği sitenize eklemek istiyorsanız, WordPress temanızın içerisinde bulunan functions.php dosyasında ki <?php ile ?> kodları arasına aşağıdaki kodları ekleyin.

Kodları ekledikten sonra giriş ekranına giderek test edebilirsiniz. Eğer ayarlara hiç ellemezseniz, 10 kereden fazla yanlışlarınızda panel 1 dakika kilitlenecektir.

Kayıt Ekranını Spam Botlarından Korumak

Siteniz yeni üyeliklere açık ise ve herhangi bir koruması yoksa muhtemelen spam botları çoktan sahte üyelikler oluşturmuştur. Eğer oluşturmadıysalar da henüz keşfetmemişler demektir. Fakat bu, ileride sitenize dadanmayacakları anlamına gelmiyor. Bu yüzden şimdiden önleminizi alın.

Sitenize güvenlik sorusu ekleyerek üye olan kişilere basit bir güvenlik sorusu sorun. Spam Botlar; yani hackerlar tarafından yapılan sahte bilgisayarlar, belirlediğiniz güvenlik sorusunu çözemeyecekleri için siteniz koruma altında olacaktır.

Peki nasıl yapacağız? WordPress temanızda bulunan functions.php dosyasında ki <?php ile ?> kodları arasına aşağıdaki kodları ekleyip kaydedin.

Kodu ekledikten sonra WordPress kayıt ekranına gelerek bu kodun çalışıp çalışmadığını test edebilirsiniz. Eğer çalışıyorsa, üye olacak kullanıcılara “Apple kelimesinin Türkçe anlamı nedir?” diye bir soru sorulacak. Altında bulunan kutucuğa “elma” yazamayanların da üye olmasını engellenecek. Tabii ki soruyu ve cevabı kendinize göre de düzenleyebilirsiniz.

Eklentili Yöntem

WordPress giriş ve kayıt ekranını korumanın bir diğer yolu da eklentilerdir. Aşağıda vereceğim eklentileri sitenize yükleyerek sitenizi üst düzey bir şekilde koruyabilirsiniz.

Limit Login Attempts Eklentisi

Üstte eklentisiz yöntemde “hata limiti“ne göre paneli kilitleyen kodla aynı işlevde olan bu eklenti, panelden sizin belirlediğiniz kadar hatalı giriş yapanları engelliyor. Ayrıca bir çok özellik sunuyor, bu özellikler ise şunlar:

  • IP Yasaklaması
  • IP whitelist ve blacklist özelliği
  • E-Posta ile uyarma
  • Proxy engellemesi

Ayrıca bu eklenti bir çok hosting tarafından otomatik olarak yükletiliyor. Bu yüzden en güveniliri.

Limit Login Attempts Eklentisini İndir

WP Limit Login Attempts Eklentisi

Normal Limit Login Attempts eklentisine göre daha yeni ve ek özellikler barındıran WP Limit Login Attempts eklentisi, bir çok ek özellik barındırıyor. Bu özelliklere e-posta onaylaması, Proxy engellemesi ve Captcha (robot) kontrolü de dahil.

Eklentiyi kurmak diğer tüm eklentiler gibi basit. Sadece kurun ve ayarlamaları yapın. Otomatik olarak çalışacaktır.

WP Limit Login Attempts Eklentisini İndir

Google Authenticator Eklentisi

Google Authenticator – Two Factor Authentication (2FA) eklentisi, WordPress giriş ve kayıt ekranına Google’nın iki adımlı doğrulama özelliğini ekleyerek sadece sizin telefonunuza gelen kodla giriş yapmanızı sağlayan bir eklentidir. Bu özellik ile giriş ve kayıtlar tam anlamıyla güvenli oluyor.

Google Authenticator – Two Factor Authentication (2FA) özellikleri:

  • İki adımlı doğrulama özelliği
  • Google Doğrulayıcı özelliği
  • Akıllı telefonlar ile uyumlu
  • İnternetsiz telefonda çalışma özelliği
  • Kayıt ve giriş ekranını koruma özelliği
  • QR Kod ile giriş özelliği
  • miniOrange ile çalışma özelliği

Ayrıca bu eklenti sayesinde sadece siz değil tüm kullanıcılar da güvende oluyor ve yararlanabiliyorlar. Bu eklentiyi kurduktan sonra e-postanız ve telefonunuz ile kayıt olup sitenizi eklemeniz gerekiyor. Böylece bu eklenti tam olarak kullanılabilir bir hale geliyor.

Google Authenticator Eklentisini İndir

Özet

Üstte anlattığım kodları sitenize ekleyerek veya verdiğim eklentileri sitenize kurarak WordPress giriş ve kayıt sayfalarını koruyabilir ve sitenizi kötü niyetli saldırganlardan muhafaza edebilirsiniz. Ancak önemli olan web sitenizin barındığı sunucudur. Sitenizi ne kadar korursanız koruyun, ne kadar güvenlik eklentisi kurarsanız kurun sunucunuz güvenli değilse hiçbiri işe yaramayacaktır. Bu yüzden doğru bir araştırma sonucu hosting veya sunucu almanızı öneriyorum.

Bu yazıyı beğendiniz mi? Diğerlerine de göz atın.