WordPress dünyanın en çok kullanılan CMS sistemi ve hackerların en popüler hedeflerinden biri. Sitenizi korumaya almak için yapacağınız işlemlerden biri de login sayfanızı korumaya almak, bunu için aşağıdakileri sitenize uygulayabilirsiniz.
Öncelikle WordPress giriş şifresini diğer yerlerde kullandığınız şifrelerden farklı ve tahmin edilmesi zor şekilde seçiniz, Kaspersky’ın https://password.kaspersky.com/tr/ sayfasından parolanızın ne kadar güçlü olduğunu ve hackerlar tarafından çözülmesinin ne kadar süreceğini test edebilirsiniz.
WordPress login sayfasında bir kullanıcı adı ve parola girildiğinde, eğer bu kullanıcı yoksa “kullanıcı yok” eğer parola hatlalı ise “kullanıcı var parola hatalı” şeklinde uyarı vermekte, bu da hackerların işini kolaylaştırmaktadır.
Bu sorunu çözmek ev login sayfasında uyarı vermeyi engellemek için temanızın function.php dosyasına aşağıdaki kodu yazınız:
function no_wordpress_errors(){
return 'Bazı şeyler hatalı!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Bu sayede her ne olursa olsun sadece bir tek hata verecektir.
İkinci olarak sitenizde şifre sıfırlamayı iptal etmek iyi bir yöntemdir, eğer bunu iptal ederseniz parolanızı asla kimse sıfırlayamaz. Aşağıdaki kodu .htaccess dosyanıza yazmalısınız:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING}^action=lostpassword$ [NC]
RewriteRule ^wp-login.php$ wp-login.php [R=301,NC,QSD,L]
</IfModule>
Son olarak eğer daha fazla güvenlik istiyorsanız htpasswd ile sitenizin login sayfasını ekstra bir şifre ile girilmesini sağlayabilirsiniz, bunun için htpasswd dosyası ve .htaccess dosyasına eklemeniz gereken bir kod var:
#htaccess eklenecek
<Files wp-login.php>
#htpasswd
dosyanızın hostingdeki yeri
AuthUserFile /path/to/.htpasswd
AuthName "Private access"
AuthType Basic
require valid-user
</Files>
htpasswd dosyası aşağıdaki gibi.
volkan:{SHA}YvCKTzXcE67DnVbwNlX1mC9sJgc=
htpasswd dosyanızı online olarak hemen Htpasswd Generator’dan oluşturabilirsiniz.
Ayrıca sadece belirli bir ip adresinden girilebilmesini de sağlayabilirsiniz, bunun için htaccess dosyanıza aşağıdaki gibi ekleme yapmanız yeterli:
<Files wp-login.php>
order deny,allow
Deny from all
#girebilecek ip adresleri
allow from xx.xxx.xx.xx
allow from xx.xxx.xx.xx
</Files>
Bu konuda bazı eklentiler de size yardımcı olabilir, https://wordpress.org/plugins/tags/login/
Güvenli günler.