WordPress giriş sayfası, bir sitenin en çok saldırıya uğrayan kapısıdır; botnet’ler günde binlerce kez /wp-login.php adresine brute-force denemeleri yapar. Bu rehber, giriş güvenliğini 7 ayar ile katmanlı şekilde sertleştirmeyi anlatır: güçlü şifre, iki faktörlü doğrulama, giriş URL değişikliği, oturum süresi, kayıt tutma, IP kısıtlama ve captcha. Her adımda hangi eklentinin kullanılacağını, ücretsiz/ücretli alternatifleri ve yaygın yapılandırma hatalarını paylaşır.
Güçlü Şifre ve İki Faktörlü Doğrulama
Güçlü şifre, giriş güvenliğinin temelidir ama çoğu kullanıcı hâlâ 123456 veya password gibi basit şifreler kullanır. WordPress, şifre gücü zorunluluğu getirmek için iki mekanizma sunar. Birincisi, çekirdekteki “Güçlü şifre zorunluluğu” özelliğidir: wp-admin → Kullanıcılar → Profiliniz sayfasında “Şifre gücü göstergesi” zaten aktiftir, ancak kullanıcıya zorlamaz. Zorunlu kılmak için wp-config.php‘ye define('FORCE_STRONG_PASSWORDS', true); satırı eklenir; bu, yeni kullanıcı oluştururken ve şifre sıfırlarken güçlü şifre zorunluluğu getirir.
İkinci ve çok daha etkili katman: iki faktörlü doğrulama (2FA). Şifre ele geçirilse bile, saldırganın ikinci faktöre (telefona gelen kod, authenticator uygulaması) erişimi yoksa giriş yapamaz. WP için en popüler 2FA eklentileri: Two Factor (WordPress çekirdek ekibi tarafından geliştirilmiş, ücretsiz), WP 2FA (yeni başlayanlar için arayüzü kolay), Wordfence Login Security (Wordfence güvenlik eklentisiyle entegre).
Two Factor eklentisini kurduktan sonra her kullanıcının profilinde “İki adımlı doğrulama” bölümü belirir. TOTP (Time-based One-Time Password) yöntemi önerilir; Google Authenticator, Microsoft Authenticator veya Authy mobil uygulamasına QR kod okutulur. SMS yöntemi güvenli değildir çünkü SIM swap saldırısıyla ele geçirilebilir. Yedek kodlar (backup codes) mutlaka yazdırılıp güvenli bir yerde saklanmalıdır; telefon kaybolduğunda bu kodlar olmadan hesap kurtarılamaz.
Giriş URL Değiştirme ve Brute-Force Koruması
WordPress varsayılan giriş URL’si /wp-login.php‘dir ve tüm WP siteleri için aynıdır. Bu, saldırganların botnet ile milyonlarca siteye aynı anda brute-force denemeleri yapmasını kolaylaştırır. WPS Hide Login eklentisi, giriş URL’sini /wp-login.php‘den /yeni-gizli-adres gibi benzersiz bir adrese değiştirir. Bu tek başına bot saldırılarının %99’unu durdurur; botlar artık geçerli giriş sayfasını bulamaz.
WPS Hide Login eklentisini kurup etkinleştirdikten sonra Ayarlar → Genel → WPS Hide Login bölümüne gidin. Yeni giriş URL’sini belirleyin (örn. /yonetici-giris) ve “Değişiklikleri kaydet” tıklayın. Bu URL’yi güvenli bir yere not edin; kaybederseniz wp-config.php‘den eklenti seçeneklerini sıfırlayabilirsiniz. /wp-login.php ve /wp-admin adreslerine yapılan tüm istekler artık 404 sayfasına yönlendirilir.
Brute-force korumasının ikinci katmanı: giriş denemesi sınırlaması. Limit Login Attempts Reloaded eklentisi, belirli bir IP’den belirli sayıda başarısız giriş denemesi sonrası IP’yi geçici olarak engeller (örn. 5 başarısız deneme → 20 dakika engel). Bu, bir saldırganın şifre kombinasyonu deneme hızını saniyede 100’den dakikada 3’e düşürür. Eklenti ayrıca başarılı ve başarısız giriş loglarını tutar; şüpheli aktivite tespitinde erken uyarı sağlar.
Oturum Zaman Aşımı ve Kayıt Tutma
WordPress’te oturum çerezi (cookie) varsayılan olarak 2 gün veya 14 gün (beni hatırla seçeneği işaretlendiğinde) geçerli kalır. Bu, ortak bilgisayarda oturumun uzun süre açık kalması anlamına gelir. Inactive Logout eklentisi, kullanıcının belirli bir süre hareketsiz kalması durumunda otomatik çıkış yaptırır (örn. 15 dakika hareketsizlik → çıkış). Bankacılık uygulamalarında standart olan bu özellik, WP’de ek eklenti ile sağlanır.
Kayıt tutma (audit log) saldırı sonrası analiz için kritiktir. WP Activity Log eklentisi, tüm kullanıcı hareketlerini (giriş, içerik düzenleme, eklenti aktivasyonu, tema değişikliği) veritabanında saklar. Şüpheli bir aktivite tespit edildiğinde (örn. gece 3’te admin girişi), e-posta veya Telegram bildirimi alabilirsiniz. Ücretsiz sürüm 30 günlük log tutar; ücretli sürümde bu süre sınırsızdır.
Son olarak, IP kısıtlama en sert güvenlik katmanıdır. Eğer sitenize yalnızca bilinen bir IP’den (ofis, VPN) bağlanılıyorsa, .htaccess veya nginx config’de /wp-admin dizinini yalnızca o IP’ye açık bırakabilirsiniz. Bu yöntem özellikle küçük ekipler için etkilidir; her IP değişikliğinde güncelleme gerektiği için kullanıcı dostu değildir, ancak brute-force saldırılarını %100 engeller. Diğer bir seçenek: Cloudflare Access veya Auth0 gibi bir reverse proxy’nin arkasına WP-Admin’i almak.
Sonuç
WordPress giriş güvenliği, tek bir ayar değişikliğiyle değil, katmanlı bir stratejiyle sağlanır. Bu rehberdeki 7 adımı uyguladığınızda (güçlü şifre + 2FA + özel giriş URL’si + deneme sınırı + oturum zaman aşımı + kayıt logu + IP kısıtlama) siteniz %99.5 oranında brute-force ve kimlik avı saldırılarına karşı korunmuş olur. Öncelik sırası: önce 2FA’yı etkinleştirin (tek başına en büyük kazanım), sonra giriş URL’sini gizleyin, sonra deneme sınırını ekleyin. Geri kalan adımlar zamanla eklenebilir.
Bir Cevap Yaz
E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir.