Bu tür bir uyarı, sitenize yönelik bir brute-force saldırısı (şifre deneme saldırısı) olabileceğini gösterir. Ciddiye almanız gerekir çünkü başarılı olurlarsa sitenizi ele geçirebilirler. Aşağıdaki adımları uygulayarak sitenizi güvenceye alabilirsiniz:
🔐 1. Güçlü Şifreler Kullanın
- Tüm kullanıcılar, özellikle yönetici hesapları, karmaşık ve uzun şifreler kullanmalı.
- Şifreleri düzenli olarak değiştirin.
🚫 2. Hatalı Giriş Denemelerini Sınırlayın
- WordPress kullanıyorsanız örneğin:
- Limit Login Attempts Reloaded
- Wordfence
- iThemes Security gibi eklentilerle belirli sayıda başarısız girişten sonra IP’yi geçici olarak engelleyebilirsiniz.
🔍 3. İzleme ve Log Kayıtları
- Sunucu veya uygulama loglarını kontrol ederek:
- Hangi IP’lerden geliyor?
- Hangi kullanıcı adları deneniyor?
- Saldırı kaynağını anlayabilirsiniz.
🌍 4. IP Engelleme / Firewall Kullanımı
- Çok sayıda başarısız deneme yapan IP’leri manuel veya otomatik olarak engelleyin.
- Cloudflare gibi bir servis kullanıyorsanız, “Security > Events” kısmında saldırgan IP’leri görebilir ve engelleyebilirsiniz.
🔧 5. Admin Giriş Sayfasını Gizleyin
- Özellikle WordPress kullanıyorsanız,
/wp-login.php
yolunu gizlemek veya değiştirmek işe yarar.
- “WPS Hide Login” eklentisi gibi araçlarla bu yapılabilir.
✅ 6. İki Faktörlü Kimlik Doğrulama (2FA) Ekleyin
- Admin girişlerine 2FA eklemek güvenliği ciddi oranda artırır.
- Google Authenticator veya Authy gibi uygulamalarla uyumlu 2FA eklentileri kullanabilirsiniz.
📬 7. Bildirimleri Açık Tutun
- Böyle saldırıları anında fark etmek için güvenlik eklentilerinden anlık e-posta bildirimlerini aktif tutun.
“Logları nerden kontrol edebilir ve ip’lerini engelleyebilrim.” diyorsan, demin bahsettiğimiz tüm güvenlik önlemlerini sırasıyla nasıl alacağımızı şimdi anlatacağım.
🔎 1. Log’ları Nereden Kontrol Edebilirim?
➤ Hosting panelin üzerinden:
- cPanel, Plesk veya benzeri bir panel kullanıyorsan:
- Raw Access Logs veya Metrics > Errors gibi bölümlerden Apache/Nginx loglarına ulaşabilirsin.
- Dosya adı genelde:
access.log
veya error.log
➤ WordPress logları (eğer açık ise):
wp-config.php
dosyasına şu satırı ekle:
php
define('WP_DEBUG', true);define('WP_DEBUG_LOG', true);
Sonrasında loglar wp-content/debug.log
içinde olur. Giriş denemeleri doğrudan burada yer almayabilir ama eklenti kaynaklı hatalar/loglar olabilir.
➤ Limit Login Attempts Reloaded logları:
- Eklenti panelinde Logs veya Locked IPs sekmesi varsa oradan bakabilirsin.
- Genelde engellenen IP’ler listelenir.
🚫 2. IP Adreslerini Engelleme Yöntemleri
➤ 1. WordPress Üzerinden
- Eğer engellenen IP’leri gördüysen, Wordfence Security gibi ek bir güvenlik eklentisi kurarak bu IP’leri kolayca bloklayabilirsin.
- Alternatif olarak
.htaccess
ile doğrudan engelleyebilirsin:
apache
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REMOTE_ADDR} ^123\.456\.789\.000$ [OR]
RewriteCond %{REMOTE_ADDR} ^111\.222\.333\.444$
RewriteRule ^(.*)$ - [F,L]
</IfModule>
Not: Yukarıdaki IP’leri kendi loglarındaki zararlı IP’lerle değiştir.
➤ 2. Cloudflare üzerinden (en etkili yöntem)
- Cloudflare paneline gir > Security > Events
- Şüpheli IP’leri tespit et
- Aynı sekmede “Block” diyerek kalıcı engelleme yapabilirsin
- Ayrıca bir Firewall Rule oluşturabilirsin:
- Kural:
Failed Login attempts > X
ise → IP’yi blokla ya da CAPTCHA’ya zorla.
🔄 3. Giriş ekranımda CAPTCHA varken nasıl saldırırlar?
Evet, CAPTCHA varsa bile saldırı olabilir:
- Gerçek kullanıcılar gibi davranan gelişmiş botlar (headless browser kullanımı)
- CAPTCHA’yı otomatik çözen servisler (captcha-solving API’leri)
- Sahte form gönderimleri (örneğin doğrudan
POST
isteğiyle CAPTCHA’yı bypass etmeye çalışma)
- Veya CAPTCHA sadece ön yüzde çalışıyorsa, doğrudan
/wp-login.php
gibi endpointlere POST istek gönderiliyor olabilir
✅ Önerimiz: Giriş Sayfanızı Yeniden Adlandırın
Sonraki adım olarak:
/wp-login.php
adresini değiştirmeniz önerilir. (örneğin /login ya da /panel
gibi).
- Bunun için: WPS Hide Login gibi bir eklenti kullanabilirsin.
- Botlar genellikle sadece varsayılan giriş adreslerini hedef alır.
Ayrıca güvenlik önlemleri!
🚨 xmlrpc.php
’yi devre dışı bırak
Bu dosya çoğu modern WordPress kurulumu için artık gerekli değil (Jetpack gibi eklentiler ya da bazı mobil uygulamalar dışında). Aşağıdaki yöntemlerden biriyle devre dışı bırakabilirsin:
🔧 Yöntem 1: .htaccess
ile engelleme (en sağlamı)
.htaccess
dosyana şunu ekle:
apache<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Bu, tüm dış erişimleri tamamen engeller.
🔧 Yöntem 2: Eklenti ile devre dışı bırak
- Disable XML-RPC ya da Stop XML-RPC Attack gibi bir eklenti kullanabilirsin.
Jetpack, bazı mobil uygulamalar veya sistemler kullanıyorsan öncesinde bu servislerin xmlrpc’ye ihtiyacı olup olmadığını kontrol et.
🚫 IP’leri Cloudflare’dan Engelleme
Sürekli saldırı yapan IP’leri Cloudflare > Security > Events sayfasında bulup “Block” diyebilirsin.
Ayrıca istersen bir firewall kuralı tanımlayıp topluca engelleyebilirsin:
🔒 Cloudflare’da Basit Bir Kural Örneği:
- Git: Security > WAF > Tools veya Firewall Rules
- Yeni bir kural oluştur:
- Field: IP Address → equals →
IP
- Aşağıdakiler gibi IP’leri tek tek ekleyebilirsin:
31.172.67.59
103.191.76.181
138.255.103.114
167.86.74.244
- …
- Action: Block
Profesyonel yardım almak isterseniz bizimle iletişime geçebilirsiniz.
🔄 Giriş Adresini Değiştirme (wp-login yerine özel URL)
🔧 Eklenti Önerisi: WPS Hide Login
- 🔹 Kolay kullanımlı, güvenilir ve popüler.
- 🔹 Gerçek anlamda
wp-login.php
veya wp-admin
adreslerini gizler.
- 🔒 Botlar bu adreslere erişemez, 404 alır.
📌 Nasıl Kullanılır?
- WordPress yönetici paneline git → Eklentiler > Yeni Ekle.
- “WPS Hide Login” diye arat.
- Kur ve etkinleştir.
- Ayarlar > Genel kısmında en altta giriş adresini belirleyebileceğin bir kutu çıkacak.
- Örnek:
giris-sayfam
, gizliadmin
, oturumac
gibi.
- Değişiklikleri kaydet, yeni URL’yi bir yere not etmeyi unutma!
🔐 İki Faktörlü Doğrulama (2FA)
🔐 Şimdi 2FA Kurulumuna Geçelim
Kullanacağımız eklenti: WP 2FA – Two-factor authentication for WordPress
📲 Gerekli: Telefonuna aşağıdaki uygulamalardan biri yüklü mü?
Eğer yüklü değilse, önerim Google Authenticator ile başlaman olur.
🔧 WP 2FA Kurulumu (Adım Adım)
- WordPress paneline git → Eklentiler > Yeni Ekle
- “WP 2FA” yaz, geliştirici: WP White Security (Eklentiyi bulamıyorsanız tıklayın.)
- Yükle ve Etkinleştir
- Eklentiyi etkinleştirince seni bir kurulum sihirbazı karşılayacak.
- “Kurulumu Başlat” tıkla
- ✅ Only for specific users and roles
Sadece yönetici gibi kritik rollere zorunlu kılmak istersen bunu seç.
🛠 Örnek:
Sadece “administrator” rolü 2FA zorunlu olur
Diğer roller (örneğin sadece yorum yapan kullanıcılar) etkilenmez.
- 2FA yöntemini seç:
- Zaman bazlı tek kullanımlık kodlar (TOTP) seç
- Sana bir QR kod gösterilecek.
- Telefonundaki uygulamayla tarat.
- Gelen 6 haneli kodu gir.
- Yedek kodları kaydet (şifre kaybetme durumunda işe yarar)
- Kurulum tamam!
🔁 Bonus Güvenlik Önerisi:
Eğer Wordfence kullanıyorsan, hem 2FA hem de giriş adresi koruması ekstra olarak gelir — ama yukarıdaki eklentilerle daha sade ve hafif bir çözüm olur.
Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. İçeriklerimiz ile ilgileniyorsanız bizimle iletişime geçin.
Ayrıca bizi sosyal medyada da takip edebilirsiniz;
Instagram, Facebook, X, LinkedIn
Bir yanıt yazın