WordPress giriş URL’si her WordPress sitesi için aynıdır ve erişim için herhangi bir özel izin gerektirmez. WordPress ile çalışma deneyimi olan herkes, giriş URL’sinin /wp-login.php
sayfada bulunduğunu bilir .
WordPress giriş sayfasının erişilebilirliği, onu herhangi bir WordPress web sitesinin en çok saldırıya uğrayan ve muhtemelen en savunmasız olan kısmı yapar. Neyse ki bizim için iThemes Security Pro eklentisi, WordPress giriş bilgilerinizi korumayı kolaylaştırır.
İThemes Security Pro’daki WordPress giriş bilgilerinizi güvence altına almak ve neredeyse aşılmaz hale getirmek için kullanabileceğiniz araçlara bir göz atalım!
1. Oturum Açma Girişimlerini Sınırlayın
WordPress girişinizi güvence altına almanın ilk adımı, başarısız giriş girişimlerini sınırlamaktır. Varsayılan olarak, bir kişinin yapabileceği başarısız oturum açma girişimlerinin sayısını sınırlamak için WordPress ile gelen bir özellik yoktur. Bir saldırganın yapabileceği başarısız oturum açma girişimlerinin sayısında bir sınırlama olmaksızın, giriş yapabilecek bir hesap bulana kadar farklı kullanıcı adları ve parolaların bir kombinasyonunu denemeye devam edebilir.
iThemes Security Pro Local Brute Force Protection özelliği bir ana bilgisayar veya IP adresi ve kullanıcı adı ile yapılan geçersiz giriş denemelerinden de kaydını tutar. Bir IP veya kullanıcı adı arka arkaya çok sayıda geçersiz giriş denemesi yaptığında, bunlar kilitlenir ve belirli bir süre boyunca daha fazla girişimde bulunmaları engellenir.
Local Brute Force Protection özelliğini kullanmaya başlamak için iThemes Security ayarlar sayfasının ana sayfasında etkinleştirin.
- Max Login Attempts Per Host – Geçersiz oturum açma girişimlerinin sayısı, bir IP kilitlenmeden önce izin verilir.
- Max Login Attempts Per User – Bu, bir kullanıcı adı kilitlenmeden önce izin verilen geçersiz oturum açma girişimlerinin sayısıdır.
- Minutes to Remember Bad Login – Geçersiz oturum açma girişiminin bir kilitlenme için bir IP veya kullanıcı adına ne kadar süreyle sayılması gerektiğidir.
- Automatically ban “admin” user – Etkinleştirildiğinde, oturum açarken Yönetici kullanıcı adını kullanan herkes otomatik bir kilitlenme alır.
Kilitleme ayarlarınızı yapılandırırken aklınızda bulundurmanız gereken birkaç şey vardır. Diyelim ki web siteniz kaba kuvvet saldırısı altında ve saldırgan kullanıcı adınızı kullanıyor. Amaç, kullanıcı adınızı değil, saldırganın IP’sini kilitlemektir, böylece web siteniz saldırı altında olsa bile yine de oturum açabilir ve işlerinizi halledebilirsiniz.,
Ayrıca, geçersiz oturum açma girişimlerinin sayısını çok düşük ve geçersiz girişimleri hatırlama süresini çok uzun ayarlayarak bu ayarları çok katı yapmak istemezsiniz. Ana bilgisayarlar / IP’ler için geçersiz oturum açma girişimlerinin sayısını 1’e düşürürseniz ve kötü oturum açma girişimini hatırlamak için dakikaları bir aya ayarlarsanız, yanlışlıkla yasal kullanıcıları kilitleme olasılığını büyük ölçüde artırmış olursunuz.
2. İstek Başına Dış Kimlik Doğrulama Girişimlerini Sınırlayın
Bir giriş formu kullanmanın yanı sıra WordPress’e giriş yapmanın başka yolları da var. XML-RPC kullanarak, bir saldırgan tek bir HTTP isteğinde yüzlerce kullanıcı adı ve parola denemesi yapabilir. Kaba kuvvet yöntemi, saldırganların yalnızca birkaç HTTP isteğinde XML-RPC kullanarak binlerce kullanıcı adı ve parola denemesinde bulunmasına olanak tanır.
İThemes Security Pro’nun WordPress Tweaks ayarlarını kullanarak, XML-RPC isteği başına birden fazla kimlik doğrulama girişimini engelleyebilirsiniz. Kullanıcı adı ve şifre denemelerinin sayısını her istek için bir taneyle sınırlamak, WordPress girişinizi güvence altına almak için çok öenmli bir adım olacaktır
3. Ağ Kaba Kuvvet Koruması
Oturum açma girişimlerini sınırlamak, tamamen kaba kuvvet korumasıyla ilgilidir. Kaba kuvvet koruması yalnızca sitenize erişme girişimlerine bakar ve güvenlik ayarlarınızda belirtilen kilitleme kurallarına göre kullanıcıları yasaklar.
Ağ Brute Force koruması bunu bir adım daha ileri götürür. Bir IP’nin iThemes Security topluluğundaki web sitelerine girmeye çalıştığı belirlenirse, IP, Network Bruce Force yasaklı listesine eklenir.
Bir IP, Network Brute Force yasaklananlar listesine girdiğinde, IP, ağdaki tüm web sitelerinde engellenir. Dolayısıyla, bir IP web siteme saldırırsa ve yasaklanırsa, iThemes Security Brute Force Network’e rapor edilecektir. Raporum, IP’nin tüm ağda yasaklanmasına yardımcı olabilir.
Ağ Gücü Korumasını kullanmaya başlamak için , güvenlik ayarlarının ana sayfasında etkinleştirin.
Ardından e-posta adresinizi girin, e-posta güncellemelerini almak isteyip istemediğinizi seçin ve ardından Kaydet düğmesine tıklayın.
4. Güçlü Parolalar Seçin
Splash Data tarafından derlenen bir listede, tüm veri dökümlerinde bulunan en yaygın şifre 123456 idi. Veri dökümü, internette bir yere atılan kullanıcı şifreleri ile dolu, saldırıya uğramış bir veri tabanıdır . Veri dökümlerinde en yaygın şifre 123456 ise, web sitenizdeki kaç kişinin zayıf bir şifre kullandığını hayal edebiliyor musunuz?
Zayıf bir parola kullanmak, ön kapınızı bir bant parçasıyla kilitlemeye benzer. Artık bilgisayar korsanları saldırılarında bilgisayar grafik kartlarını kullandığına göre, bir şifreyi kırmak için gereken süre çok daha kısa demektir.
Örneğin, yüksek performanslı bir şifre kırma şirketi olan Terahash tarafından oluşturulan bir grafiğe bakalım . Grafikleri, 448x RTX 2080’lerin hashstack kümesini kullanarak bir şifreyi kırmanın ne kadar sürdüğünü gösteriyor.
Varsayılan olarak WordPress , WP veritabanında depolanan kullanıcı şifrelerini hashlemek için MD5 kullanır . Yani, bu tabloya göre, Terahash 8 karakterli bir şifreyi neredeyse anında kırabilir. Bu sadece çok etkileyici değil, aynı zamanda gerçekten korkutucu. İyi haber şu ki, üst düzey kullanıcılarımızın güçlü şifreler kullanmasını zorunlu kılarak WordPress girişimizi güvence altına alabiliriz.
iThemes Security Pro Passwords Requirementi özelliği güçlü bir şifre kullanmak için belirli kullanıcılara zorlamak için izin verir. Güvenlik ayarlarının ana sayfasındaki Parola Gereksinimleri özelliğini etkinleştirin ve ardından güçlü bir parola kullanmasını zorunlu kılmak istediğiniz kullanıcıları seçin.
5. Güvenliği İhlal Edilmiş Şifreler
Verizon Veri Sızma Araştırmaları Raporunda , En önemli istatistik, bilgisayar korsanlıeının, ihlallerin% 81’inin çalıntı veya zayıf parolalardan yararlandığıdır.
Bilgisayar korsanları, saldırıya uğrayan ve sözlük saldırısı adı verilen bir kaba kuvvet biçimini kullanır. Sözlük saldırısı, veritabanı dökümlerinde görülen yaygın olarak kullanılan şifrelerle bir WordPress web sitesine girme yöntemidir. MEGA’da barındırılan Veri İhlali, 1.160.253.228 benzersiz e-posta adresi ve şifre kombinasyonunu içeriyordu.
Yazar düzeyinde yeteneklere ve daha fazlasına sahip kullanıcıların, WordPress oturum açma bilgilerinizi korumak için güvenliği ihlal edilmiş parolaları kullanmasını önlemek bir zorunluluktur. Ayrıca, alt seviyedeki kullanıcılarınızın güvenliği ihlal edilmiş şifreler kullanmasına izin vermemeyi de düşünebilirsiniz.
Yeni bir müşteri hesabı oluşturmayı olabildiğince kolay hale getirmek tamamen anlaşılabilir ve teşvik edilir. Ancak müşteriniz, kullandığı parolanın bir veri dökümünde bulunduğunu bilmeyebilir. Müşterinizi, kullandıkları şifrenin tehlikeye atıldığı konusunda uyararak harika bir hizmet yapmış olursunuz.
Güvenlik ayarlarının ana sayfasındaki Parola Gereksinimleri özelliğini etkinleştirin ve ardından güvenliği ihlal edilmiş bir parola kullanmasını önlemek istediğiniz kullanıcıları seçin.
6. İki Faktörlü Kimlik Doğrulama Kullanın
İki faktörlü kimlik doğrulamaları kullanmak, WordPress girişinizi güvence altına almak için yapabileceğiniz en iyi şeydir. İki faktörlü kimlik doğrulama, iki ayrı doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama sürecidir. Google, blogunda iki faktörlü kimlik doğrulama kullanmanın otomatik bot saldırılarını% 100 durdurabileceğini paylaşmıştır.
İThemes Security Pro İki faktörlü kimlik doğrulama sitenize güvenlik açısından esneklik sağlar. Kullanıcılarınızın tümü veya bir kısmı için iki faktörlü özelliği etkinleştirebilir ve üst düzey kullanıcılarınızı her girişte 2fa kullanmaya zorlayabilirsiniz.
7. Google reCAPTCHA v3 ile Kötü Botları Engelleyin
İThemes Security Pro, Google reCAPTCHA özelliği kötü botlara karşı sitenizin korur. Bu botlar, güvenliği ihlal edilmiş parolalar kullanarak , spam göndererek ve hatta içeriğinizi toplayarak web sitenize girmeye çalışıyor olabilir. reCAPTCHA, insanları ve botları birbirinden ayırmak için gelişmiş risk analizi tekniklerini kullanır.
ReCAPTCHA sürüm 3 ile ilgili harika olan şey, herhangi bir kullanıcı etkileşimi olmadan web sitenizdeki kötüye kullanım amaçlı bot trafiğini tespit etmenize yardımcı olmasıdır. ReCAPTCHA v3, bir CAPTCHA sorgulaması göstermek yerine sitenizde yapılan farklı istekleri izler ve her istek için bir puan döndürür. Puan 0,0 ile 1 arasında değişir. ReCAPTCHA’nın döndürdüğü puan ne kadar yüksekse, bir insanın istekte bulunduğundan o kadar emin olur. ReCAPTCHA tarafından döndürülen bu puan ne kadar düşükse, bir botun istekte bulunduğundan o kadar emin olur.
Google reCAPTCHA v3’ü kullanmaya başlamak için , güvenlik ayarlarının ana sayfasındaki seçeneği etkinleştirin.
Ardından, reCAPTCHA yazarken reCAPTCHA v3’ü seçmeniz ve Google yöneticinizden anahtarlarınızı oluşturmanız gerekecektir.
iThemes Security Pro , reCAPTCHA puanını kullanarak bir blok eşiği belirlemenize olanak tanır . Google, varsayılan olarak 0,5 kullanmanızı önerir. Eşiği çok yüksek ayarlarsanız yanlışlıkla yasal kullanıcıları kilitleyebileceğinizi unutmayın.
ReCAPTCHA’yı WordPress kullanıcı kaydınızda, şifre sıfırlama, oturum açma ve yorumlarınızda etkinleştirebilirsiniz. iThemes Security Pro, bot ile insan puanının doğruluğunu artırmak için Google reCAPTCHA komut dosyasını tüm sayfalarda çalıştırmanıza olanak tanır. ReCAPTCHA v3’ü etkinleştirmek, WordPress giriş bilgilerinizi korumanın harika bir yoludur.
8. Cihaz Erişimini WP Dashboard ile sınırlandırın
WordPress giriş bilgilerinizi korumanın son adımı, WordPress panonuza erişimi bir dizi cihazla sınırlamaktır. İThemes Security Pro Güvenilir Cihazlar sizin ve diğer kullanıcıların WordPress sitenize giriş için kullandıkları tanımlar cihazları bulunmaktadır. Bir kullanıcı tanınmayan bir cihazda oturum açtığında, Güvenilen Cihazlar yönetici düzeyindeki yeteneklerini kısıtlayabilir. Bu, bir bilgisayar korsanının diğer oturum açma güvenlik yöntemlerinizi atlayabildiği anlamına gelir – pek olası değildir – web sitenizde kötü amaçlı değişiklikler yapamaz.
Güvenilir Aygıtları kullanmaya başlamak için , bunları güvenlik ayarlarının ana sayfasında etkinleştirin ve ardından Ayarları Yapılandır düğmesine tıklayın.