Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Kupası
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

WordPress Yönetici Alanınızı Korumak İçin 14 Önemli İpucu (Güncellendi)

Editoryal Not: WPBeginner üzerindeki ortak bağlantılardan komisyon kazanıyoruz. Komisyonlar, editörlerimizin görüşlerini veya değerlendirmelerini etkilemez. Editoryal Süreç hakkında daha fazla bilgi edinin.

WordPress yönetici alanınızı korumanın yollarını mı arıyorsunuz?

Yönetici alanını yetkisiz erişime karşı korumak, birçok yaygın güvenlik tehdidini engellemenizi sağlar. WordPress web sitenizde çok sayıda saldırı görüyorsanız bu yararlı olabilir.

Bu eğitimde, WordPress yönetici alanınızı korumak için bazı önemli ipuçlarını ve hack’leri göstereceğiz.

Tips and hacks to protect WordPress admin area

Birçok ipucunu ele alacağız ve bunlar arasında geçiş yapmak için aşağıdaki hızlı bağlantıları kullanabilirsiniz:

1. Güvenlik Duvarı Kullanın

Bir güvenlik duvarı web sitesi trafiğini izler ve şüpheli isteklerin web sitenize ulaşmasını engeller.

Wordfence gibi çeşitli WordPress güvenlik duvarı eklentileri olsa da, Sucuri kullanmanızı öneririz. Sucuri, web sitenizi korumak için bulut tabanlı bir güvenlik duvarı sunan bir web sitesi güvenlik ve izleme hizmetidir.

Website Application Firewall

Web sitenizin tüm trafiği önce Sucuri bulut proxy’sinden geçer, bu proxy her isteği analiz eder ve şüpheli olanların web sitenize ulaşmasını engeller. Bu, web sitenizi olası hack girişimlerinden, kimlik avından, kötü amaçlı yazılımlardan ve diğer kötü amaçlı faaliyetlerden korur.

Bir başka harika seçenek de Cloudflare’dir, biz de WPBeginner’da bunu kullanıyoruz. Daha fazla ayrıntı için, neden Sucuri’den Cloudflare’e geçtiğimize dair makalemize bakın.

2. WordPress Yönetici Dizinini Parola ile Koruyun

WordPress yönetici alanınız zaten WordPress parolanızla korunmaktadır. Ancak, WordPress yönetici dizininize parola koruması eklemek, giriş sayfanıza başka bir güvenlik katmanı ekler.

Öncelikle, WordPress web hosting cPanel panonuzda oturum açmanız ve ardından ‘Dizinleri Parola ile Koru’ veya ‘Dizin Gizliliği’ simgesine tıklamanız gerekir.

Directory privacy

Ardından, normalde /public_html/ dizini içinde bulunan wp-admin klasörünüzü seçmeniz gerekecektir.

Bir sonraki ekranda, ‘Bu dizini parola ile koru’ seçeneğinin yanındaki kutuyu işaretlemeniz ve korunan dizin için bir ad vermeniz gerekir.

Bundan sonra, izinleri ayarlamak için ‘Kaydet’ düğmesine tıklayın.

Password protect directory settings

Ardından, geri düğmesine basmanız ve ardından bir kullanıcı oluşturmanız gerekir. Bir kullanıcı adı/şifre girmeniz ve ardından ‘Kaydet’ düğmesine tıklamanız istenecektir.

Şimdi, birisi web sitenizdeki WordPress admin veya wp-admin dizinini ziyaret etmeye çalıştığında, kullanıcı adı ve şifre girmesi istenecektir.

Enter password

Daha ayrıntılı talimatlar için WordPress yönetici (wp-admin) dizininin nasıl parola ile korunacağına ilişkin kılavuzumuza bakın.

3. Her Zaman Güçlü Parolalar Kullanın

Always use strong passwords

WordPress siteniz de dahil olmak üzere tüm çevrimiçi hesaplarınız için her zaman güçlü parolalar kullanın. Şifrelerinizde harf, rakam ve özel karakterlerden oluşan bir kombinasyon kullanmanızı öneririz. Bu, bilgisayar korsanlarının şifrenizi tahmin etmesini zorlaştırır.

Yeni başlayanlar tarafından sık sık tüm bu şifreleri nasıl hatırlayacağımız soruluyor. En basit cevap, buna gerek olmadığıdır. Bilgisayarınıza ve telefonunuza yükleyebileceğiniz gerçekten harika şifre yöneticisi uygulamaları var.

Bu konu hakkında daha fazla bilgi için WordPress’e yeni başlayanlar için parolaları yönetmenin en iyi yolu hakkındaki kılavuzumuza bakın.

4. WordPress Giriş Ekranında İki Adımlı Doğrulama Kullanın

WordPress login screen with Google Authenticator enabled

İki faktörlü doğrulama, iki faktörlü kimlik doğrulama veya 2FA olarak da bilinen iki adımlı doğrulama, şifrelerinize başka bir güvenlik katmanı ekler. Yalnızca parola kullanmak yerine, telefonunuzdaki Google Authenticator uygulaması tarafından oluşturulan bir doğrulama kodu girmenizi ister.

Birisi WordPress şifrenizi tahmin edebilse bile, içeri girmek için yine de Google Authenticator koduna ihtiyaç duyacaktır.

Adım adım ayrıntılı talimatlar için Google Authenticator kullanarak WordPress’te 2 adımlı doğrulamanın nasıl kurulacağına ilişkin kılavuzumuza bakın.

5. Giriş Denemelerini Sınırla

Limit login attempts

WordPress varsayılan olarak kullanıcıların istedikleri kadar parola girmelerine izin verir. Bu, birisinin farklı kombinasyonlar girerek WordPress şifrenizi tahmin etmeye çalışabileceği anlamına gelir. Ayrıca bilgisayar korsanlarının şifreleri kırmak için otomatik komut dosyaları kullanmasına da olanak tanır.

Bunu düzeltmek için Limit Login Attempts Reloaded eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Etkinleştirmenin ardından, eklenti ayarlarını yapılandırmak için Ayarlar ” Giriş Kilitleme sayfasını ziyaret edin.

Ayrıntılı talimatlar için WordPress’te giriş denemelerini neden sınırlamanız gerektiğine ilişkin kılavuzumuza bakın. Eklenti hakkında daha fazla bilgi edinmek için detaylı Limit Login Attempts incelememize de göz atabilirsiniz.

6. Oturum Açma Erişimini IP Adresleriyle Sınırlayın

WordPress girişini güvenli hale getirmenin bir başka harika yolu da erişimi belirli IP adresleriyle sınırlamaktır. Bu ipucu özellikle sizin veya sadece birkaç güvenilir kullanıcının yönetici alanına erişmesi gerekiyorsa kullanışlıdır.

Bu kodu .htaccess dosyanıza eklemeniz yeterlidir:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

xx değerlerini kendi IP adresinizle değiştirmeyi unutmayın. İnternete erişmek için birden fazla IP adresi kullanıyorsanız, bunları da eklediğinizden emin olun.

Ayrıntılı talimatlar için .htaccess kullanarak WordPress yöneticisine erişimin nasıl sınırlandırılacağına ilişkin kılavuzumuza bakın.

7. Oturum Açma İpuçlarını Devre Dışı Bırak

Disabled login hints

Başarısız bir giriş denemesinde WordPress, kullanıcılara kullanıcı adlarının mı yoksa şifrelerinin mi yanlış olduğunu söyleyen hatalar gösterir. Bu giriş ipuçları birileri tarafından kaba kuvvet saldırıları gibi kötü niyetli girişimler için kullanılabilir.

Aşağıdaki kodu temanızın functions.php dosyasına ekleyerek veya WPCode gibi bir kod parçacıkları eklentisi kullanarak (önerilir) bu giriş ipuçlarını kolayca gizleyebilirsiniz:

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Daha fazla ayrıntı için, web sitenizi bozmadan WordPress’e özel kod ekleme hakkındaki kılavuzumuza bakın.

8. Kullanıcılardan Güçlü Parolalar Kullanmalarını İsteyin

Çok yazarlı bir WordPress sitesi işletiyorsanız, bu kullanıcılar kullanıcı hesaplarını düzenleyebilir ve zayıf bir parola kullanabilir. Bu şifreler kırılabilir ve birisinin WordPress yönetici alanına erişmesini sağlayabilir.

Bunu düzeltmek için SolidWP eklentisini kurabilir ve etkinleştirebilirsiniz. Ardından, WordPress’te kullanıcıları güçlü parolalara nasıl zorlayacağınıza ilişkin eksiksiz kılavuzumuzdaki adımları takip edebilirsiniz.

9. Tüm Kullanıcılar için Parolayı Sıfırla

Çok kullanıcılı WordPress sitenizde parola güvenliği konusunda endişeleriniz mi var? Tüm kullanıcılarınızdan şifrelerini sıfırlamalarını kolayca isteyebilirsiniz.

İlk olarak, Acil Şifre Sıfırlama eklentisini kurmanız ve etkinleştirmeniz gerekir. Etkinleştirmenin ardından Kullanıcılar ” Acil Şifre Sıfırlama sayfasına gidin ve ‘Tüm Şifreleri Sıfırla’ düğmesine tıklayın.

Reset all passwords

Ayrıntılı talimatlar için WordPress’te tüm kullanıcıların parolalarını sıfırlama kılavuzumuza bakın

10. WordPress’i Güncel Tutun

WordPress sık sık yeni yazılım sürümleri yayınlar. WordPress çekirdeğinin her yeni sürümü önemli hata düzeltmeleri, yeni özellikler ve güvenlik düzeltmeleri içerir.

Sitenizde WordPress’in eski bir sürümünü kullanmak sizi bilinen açıklara ve potansiyel güvenlik açıklarına karşı savunmasız bırakır. Bunu düzeltmek için WordPress’in en son sürümünü kullandığınızdan emin olmanız gerekir.

Bu konuda daha fazla bilgi için neden her zaman WordPress’in en son sürümünü kullanmanız gerektiğine ilişkin kılavuzumuza bakın.

Benzer şekilde, WordPress eklentileri de yeni özellikler sunmak veya güvenlik ve diğer sorunları gidermek için sık sık güncellenir. WordPress eklentilerinizin de güncel olduğundan emin olun.

Not: WordPress bakımınızı profesyonellere bırakmayı mı tercih edersiniz? WPBeginner Bakım Hizmetlerimiz, güncellemelerden kötü amaçlı yazılımların kaldırılmasına kadar her şeyi halledebilir, böylece siz sadece web sitenizi çalıştırmaya odaklanabilirsiniz.

11. Özel Giriş ve Kayıt Sayfaları Oluşturma

Birçok WordPress sitesi kullanıcıların kaydolmasını gerektirir. Örneğin, üyelik siteleri, öğrenme yönetimi siteleri ve çevrimiçi mağazalar kullanıcıların bir hesap oluşturmasını gerektirir.

Ancak bu kullanıcılar hesaplarını WordPress yönetici alanına giriş yapmak için kullanabilirler. Bu büyük bir sorun değildir, çünkü yalnızca kullanıcı rolleri ve yetenekleri tarafından izin verilen şeyleri yapabileceklerdir.

Ancak, kullanıcıların kaydolması, profillerini yönetmesi ve oturum açması için bu sayfalara ihtiyacınız olduğundan, oturum açma ve kayıt sayfalarına erişimi düzgün bir şekilde sınırlamanıza engel olur.

Bunu düzeltmenin kolay yolu, kullanıcıların doğrudan web sitenizden kaydolup giriş yapabilmeleri için özel giriş ve kayıt sayfaları oluşturmaktır.

Adım adım ayrıntılı talimatlar için WordPress’te özel giriş ve kayıt sayfalarının nasıl oluşturulacağına ilişkin kılavuzumuza bakın.

12. WordPress Kullanıcı Rolleri ve İzinleri Hakkında Bilgi Edinin

WordPress, farklı kullanıcı rolleri ve yeteneklerine sahip güçlü bir kullanıcı yönetim sistemi ile birlikte gelir. WordPress sitenize yeni bir kullanıcı eklerken, bu kullanıcı için bir kullanıcı rolü seçebilirsiniz. Bu kullanıcı rolü, WordPress sitenizde neler yapabileceklerini tanımlar.

Yanlış kullanıcı rolleri atamak, kişilere ihtiyaç duyduklarından daha fazla yetenek verebilir. Bundan kaçınmak için, WordPress’te farklı kullanıcı rolleriyle birlikte hangi yeteneklerin geldiğini anlamanız gerekir.

Bu konu hakkında daha fazla bilgi için WordPress kullanıcı rolleri ve izinleri başlangıç kılavuzumuza bakın.

13. WordPress Kontrol Paneli Erişimini Sınırlayın

Bazı WordPress sitelerinde kontrol paneline erişmesi gereken ve gerekmeyen bazı kullanıcılar vardır. Ancak varsayılan olarak hepsi yönetici alanına erişebilir.

Bunu düzeltmek için Remove Dashboard Access eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Etkinleştirdikten sonra, Ayarlar “ Pano Erişimi sayfasına gidin ve sitenizdeki yönetici alanına hangi kullanıcı rollerinin erişebileceğini seçin.

Daha ayrıntılı talimatlar için WordPress’te kontrol paneli erişimini sınırlama kılavuzumuza bakın.

14. Boştaki Kullanıcıların Oturumunu Kapat

Idle user logout

WordPress, kullanıcılar açıkça çıkış yapana veya tarayıcı pencerelerini kapatana kadar otomatik olarak çıkış yapmaz. Bu durum hassas bilgiler içeren WordPress siteleri için endişe verici olabilir. Bu nedenle finans kuruluşlarının web siteleri ve uygulamaları, aktif olmadıklarında kullanıcıların oturumunu otomatik olarak kapatır.

Bunu düzeltmek için Inactive Logout eklentisini kurabilir ve etkinleştirebilirsiniz. Etkinleştirdikten sonra, Ayarlar “ Etkin Olmayan Oturum Kapatma sayfasına gidin ve kullanıcıların otomatik olarak oturumlarının kapatılmasını istediğiniz süreyi girin.

Daha fazla ayrıntı için WordPress’te boşta kalan kullanıcıların oturumunu otomatik olarak kapatma hakkındaki makalemize bakın.

Bu makalenin WordPress yönetici alanınızı korumak için bazı yeni ipuçları ve hack’ler öğrenmenize yardımcı olduğunu umuyoruz. Ayrıca yeni başlayanlar için adım adım WordPress güvenlik rehberimizi ve en iyi WordPress güvenlik eklentileri uzman seçimlerimizi görmek isteyebilirsiniz.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Açıklama: İçeriğimiz okuyucu desteklidir. Bu, bazı bağlantılarımıza tıklarsanız komisyon kazanabileceğimiz anlamına gelir. WPBeginner'ın nasıl finanse edildiğini, neden önemli olduğunu ve nasıl destek olabileceğinizi görün. İşte editoryal sürecimiz.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Ultimate WordPress Araç Kiti

Araç setimize ÜCRETSİZ erişim sağlayın - her profesyonelin sahip olması gereken WordPress ile ilgili ürün ve kaynaklardan oluşan bir koleksiyon!

Reader Interactions

135 yorumBir Cevap Bırakın

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Mrteesurez says

    I don’t think there will be a way hackers would be able to enter if one is able to implement all these tips and tricks.
    I have used some, limiting logging attempt and dashboard access and they worked fine, I will still try to implement others for maximum security.

  3. Moinuddin Waheed says

    Must have tips and tricks for protection of WordPress admin dashboard.
    I have used two factor authentication for admin login and also the login limits for admin access.
    dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
    I didn’t know that we can have these much steps to protect our dashboard.
    Thanks for the exhaustive lists of tips for dashboard protection.

  4. Theo says

    “This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent.”

    I know that this is a 3 and a half years old article!

    It would be nice if someone could suggest an alternative! Thank you for your time!

  5. Raksa Sav says

    If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?

  6. Muchsin says

    I want to ask
    I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
    I use the newspaper theme from tagdiv.

  7. Brenda Donovan says

    Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?

  8. Joe says

    Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.

  9. Abhinav S Thakur says

    Can anyone fix this?
    How shall I force SSL only for admin and rest of the site should be http.
    Like wp beginner has non SSL site!
    Running wordpress, cPanel

  10. Pinkey says

    Hi,

    I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.

    Thanks & best Regards,

    Pinkey

  11. Lucy Barret says

    The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.

  12. John says

    Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?

    Help please!

  13. Craig says

    Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.

  14. Lori says

    I’ve also been told to “remove links to the admin page from the site so that the hacking robots can’t just follow a link.” I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?

    (I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)

  15. Emily Johns says

    Great information!

    For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
    From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
    Tested and happy with it!

  16. Barry Richardson says

    I was under the impression that the original username (e.g. “admin”) of a WP site cannot be deleted, so even if we did add a new username, the original “admin” would still be available for a potential hacker to exploit.

  17. Sandeep Jinagal says

    Hyy WPBeginner first of All u are Doing Best OF Best???
    And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.

  18. ifaheem says

    great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!

    My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin :(

    After performing above steps (update them by some research), feeling secure a little.

    Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!

  19. Prince Jain says

    Thank you for such a great post. :)

    But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of WordPress.
    Also can you please suggest a plugin to create custom URL for login window.

  20. Mitchell Miller says

    Stealth Login was removed from WP Plugin repository.

    But changing wp-login.php link is the first step to protecting a WordPress site.

  21. laya rappaport says

    What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?

  22. user4574 says

    One other helpful item not mentioned is database permissions. The WordPress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.

    So if you’re doing it directly in mysql, it would be:
    GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;

    If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.

  23. Tanmoy Das says

    Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.

  24. Derick says

    @Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.

  25. Thorir says

    Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.

    Perhaps this is a helpful factor, security wise?

  26. Mary says

    Hello, I hope you are well!
    This was a great article but a little complicated for me.

    because I need the easy way right now, the wordpress firewall plugin looked good but

    my fear is losing my login page.
    I have spent a long time trying to work with FTP and have not been able to understand it.

    Will this be a good plugin for a scaredy cat?? Thanks Mary

  27. Guest says

    I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer “officially” compatible with the latest WordPress (3.4.x-3.5)?

  28. Bigdrobek says

    Great turitorial, but please can you update it?

    Few plug-ins is not exist, are old or are hidden by WordPress.org.

    – Stealth Login

    – Login Lockdown

    – Admin SSL

    I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?

  29. mattjwalk says

    You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.

  30. Jermaine says

    The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?

  31. Daniel says

    Hacker will think he is successful when he logs in with admin username and finds that the role has been set to ‘subscriber’. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!

  32. anthony says

    This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!

Bir Cevap Bırakın

Yorum bırakmayı seçtiğiniz için teşekkür ederiz. Lütfen tüm yorumların yorum poli̇ti̇kasi uyarınca denetlendiğini ve e-posta adresinizin yayımlanmayacağını unutmayın. Ad alanında anahtar kelime KULLANMAYIN. Kişisel ve anlamlı bir sohbet edelim.