WordPress Login URL Degistirme Nasil Yapilir?

Google News Google News Flipboard Flipboard Sesli oku Yazıyı beğen Favorilere Ekle 0 Yorumlar
Daha fazla

WordPress sitelerinin en çok hedef alınan giriş noktası /wp-login.php sayfasıdır. Bu varsayılan adres, botlar ve kötü niyetli kullanıcılar için açık bir hedeftir; her gün binlerce otomatik saldırı bu adrese yönelir. WordPress login URL değiştirme, bu saldırı yüzeyini azaltmanın en etkili yollarından biridir.

Login URL değiştirmek tek başına %100 güvenlik sağlamaz; ancak otomatik bot saldırılarının büyük çoğunluğunu bertaraf eder. Saldırganlar, standart /wp-login.php ve /wp-admin yollarını tarayan yazılımlar kullanır; siz bu yolları değiştirdiğinizde, botlar sitenizi bulamaz ve geçer.

Bu rehberde WordPress login URL değiştirme yöntemlerini, dikkat edilmesi gerekenleri, sık yapılan hataları ve en iyi uygulamaları adım adım paylaşıyoruz.

WordPress Login URL Değiştirme Nedir ve Neden Önemlidir?

WordPress Login URL Degistirme Nedir ve Neden Onemlidir?

WordPress, kurulum ile birlikte iki standart giriş yolu sunar: siteadi.com/wp-login.php ve siteadi.com/wp-admin. Bu yollar tüm WordPress sitelerinde aynı olduğu için, botnet saldırıları bu adresleri otomatik olarak tarar. Login URL değiştirme, bu standart yolları özel bir URL ile değiştirir; örneğin siteadi.com/giris veya siteadi.com/yonetim-paneli.

Değiştirme sonrası, /wp-login.php ve /wp-admin adresleri artık erişilemez olur veya 404 sayfası döner. Bu durum, kaba kuvvet (brute force) saldırılarını, XML-RPC istismarlarını ve admin kullanıcı adı keşif girişimlerini büyük ölçüde azaltır.

WordPress Login URL Değiştirme Hangi Durumlarda Kullanılır?

Login URL değiştirme, tüm WordPress siteleri için önerilen bir güvenlik önlemidir. Ancak bazı durumlarda zorunluluk haline gelir:

  • Siteniz yoğun botnet saldırısı alıyorsa (günlük 100+ başarısız giriş denemesi)
  • Hosting sağlayıcınız, yüksek CPU kullanımı nedeniyle sizi uyarıyorsa
  • WooCommerce veya üyelik sistemi gibi hassas bir platform kullanıyorsanız
  • Birden fazla yazar/admin aynı siteye erişiyorsa ve parola politikası zorunluysa
  • Multi-site (multisite) ağında subdomain veya subdirectory yönetimi yapıyorsanız
  • İlk kurulum sonrası güvenlik sertleştirmesi (hardening) yapıyorsanız

WordPress Login URL Değiştirme İçin Temel Kavramlar

Login URL değiştirme iki temel bileşenden oluşur: giriş sayfası URL’si ve yönetici paneli URL’si. WordPress varsayılan olarak her ikisini de /wp-login.php‘den yönetir; /wp-admin aslında bir yönlendiricidir. Değişiklik sonrası her ikisi de yeni URL’ye yönlendirilir.

İkinci önemli kavram logout URL’sidir. WordPress, çıkış için wp-login.php?action=logout kullanır. Login URL değiştirildiğinde, logout URL de otomatik olarak güncellenir; ancak özel logout linkleri oluşturuyorsanız, yeni URL’ye uygun şekilde düzenlemeniz gerekir.

Üçüncü kavram ise lost password URL’sidir. wp-login.php?action=lostpassword ile başlayan parola sıfırlama akışı da yeni URL’ye taşınır. Bu URL, özellikle üye sitelerde kullanıcı deneyimi için kritiktir.

WordPress Login URL Değiştirme Nasıl Yapılır?

WordPress Login URL Degistirme Nasil Yapilir?

Login URL değiştirmenin iki ana yöntemi vardır: eklenti kullanmak ve manuel kod değişikliği yapmak. Eklenti yöntemi, kullanıcıların %95’i için önerilen yoldur; manuel yöntem ise ileri düzey kullanıcılar ve geliştiriciler içindir.

WordPress Login URL Değiştirme Adım Adım Uygulama Rehberi

Eklenti yöntemi en hızlı ve güvenli yoldur. Aşağıdaki adımlar WPS Hide Login eklentisi (1+ milyon aktif kurulum) için geçerlidir; diğer popüler eklentiler (ör. All In One WP Security, iThemes Security) benzer arayüze sahiptir.

  1. Eklentiyi kurun: WordPress admin → Eklentiler → Yeni Ekle → “WPS Hide Login” araması → Hemen Yükle → Etkinleştir.
  2. Ayarları açın: Ayarlar → Genel sayfasının en altına inin. “WPS Hide Login” bölümünde yeni URL alanını göreceksiniz.
  3. Yeni URL belirleyin: Önerilen format: küçük harf, rakam ve tire içeren 8-20 karakter. Örnek: giris, yonetim2026, panel-x9k2. Tahmin edilmesi zor, akılda kalıcı bir URL seçin.
  4. Yönlendirme davranışı: “Login URL” alanına yeni URL’yi yazın. “Redirection URL” alanına eski /wp-login.php ve /wp-admin adreslerine gelenler için yönlendirilecek sayfayı yazın (genelde 404 sayfası veya ana sayfa).
  5. Kaydet: “Değişiklikleri Kaydet” butonuna tıklayın. Sistem sizi otomatik olarak yeni URL’ye yönlendirecektir.
  6. Test edin: Tarayıcıda eski /wp-login.php adresine gidin, yönlendirme sayfasına düşmelisiniz. Yeni URL’den giriş yapabildiğinizi doğrulayın.
  7. Bookmark ekleyin: Yeni URL’yi tarayıcınıza yer imi olarak ekleyin. Bu adımı atlamayın; URL’yi unutursanız siteye erişemezsiniz.

WordPress Login URL Değiştirme İçin Gerekli Araçlar ve Ön Hazırlık

Eklenti yönteminde ihtiyacınız olan tek şey FTP erişimi (acil durum için) ve yedektir. Eklenti çakışması durumunda, eklentiyi FTP üzerinden devre dışı bırakabilmeniz gerekir. Aşağıdaki tablo, popüler login URL değiştirme eklentilerini karşılaştırıyor:

EklentiAktif KurulumÜcretsizÖzellikler
WPS Hide Login1M+EvetBasit, hafif, sadece URL değiştirme
All In One WP Security1M+EvetURL + firewall + login kilidi
iThemes Security900K+KısmiURL + 2FA + malware tarama
Shield Security50K+EvetURL + reCAPTCHA + audit log
Wordfence4M+Evet (premium var)WAF + login koruması + tarama

Manuel yöntem ise functions.php veya wp-config.php‘ye özel kod eklemeyi içerir. Bu yöntem, eklenti yükü istemeyen performans odaklı siteler için uygundur. Ancak dikkatli olunmalıdır; functions.php‘deki bir syntax hatası tüm siteyi kırabilir. Çocuk tema (child theme) kullanmanız şiddetle önerilir.

WordPress Login URL Değiştirme Ayarları ve Dikkat Edilmesi Gerekenler

WordPress Login URL Degistirme Ayarlari ve Dikkat Edilmesi Gerekenler

Login URL değiştirdikten sonra, tüm kullanıcıların ve üçüncü parti servislerin yeni URL’yi bilmesi gerekir. E-posta bildirimleri, sosyal giriş, üyelik eklentileri, canlı chat widget’ları gibi birçok bileşen login URL’ye bağlıdır.

WordPress Login URL Değiştirme Yaparken Sık Yapılan Hatalar

Login URL değiştirme basit bir işlem gibi görünse de, yanlış yapıldığında ciddi sorunlara yol açabilir. Aşağıdaki hataları sıkça yaşanan vakalardan derledik:

  • URL’yi unutmak: Eklenti kaydedildikten sonra eski URL çalışmaz. URL’yi unutursanız, /wp-content/plugins/wps-hide-login/ klasörünü yeniden adlandırarak eklentiyi devre dışı bırakabilirsiniz.
  • Cache sorunları: Sayfa cache eklentileri eski login sayfasını önbelleğe alabilir. Değişiklik sonrası tüm cache’leri temizleyin (WP Rocket, LiteSpeed Cache, W3 Total Cache).
  • CDN cache sorunları: CloudFlare veya Sucuri kullanıyorsanız, CDN önbelleğini de temizleyin. Aksi halde global ziyaretçiler eski URL’yi görmeye devam eder.
  • Çakışan eklentiler: Bazı eklentiler /wp-admin‘e doğrudan erişir (ör. WooCommerce, Yoast). Login URL değişikliği sonrası bu eklentilerin ayarlarını kontrol edin.
  • Multisite uyumsuzluğu: WordPress Multisite ağlarında her alt site için ayrı login URL tanımlamak mümkün değildir; tek bir ağ geneli URL kullanılır.
  • XML-RPC açık bırakmak: /xmlrpc.php dosyası ayrı bir saldırı vektörüdür. Login URL değişikliği XML-RPC’yi kapatmaz; ayrıca .htaccess ile kapatın.

WordPress Login URL Değiştirme Performans, Güvenlik ve SEO Etkileri

Login URL değiştirmenin doğrudan performans etkisi yoktur; eklenti yalnızca wp-login.php yönlendirmesini değiştirir ve sunucuya ek yük bindirmez. Güvenlik açısından ise ciddi bir iyileşme sağlar: otomatik bot saldırılarının %90+ oranında azaldığı gözlemlenmiştir.

SEO açısından ise login URL’si genellikle noindex ile işaretlidir; bu nedenle Google tarafından zaten indexlenmez. Yine de, eski URL’ye gelen 404 hataları 404.php şablonunuzda özel bir “sayfa bulunamadı” mesajı ile karşılanmalıdır; bu, kullanıcı deneyimi için önemlidir.

Performans açısından, login sayfasının hızlı açılması kullanıcı deneyimi için kritiktir. Eklenti yükü olmayan bir login sayfası 0.3-0.5 saniyede açılmalıdır. wp-admin için de aynı hız hedefini koruyun; admin bar ve kalın script dosyaları giriş süresini uzatabilir.

WordPress Login URL Değiştirme Kontrol Listesi ve Sık Sorulan Sorular

Login URL değiştirme sonrası, aşağıdaki kontrol listesini uygulamadan yeni URL’yi production’a almayın. Bu liste, gerçek projelerden derlenmiş en kritik kontrolleri içerir.

WordPress Login URL Değiştirme Yayın Öncesi Son Kontrol Listesi

  1. Eski /wp-login.php adresi 404 sayfasına yönlendiriliyor mu?
  2. Eski /wp-admin adresi yeni URL’ye yönlendiriliyor mu?
  3. Yeni URL’den giriş yapılabiliyor mu?
  4. Logout işlemi yeni URL üzerinden çalışıyor mu?
  5. Lost password akışı yeni URL üzerinden çalışıyor mu?
  6. Tüm cache (sunucu, sayfa, CDN) temizlendi mi?
  7. Üçüncü parti eklentiler (WooCommerce, üyelik) yeni URL ile çalışıyor mu?
  8. Yeni URL bookmark’lara eklendi mi?
  9. E-posta bildirimleri yeni URL’yi içeriyor mu?
  10. XML-RPC kapatıldı mı veya rate limit uygulandı mı?

Bu listeyi uyguladıktan sonra, bir hafta boyunca access log’larını izleyin. 404 sayısında ani artış (eski URL’lere gelen istekler) beklenir; ancak bu sayı birkaç gün içinde azalmalıdır. Eğer azalmıyorsa, eski URL’yi tamamen kapatmayı düşünün (.htaccess ile hard block).

WordPress Login URL Değiştirme Hakkında Sık Sorulan Sorular

Login URL değiştirmek SEO’yu etkiler mi?
Hayır, login sayfası varsayılan olarak noindex ile işaretlidir ve Google tarafından indexlenmez. Eski URL’ye gelen trafik 404 sayfasına düşer; bu, SEO açısından nötr bir durumdur.

URL’yi unutursam ne yapmalıyım?
FTP veya dosya yöneticisi ile /wp-content/plugins/wps-hide-login/ klasör adını geçici olarak değiştirin (ör. wps-hide-login-disabled). Bu, eklentiyi devre dışı bırakır ve eski URL’ye erişimi geri getirir. URL’yi öğrendikten sonra klasör adını eski haline getirebilirsiniz.

İki faktörlü kimlik doğrulama (2FA) ile birlikte kullanmalı mıyım?
Evet, kesinlikle. Login URL değiştirme tek başına kaba kuvvet saldırılarını azaltır, ancak 2FA parolayı ele geçiren saldırgana karşı ek bir katman sağlar. Wordfence Login Security, Two Factor ve Google Authenticator eklentileri popüler 2FA çözümleridir.

Login URL değişince WooCommerce çalışmaya devam eder mi?
WooCommerce müşteri hesap sayfaları /my-account URL’sini kullanır ve bu URL login URL’sinden bağımsızdır. Ancak, WooCommerce ayarlarındaki “My Account” URL’sini kontrol edin; bazı temalar bu URL’yi değiştirir.

Çocuk temam var, manuel yöntem daha mı mantıklı?
Çocuk tema kullanıyorsanız, manuel yöntem eklenti yükünden kaçınmanızı sağlar. functions.php‘ye 5-10 satırlık bir kod ile login URL değiştirilebilir. Ancak, eklenti yönteminin sunduğu kolay geri alma ve merkezi yönetim avantajlarını kaybedersiniz.

Çoklu site (multisite) ağında her site için farklı URL olabilir mi?
Hayır, multisite ağında yalnızca ağ genelinde tek bir login URL tanımlanabilir. Alt siteler için özel URL tanımlamak mümkün değildir. Bu sınırlama, WordPress çekirdeğinin tasarım kararıdır.

Login URL’yi HTTP header’da paylaşmak güvenli mi?
Hayır, login URL’yi hiçbir yerde paylaşmayın. E-posta imzalarında, sosyal medya profillerinde veya public belgelerde yeni URL’yi yayınlamayın. URL’yi yalnızca yetkili kullanıcılarla paylaşın; gerekirse e-posta ile gönderin ve e-postanın kendisini de şifreleyin.

WPS Hide Login ücretsiz mi?
Evet, tamamen ücretsiz ve açık kaynaklıdır. Premium sürüm yoktur; tüm özellikler ücretsizdir. Eklenti sayfasında 5 üzerinden 4.9 puan almıştır.

Login URL değiştirince REST API etkilenir mi?
Hayır, REST API (/wp-json/) login URL’den bağımsız çalışır. JWT, OAuth veya Application Password kullanan uygulamalar REST API üzerinden kimlik doğrulamaya devam eder. Sadece tarayıcı tabanlı admin girişi etkilenir.

URL değişikliği sonrası kullanıcılar eski URL’ye gelirse ne olur?
Eklenti, eski URL’ye gelen tüm istekleri yapılandırdığınız yönlendirme sayfasına (genelde 404) yönlendirir. Kullanıcı, “sayfa bulunamadı” mesajı görür. Daha iyi bir kullanıcı deneyimi için, özel bir 404 sayfası oluşturup “Giriş için doğru adresi kullanın” mesajı ekleyebilirsiniz.

Üçüncü parti login eklentileri (ör. Social Login) ile uyumlu mu?
Çoğu sosyal login eklentisi (Nextend Social Login, Super Socializer, LoginRadius) login URL değişikliği ile uyumludur. Ancak, sosyal login butonlarını özel sayfalara yerleştirdiyseniz, bu sayfaların URL’lerini güncellemeniz gerekebilir.

Sonuç ve Öneriler

WordPress login URL değiştirme, en kolay uygulanan ve en etkili güvenlik önlemlerinden biridir. Beş dakikalık bir işlemle botnet saldırılarının %90+’ını bertaraf edebilirsiniz. Ancak, bu önlem tek başına yeterli değildir; 2FA, güçlü parola politikası, giriş denemesi sınırlama ve düzenli güncelleme ile birlikte uygulanmalıdır.

Bu rehberde öğrendiğiniz temel prensipleri özetlersek: güçlü ve benzersiz bir URL seçin, cache’leri temizleyin, URL’yi bir yere not edin, XML-RPC’yi kapatın ve aksilik durumunda FTP erişiminiz olduğundan emin olun.

Daha fazla içerik için aşağıdaki rehberlerimize göz atabilirsiniz:

Login URL değiştirme veya WordPress güvenliği konusunda sorularınız varsa, yorum bölümünden bize ulaşabilirsiniz.

Yazar Hakkında

Benzer Yazılar

Bir Cevap Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir.

0/30 karakter