Web sitesi sahipleri, hassas verilerini korumak ve kullanıcılarının güvenini sürdürmek için WordPress güvenliğine öncelik vermelidir. WPBeginner'da bunu yapmanın çok etkili bir yolu, WordPress yönetici dizinimizi parola ile korumaktır.
wp-admin dizini, WordPress sitenizin kontrol merkezidir. İçerikten ayarlara kadar her şeyi yönettiğiniz yer burasıdır ve bu da onu bilgisayar korsanları için birincil hedef haline getirir. Yönetici dosyalarınızı şifre ile korumak, onları saldırılardan güvende tutacaktır.
Bu makale, wp-admin dizininizi kolayca şifreyle korumak ve web sitenizin güvenliğini güçlendirmek için basit bir kılavuz sunmaktadır.
WordPress Yönetici Dizinini Neden Parola ile Koruyorsunuz?
WordPress yönetici dizininizi parola ile koruyarak, WordPress web sitenizin en önemli giriş noktasına fazladan bir güvenlik katmanı eklersiniz.
WordPress yönetici kontrol paneliniz sitenizin merkezi merkezidir. Gönderiler ve sayfalar yayınlayacağınız, temanızı özelleştireceğiniz, WordPress eklentileri yükleyeceğiniz ve daha fazlasını yapacağınız yer burasıdır.
Genellikle bilgisayar korsanları web sitenize girmeye çalıştıklarında, bunu wp-admin ekranı üzerinden bir kaba kuvvet saldırısı kullanarak yaparlar.
güçlü bir parola ve giriş denemelerini sınırlama gibi güvenlik önlemleri kullanarak web sitenizi olası saldırılara karşı koruyabilirsiniz.
Daha da güvenli olmak için, wp-admin dizinini de parola ile koruyabilirsiniz. Ardından, biri yönetici alanınıza erişmeye çalıştığında, WordPress giriş sayfasına ulaşmadan önce bir kullanıcı adı ve şifre girmeleri gerekecektir.
Bu bağlamda, WordPress yönetici dizininizi adım adım nasıl parola ile koruyabileceğinize bir göz atalım.
İlk yöntem çoğu kullanıcı için önerilir ve kullanmak istediğiniz yönteme doğrudan atlamak için aşağıdaki hızlı bağlantıları kullanabilirsiniz:
- wp-admin'i Dizin Gizliliği ile Parola ile Koruma (Önerilen)
- wp-admin'i Kod Kullanarak Şifreyle Koruma
- wp-admin Parola Koruması Sorun Giderme
- Bonus: wp-admin Güvenliği İçin En İyi WordPress Rehberleri
Video Eğitim
Yazılı talimatları tercih ederseniz, okumaya devam edin.
Yöntem 1: Dizin Gizliliği Kullanarak wp-admin'i Şifre ile Koruma (Önerilen)
WordPress yönetici dizininizi şifreyle korumanın en kolay yolu, WordPress barındırma sağlayıcınızın Dizin Gizlilik uygulamasını kullanmaktır.
Öncelikle, barındırma hesabınızın kontrol paneline giriş yapmanız ve web sitenizin cPanel kontrol panelindeki Dosyalar bölümünde yer alan ‘Dizin Gizliliği’ seçeneğine tıklamanız gerekir.
Not: Bluehost gibi cPanel kullanan çoğu web barındırma hizmeti benzer adımlara sahip olacaktır. Ancak, barındırma sağlayıcınıza bağlı olarak kontrol paneliniz ekran görüntülerimizden biraz farklı olabilir.
Bu sizi sunucunuzdaki farklı dizinlerin tümünü listeleyen bir ekrana getirir. Web sitenizin dosyalarını içeren klasörü bulmanız gerekir.
Çoğu web sitesi sahibi için bu, 'public_html' klasörüne tıklayarak bulunabilir.
Bu, sunucunuza yüklediğiniz tüm web sitesi dosyalarını getirir.
Ardından, web sitenizin alan adına sahip klasöre tıklamanız gerekecek.
O klasörde, wp-admin klasörünü göreceksiniz.
Klasör adına tıklamak yerine, o klasörün yanındaki 'Düzenle' düğmesine tıklamanız gerekir.
Bu sizi şifre korumasını açabileceğiniz bir ekrana getirir.
Sadece 'Bu dizini parola ile koru' seçeneğini işaretleyin. İsterseniz, hatırlamanıza yardımcı olması için dizininize 'Yönetici Alanı' gibi bir isim de verebilirsiniz.
Yaptıktan sonra 'Kaydet' düğmesine tıklamanız gerekecektir.
Bu sizi onay mesajının görüneceği bir sayfaya götürecektir.
Şimdi, ‘Geri Dön’ düğmesine tıklamanız gerekecek ve sizi bu dizine erişebilecek bir kullanıcı oluşturabileceğiniz bir ekrana götürecektir.
Bir kullanıcı adı ve şifre girmeniz ve ardından şifreyi onaylamanız istenecektir. Kullanıcı adınızı ve şifrenizi şifre yöneticisi uygulaması gibi güvenli bir yere kaydettiğinizden emin olun.
Bunu yaptığınızda 'Kaydet' düğmesine tıkladığınızdan emin olun.
Artık biri wp-admin dizininize erişmeye çalıştığında, yukarıda oluşturduğunuz kullanıcı adını ve şifreyi girmeniz istenecek.
Yöntem 2: wp-admin'i Kod Kullanarak Parola Korumalı Hale Getirme
WordPress yönetici dizininizi manuel olarak da şifre ile koruyabilirsiniz. Bunu yapmak için .htpasswd ve .htaccess adında iki dosya oluşturmanız gerekecektir.
Not: WordPress sitenize herhangi bir kod eklemek tehlikeli olabilir. Küçük bir hata bile web sitenizde büyük hatalara neden olabilir. Bu yöntemi yalnızca ileri düzey kullanıcılara öneririz.
.htaccess Dosyasını Oluşturma
İlk olarak, tercih ettiğiniz metin düzenleyiciyi açın ve yeni dosyaya .htaccess adını verin.
Ardından, aşağıdaki kod parçasını kopyalamanız ve dosyaya eklemeniz gerekir:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
'AuthUserFile' yolunu, .htpasswd dosyasını yükleyeceğiniz konuma değiştirdiğinizden ve 'yourusername' kısmını giriş yapmak için kullanmak istediğiniz kullanıcı adıyla değiştirdiğinizden emin olun.
Bitirdiğinizde dosyayı kaydetmeyi unutmayın.
.htpasswd Dosyası Oluşturma
Bunu yaptıktan sonra, bir .htpasswd dosyası oluşturmanız gerekir.
To do this, open up a text editor and create a file called .htpasswd. This file will list your username along with your password in an encrypted format.
Şifrelenmiş parolayı oluşturmanın en kolay yolu bir htpasswd oluşturucu kullanmaktır.
Kullanıcı adınızı ve şifrenizi girin, şifreleme formatını seçin ve ‘.htpasswd dosyasını oluştur’ düğmesine tıklayın.
Htpasswd oluşturucu, .htpasswd dosyanıza yapıştırmanız gereken bir metin satırı gösterecektir. Bunu yaptıktan sonra dosyayı kaydettiğinizden emin olun.
Uploading .htaccess and .htpasswd to the wp-admin Directory
Son adım, oluşturduğunuz her iki dosyayı da web sitenizin wp-admin klasörüne yüklemektir.
WordPress hosting hesabınıza bir FTP istemcisi veya barındırma sağlayıcınızın sunduğu çevrimiçi dosya yöneticisi aracını kullanarak bağlanmanız gerekecektir. Daha fazla ayrıntı için, WordPress'e dosya yüklemek için FTP'nin nasıl kullanılacağına ilişkin başlangıç kılavuzumuza bakın.
Bu eğitim için, ücretsiz olduğu ve hem Mac hem de Windows'ta çalıştığı için FileZilla kullanacağız.
Web sitenize bağlandıktan sonra, sol pencerede bilgisayarınızdaki dosyaları ve sağ pencerede web sitenizdeki dosyaları göreceksiniz. Solda, .htaccess ve .htpasswd dosyalarını kaydettiğiniz konuma gitmeniz gerekir.
Ardından, sağ tarafta, korumak istediğiniz web sitesinin wp-admin dizinine gitmeniz gerekir. Çoğu kullanıcı public_html klasörüne, ardından alan adınızın klasörüne ve ardından wp-admin klasörüne çift tıklamalıdır.
Şimdi, soldaki iki dosyayı seçebilir ve sağ tıklama menüsünden 'Yükle'yi tıklayabilir veya dosyaları sol pencereye sürükleyip bırakabilirsiniz.
Artık 'wp-admin' dizininiz şifre ile korunacaktır.
wp-admin Parola Koruması Sorun Giderme
Sunucunuzun ve web sitenizin nasıl kurulduğuna bağlı olarak, WordPress hatalarıyla karşılaşma olasılığınız vardır. Bu hatalar, kodunuzu .htaccess dosyanıza dikkatlice ekleyerek düzeltilebilir.
Not: Bu, ‘wp-admin’ klasörüne yüklediğiniz değil, ana web sitesi klasörünüzde bulunan .htaccess dosyasıdır. Bulmakta zorlanıyorsanız, neden .htaccess dosyasını bulamadığınıza ve nasıl bulacağınıza dair rehberimize bakın.
Ajax Çalışmıyor Hatasını Düzeltme
En yaygın hatalardan biri, Ajax işlevselliğinin sitenizin ön yüzünde çalışmayı durdurabilmesidir. Ajax gerektiren WordPress eklentileriniz varsa, örneğin canlı Ajax araması veya Ajax iletişim formları gibi, bu eklentilerin artık çalışmadığını fark edeceksiniz.
To fix this, simply add the following code to the .htaccess file that’s located in your wp-admin folder:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
404 Hatası ve Çok Fazla Yönlendirme Hatası Sorunlarını Giderme
Two other errors you might run into are the 404 error and the too many redirects error.
Bunları düzeltmenin en basit yolu, web sitenizin dizininde bulunan ana .htaccess dosyanızı açmak ve WordPress kurallarından önce aşağıdaki kod satırını eklemektir:
ErrorDocument 401 default
Bonus: wp-admin Güvenliği İçin En İyi WordPress Rehberleri
Umarım bu makale WordPress yönetici (wp-admin) dizininizi şifre ile korumayı öğrenmenize yardımcı olmuştur. Yönetici alanınızı daha güvenli hale getirmek için bazı ek kılavuzları görmek isteyebilirsiniz:
- WordPress Yönetici Erişimi IP Adresine Göre Nasıl Kısıtlanır
- WordPress Yönetici Alanınızı Korumak İçin Hayati İpuçları (Güncellendi)
- WordPress'te Özel Giriş URL'si Nasıl Eklenir (Adım Adım)
- WordPress'te Oturum Açma Denemelerini Nasıl ve Neden Sınırlamalısınız?
- WordPress'e İki Faktörlü Kimlik Doğrulama Nasıl Eklenir (Ücretsiz Yöntem)
- WordPress Giriş Ekranına Güvenlik Soruları Nasıl Eklenir
- WordPress'te Kullanıcıları Parola Değiştirmeye Nasıl Zorlarsınız – Parola Süresi Doldu
- WordPress'te Tüm Kullanıcıların Şifreleri Nasıl Sıfırlanır
Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.
Rauf
Sir when i login the popup button appear again and agin asking for enter the username and password
demonkoryu
Düzenleme: Sorununuzun Disqus yorumlarıyla ilgili olmadığını (yüzüm kapalı) görüyorum, ancak yine de sizin durumunuzda geçerli olabilir.
Bana da aynısı oldu.
a) Tüm çerezleri temizleyin (Disqus ve kullanmaya çalıştığınız site için)
b) Şu anda kullandığınız tarayıcıdan farklı bir tarayıcı deneyin
Thomas
Bu, WordPress 3.9.1'de benim için çalışmıyor. Herhangi bir yönetici sayfası için 500 (dahili sunucu) hatası alıyorum ve wp-login.php sayfası yükleniyor ancak doğru görüntülenmiyor.
404 hatası için kodu ana .htaccess dosyasına ekledim ve ajax kodunu wp-admin/.htaccess dosyasına ekledim. Değişiklik yok.
Bunun nedeni ne olabilir? Sunucum veya WordPress kurulumumda bir yanlış yapılandırma mı var?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
David
Teşekkürler! –
401 ErrorDocument varsayılanı ile yönlendirme döngüsü sorunumu çözdü
Misafir
admin-ajax kodunu /wp-admin .htaccess dosyamıza ekledim, ancak bu sorunu çözmedi. All-In-One-Event-Calendar eklentisi hala ön uçta admin-ajax'a erişemiyor.
Lütfen tavsiye edin.
Teşekkürler!
bamajr
Wouldn’t adding 2-Step Authentication to the WordPress Admin, login process, resolve this? Say, by using Authy (and their associated plugin)!
WPBeginner Desteği
Evet ama ek bir katman güvenliği daha da güçlendirir.
Yönetici
Chris Christoff
Selam millet,
Kısa bir not, admin-ajax.php eklentilerin erişmesi gereken tek şey değil. Ayrıca şifre korumalı olmayan async-upload.php ve media-upload.php dosyalarına da erişim izni vermeniz gerekiyor.
Bunlar, eklentiler tarafından ön uçta dosya yüklenmesine izin vermek için kullanılır (örneğin, bir ödeme sırasında dosya yüklemek gibi).
-Chris
bikramjit singh
Merhaba... wordpress'e yeni başladım ve buranın düzenli bir ziyaretçisiyim. Bir sorun yaşıyorum. Wordpress paneliime giriş yapmaya çalıştığımda, kullanıcı adı ve şifre girme paneli gelmiyor. Site kendi kendine açılıyor. Alan adım http://www.tradethetechnicals.com.How bu sorunu nasıl çözebilirim?
WPBeginner Desteği
Giriş sayfanızı buradan ziyaret edebilirsiniz: http://tradethetechnicals.com/wp-admin
Yönetici
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
Kushal Jayswal
Merhaba, kafam karıştı!
wp-admin dizinini kilitlersem kayıtlı yazarlar tarayıcıda “http://site.com/wp-admin” adresine erişebilir mi? Yoksa kullanıcı adı ve şifreye de ihtiyaçları var mı?
Blogumda Facebook ile doğrudan giriş yapabilen herkesi görebilirsiniz, bu nedenle bu durumda şifre ve kullanıcı adı tüm kullanıcılar için zorunluysa. Yönetmesi biraz karmaşık olacaktır…
Any comment?
WPBeginner Desteği
kayıtlı yazarlarınız WP Yönetici alanına erişmek için şifreye ihtiyaç duyacaktır.
Yönetici
Phil Alcock
Ajax düzeltmesi için teşekkürler. Bu birkaç satırı ekledim ve bir eklentiyle ilgili sorunumu çözdü. Wordpress Codex'teki öneriden çok daha kolay.
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
Merhaba,
Bu şifre yöntemini kullanıyorum,
lütfen yardım edin, çünkü bu açılır pencereler UCBrowser'da açılmıyor!!
yani bana söyleyin, giriş yapmak için bir sayfa, html sayfası veya herhangi bir tür sayfa yapabilir miyim?? açılır pencere göstermek istemiyorum, giriş yapan bir sayfa göstermek istiyorum ve diğer işlevler aynı şekilde
WPBeginner Desteği
WordPress için özel bir giriş sayfası oluşturabilirsiniz.
Yönetici
Chathu
cpanel yöntemini izlersem, şifreyi kaldırmanın bir yolu var mı?
Teşekkürler!
Masood
Paylaştığınız için teşekkürler, çok yardımcı oldu
Arthur
Vay canına! sonunda! "ErrorDocument 401 default" işe yaradı. Yönlendirme sorunuyla sabrımı tüketiyordum....
Bunu paylaştığınız için çok teşekkürler.
James
Seems to work great except it asks for authentication on our home page not just when accessing wp-admin. Is this possibly another plugin calling a file other than admin-ajax.php?
Yayın Kadrosu
Yup it is very possible that another plugin is calling admin-ajax.php. You should use the fix mentioned above.
Yönetici
Jeffro
Just wanted to let you know that when I went to manage my subscriptions here on the site via email link, I received the username password prompt. Clicking Cancel allowed me to manage my subscriptions. After selecting and option and clicking save, got the prompt again which clicking cancel also allowed the action to be performed. Just letting you guys know in case you did’nt want that to happen to other people.
Muhammad Ahsan
.htaccess dosyasındaki "ErrorDocument 401 default" satırını /wp-admin/.htaccess dosyasına mı yoksa başka bir .htaccess dosyasına mı kopyalamalıyım?
Yayın Kadrosu
Bunu ana .htaccess dosyasına yapıştırırsınız.
Yönetici
pankaj
Merhaba, Söylediğin gibi yaptım ama wp-admin dizinini açtığımda "Sayfa düzgün yönlendirilmiyor" gibi bir hata aldım.
Firefox, sunucunun bu adrese yapılan isteği asla tamamlanmayacak bir şekilde yönlendirdiğini tespit etti.
Bunlar bazen çerezleri devre dışı bırakarak veya kabul etmeyi reddederek neden olabilir.
Google Chrome'da bile açılır pencere vermiyor. Bu sorunu nasıl çözebileceğimi söyler misiniz?
Şimdiden teşekkürler.
Yayın Kadrosu
Makalenin şu bölümünü okumalısınız: Çok fazla yönlendirme hatası
Yönetici
Ed Emery
Merhaba,
Bu sorun, geçen hafta WP'yi ilk kurduğum günden beri devam ediyor. WordPress Yönetici (wp-admin) Dizinini Parola ile Koruma Nasıl Yapılır bölümünü adım adım uyguladım ama sorun aynı! İşte neyin / kimin / bilgisayar korsanının ne yaptığının ekran görüntüsü.
Önce şunu: WPBeginner Yöneticileri Yalnızca sunucusu sacramentofan.com bir kullanıcı adı ve şifre gerektiriyor.
Uyarı: Bu sunucu, kullanıcı adınızın ve parolanızın güvensiz bir şekilde (güvenli bir bağlantı olmadan temel kimlik doğrulama) gönderilmesini istiyor.
Ardından giriş yapmaya çalıştıktan sonra bu:
Sunucu sacramentofan.com WordPress saldırı koruma CAPTCHA'sında. Kullanıcı adı girin: e7en4d Parola: 16+4 matematik işleminin sonucu kullanıcı adı ve parola gerektirir.
Uyarı: Bu sunucu, kullanıcı adınızın ve parolanızın güvensiz bir şekilde (güvenli bir bağlantı olmadan temel kimlik doğrulama) gönderilmesini istiyor.
Peki bunu nasıl durdurabilirim, geçen Perşembe gününden beri her şeyi denedim 07-18-2013
Teşekkürler,
Ed
Yayın Kadrosu
Sadece duyarak açıklanması çok karmaşık bir sorun. Gerçekten ne olduğunu görmek gerekir. Görünüşe göre bir eklenti bu soruna neden oluyor.
Yönetici
David McMahon
Bu faydalı ipucu için çok teşekkürler – Neden sürekli Firefox'tan o korkunç "istek asla tamamlanmayacak" mesajını aldığımı merak ediyordum, ama şimdi almıyorum!
Akash Deep Satpathi
Merhaba! cPanel ile eğitim videonuzu takip ettim ancak sonrasında Kontrol Paneli'mi görüntüleyemedim. Google Chrome'da "Bu web sayfası bir yönlendirme döngüsüne sahip" diyordu. Yani, neyi kaçırıyorum?
Yayın Kadrosu
404 hatası veya çok fazla yönlendirme sorununu açıklayan bölüme bakın.
Yönetici
Meher
Merhaba,
Makaleniz için çok teşekkür ederim.
wp-admin klasörüne ek bir giriş katmanı eklemeye çalışıyordum ve – Çok fazla yönlendirme hatası – hatasına yönlendiriliyordum.
I searched a lot in Google and came across your article. This really helped me solve this issue.
Tekrar teşekkürler.
Dan
Burada da aynı sorun var.
arman
iyi çalışıyor
ama bir sorun var.
normal kullanıcılar Giriş yapıp kontrol paneline gitmek ve resim profili gibi bazı bilgileri değiştirmek istediklerinde, bu kullanıcı şifresini de yanıtlamak zorundalar!!
bu korumalı klasörü yalnızca yönetici için ayarlama veya normal kullanıcı panosu için yok sayma şansı var mı?
Yayın Kadrosu
Hayır. Tüm kullanıcılar için yapmanız gerekir.
Yönetici
ARMAN
Yani, bunu Tüm kullanıcılar için kullanırsam, tüm kullanıcıların Korunan Klasör için Kullanıcım ve şifrem olması gerektiği anlamına mı geliyor!!
yani herkes kayıt olabilir ve Herkesin bu kullanıcıya, şifreye sahip olması gerekir, o zaman herhangi bir hacker sitemde Kullanıcı olarak kayıt olabilir ve bu kullanıcıyı ve şifreyi alabilir!!
So Protecting Wp-admin is useful for only sites with one Admin or with some Special Users to share this user password …
Yayın Kadrosu
.htpswd'de birden fazla kullanıcı oluşturabilirsiniz. Buna grup denilen şeyi kullanmanız gerekecek.
tilki
ooohhh adamlar yardımın için teşekkürler :
ErrorDocument 401 default
harika çalışıyor !!!!!
Nishant
İpuçları için teşekkürler. Wp-Admin dizininin parola korumasını uyguladım ve ayrıca Google Authenticator kullanarak çift kimlik doğrulama ekledim. Sorunsuz çalışıyor gibi görünüyor.
I recently migrated to a new host (Bluehost) and set up my Wordpress site.
Wordfence güvenlik eklentisini yükledim. Eklentinin yapılandırması, biri (ben dahil) giriş yaptığında her seferinde bana bir e-posta uyarısı gönderecek şekilde. Ve ayrıca, biri geçersiz bir kullanıcı adıyla giriş yapmaya çalışırsa, o IP Adresini 10 dakika boyunca engeller ve bana başarısız bir giriş denemesi olduğunu bildiren bir e-posta gönderir.
Wp-admin dizinimi şifre ile koruduğum için, birisi kullanıcı adını ve şifresini bilmediği sürece, wordpress'e giriş yapmaya çalışmak için wp-admin veya wp-login'e ulaşamaz.
Ancak dün gece Wordfence'den birkaç e-posta aldım, geçersiz kullanıcı adları (admin, Admin veya nishant gibi) kullanarak Wordpress'e giriş yapma girişimlerinde bulundukları için birkaç IP Adresinin engellendiğini belirtiyorlardı. wp-admin dizininin sunucu tarafı şifre korumasını atlayıp Wordpress'e giriş yapmaya çalışmak mümkün mü?
Nishant
Nishant
Ayrıca, az önce fark ettim ki…
Doğrudan wp-login URL'sini kullandığımda, wp-admin dizini için sunucu tarafı şifre penceresi gösteriliyor. Ancak o şifre penceresinde iptal'e tıkladığımda (2-3 kez), wp-login sayfası görüntüleniyor!
Ancak url wp-admin olduğunda, iptale tıkladığınızda "401 Yetkilendirme Gerekli
Geçersiz giriş kimlik bilgileri!" mesajı görüntülenir
Ve günlük dosyaları, wp-login.php'ye doğrudan erişmeye çalışan geçersiz giriş denemelerini gösterdi.
Yayın Kadrosu
Evet, wp-login.php hala erişilebilir. Ancak doğru şifreyi bulsalar bile, onu göremeyecekler. Aynı tekniği kullanarak wp-login.php dosyanızı ayrı ayrı şifre ile koruyabilirsiniz.
Yönetici
Jeffro
Tam olarak o kod ne olurdu? Cpanel'de belirli dosyaları parola ile korumanın kolay bir yolunu göremedim.
Bart
Sayın yazar,
Tüm direktiflerinizi uyguladığıma eminim, ancak hala Firefox'un "sonsuz döngü" bildirimini alıyorum. Şu ana kadar yaptıklarım şunlar:
– /.htpasswds/public_html/wp-admin/passwd dizininde bir .htpasswds dosyası oluşturdum (CHMOD 664)
– Oluşturulmuş bir hash / kullanıcı adıyla bir .htaccess dosyası oluşturdum ve bunu /public_html/wp-admin dizinine koydum
– Ana .htaccess dosyamın başına /public_html dizininde ErrorDocument 401 default satırını ekledim
Bu sorunu çözmek için bana rehberlik edebilir misiniz? Ana sorularım şunlar:
– you say “make a file called ‘.htpasswds’ “. Is this in fact the correct filename ? I mean, with the s at the end included?
– exactly what path do I need to specify in my .htaccess file in my /public_html/wp-admin folder? Currently it says “AuthUserFile /.htpasswds/public_html/wp-admin/passwd” I’m not sure I’m doing this part right…
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
Şimdiden çok teşekkür ederim… daha fazla bilgiye ihtiyacınız olursa memnuniyetle sağlarım. Saygılarımla,
Bart
Yayın Kadrosu
Ne tür bir barındırma kullanıyorsunuz? cPanel web barındırıcınız var mı? htpswd dosyasını oluşturmak için cPanel yöntemini denediniz mi?
Ne olduğunu anlamak gerçekten zor çünkü sitemizde yaptığımız şeyin aynısını yazdık.
Yönetici
zimbrul
Size bir soru sormak istiyorum: Yöneticinin klasörü şifre korumalı olup da blogunuzda okuduğunuz HER gönderi için kimlik doğrulama istenmesi hiç başınıza geldi mi? Bu bloglarımdan birinde oluyor. Yöneticinin girişini Google Authenticator veya benzeri bir şeyle korumak daha iyi olmaz mı diye merak ediyordum...
Yayın Kadrosu
Her seferinde kimlik doğrulaması isteniyorsa, şunlardan biri oluyor:
1. .htaccess bilgisini /wp-admin/ klasöründeki .htaccess dosyasına değil, ana .htaccess dosyanıza yapıştırdınız.
2. admin-ajax.php dosyası ön uçta yükleniyor. Bunun şifre korumalı olmasını önlemek için kural eklemeniz gerekir. Bunun düzeltmesini belirttik.
Son olarak, evet, yönetici panelimiz için 3 katmanlı korumamız var. IP eşleşmesi (eşleşmezse, .htaccess şifresi), ardından Google Authenticator. Giriş denemelerini sınırlama da aktif durumda.
Sucuri diğer saldırıları engelleme konusunda da oldukça iyi bir iş çıkarıyor.
Yönetici
Anish K.S
bu yöntemi denedim ama "Hata 310 (net::ERR_TOO_MANY_REDIRECTS): Çok fazla yönlendirme vardı." hatası alıyorum.
Bunu nasıl düzeltebilirim???
Yayın Kadrosu
Makalede bununla ilgili bir bölüm var. Bu sorunu çözmedi mi?
Yönetici
Anish K.S
Evet, düzelttim. Eğitim için teşekkürler.
Mathieu Slaedts
Merhaba.
Bu korumayı uygulamaya çalışıyorum. İki çözümü de denedim (manuel ve ana bilgisayarımın yönetici panelinden). Her iki durumda da .htacess wp-admin klasöründe, ancak açılır pencere her sayfada görünüyor.
Bunun nereden geldiğine dair bir fikriniz var mı?
Teşekkürler
Yayın Kadrosu
Bu olası olmayan bir davranış. Belirli durumu incelemeden neden böyle davrandığını söyleyemeyiz. Bu öğreticiyi yazdığı gibi takip ederek çalıştırabilmeniz gerektiğini biliyoruz. WPBeginner'da çalıştırıyoruz.
Yönetici
Ollie
WordPress web sitemdeki neredeyse her sayfada açılır pencerenin görünmesiyle aynı sorunu yaşadım.
Görünüşe göre, göründüğü sayfalarda, bir wp-admin kaynağı, bu durumda bir eklentiden bir şey çekiliyordu ve bu da açılır pencereyi tetiklemiş gibi görünüyor. O zamandan beri eklentiyi devre dışı bıraktım ve parola açılır penceresi artık o sayfalarda görünmüyor.
Kaynağı açar ve açılır pencereye neyin neden olduğunu görmek için wp-admin'i arardım.
Yayın Kadrosu
En sık yüklenen dosya admin-ajax.php'dir ve bunu zaten ele aldık. Bir eklenti başka bir dosya yüklüyorsa, o zaman evet, bunu hesaba katmanız gerekir.
aditya
Söylediğin gibi takip ettim.
wp-admin dizinimi korudum ve giriş için çalışıyor ancak site içinde gezinirken aynı açılır pencere sürekli çıkıyor ????
Yayın Kadrosu
Bu, kodun yanlış .htaccess dosyasında olduğu anlamına gelir. /wp-admin/ klasörünüzde yepyeni bir .htaccess dosyası oluşturmanız gerekir. Kodun ana .htaccess dosyanıza yapıştırdığınız anlaşılıyor.
Yönetici
20Music
Merhaba,
Sitenizdeki öneriyi takip ettim. wp-admin klasörü için cpanel'den şifre oluşturdum ve bu admin giriş sayfası için iyi çalıştı ancak sitedeki tıkladığım her bağlantıda kimlik bilgisi isteyen bir açılır pencere belirdi. İptal'e tıkladığımda her şey yolunda.
Bununla ilgili sorunun ne olduğunu biliyor musunuz?
Ana .htaccess dosyasına da ErrorDocument 401 default'u ekledim.
Teşekkürler
Yayın Kadrosu
Şifre koruma işleminin wp-admin klasörünüzdeki ayrı bir .htaccess dosyasında olduğunu doğrulayabilir misiniz?
Yönetici
Brad LeBlanc
Bunu denedim ve sadece bir 404 hatası (çok fazla http yönlendirmesi) aldım, pencere yok.
Ve parolayı devre dışı bırakana kadar her şeyden engellendim. Ne oluyor?
Yayın Kadrosu
Makalede bahsettiğimiz 404 hatasını düzelten .htaccess hilesini yaptınız mı?
Andrew
wpbeginner'daki harika yardım için teşekkürler!
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
Yayın Kadrosu
Ayarlar > Kalıcı Bağlantılar'a gidin. Sadece kaydet'e tıklayın ve umarım bu sorunu çözecektir.
Yönetici
vic
the permalink refresh worked! thanks, you saved me from many headaches..!
Tomy
Gerçekten faydalı bilgiler teşekkürler, görünüşe göre bir ihlal yaşamışım, Wordpress kurulumuma 3 dosya eklenmiş. Biri wp-admin'e, biri wp-admin/images'e ve biri wp-includes'e.
Hepsi php dosyasıydı. Birinde base 64 ile kodlanmış saçmalıklar vardı.
wp-admin'de htaccess'i kuracağım ve giriş denemelerini sınırlama eklentisi güzel bilgiler sağlıyor gibi görünüyor.
Oh, yüklememe eklenen dosyaları fark edebildim çünkü Wordpress dosya izleme eklentisi beni uyardı.
Mao Shan
Merhaba,
İnternette wp-admin klasörünü güvence altına alma konusunda bulduğum öneriyi takip ettim. Klasörü şifre ile korumak için bir .htacess oluşturdum. Ancak uyguladıktan sonra, web sitesindeki tıkladığım her bağlantıda kimlik bilgileri isteyen bir açılır pencere görünüyor. İptal'e tıkladığımda her şey yolunda. Bununla ilgili sorunun ne olduğunu biliyor musunuz? wp-admin klasörümü güvence altına almak istiyorum ama tüm sayfalarda/bağlantılarda açılır pencere istemiyorum. Şu anda yalnızca Mayashop teması ve woocommerce eklentisi kullanıyorum.
Teşekkürler
Below is my sample of .htacess
Sipariş izin ver,reddet
Herkes için izin ver
Herhangi birini tatmin et
Sipariş izin ver,reddet
Herkes için izin ver
Herhangi birini tatmin et
Sipariş izin ver,reddet
Herkes için izin ver
Herhangi birini tatmin et
AuthType Basic AuthName “Yalnızca Yönetici” AuthUserFile “(benimurl)/.htpasswds/public_html/wp-admin/passwd” require valid-user
Yayın Kadrosu
Eğer .htaccess dosyanız /wp-admin/ dizinindeyse, bu olmamalıdır. WordPress yönetici varlıklarını ön uçta yüklüyor olmadığınız sürece.
Yönetici
Mao Shan
Evet, .htaccess dosyası wp-admin klasöründe. Temayı twentyeleven'a geri değiştirdim ve her şey yolunda çalışıyor. Sadece diğer temada, yetkilendirme gerekli tüm sayfalarda/bağlantılarda beliriyor.
Aşağıdaki satırı ekledim ve her şey yolunda görünüyor ancak url/wp-admin'e gittiğimde, 310 Hatası (net::ERR_TOO_MANY_REDIRECTS): Çok fazla yönlendirme vardı. Bunun nedeni nedir?
Dosyalar ~ "\\.(php)$"
Sıralama izin ver, reddet
Herkesten izin ver
Herhangi birini tatmin et
Dosyalar
Yayın Kadrosu
Makalenin bu hatadan özellikle bahseden kısmını okudunuz mu?
Mao Shan
Merhaba, temiz bir wordpress kurulumundan sonra çözmeyi başardım. sorun şu ki, şimdi iletişim formu oluşturamıyorum çünkü bana 404 hatasına yönlendirecek ve xcloner eklentisini etkinleştirdiğimde de 404 hatasına yönlendiriyor.
Herhangi bir yardım?
Sudeep Acharya
wp-admin'i şifre ile korudum. Ancak buna rağmen biri bloguma kaba kuvvet saldırısı yapabiliyor. Bunun olası nedeni ne olabilir?
Yayın Kadrosu
wp-admin'inize kaba kuvvet uygulayıp giriş yaptıklarını nereden biliyorsunuz? Bu gerçekten şüpheli görünüyor. Genellikle bu olduğunda, kullanıcının bir arka kapısı vardır.
Yönetici
Sudeep Acharya
Çok fazla yönlendirme döngüsü yaşadım ve sadece bu kodu ekledim
ErrorDocument 401 default
.httaccess dosyasında sorunu çözdü.
Ahsan
Lütfen bu satırı nereye koyacağımı söyleyin…
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
Cpanel kullanıyorum ve nasıl kurulması gerektiğini inceledim ve yaptım, ayrıca kullanıcı adı ve parolayı da.
Ancak, saatlerce süren hayal kırıklığından sonra öğrendiğim şey, ana .htaccess dosyasının şunların eklenmiş olması gerektiğidir: ErrorDocument 401 default
If you add that only to the main .htaccess file it all works. at top before the begin wordpress your world will be much more relaxed. Thats after you set protect directory in cpanel
Teşekkürler, sayfanızı biraz ayarlayarak kullandım ve harika çalışıyor.
damian
O kadar cesaretim kırılıyor ki. Sitem yayına alındıktan sadece 2 gün sonra hacklendi! Siteyi korumak için atılması gereken adımların sayısı bunaltıcı ve yine de içeri girebiliyorlar...
Ve her “yetkili” farklı bir görüşe, yaklaşıma veya favori eklentilere sahip gibi görünüyor… kafam dönüyor… hacklenmemi önlemek için atılacak adımların temel numaralı bir dökümünü verebilir misiniz… cpanel, wp arka ucu ve yardımcı olacağını düşündüğünüz diğer her şeyi dahil… ve umarım A+ sertifikası gerektirmeyen adımlar… teşekkürler dostum!
Yayın Kadrosu
Yaşadığınız deneyim için gerçekten özür dileriz. Şu andan itibaren konuşursak, WordPress çekirdeğinde bilinen herhangi bir güvenlik sorunu bulunmamaktadır. Bu nedenle, WordPress'in en güncel sürümünü kullanıyorsanız, bu iyi bir şeydir. Genellikle güvenlik sorunları kötü kodlanmış eklenti ve temalarla ilgilidir. Sitenizi güvence altına almadan önce temizlemeniz gerekir. Bazen şifrelerinizi değiştirmek ve tüm bu önlemleri eklemek yeterli değildir. Çünkü bilgisayar korsanları sunucunuza kabuk erişimi sağlayan arka kapı erişim dosyaları bırakabilirler. Sucuri'yi kullanmaya başlamanızı ve düzenli yedeklemeler almanızı şiddetle tavsiye ederiz.
https://www.wpbeginner.com/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
Eklentilerinizi ve çekirdek dosyalarınızı her zaman güncel tuttuğunuzdan emin olun. Güvenilmeyen kaynaklardan eklenti/tema kullanmayın. WordPress, günümüzün Windows'u haline geldi. Çok sayıda site kullandığı için bilgisayar korsanları, eklentilerdeki, temalardaki vb. güvenlik açıklarını bulmak için motive oluyor.
We will work on creating a comprehensive tutorial on security.
Yönetici
bob
Sitemdeki wp-admin'i şifre ile korudum ancak yine de lilmit giriş eklentisinden hesap kilitleme bildirimleri alıyordum. Bu nasıl olabilirdi?
Sonra fark ettim ki eğer /wp-login.php? şeklinde yazıp iptal edersem giriş sayfasına ulaşabiliyorum. Offf. Bilmediğim başka ne gibi çözüm yolları olduğunu merak etmeme neden oluyor.
Yayın Kadrosu
Bu hileyi de eklemeyi düşünmelisiniz.
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
Yönetici
Peter
HOSTGATOR'DAN ÇÖZÜM
Anlaşılan o ki, bir güvenlik eklentisi hesabınız için wp-admin/ içindeki .htaccess dosyasına bir yeniden yazma eklemiş. Bu, sitenin kendi kendine yönlendirilmesine neden olarak bir yönlendirme döngüsüne yol açıyordu.
.htaccess dosyasındaki sorunu düzelttim ve wp-admin giriş sayfanız şu anda doğru yükleniyor.
Başka sorularınız veya endişeleriniz olursa lütfen bize bildirin.
Saygılarımla,
Preston M.
Linux Sistem Yöneticisi
HostGator.com LLC
Peter
Hostgator'dan bir teknisyen 404 hatası sorunu üzerinde yarım saat çalıştı. Çözemedi.
public_html/.htaccess'teki tüm yeniden yazma kurallarını bile kaldırdı.
Peter
Hala “Çok fazla yönlendirme” hatası alıyorum
Sayfa düzgün yönlendirilmiyor
Firefox, sunucunun bu adrese yapılan isteği asla tamamlanmayacak bir şekilde yönlendirdiğini tespit etti.
Bu sorun bazen çerezleri devre dışı bırakmaktan veya kabul etmeyi reddetmekten kaynaklanabilir.
AMA şunları ekledim:
“Redirect 301 /tag/tax/ http://snbchf.com/tag/taxes/
Redirect 301 /tag/interest-rate/ http://snbchf.com/tag/academical/
Redirect 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Redirect 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
public_html dizinindeki .htaccess dosyamıma.
(Ayrıca "ErrorDocument 401 default" ifadesini en başa koymayı denedim)
Ankur
wp-admin dizinini korumak için harika bir yol. Uzun zamandır kullanıyordum ama commentluv'u kurduğumda, düzgün çalışamadığı için kaldırmak zorunda kaldım.
Bunun için bir çözüm yolu biliyor musunuz?
Yayın Kadrosu
Just updated the article. Try that
Yönetici
Ankur
Thanks, commentluv now works fine
mindctrl
Bilginize, bu durumun ajax kullanan ön uç eklentilerini wp-admin/admin-ajax.php'yi çağırarak bozduğunu gördüm.
Yayın Kadrosu
Evet, bu doğru. Bu çağrıyı yapan herhangi bir eklenti kullanmıyorduk. Ancak, .htaccess dosyasında bu dosya için bir istisna ekleyebilirsiniz.
Yönetici
Martin
cpanel'in ne yaptığından emin değilim ama basit bir htpasswd eklemek size aynı sonucu verecektir.
Yayın Kadrosu
Pekala, bir htpasswd ekleyebilirsiniz. Ancak dizini kilitlediğinizi belirtmek için wp-admin dizininde bir .htaccess kuralı oluşturmanız da gerekecektir. Ardından izin verilen kullanıcıyı veya kullanıcı grubunu belirtmeniz gerekir vb. Bu aslında süreci basitleştirmemize yardımcı olur.
Yönetici
zimbrul
The above tutorial is in fact adding security with .htpassword and .htaccess via a user friendly interface in cPanel. After you’ve done the above you’ll notice a .httpassword file has been generated outside your server root (for security reasons) and within the file you’ll find the info you’ve enered as per this tutorial.
Howard
Kurulumdan sonraki ilk giriş yaptığımda, her WP sitemde, formülle oluşturduğum bir isme sahip başka bir yönetici hesabı oluştururum ve çok güçlü, bilgisayar tarafından oluşturulmuş bir parola belirlerim. Ardından oturumu kapatır ve alternatif yönetici hesabına giriş yaparım, standart yönetici kullanıcı adını “bu site için rol yok” olarak değiştirir ve en az 35 karakter uzunluğunda bilgisayar tarafından oluşturulmuş bir parola belirlerim. Bu parolayı hiçbir yere kaydetmekle uğraşmam. Artık sadece bir yemdir.
Ardından "giriş denemelerini sınırla" eklentisini yükledim. Bu tetiklendiğinde, IP adresini .htaccess'teki yasaklama listeme eklerim, böylece o IP'nin siteme ulaşamayacağından emin olurum.
I trap 3 or 4 attempts to break into admin every week.
Yayın Kadrosu
Evet, biz de bunu yaşadık. Saldırıların IP'leri sektirdiği bir nokta var. Çok geniş bir IP aralığını engellemek yeterli bir seçenek değil. Girişi IP ile de kısıtlamıştık ancak bu da işe yaramadı.
Yönetici
Howard
"Giriş denemelerini sınırla" eklentisi oldukça iyi. 4 başarısız denemeden sonra 100 saat boyunca kapatılacak şekilde ayarladım, 4. kilitleme ise 4000 saat için. Yani, saldırgan IP adreslerini dinamik olarak değiştirebilse bile, her dört denemede bir bunu yapmak zorunda kalacak. Ve gerçekten uzun rastgele bir parola ile bu birkaç yüzyıl sürecektir ve muhtemelen erişebileceğinden daha fazla IP adresi gerektirecektir.
In the highly unlikely case they crack my “admin” it won’t do them any good anyway. Any time I notice that the scumbag has actually figured out what my real admin name is (only happened once so far), I immediately create a new one, and set the old one to “no role for this site” with a really long randomly-generated password. There are a few other details (e.g., first, I have to change the email address before it will let me create the new admin account with my email), but that pretty much did the trick on that one.
Bunun kusursuz olup olmadığını gerçekten bilmiyorum ama pisliklerin çok fazla iş olduğunu düşünüp daha zayıf bir siteye saldırmayı seçeceklerini umuyorum.
zimbrul
” Any time I notice that the scumbag has actually figured out what my real admin name is…” can I ask you how did you figure that?
Howard
@zimbrul Elbette.
The limit login attempts plugin tells me which user name is under attack. Usually, it’s “admin” but there was one occasion where I saw my real admin account’s name. So I created a new admin account, and left the old one there, but gutted of any access, and with a ridiculously long password.
Saldırganın yönetici hesabını nasıl bulduğundan emin değilim, çünkü ona gönderilerde görünen ilgisiz bir "takma ad" atamıştım. Tahminimce sunucuda hacker tarafından en azından kısmen okunabilen bir dosya var ve muhtemelen bunu araştırmam gerekiyor.
Yayın Kadrosu
Giriş adını bulmak oldukça kolay. Kişinin tek yapması gereken, yazar URL'nize bakarak kullanıcı adınızı bilmektir. Örneğin bu:
https://www.wpbeginner.com/author/wpbeginner/
Kullanıcı adı “wpbeginner” olacaktır. Çoğu site için durum böyledir, tabii ki bu teknikte gösterildiği gibi kullanıcı adını değiştirmedilerse:
https://www.wpbeginner.com/wp-tutorials/how-to-change-your-wordpress-username/
Bu şekilde yaparsanız, kullanıcı adınız değişir ancak yazar URL'niz değişmez.
zimbrul
Howard, bu ilginç bir nokta; bunu uygulamaya çalışacağım.
Ayrıca 404 hataları veya çok fazla yönlendirme ile ilgili sorunlarım vardı ve çözümünü bilmiyordum, bunun için teşekkürler!
Nedense, wp-admin klasöründeki .htaccess'te IP adresini engellemek benim sitem zimbrul.co.uk için çalışmıyor! Siteme mobil telefonumdan 3G üzerinden erişmeye çalıştım ve tek izin verilen IP ev IP'si olmasına rağmen erişebildim.
Yayın Kadrosu
Yeah, this is why it helps to have double authentication like this.
Yönetici