WordPress Girişinizi Güvende Tutmanın 8 Yolu

WordPress giriş URL'si her WordPress sitesi için aynıdır ve erişim için herhangi bir özel izin gerektirmez. WordPress ile çalışma deneyimi olan herkes, giriş URL'sinin /wp-login.php sayfasında bulunduğunu bilir.

WordPress giriş sayfasının erişilebilirliği, onu herhangi bir WordPress web sitesinin en saldırıya uğrayan ve potansiyel olarak en savunmasız olan parçası yapar. Neyse ki bizim için iThemes Security Pro eklentisi, WordPress girişinizi güvenli hale getirmeyi kolaylaştırır.

WordPress girişinizi güvenli hale getirmek ve neredeyse aşılmaz kılmak için kullanabileceğiniz iThemes Security Pro'daki araçlara bir göz atalım!

1. Giriş Denemelerini Sınırlayın

WordPress girişinizi güvence altına almanın ilk adımı, başarısız giriş denemelerini sınırlamaktır. Varsayılan olarak, birinin yapabileceği başarısız oturum açma girişimlerinin sayısını sınırlamak için WordPress'te yerleşik bir şey yoktur. Bir saldırganın yapabileceği başarısız oturum açma denemelerinin sayısında bir sınırlama olmaksızın, çalışan bir tane bulana kadar farklı kullanıcı adları ve şifrelerin bir kombinasyonunu denemeye devam edebilir.

iThemes Security Pro Yerel Kaba Kuvvet Koruması özelliği, bir ana bilgisayar veya IP adresi ve bir kullanıcı adı tarafından yapılan geçersiz oturum açma girişimlerinin kaydını tutar. Bir IP veya kullanıcı adı arka arkaya çok sayıda geçersiz giriş denemesi yaptığında, kilitlenirler ve belirli bir süre boyunca daha fazla deneme yapmaları engellenir.

Yerel Kaba Kuvvet Koruması özelliğini kullanmaya başlamak için, bunu iThemes Security Pro ayarlar sayfasının ana sayfasında etkinleştirin.

Yerel Kaba Kuvvet Koruması ayarları, kilitleme eşiklerini ayarlamanıza olanak tanır.

• Ana Bilgisayar Başına Maksimum Oturum Açma Denemesi – Kilitlenmeden önce bir IP'ye izin verilen geçersiz oturum açma denemelerinin sayısı.
• Kullanıcı Başına Maksimum Giriş Denemesi – Bu, bir kullanıcı adı kilitlenmeden önce izin verilen geçersiz giriş denemelerinin sayısıdır.
• Hatalı Oturum Açmayı Hatırlayacak Dakikalar – Geçersiz bir oturum açma girişiminin, bir kilitleme için bir IP veya kullanıcı adına karşı sayılması gereken süredir.
• "Yönetici" kullanıcıyı otomatik olarak yasakla - Etkinleştirildiğinde, oturum açarken Yönetici kullanıcı adını kullanan herkes otomatik olarak kilitlenir.

Kilitleme ayarlarınızı yapılandırırken aklınızda bulundurmanız gereken birkaç şey vardır. Kullanıcılara IP verdiğinizden daha geçersiz oturum açma girişimleri vermek istiyorsunuz. Diyelim ki web siteniz kaba kuvvet saldırısı altında ve saldırgan kullanıcı adınızı kullanıyor. Amaç, kullanıcı adınızı değil, saldırganın IP'sini kilitlemektir, böylece web siteniz saldırı altındayken bile giriş yapabilir ve işlerinizi halledebilirsiniz.

Ayrıca, geçersiz oturum açma denemelerinin sayısını çok düşük ve geçersiz denemeleri hatırlama süresini çok uzun süre ayarlayarak bu ayarları çok katı yapmak istemezsiniz. Ana bilgisayarlar/IP'ler için geçersiz oturum açma denemelerinin sayısını 1'e düşürürseniz ve kötü bir oturum açma girişimini hatırlamak için dakikayı bir aya ayarlarsanız, yanlışlıkla meşru kullanıcıları kilitleme olasılığını önemli ölçüde artırırsınız.

2. İstek Başına Dış Kimlik Doğrulama Girişimlerini Sınırlayın

Giriş formu kullanmanın yanı sıra WordPress'e giriş yapmanın başka yolları da vardır. Saldırgan XML-RPC kullanarak tek bir HTTP isteğinde yüzlerce kullanıcı adı ve parola denemesi yapabilir. Kaba kuvvet yükseltme yöntemi, saldırganların yalnızca birkaç HTTP isteğinde XML-RPC kullanarak binlerce kullanıcı adı ve parola denemesi yapmasına olanak tanır.

iThemes Security Pro'nun WordPress Tweaks ayarlarını kullanarak, XML-RPC isteği başına birden çok kimlik doğrulama girişimini engelleyebilirsiniz. Kullanıcı adı ve şifre denemelerinin sayısını her istek için bir tane ile sınırlamak, WordPress girişinizi güvence altına almak için uzun bir yol kat edecektir.

3. Ağ Kaba Kuvvet Koruması

Giriş denemelerini sınırlamak tamamen yerel kaba kuvvet koruması ile ilgilidir. Yerel kaba kuvvet koruması, yalnızca sitenize erişme girişimlerine bakar ve güvenlik ayarlarınızda belirtilen kilitleme kurallarına göre kullanıcıları yasaklar.

Ağ Kaba Kuvvet koruması bunu bir adım daha ileri götürür. Ağ , iThemes Güvenlik topluluğudur ve bir milyondan fazla web sitesi güçlüdür. Bir IP'nin iThemes Security topluluğundaki web sitelerine girmeye çalıştığı tespit edilirse, IP, Network Brute Force yasaklı listesine eklenir.

Bir IP, Network Brute Force yasaklı listesine girdikten sonra, ağdaki tüm web sitelerinde IP engellenir. Bu nedenle, bir IP web siteme saldırır ve yasaklanırsa, iThemes Security Brute Force Network'e bildirilecektir. Raporum IP'nin tüm ağda yasaklanmasına yardımcı olabilir. Yalnızca iThemes Güvenlik Ağ Korumasını etkinleştirerek diğer kişilerin WordPress oturum açma bilgilerinin güvenliğini sağlamaya yardımcı olabileceğimi seviyorum.

Network Force Protection'ı kullanmaya başlamak için, güvenlik ayarlarının ana sayfasında etkinleştirin.

Ardından e-posta adresinizi girin, e-posta güncellemelerini almak isteyip istemediğinizi seçin ve ardından Kaydet düğmesini tıklayın.

4. Güçlü Parolaları Zorlayın

Splash Data tarafından derlenen bir listede, tüm veri dökümlerinde bulunan en yaygın şifre 123456 idi. Veri dökümü, internette bir yere dökülen kullanıcı şifreleriyle dolu, saldırıya uğramış bir veritabanıdır. Veri dökümlerinde en yaygın şifre 123456 ise, web sitenizde kaç kişinin zayıf bir şifre kullandığını hayal edebiliyor musunuz?

Zayıf bir parola kullanmak, ön kapınızı bir parça bantla kilitlemeye çalışmak gibidir. Bilgisayar korsanlarının zayıf bir parolayı geçerek bir web sitesine kaba kuvvet kullanarak girmeleri hiçbir zaman uzun sürmedi. Artık bilgisayar korsanları saldırılarında bilgisayar grafik kartlarını kullandığından, bir parolayı kırmak için gereken süre hiç bu kadar az olmamıştı.

Örneğin, yüksek performanslı bir şifre kırma şirketi olan Terahash tarafından oluşturulan bir grafiğe bakalım. Grafikleri, 448x RTX 2080'lerden oluşan bir hashstack kümesi kullanarak bir parolayı kırmak için geçen süreyi gösterir.

Varsayılan olarak, WordPress, WP veritabanında depolanan kullanıcı şifrelerini toplamak için MD5 kullanır. Bu tabloya göre, Terahash 8 karakterlik bir şifreyi neredeyse anında kırabilir. Bu sadece süper etkileyici değil, aynı zamanda gerçekten korkutucu. İyi haber şu ki, üst düzey kullanıcılarımızın güçlü şifreler kullanmasını zorunlu kılarak WordPress girişimizi güvence altına alabiliriz.

iThemes Security Pro Parola Gereksinimi özelliği, belirli kullanıcıları güçlü bir parola kullanmaya zorlamanıza olanak tanır. Güvenlik ayarlarının ana sayfasındaki Parola Gereksinimleri özelliğini etkinleştirin ve ardından güçlü bir parola kullanmasını istediğiniz kullanıcıları seçin.

5. Reddedilen Güvenliği Aşan Parolalar

Verizon Veri İhlali Araştırmaları Raporuna göre, çalışanların %70'inden fazlası iş yerinde parolaları yeniden kullanıyor. Ancak rapordaki en önemli istatistik, bilgisayar korsanlığıyla ilgili ihlallerin %81'inin çalıntı veya zayıf parolalardan yararlanmasıdır.

Bilgisayar korsanları, sözlük saldırısı adı verilen bir kaba kuvvet saldırısı kullanır. Sözlük saldırısı, veritabanı dökümlerinde görünen yaygın olarak kullanılan parolalarla bir WordPress web sitesine girme yöntemidir. “Koleksiyon #1? MEGA'da barındırılan Veri İhlali, 1.160.253.228 benzersiz e-posta adresi ve şifre kombinasyonunu içeriyordu. Bu, b ile bir milyardır. Bu tür bir puan, bir sözlük saldırısının en sık kullanılan WordPress şifrelerini daraltmasına gerçekten yardımcı olacaktır.

Yazar seviyesi ve üzeri yeteneklere sahip kullanıcıların WordPress girişinizi güvence altına almak için güvenliği ihlal edilmiş şifreler kullanmasını önlemek bir zorunluluktur. Alt düzey kullanıcılarınızın güvenliği ihlal edilmiş parolalar kullanmasına izin vermemeyi de düşünebilirsiniz.

Yeni bir müşteri hesabı oluşturmayı mümkün olduğunca kolay hale getirmek tamamen anlaşılabilir ve teşvik edilmektedir. Ancak müşteriniz, kullandığı parolanın bir veri dökümünde bulunduğunu bilmeyebilir. Müşterinize, kullandıkları parolanın ele geçirilmiş olduğu konusunda onları uyararak harika bir hizmet yapmış olursunuz. Bu şifreyi her yerde kullanıyorlarsa, onları yolun aşağısındaki bazı büyük baş ağrılarından kurtarabilirsiniz.

iThemes Security Pro Güvenliği İhlal Edilen Parolaları Reddet özelliği, kullanıcıları Have I Been Pwned tarafından izlenen herhangi bir parola ihlalinde görünmeyen parolaları kullanmaya zorlar. Güvenlik ayarlarının ana sayfasındaki Parola Gereksinimleri özelliğini etkinleştirin ve ardından güvenliği ihlal edilmiş bir parola kullanmasını engellemek istediğiniz kullanıcıları seçin.

6. İki Faktörlü Kimlik Doğrulamayı Kullanın

İki faktörlü kimlik doğrulamayı kullanmak, WordPress girişinizi güvence altına almak için yapabileceğiniz en iyi şeydir. İki faktörlü kimlik doğrulama, iki ayrı doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama işlemidir. Google, blogunda iki faktörlü kimlik doğrulamanın otomatik bot saldırılarının %100'ünü durdurabileceğini paylaştı. Bu ihtimalleri gerçekten seviyorum.

iThemes Security Pro İki Faktörlü Kimlik Doğrulama özelliği, web sitenize 2fa uygularken çok fazla esneklik sağlar. Kullanıcılarınızın tamamı veya bir kısmı için iki faktörü etkinleştirebilir ve üst düzey kullanıcılarınızı her oturum açmada 2fa kullanmaya zorlayabilirsiniz.

Size kolaylık sağlamak için iThemes Security Pro, iki faktörlü kimlik doğrulama için 2 farklı yöntem sunar.

1. Mobil Uygulama – Mobil uygulama yöntemi, iThemes Security Pro tarafından sağlanan en güvenli iki faktörlü kimlik doğrulama yöntemidir. Bu yöntem, Authy gibi ücretsiz iki faktörlü bir mobil uygulama kullanmanızı gerektirir.
2. E-posta – İki faktörlü e-posta yöntemi, kullanıcınızın e-posta adresine zamana duyarlı kodlar gönderir.
3. Yedek Kodlar – Birincil iki faktörlü yöntemin kaybolması durumunda oturum açmak için kullanılabilecek bir kerelik kullanım kodları seti.

7. Google reCAPTCHA v3 ile Kötü Botları Engelleyin

iThemes Security Pro'daki iThemes Security Pro Google reCAPTCHA özelliği, sitenizi kötü botlardan korur. Bu botlar, güvenliği ihlal edilmiş şifreler kullanarak, spam göndererek ve hatta içeriğinizi kazıyarak web sitenize girmeye çalışıyor. reCAPTCHA, insanları ve robotları birbirinden ayırmak için gelişmiş risk analizi teknikleri kullanır.

reCAPTCHA sürüm 3'ün harika yanı, herhangi bir kullanıcı etkileşimi olmadan web sitenizdeki kötüye kullanım amaçlı bot trafiğini tespit etmenize yardımcı olmasıdır. Bir CAPTCHA sorgulaması göstermek yerine reCAPTCHA v3, sitenizde yapılan farklı istekleri izler ve her istek için bir puan döndürür. Puan 0.0 ile 1 arasındadır. reCAPTCHA tarafından döndürülen puan ne kadar yüksekse, bir insanın isteği yaptığından o kadar emin olur. reCAPTCHA tarafından döndürülen bu puan ne kadar düşükse, bir botun istekte bulunduğundan o kadar emin olur.

Google reCAPTCHA v3'ü kullanmaya başlamak için, güvenlik ayarlarının ana sayfasındaki seçeneği etkinleştirin.

Ardından, reCAPTCHA yazarken reCAPTCHA v3'ü seçmeniz ve Google yöneticinizden anahtarlarınızı oluşturmanız gerekir.

iThemes Security Pro, reCAPTCHA puanını kullanarak bir blok eşiği belirlemenize olanak tanır. Google, varsayılan olarak 0,5 kullanmanızı önerir. Eşiği çok yüksek ayarlarsanız, meşru kullanıcıları istemeden kilitleyebileceğinizi unutmayın.

reCAPTCHA'yı WordPress kullanıcı kaydınızda, parola sıfırlamada, oturum açmada ve yorumlarınızda etkinleştirebilirsiniz. iThemes Security Pro, bot ve insan puanının doğruluğunu artırmak için Google reCAPTCHA komut dosyasını tüm sayfalarda çalıştırmanıza olanak tanır. reCAPTCHA v3'ü etkinleştirmek, WordPress girişinizi güvence altına almanın harika bir yoludur.

8. WP Dashboard'a Cihaz Erişimini Sınırlayın

WordPress girişinizi güvence altına almanın son adımı, WordPress kontrol panelinize erişimi bir dizi cihazla sınırlamaktır. iThemes Security Pro Güvenilir Cihazlar özelliği, sizin ve diğer kullanıcıların WordPress sitenize giriş yapmak için kullandığı cihazları tanımlar. Bir kullanıcı tanınmayan bir cihazda oturum açtığında, Güvenilir Cihazlar yönetici düzeyindeki yeteneklerini kısıtlayabilir. Bu, bir bilgisayar korsanının diğer oturum açma güvenlik yöntemlerinizi atlayabildiği anlamına gelir – pek olası değildir – web sitenizde herhangi bir kötü niyetli değişiklik yapma becerisine sahip olmayacaklardır.

Güvenilir Cihazları kullanmaya başlamak için, bunları güvenlik ayarlarının ana sayfasında etkinleştirin ve ardından Ayarları Yapılandır düğmesini tıklayın.

Güvenilir Cihazlar ayarlarında, özelliği kullanmak istediğiniz kullanıcılara karar verin ve ardından Yetenekleri Kısıtla ve Oturum Ele Geçirme Koruması özelliklerini etkinleştirin.

Yeni Güvenilir Cihazlar ayarını etkinleştirdikten sonra, kullanıcılar, tanınmayan cihazlar hakkında WordPress yönetici çubuğunda bir bildirim alacaklardır. Mevcut cihazınız güvenilir cihazlar listesine eklenmemişse, yetkilendirme e-postasını göndermek için Bu Cihazı Onayla bağlantısını tıklayın .

Mevcut cihazlarınızı Güvenilir Cihazlar listesine eklemek için Tanınmayan Oturum Açma e-postasındaki Cihazı Onayla düğmesini tıklayın.

Toplama

WordPress giriş sayfasının erişilebilirliği, onu herhangi bir WordPress sitesinin en saldırıya uğrayan ve potansiyel olarak savunmasız olan bir parçası haline getirir. Ancak, iThemes Security Pro kullanıyorsanız içiniz rahat olabilir.

Bu gönderide paylaşılan WordPress giriş bilgilerinizi güvence altına almak için 8 iThemes Security Pro aracını kullandığınızdan emin olun.

• 1. Giriş Denemelerini Sınırlayın
• 2. İstek Başına Dış Kimlik Doğrulama Girişimlerini Sınırlayın
• 3. Ağ Kaba Kuvvet Koruması
• 4. Güçlü Parolaları Zorlayın
• 5. Reddedilen Güvenliği Aşan Parolalar
• 6. İki Faktörlü Kimlik Doğrulamayı Kullanın
• 7. Google reCAPTCHA v3 ile Kötü Botları Engelleyin
• 8. WP Dashboard'a Cihaz Erişimini Sınırlayın

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.