WordPress Giriş Güvenliği için 5 Basit Kural

Yayınlanan: 2022-07-12

Başarılı bir WordPress güvenlik stratejisi, WordPress girişini güçlendirmeye yönelik adımları içermelidir. Bu yazıda, daha iyi WordPress giriş güvenliği için beş basit kuralı ele alıyoruz.

WordPress ile ilgili en güzel şey, hemen hemen herkes için erişilebilir bir web sitesi oluşturmasıdır. Ancak bu erişilebilirlik, öngörülebilirliği de beraberinde getiriyor. WordPress ile çalışma deneyimi olan herkes sitede değişikliklerin nerede yapıldığını bilir: wp-admin alanı aracılığıyla. wp-admin, wp-login.php sayfasına erişmek için nereye gitmeleri gerektiğini bile biliyorlar.

Varsayılan olarak, WordPress giriş URL'si her WordPress sitesi için aynıdır ve erişim için herhangi bir özel izin gerektirmez. Bu nedenle WordPress giriş sayfası, herhangi bir WordPress sitesinin en çok saldırıya uğrayan ve potansiyel olarak savunmasız olan kısmıdır.

Ne yazık ki, kaba kuvvet saldırıları gerçekleştirerek internette dolaşacak bir bot oluşturmak çok fazla beceri gerektirmez ve başlangıç seviyesindeki herhangi bir bilgisayar korsanı bir tane oluşturabilir. WordPress giriş sayfasına yapılan saldırılar düşük bir giriş engeline sahip olduğundan, WordPress giriş güvenliği, herhangi bir WordPress sitesinin güvenliğini sağlamak için çok önemlidir.

Bu kuralları izleyerek ve en iyi WordPress güvenlik uygulamalarını kullanarak, yaygın kullanıcı oturum açma hatalarına karşı savunmasız kalmaktan kaçınabilirsiniz.

1. Güçlü Parolalar Kullanın

İnternette şifre güvenliği en iyi uygulamaları hakkında kafa karıştırıcı ve çelişkili birçok bilgi var. Bu karışıklığı gidermek için, güçlü bir parola kullanmanın WordPress güvenliğinizi nasıl geliştirdiğinin temellerini inceleyelim.

Parola oluştururken dikkate almak isteyeceğiniz ilk öğe parolanın uzunluğudur . Aşağıdaki liste, dört çekirdekli bir i5 işlemci kullanarak bir parolayı kırmak için gereken tahmini süreyi gösterir.

7 karakterin kırılması .29 milisaniye sürer.
8 karakterin kırılması 5 saat sürecektir.
9 karakterin kırılması 5 gün sürecektir.
10 karakterin kırılması 4 ay sürecek
11 karakterin kırılması 1 on yıl alacak
12 karakterin kırılması 2 yüzyıl alacaktır.

Gördüğünüz gibi, şifrenize tek bir karakter eklemek, girişinizin güvenliğini önemli ölçüde artırabilir.

En az 12 karakter uzunluğunda, rastgele ve “ ISt8XXa!28X3 ” gibi geniş bir karakter havuzu içeren bir şifre, kırılmayı oldukça zorlaştıracaktır.

Ne yazık ki, bazı bilgisayar korsanları, şifreleri kırmak için gereken süreyi azaltmak için GPU'lardan ve daha güçlü CPU'lardan yararlanıyor. Bu nedenle, oturum açma bilgilerinizi güçlendirmek için parola entropisine de dikkat edin. Parola entropisi ne kadar yüksek olursa, parolanın kırılması o kadar zor olur.

Örneğin, yalnızca uzunluk gereksinimine bağlı olarak, "abcdefghijkl" gibi bir parola 12 karakterdir, bu harikadır ve kırılması 200 yıl sürer. Ancak, parola sıralı harf dizileri kullandığından, rastgele karakterler içeren “rfybolaawtpm” gibi bir parolaya kıyasla parolayı çok daha öngörülebilir hale getirir.

Karakterleri rastgele sıralamak, tahmin edilebilirliği azaltır ve parolanın gücünü artırır. Ancak bu parolaların her ikisinin de, sonuçta parola entropisini azaltan ortak bir yanı vardır. Her ikisi de yalnızca küçük harfler kullanır ve olası karakter havuzunu 26 ile sınırlar. Bu nedenle, parolayı kırmak için gereken karakter havuzunu 92'ye çıkarmak için alfasayısal, büyük harfler ve yaygın ASCII karakterleri eklemek hayati önem taşır.

İpucu: Parolaları kolayca oluşturmak ve güvenli bir şekilde saklamak için LastPass gibi bir parola yöneticisi kullanın.

İpucu: En azından, WordPress'te düzenlemeler yapabilen kullanıcıların güçlü parolalar kullanmasını sağlamalısınız. Ayrıcalıklı kullanıcıları güçlü parolalar kullanmaya zorlamak için iThemes Security Pro gibi bir WordPress güvenlik eklentisi kullanmak, WordPress oturum açma güvenliğini artırmaya yardımcı olacaktır.

2. Her Hesap İçin Benzersiz Bir Şifre Kullanın

Çevrimiçi güvenlik için başka bir en iyi uygulama, sahip olduğunuz her hesap ve web sitesi girişi için benzersiz parolalar kullanmaktır. Bu çok önemli, tekrar söyleyeceğiz: Her site için farklı bir şifre kullanmalısınız.

Şifreleri yeniden kullanmak neden bu kadar önemli? Her site için aynı şifreyi kullanıyorsanız ve bu sitelerden birinin güvenliği ihlal edilmişse, artık her sitede her hesap için güvenliği ihlal edilmiş bir şifre kullanıyorsunuz demektir. Bilgisayar korsanları, hesaplarınıza erişmek için e-posta adresiniz veya kullanıcı adınızla eşleştirilmiş, güvenliği ihlal edilmiş parolaların veri dökümlerini kullanabilir. Riske bile girmemek en iyisidir.

Parolaları yeniden kullanan kullanıcı sayısı ne kadar fazlaysa, WordPress oturum açma güvenliğiniz o kadar zayıf olur.

Cybernews tarafından derlenen bir listede, 2022'de en yaygın şifre 123456 idi. Sitenizin WordPress giriş güvenliği ancak en zayıf bağlantı kadar güçlüdür, bu nedenle güçlü şifre gereksinimleri konusunda proaktif olun.

İpucu: WordPress'i Ele Geçirilmiş Parolalardan Koruyun

iThemes Security Pro gibi bir eklenti ile WordPress'i güvenliği ihlal edilmiş parolalardan koruyabilirsiniz. iThemes Security Pro, bir veri ihlalinde bir parolanın görünüp görünmediğini tespit etmek için HaveIBeenPwned API'sinden yararlanır.

İpucu: Kullanıcıları sık sık parola değiştirmeye teşvik edin

iThemes Security'nin Parola Gereksinimleri özellikleri, bir sonraki oturum açışlarında tüm kullanıcılarınızı parolalarını değiştirmeye zorlamanıza olanak tanır. Kullanıcıları yeni bir parola oluşturmaya zorlamak, herkesin güçlü ve tavizsiz bir parola ile baştan başlamasına olanak tanır, bu da WordPress oturum açma sayınızı artıracaktır. güvenlik.

İpucu: Bir parola yöneticisi kullanın

Sonuç olarak, bir parola yöneticisi kullanmak, oturum açma bilgilerinizi ve benzersiz parolalarınızı takip etmenize yardımcı olabilir. Bir şifre yöneticisinin yardımıyla şifrelerinizi hatırlamanız gerekmez.

3. Giriş Denemelerini Sınırlayın

Varsayılan olarak, birinin yapabileceği başarısız oturum açma girişimlerinin sayısını sınırlamak için WordPress'te yerleşik bir şey yoktur. Bir saldırganın yapabileceği başarısız oturum açma girişimlerinin sayısında bir sınırlama olmaksızın, başarılı olana kadar sonsuz sayıda kullanıcı adı ve parola denemeye devam edebilir.

Başarısız oturum açma girişimlerinin sayısını sınırlamak için iThemes Security Pro gibi bir WordPress güvenlik eklentisi yükleyerek WordPress oturum açma güvenliğinizi artırın. iThemes Security Pro WordPress Brute Force Protection özelliği, bir kullanıcı adı veya IP kilitlenmeden önce izin verilen başarısız oturum açma denemelerinin sayısını belirleme gücü verir. Kilitleme, saldırganın oturum açma girişiminde bulunma yeteneğini geçici olarak devre dışı bırakır. Saldırganlar üç kez kilitlendikten sonra siteyi görüntülemeleri bile yasaklanacak. Not: Başarısız oturum açma girişimlerine ilişkin kurallarınızın ne kadar katı olmasını istediğinize karar verirken sitenizin gerçek kullanıcılarını göz önünde bulundurun. Kilitleme kurallarını çok affedilmez yaparsanız, yanlışlıkla gerçek kullanıcıları kilitleme riskiyle karşı karşıya kalırsınız.

4. İstek Başına Dış Kimlik Doğrulama Girişimlerini Sınırlayın

Giriş formu kullanmanın yanı sıra WordPress'e giriş yapmanın başka yolları da vardır. Saldırgan XML-RPC kullanarak tek bir HTTP isteğinde yüzlerce kullanıcı adı ve parola denemesi yapabilir. Kaba kuvvet yükseltme yöntemi, saldırganların yalnızca birkaç HTTP isteğinde XML-RPC kullanarak binlerce kullanıcı adı ve parola denemesi yapmasına olanak tanır. Bir saldırganın başlangıç noktası olarak veritabanı dökümlerini kullanabileceğini ve istek başına binlerce tahminde bulunabileceğini bilmeniz, WordPress oturum açma güvenliğinin önemini çok daha net hale getirir. iThemes Security Pro'nun WordPress Tweaks ayarlarını kullanarak, XML-RPC isteği başına birden çok kimlik doğrulama girişimini engelleyebilirsiniz. Kullanıcı adı ve şifre denemelerinin sayısını her istek için bir tane ile sınırlamak, WordPress girişinizi güvence altına almak için uzun bir yol kat edecektir.

Ayrıca, WordPress oturum açma güvenlik planınızı geliştirirken, WordPress Rest API'sinin bir WordPress kullanıcısının kimliğini doğrulamak için ek yollar eklediğini bilmek önemlidir. Çerez kimlik doğrulaması, oturum açtığınızda WordPress otomatik olarak bir çerez depolar, böylece eklentiler ve temalar sizin adınıza bir işlev gerçekleştirebilir. Çerez kimlik doğrulaması, wp-login.php'ye eklediğiniz korumalardan faydalanacaktır.

5. İki Faktörlü Kimlik Doğrulamayı Kullanın

WordPress giriş güvenliğini artırmanın en iyi yolunu sona sakladım: WordPress iki faktörlü kimlik doğrulama. İki faktörlü kimlik doğrulama, oturum açmak için WordPress kullanıcı adınız ve şifrenizle birlikte ekstra bir kod gerektirir.

İki faktörlü kimlik doğrulamanın birçok yöntemi vardır, ancak tüm yöntemler eşit yaratılmamıştır. Mümkünse, iki faktörlü kimlik doğrulama için SMS kullanmaktan kaçının. Ulusal Standartlar ve Teknoloji Enstitüsü, artık kimlik doğrulama kodlarını göndermek ve almak için SMS kullanılmasını önermemektedir.

iThemes Security Pro gibi bir WordPress güvenlik eklentisi kullanarak, iki faktörlü e-posta veya mobil uygulama yöntemini etkinleştirmelisiniz.

Birçok sitenin kullanıcı adı olarak bir e-posta adresi kullanmanızı gerektirdiğini unutmayın. Bir saldırgan bu sitelerden birini hacklerse, bir sonraki adım, çaldıkları yeni e-posta adreslerini ve şifreleri kullanarak e-posta hesaplarına giriş yapmayı denemek olacaktır. Kullanıcılarınızdan veya müşterilerinizden biri, her sitede güvenliği ihlal edilmiş parolaları yeniden kullanıyorsa, iki faktörlü e-posta kodlarıyla birlikte e-posta hesapları da tehlikeye girer. İki faktörlü mobil uygulama yöntemi, WordPress giriş güvenliğini artırmak için en iyisini yapacaktır. Oturum açmak için gerekli olan ekstra kimlik doğrulama kodu, kullanıcının telefonuna gönderilecektir. Bu nedenle, bir saldırganın WordPress ve e-posta kimlik bilgilerine erişimi olsa bile, oturum açmaları için yine de bir yol olmayacaktır.

Özet: Basit Bir WordPress Giriş Güvenliği Kontrol Listesi

WordPress giriş güvenliği, her sitede en yüksek öncelik olmalıdır. Artık sitenizdeki oturum açma güvenliğini nasıl artıracağınızı bildiğinize göre, bu etkili hack önleme stratejisinden yararlanabilirsiniz.

1. Güçlü Parolalar Kullanın
2. Her Hesap İçin Benzersiz Parolalar Kullanın
3. Giriş Denemelerini Sınırlayın
4. Kimlik Doğrulama Girişimlerini Sınırlayın
5. İki Faktörlü Kimlik Doğrulamayı Kullanın

Bonus içeriği edinin: WordPress Güvenliğine Yönelik Bir Kılavuz

Buraya tıklayın

WordPress'i Güvenceye Almak ve Korumak için En İyi WordPress Güvenlik Eklentisi

WordPress şu anda tüm web sitelerinin %40'ından fazlasına güç sağlıyor, bu nedenle kötü niyetli bilgisayar korsanları için kolay bir hedef haline geldi. iThemes Security Pro eklentisi, WordPress web sitenizi güvenli hale getirmeyi ve korumayı kolaylaştırmak için WordPress güvenliğindeki varsayımları ortadan kaldırır. WordPress sitenizi sizin için sürekli izleyen ve koruyan tam zamanlı bir güvenlik uzmanına sahip olmak gibidir.

iThemes Security Pro'yu edinin

Kristen Wright

Kristen, 2011'den beri WordPress kullanıcılarına yardımcı olmak için öğreticiler yazıyor. iThemes'te pazarlama direktörü olarak, etkili WordPress web siteleri oluşturmanın, yönetmenin ve sürdürmenin en iyi yollarını bulmanıza yardımcı olmaya kendini adamıştır. Kristen ayrıca günlük tutmaktan (yan projesi The Transformation Year'a göz atın!), yürüyüş yapmaktan ve kamp yapmaktan, step aerobik yapmaktan, yemek pişirmekten ve daha güncel bir hayat yaşamayı umarak ailesiyle birlikte günlük maceralardan hoşlanıyor.