WordPress Admin Klasörünü Ve Login Dosyasını Koruma

Haziran 4, 2014

Bir önceki makalemiz de wordpress sitelerin Brute Force saldırılarından korunması için alınması gereken minimum önlemlerden bahsetmiştik, ve bu makalede kısaca üstünden geçtiğimiz başlık olan Sitenize login olanları kısıtlayın başlığını detaylı olarak anlatacağım.

wp-admin-erisim-kısıtlama

 

Hatırlarsınız brute force saldırıları farklı ip adresleri ve farklı password kullanılarak admin panel şifrenizi bulmaya çalışan programlarla yapılan bir saldırı türüdür, bu yüzden siteniz login olan ip leri kısıtlayarak büyük ölçüde bu saldırıdan korunabilirsiniz. Login.php ve wp-admin klasörüne erişimi nasıl kısıtlayacağız 2 başlık altında göreceksiniz.

.Htaccess ile wp-admin klasörüne erişimi kısıtlayın

.htaccess dosyasınıa spesifik ip adresleri ekleyerek sadece bu ip’ler ile wp-admin klasörüne erişim izni vereceğiz.

İlk yapmanız gereken wp-admin klasöründeki .htaccess dosyasının bir yedeğini alın.

Dikkat: root klasörde bulunan .htaccess dosyasından bahsetmiyoruz, kesinlikle bu dosyayaı birşey eklemiyoruz, bizim işimiz wp-admin klasöründeki .htaccess dosyası ile.

/wp-admin klasöründeki .htaccess dosyasını açın ve alttaki kodları yapıştırın.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>

Bu yöntemin tek bir dezavantajı farklı lokasyonlardan wp-admin paneline giriş yapmak istediğinizde bu listede de güncelleme yapmaınız gerekecek ancak bu yöntem gerçekten bu tür saldırılardan korunmak için en iyisi.

Login.php dosyasına erişim kısıtlaması

Root da bulunan .htaccess dosyasını açın ( wp-admin klasöründeki .htaccess dosyası değil ) alttaki kodu en başa ekleyin.

       <Files wp-login.php>
 order deny,allow
 Deny from all

# whitelist Spesifik IP adresi
allow from xx.xxx.xx.xx

# whitelist Spesifik IP adresi
allow from xx.xxx.xx.xx

</Files>


evet, bu işlemlerden sonra wp-admin panelimiz ve login.php dosyalarımız artık daha güvende

Artı olarak, dikkatsizlik sonucu başa bela olabilecek bir güvenlik açığından bahsetmek istiyorum, Bazı wordpress kullanıcıları yukarda anllattığımız işlemleri yada bu tür işlemleri uygularken
.htaccess yada wp-config.php dosyalarının bir yedeğini alıp bu dosyaların isimlerini .htacces-yedek, wp-config2.php vs farklı kolay tahmin edilebilecek dosya isimleri vererek ve daha sonra
bunları silmeyi unutarak, hacker olmayan ama kurnaz olan kötü niyetli kişilerin bile rahatlıkla kurbanı olabilir. Bu yöntemle Türkiye de hacklenen site azımsanmayacak kadar çok.

0
Connecting
Please wait...
Mesaj Gönder

Canlı destek şuan aktif değil bize mesaj atabilirsiniz. Ortalama 60 DK içerisinde dönüş sağlanacaktır

Adınız Soyadınız
* E-Posta
* Mesajınız
Sohbet

Merhaba, size nasıl yardımcı olabilirim?

Adınız Soyadınız
* E-Posta
* Sorunuz
Sohbet
Geri Dönüş

Destekle ilgili geri dönüşlerinizi bekliyoruz.

Sorunuzu Çözmeden Yardımcı Oldu mu?