Bir WordPress sitesi çalıştırıyorsanız, muhtemelen onu güvende tutmak için yeterince şey yapıp yapmadığınızı merak etmişsinizdir. Güçlü parolalar ve güncellenmiş eklentiler harika bir başlangıçtır, ancak birçok site sahibinin gözden kaçırdığı başka bir koruma katmanı daha vardır.
WordPress güvenlik anahtarlarını girin.
Bu anahtarlar, sitenizin savunmasını anında güçlendirebilecek güçlü bir özelliktir. Özellikle oturum açma ve kimlik doğrulama işlemlerinde bilgisayar korsanlığı girişimlerine karşı korunmaya yardımcı olurlar.
Arka planda, saldırganların oturumları ele geçirmesini veya sitenize gizlice girmesini önlemek için hassas verileri karıştırırlar.
Bu kılavuzda, WordPress güvenlik anahtarları hakkında bilmeniz gereken her şeyi adım adım anlatacağız. Ne işe yaradıklarını anlamaktan sitenize doğru şekilde uygulamaya kadar, WordPress sitenizin bu güvenlik katmanına sahip olduğunu bilerek daha rahat uyumanıza yardımcı olacağız. 🛡️
WordPress Güvenlik Anahtarları ve SALTs Nedir?
Kısacası, WordPress güvenlik anahtarları, oturum açma bilgilerinizi çözmeyi zorlaştırarak koruyan şifreleme araçlarıdır. Öte yandan SALTs, bu şifrelenmiş bilgilere rastgele veriler ekleyerek saklanan kimlik bilgileriniz için ek bir güvenlik katmanı ekler.
WordPress güvenlik anahtarları gerçek anahtarlar gibi davranır ve şifreler gibi şifrelenmiş bilgileri kilitlemek ve kilidini açmak için kullanılır, bu da WordPress sitenizi güvende tutar.
İşte nasıl çalıştığı.
Temel olarak, bir WordPress web sitesine giriş yaptığınızda, bilgileriniz bilgisayarınızın çerezlerinde saklanır. Bu, her sayfa yüklendiğinde oturum açma ihtiyacı olmadan web sitenizde çalışmaya devam etmenizi sağlar.
Tüm bilgiler, alfanümerik ve özel karakterlerden oluşan bir diziye dönüştürülerek şifreli bir biçimde saklanır. Bu şifreli veriler, WordPress güvenlik anahtarları kullanılarak çevrilebilir. Anahtarlar olmadan bu verilerin kırılması neredeyse imkansızdır.
WordPress siteniz bu güvenlik anahtarlarını otomatik olarak oluşturur ve WordPress yapılandırma dosyanıza (wp-config.php) kaydeder.
Toplam dört güvenlik anahtarı vardır:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
WordPress güvenlik anahtarlarının yanı sıra aşağıdaki SALT'ları da bulacaksınız.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Tuzlar, şifrelenmiş bilgilerinize ek bilgi ekleyerek şifrelenmiş verileriniz için ek bir güvenlik katmanı sağlar.
Neden WordPress Güvenlik Anahtarları Kullanılmalı?
WordPress güvenlik anahtarları, şifrelerinizi güvenli hale getirerek web sitenizi hackleme girişimlerine karşı korur.
Örneğin, orta düzeyde zorluğa sahip düzenli bir parola, kaba kuvvet saldırıları kullanılarak kolayca kırılabilir.
Öte yandan, '7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49' gibi bir şifre dizesinin, güvenlik anahtarları bilinmeden çözülmesi yıllar alır.
Bu nedenle WordPress güvenlik anahtarlarını asla kimseyle paylaşmamalı ve bunları çevrimiçi hassas bilgileri normalde koruduğunuz gibi korumalısınız.
Bunu akılda tutarak, WordPress sitenizi korumak için WordPress güvenlik anahtarlarını nasıl kullanacağınıza bakacağız. Aşağıda, sonraki bölümlerde paylaşacağımız tüm konuların hızlı bir özetini bulabilirsiniz:
- WordPress Güvenlik Anahtarları Nasıl Kullanılır?
- Bir Eklenti Kullanarak WordPress Güvenlik Anahtarları Nasıl Yeniden Oluşturulur?
- Bonus İpucu: İki Faktörlü Kimlik Doğrulama (2FA) ile Ek Koruma Ekleyin
- WordPress Güvenlik Anahtarları Hakkında Sıkça Sorulan Sorular
- Daha Güçlü WordPress Web Sitesi Güvenliği İçin Ek Kaynaklar
Haydi başlayalım!
WordPress Güvenlik Anahtarları Nasıl Kullanılır?
Genellikle, ek bir şey yapmanıza gerek yoktur, çünkü çoğu durumda WordPress, her yeni WordPress kurulumunda güvenlik anahtarlarını + tuzları otomatik olarak oluşturur ve kullanır.
WordPress güvenlik anahtarlarınızı ve tuzlarınızı, FTP istemcisi veya WordPress barındırma hesabınızdaki Kontrol Paneli'ndeki Dosya Yöneticisi uygulamasını kullanarak görüntüleyebilirsiniz.
Sadece web sitenize bağlanın ve wp-config.php dosyasını açın. İçinde, WordPress güvenlik anahtarlarınızın tanımlandığını göreceksiniz.
Ancak, WordPress'i ilk kurma şeklinize bağlı olarak, web sitenizde hiç güvenlik anahtarı tanımlanmamış olabilir.
Güvenlik anahtarlarınız boşsa endişelenmeyin. Yeni bir anahtar seti oluşturmak için WordPress Güvenlik Anahtarı Oluşturucu sayfasına giderek bunları manuel olarak kolayca ekleyebilirsiniz.
Ardından, bu anahtarları wp-config.php dosyanıza kopyalayıp yapıştırın ve işiniz bitti.
Mevcut WordPress güvenlik anahtarlarınızı silmek ve yenileriyle değiştirmek için aynı yöntemi kullanabilirsiniz.
📝 Not: Güvenlik anahtarlarını değiştirdiğinizde, tüm kullanıcılar yeniden oturum açmaya zorlanacaktır, bu da güvenlik açısından harikadır.
Bir Eklenti Kullanarak WordPress Güvenlik Anahtarları Nasıl Yeniden Oluşturulur?
web sitenizin hacklendiğinden şüpheleniyorsanız, WordPress güvenlik anahtarlarını yeniden oluşturmanız ve şifrelerinizi değiştirmeniz gerekir.
Yukarıda belirtildiği gibi yeni güvenlik anahtarlarını manuel olarak kopyalayıp yapıştırabilirsiniz. Ancak bir eklenti de kullanabilirsiniz. Bu şekilde, güvenlik anahtarlarını düzenli olarak otomatik olarak yeniden oluşturmak için bir zamanlama da ayarlayabilirsiniz.
1. WordPress Güvenlik Anahtarlarını Sucuri kullanarak güncelleyin
WordPress güvenlik anahtarlarını otomatik olarak yeniden oluşturmanın en kolay yolu, Sucuri kullanmaktır. WordPress web sitenizi yaygın tehditlere karşı koruyan, piyasadaki en iyi WordPress güvenlik eklentilerinden biridir.
Araç hakkında daha fazla bilgi için, kapsamlı Sucuri incelememize göz atabilirsiniz.
Başlamak için yapmanız gereken ilk şey, Sucuri Security eklentisini kurmak ve etkinleştirmektir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına dair adım adım rehberimize bakın.
Etkinleştirdikten sonra, Sucuri Security » Settings sayfasına gitmek ve 'Post-Hack' sekmesine geçmek isteyeceksiniz.
Buradan, 'Gizli Anahtarları Güncelle' bölümünün altındaki 'Yeni Güvenlik Anahtarları Oluştur' düğmesine tıklamanız yeterlidir.
📝 Not: Yeni güvenlik anahtarlarını yeniden oluşturmak sizi WordPress yönetici alanından çıkaracaktır ve tekrar giriş yapmanız gerekecektir.
Bundan sonra, Sucuri Security » Settings sayfasına tekrar gidin ve tekrar 'Post-Hack' sekmesine geçin.
Güvenlik anahtarları bölümünde, bir sıklık (günlük, haftalık, aylık, yıllık) seçerek 'Otomatik Gizli Anahtar Güncelleyici'yi etkinleştirin.
Ardından, 'Gönder' düğmesine tıklayın.
Sucuri artık seçtiğiniz sıklığa göre WordPress güvenlik anahtarlarınızı otomatik olarak sıfırlayacaktır.
2. WordPress Güvenlik Anahtarlarını Salt Shaker ile Güncelleyin
Bu yöntem, Sucuri kullanmayan ve güvenlik anahtarını otomatik olarak yeniden oluşturması gereken kullanıcılar içindir.
Öncelikle, Salt Shaker eklentisini yükleyip etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın.
Etkinleştirildikten sonra, eklenti ayarlarını yapılandırmak için Araçlar » Tuz Çalkalayıcı sayfasını ziyaret etmeniz gerekecektir.
Buradan, güvenlik anahtarlarını otomatik olarak oluşturmak için bir zamanlama ayarlayabilirsiniz. Güvenlik anahtarlarını hemen yeniden oluşturmak için de 'Şimdi Değiştir' düğmesine tıklayabilirsiniz.
Bonus İpucu: İki Faktörlü Kimlik Doğrulama (2FA) ile Ek Koruma Ekleyin
WordPress güvenlik anahtarlarınızla birlikte İki Faktörlü Kimlik Doğrulama (2FA) eklemek, sitenizi daha da güvenli hale getirebilir.
Güvenlik anahtarlarınızdan birini ele geçirmeyi başarsa bile, giriş yapmak için hala ikinci bir doğrulama adımına ihtiyaç duyacaktır. Bu, bilgisayar korsanlarının sitenize girmesini çok daha zorlaştırır.
WordPress'te 2FA kurmak, Google Authenticator veya Authy gibi eklentilerle basittir.
Genellikle yapmanız gereken tek şey, seçtiğiniz kimlik doğrulayıcıyı yüklemek ve etkinleştirmek, ardından hesabınızla ilişkilendirmek için kurulum sürecini izlemektir. Kurulduktan sonra, oturum açarken ek bir güvenlik katmanı eklemek için kendiniz ve diğer kullanıcılar için 2FA'yı etkinleştirin.
WordPress'te iki faktörlü kimlik doğrulama ekleme konusunda iki faktörlü kimlik doğrulama ekleme kılavuzumuzu okuyun.
WordPress Güvenlik Anahtarları Hakkında Sıkça Sorulan Sorular
WordPress güvenlik anahtarları hakkında sorularınız mı var? İşte en yaygın sorulardan bazıları – yanıtlandı.
wp-config.php dosyamda güvenlik anahtarları yoksa ne olur?
wp-config.php dosyanızda güvenlik anahtarları eksikse, WordPress bunları mevcut oturum için otomatik olarak oluşturacaktır.
Ancak bu yöntem o kadar güvenli değildir. Dosyanızda tanımlanmış kalıcı anahtarlar olmadan, oturum çerezlerinizi koruyan şifreleme daha zayıftır. Bu, web sitenizi saldırılara karşı daha savunmasız hale getirir.
WordPress güvenlik anahtarlarımı ne sıklıkla değiştirmeliyim?
Çoğu web sitesi için anahtarları düzenli bir programa göre değiştirmenize gerek yoktur.
Ancak, sitenizin hacklendiğinden veya ele geçirildiğinden şüpheleniyorsanız, hemen güncellemelisiniz. Anahtarlarınızı değiştirdiğinizde tüm kullanıcılar otomatik olarak oturumlarından çıkarılır. Bu, meydana gelmiş olabilecek yetkisiz erişimi keserek sitenizi güvence altına almaya yardımcı olur.
Sitem hacklendikten sonra güvenlik anahtarlarımı değiştirmem yeterli mi?
Hayır, güvenlik anahtarlarınızı değiştirmek önemli bir adımdır. Ayrıca tüm kullanıcı şifrelerini değiştirmeli, sitenizi kötü amaçlı yazılımlara karşı taramalı, şüpheli kullanıcı hesaplarını kaldırmalı ve temiz bir yedekten geri yüklemeyi düşünmelisiniz.
Daha Güçlü WordPress Web Sitesi Güvenliği İçin Ek Kaynaklar
Umarım bu makale WordPress güvenlik anahtarlarını ve nasıl kullanacağınızı anlamanıza yardımcı olmuştur. Sonra, ayrıca şu konulardaki rehberlerimize de bakmak isteyebilirsiniz:
- Karşılaştırılan En İyi WordPress Güvenlik Duvarı Eklentileri
- WordPress Güvenlik Denetimi Nasıl Yapılır
- WordPress Kullanıcı Rolleri ve İzinleri İçin Başlangıç Rehberi
- WordPress Siteniz İçin Ücretsiz SSL Sertifikası Nasıl Alınır
- WordPress'te Güvenli Bağlantı Hatası Nasıl Düzeltilir
- En İyi WordPress Yedekleme Eklentileri Karşılaştırıldı (Artıları ve Eksileri)
- WordPress Sitenizi Yedekleme İçin Nihai Rehber
- Nihai WordPress Güvenlik Rehberi – Adım Adım
Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.
Samuel
Vay canına!, bu makale için çok teşekkür ederim, bu anahtarları her zaman wp-config dosyasında görüyordum ama ne işe yaradıklarını bilmiyordum. bu makale kullanımlarına ışık tutuyor. ancak bir soru sormak istiyorum. bu güvenlik anahtarlarını şifremi değiştirmeden değiştirirsem şifreyi etkiler mi? sadece merak ediyorum.
WPBeginner Desteği
Güvenlik anahtarları kullanıcı şifrelerinizi doğrudan etkilemez, bu nedenle şifrenizde herhangi bir değişiklik olmamalıdır.
Yönetici
Samuel
Bu soruya açıklama getirdiğiniz için çok teşekkür ederim. Başlangıçta şifreleri etkileyebileceğini düşünüyordum.
Mrteesurez
Bu gönderide sadece 'SALT' kelimesini duyuyorum, SALT ve KEY arasındaki fark nedir?
Herhangi bir hack girişimi şüphesi olmasa bile bu anahtarları güncelleyebilir miyim?
Eğer evet ise, ne sıklıkla değiştirilmelidir?? Teşekkürler.
WPBeginner Desteği
Kişisel tercihinize bağlıdır ancak haftalık olarak veya üç ayda bir, ne kadar sık değiştirmek istediğinize bağlı olarak sık sık değiştirilebilirler.
Yönetici
Jiří Vaněk
Güvenlik anahtarlarıyla ilgili olarak, web sitesini yeni bir veritabanına taşırken bir sorunla karşılaştım. wp-config.php dosyasındaki bağlantıyı değiştirdikten sonra bile WordPress yeni veritabanına bağlanmayı reddetti ve 'bağlantı hatası' bildirdi. Sonunda, eski wp-config.php dosyasını silmek, kurulum paketinden yeni bir tane yüklemek, yeni veritabanı bağlantısını yeniden girmek zorunda kaldım ve sonra her şey yolunda gitti. Görünüşe göre wp-config.php dosyasındaki anahtarlar suçluydu.
Josh
Tuşları ne sıklıkla değiştirmemi önerirsiniz? Ekran görüntüsünde gösterildiği gibi üç ayda bir mi?
WPBeginner Desteği
Şu anda, sitenizde bir hack olayından sonra en azından belirli bir önerilen yenileme süremiz bulunmamaktadır.
Yönetici
Bjornen Nilsson
Merhaba,
SORU »
Web tarayıcısını her kapatıldığında tüm geçmişi, geçici dosyaları, çerezleri vb. silinecek şekilde ayarlamak VE her çıkış yaptıktan sonra wp-config'deki SALT'ı değiştirmek, "aşırı" artan güvenlik dışında herhangi bir şeyi etkiler mi?
Teşekkürler!
shanderman
Merhaba,
1 ürün için 2 ürün url'im var. Şöyle ki:
example.com/?product=product-name
example.com/product/product-name/
neden? nasıl düzeltmeliyim? lütfen bana yardım et.
WPBeginner Desteği
Merhaba shanderman,
Lütfen WordPress sitenizin SEO dostu URL'ler kullandığından emin olmak için Ayarlar » Kalıcı Bağlantılar sayfasını ziyaret edin.
Bundan sonra web sitenizin kaynak kodunu görüntüleyin ve istediğiniz URL biçimini gösterdiğinden emin olun.
Çirkin URL yapısı, tarayıcıya yazdığınızda WordPress'te hala çalışacaktır. Ancak, ürününüzün kanonik URL'si, kalıcı bağlantı ayarları sayfasında seçeceğiniz URL olacaktır. Arama motorlarının izleyeceği ve indeksleyeceği URL'ler bunlardır.
Yönetici
sam
Wordpress'e yeni başladım, bu anahtarların Wordpress'i nasıl güvenli hale getirdiği konusunda bir şüphem var? Anahtarların gerçek rolünü ve işleyişini bilmek istiyorum?
Kishan Dalsania
config.php'deki anahtarların gerçek faydası nedir? Hackerları önlemede nasıl çalışacağını tanımlayabilir misiniz?
sam
Merhaba, bu yöntemi kullandım ve siteme hiç giriş yapamıyorum. Bunu nasıl düzeltebilirim veya sorunları nasıl kaldırabilirim
WPBeginner Desteği
WordPress yönetici alanına erişiminiz engellendiğinde ne yapmanız gerektiği konusunda yapmanız gerekenler hakkındaki eğitimimize göz atın.
Yönetici
kOoLiNuS
Sadece hızlı bir soru… Neden şunları öneriyorsunuz:
Sonuncusu yerine mi? Bu yaklaşımı destekleyen bağlantılarınız var mı?
Şimdiden teşekkürler!
Nick
WordPress 3.1'de bu anahtarlar otomatik olarak oluşturulur.
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
Bu bilgiyi takdir ediyorum ve dosyalarımı hızla güncelledim. Endişem, Nisan ayındaki Rick'in endişesiyle aynı; wp-config.php dosyam hacklenirse, bu anahtarlar onlara bakan herkese açık hale gelir, doğru mu? Ama sonra düşündüm ki, eğer wp dosyam hacklenirse ve benden başka biri onlara bakıyorsa, zaten başım dertte demektir...
Yine de her önlem, en iyisini ummaktan daha iyidir! Çalışmalarınız ve çabalarınız için teşekkürler.
Keith Davis
Merhaba
Kısa ve bilgilendirici gönderiniz için teşekkürler.
Örneğinizde dört gizli anahtar olduğunu fark ettim.
Wordpress 3.0'da daha fazla gizli anahtar görünüyor – bunlar Wordpress'in önceki sürümlerine eklenebilir mi?
Yayın Kadrosu
Bu anahtarlar WordPress 3.0 ile kullanılabilir hale gelir
Yönetici
Dave
Eski dördün yerine sekiz gizli anahtarın tamamını kullanmak için 3.0'ı kullanmanız gerekecek. Yeni WordPress rastgele anahtar oluşturucu şurada bulunabilir: https://api.wordpress.org/secret-key/1.1/salt
Rick
Um, bu yönetici şifrenizi değiştirir mi yoksa ne? Bunun ne yaptığını anlamıyorum? Belki de hacker olmadığım içindir. Ama bu sadece yapılandırma.php dosyanızda saklanıyorsa, bir hacker'ın ftp sitenize girip yapılandırma dosyasından bu güvenlik anahtarını alması çok daha kolay olmaz mı?
WordPress sitelerimin daha güvenli olmasını istiyorum, ancak bunun neyi engellediğini anlamıyorum?
Jack
Güzel söylenmiş. Talimatlar oldukça kolay, ancak belgelendirmede güvenlik ve emniyetin hafife alındığını düşünüyorum. Açıklığa kavuşturduğunuz ve web'i daha güvenli bir yer haline getirdiğiniz için teşekkürler.
gabrielle
birden fazla wordpress sitesi geliştiriyorsanız her biri için bir güvenlik anahtarı mı oluşturuyorsunuz yoksa hepsinde aynı olanı mı kullanıyorsunuz?
Yayın Kadrosu
Use a new one
Yönetici
Konstantin
Madem başlıyorsunuz:
Neden tuz sabitlerini tanımlayıp kendinize birkaç veritabanı sorgusundan tasarruf etmiyorsunuz?!
Şöyle görünmelidir:
define('AUTH_SALT', 'benzersiz ifadenizi buraya koyun');
define('SECURE_AUTH_SALT', 'benzersiz ifadenizi buraya koyun');
define('LOGGED_IN_SALT', 'benzersiz ifadenizi buraya koyun');
define('NONCE_SALT', 'benzersiz ifadenizi buraya koyun');
Digging into Wordpress'ten bu makale bu uygulamanın avantajlarını açıklıyor.
Tony
Paylaştığınız için teşekkürler!
Yayın Kadrosu
İyi fikir, bunu hiç düşünmemiştim.
Yönetici
hasarlı
çok kullanışlı ve önemli, paylaştığınız için teşekkürler