Anahtarını uygulayın & amp;2021’de WordPress Güvenlik Tuzu (ve Kendinizi Üretiyor)
Aralık 2017’de WordFence, 1,4 milyar WordPress giriş kimlik bilgilerinin çalındığını ve kısa bir süre sonra kaba kuvvet saldırısının büyük bir kampanyası gerçekleştiğini bildirdi. Uygun bir kullanıcı adı ve parola bu kadar kolay kullanılabilir hale getirildiğinde, bilgisayar korsanlarının WordPress kullanıcılarına karşı saldırıdan sonra saldırı başlatma vesilesiyle – saatte 14,1 milyon saldırıdan sonra saldırı başlatması şaşırtıcı değildir.
Tabii ki, o zaman WordPress yöneticisi savunma moduna girer ve tüm kullanıcıların şifrelerini sıfırlamasını ve değiştirmesini gerektirir. Ama bu yeterli mi? Hackerlar, çatlak bir veritabanından bilgileri açıklayabilirse, katı şifre uygulaması bile önemli midir? İki faktörün kimlik doğrulaması ne olacak? Yardımcı mı var?CMS’deki kullanıcı şifrelerini yönetirken tüm bunları yapmanızı söyleyerek her iyi WordPress güvenlik blogu, kaba kuvvet saldırılarını yürütülmesini zorlaştırırlar. Bununla birlikte, bahsetmedikleri bir şey, dikkatinizi hemen WordPress güvenlik anahtarına dikkat etmeniz gerektiğidir – ve bu, Sitenizdeki güvenlik protokolünün ilk uygulaması ve büyük güvenlik ihlalleri hakkındaki haberlerden sonra ilgilidir.
WP Buffs’taki ekibimiz, web sitesi sahiplerinin, ajans ortaklarının ve serbest çalışan ortaklarının güvenlik ve tuz anahtarlarını uygulamalarına yardımcı olur. 1 web sitesini yönetmemize veya 1000 istemci sitesini desteklememize ihtiyacınız var mı, sizi destekliyoruz.
Aşağıdaki yönergeler, WordPress güvenlik anahtarları hakkında bilmeniz gereken her şeyi içerecektir, siteniz için yeni tuz üretir ve her şeyi birkaç kolay adımda nasıl yapılandıracağınızdır.
WordPress Güvenlik Anahtarları hakkında bilmeniz gereken her şey, WordPress kullanıcılarınızı güvenli şifre uygulamasına yönlendirmek için yapabileceğiniz çok şeydir. Güçlü bir şifreye ihtiyacınız var ve iki faktör kimlik doğrulaması uygulayın. 90 gün sonra şifrelerini değiştirmelerini bile hatırlatıyorsunuz. Ancak Yapılandırma ve Güvenlik Kimlik Bilgileri Giriş Kullanıcılarınızın elinde oturum açma yeterli değildir. Bu yüzden WordPress bir WordPress Güvenlik Anahtarı Seti (Gizli Anahtar olarak da bilinir) geliştirdi. Bunun nasıl çalıştığını ve dikkatinizi neden hak ettiklerini anlamak için önce WordPress kullanıcı oturumunun nasıl çalıştığını görmeliyiz. WordPress Kullanıcı Oturumları ve Çerezleri Yeni WordPress kullanıcıları girdiğinde (bu arka uç ve yorumcular için geçerlidir), Çerezler oturumları hakkında bilgi depolar. Sürüm 2.4’te WordPress, iki bilgi depolamak için bir çerez yaptı: kullanıcı adı ve kullanıcınızın yaptığı çift şifre sürümü. Böylece, kullanıcı bilgileriniz, giriş işlemini kolaylaştırmak için gelecekte kullanım için de saklanırken şifrelenir. Sürüm 3.0’ı başlatan WordPress, iki farklı çerez yapar: biri giriş ekranı (WordPress_ [karma]) ve diğeri yönetici gösterge tablosu (wordpress_logged_in [hash]) için.
Codex tarafından açıklandığı gibi: WordPress, wp-login.php’nin şifre giriş bölümünü geçmek için iki çerez kullanır. WordPress, geçerli ve süresi dolmamış bir çereze sahip olduğunuzu kabul ederse, doğrudan WordPress yönetim arayüzüne gidersiniz. Bir kurabiyeniz yoksa veya çereziniz sona ererse veya başka şekillerde geçersiz olursa (bir nedenden dolayı manuel olarak düzenlediğiniz gibi), WordPress yeni bir çerez almak için tekrar giriş yapmanızı isteyecektir. Bu bilgiler WordPress veritabanınızda saklanır. WordPress Güvenlik Anahtarı ve Tuz Hashing Kullanıcı Şifresi Hashing, WordPress kullanıcı oturumu verilerini şifrelemenin/karşılaşmanın yoludur. Bu, MD5 adı verilen bir algoritma kullanılarak yapılır. Temel olarak, kullanıcınız tarafından yapılan kullanıcı adlarına ve şifrelerine ihtiyacınız vardır, ardından bir dizi numaranın ve uzun harflerin arkasına gizlenir ve anlaşılamaz, bu da karar verilmeyi zorlaştırır. WordPress güvenliğinin anahtarı olarak bilinen şey budur.
Codex tarafından kaydedildiği gibi: Basitçe söylemek gerekirse, gizli bir anahtar, güvenlik engellerinizi kırmak için yeterli seçenek üretmeyi zorlaştıran unsurlara sahip bir şifredir.’Parola’ veya ‘test’ gibi şifreler basit ve kolayca hasar görüyor.Sözlük kelimesini kullanmayan rastgele ve uzun şifreler, ’88A7da62429BA6AD3C76A09641FC’ gibi, kaba kuvvet saldırganlarının çözmesi için milyonlarca saat gerektirecektir.Tuz, ortaya çıkan verimin güvenliğini daha da arttırmak için kullanılır.WordPress güvenlik anahtarları ve tuzu wp-config.php dosyasında saklanır.Bu nedenle, WordPress’i kaba kuvvet saldırılarından korumak için güvenlik anahtarlarının kullanımı çok önemlidir.
Temel olarak, bilgisayar korsanlarını veritabanından veri oturum verilerini almaya zorladılar ve ardından WP-Config.php dosyasından bir WordPress güvenlik tuşu ile kodu kırmanın yollarını ararlar (eğer bulabilirlerse). #WordPress güvenlik tuşunu tuzla (diğer karakter dizeleri) birleştirerek şifreniz neredeyse hiç çözülmez. 2021’den başlayarak tweet için tıklayın, WordPress artık WP.Config dosyasında dört kimlik doğrulama anahtarını (güvenlik) ve dört karma tuzu otomatik olarak depolar. Bunun varsayılan kodu şuna benziyor: tanımlama (‘auth_key’, ‘uzun metin dizesi’); tanımlama (‘secure_auth_key’, ‘uzun metin dizesi’); tanımlama (‘logged_in_key’, ‘uzun metin dizesi’); Tanımlama (‘nonce_key’, ‘uzun metin dizesi’); Tanımlama (‘auth_salt’, ‘uzun metin dizesi’); tanımlama (‘Secure_auth_Salt’, ‘uzun metin dizesi’); tanımlama (‘logged_in_salt’, ‘uzun metin dizesi’); Defin (‘nonce_salt’, ‘uzun metin dizesi’); bu, kullanıcı oturumları ve verileri için gelişmiş güvenlik sağlamanın WordPress yoludur. Bu nedenle, WP-Config dosyasında varsayılan kodu bırakmamanız şiddetle tavsiye edilir. Bir sonraki bölümde, kendi WordPress anahtarınızı ve tuzunuzu nasıl yapabileceğiniz hakkında konuşacağız. Salt Anahtarı Jeneratörünüzle Güvenlik Anahtarı Nasıl Yapılandırılır WordPress Güvenlik Anahtarını oluşturmak veya güncellemek için iki seçeneğe sahiptir. Birincisi, wp-config.php dosyalarını rahat düzenlemenizi gerektiren manuel seçenektir. Veya isterseniz, sizin için yapmak için WordPress eklentisini kullanabilirsiniz.
WordPress Güvenlik Tuşunu yapılandırmak için manuel yöntem WordPress güvenlik tuşunu manuel olarak yapılandırmak zor değildir. Yalnızca bu şekilde almak istiyorsanız kodu düzenlemede rahat olmanız gerekir. Adım 1 Güvenlik anahtarlarını manuel olarak yapılandırırken yapmanız gereken ilk şey, bir WordPress tuzu anahtar jeneratörünü açmaktır. Gördüğünüz gibi, benzersiz WordPress güvenlik tuşları ve tuzla doldurulmadıkça, yukarıda yazdığım kodla aynıdır . (Açıkçası, kodu yukarıdaki örneğimden kullanmak istemezsiniz.) Yeni bir anahtar listesi almak için tarayıcı ekranınızı yenileyin.
Yeni anahtarınızı kopyalayın. Makinenizde hiçbir yerde tasarruf etmeyin. Adım 2 WordPress oturumunuzdan çıkın. Mümkünse, diğer WordPress kullanıcılarınıza aynı şeyi yapmasını tavsiye edin. Güvenlik anahtarı güncellemeleri yaptıkları işe zarar vermez, ancak kurabiyeleri derhal oturumlarından yok eder ve tekrar girmeye zorlar. Adım 3 Rezerv web sitesi yapın. Bu, kopyalanması ve yapıştırılması kolay olmalıdır, ancak işlemde bir hata oluşursa sitenizin korunmasını istersiniz. Adım 4 Kontrol paneli dosya yöneticinizi veya FTP’nizi girin. Ardından kök dizinindeki wp-config.php dosyasını arayın.
Dosyanın bir kopyasını oluşturun. Düzenlemek için dosyayı açın. Adım 5 “Kimlik Doğrulama Benzersiz Anahtarlar ve Tuzlar” adlı bir parçayı arayın. WordPress’in bu bölümü özel gizli tuzlar ve tuzla doldurduğunu göreceksiniz. Lütfen yeni tuz anahtar jeneratörü WordPress’i yapıştırın.
Değişikliklerinizi kaydedin ve dosyadan çıkın. Bir sonraki anınız ve kullanıcınız WordPress’i girmeye çalıştığınız an, giriş bilgilerinizi tekrar girmeniz istenecektir. Değiştirilecek bir şey yok, sadece güvenlik anahtarı ve yeni WordPress tuzu yeni bir oturum başlatmanızı gerektirecek. WordPress Güvenlik Anahtarlarını Yapılandırmak için Bir Eklenti Kullanma WP-Config dosyalarıyla uğraşmamayı tercih ederseniz sorun değil. Adınıza WordPress güvenlik anahtarlarını değiştirme işlemini otomatikleştirecek birkaç farklı eklenti vardır. Özellikle, işi doğru bir şekilde tamamlayacak üç WordPress eklentisi vardır: WP Yapılandırma Dosyası Düzenleyici, WordPress’te her zaman güncellemek istediğiniz tüm görevleri düşünüyor, ancak WP-Config.php dosyasını düzenlemekten çok korkuyor. Bu eklenti dosyalara bağlanır ve çoğu yeni başlayan WordPress kullanıcılarının bile yapmasına yardımcı olur. Bu, elbette, güvenlik anahtarlarınızı güncellemek de dahil olmak üzere. Ithemes GüvenliğiSon olarak, Ithemes Güvenlik (Pro) Premium eklentisi var. Ithemes bir dizi WP Buffs paketine dahil edilmiştir, bu da güvenlik ve tuz anahtarlarını uygulamak ve güncellemek için bu #1 yöntemini yapmanızın nedeni budur. WordPress’in temel güvenliğini ve tuzunu yapılandırmak için ipuçları basit bir şey, değil mi? Brute Force saldırılarını savuşturmak için WordPress girişini güçlendirmek. Ancak, WordPress güvenlik anahtarları ve tuz hakkında şimdi bildiklerinizi daha etkili bir şekilde kullanmanızı sağlamanın yolları var. İşte hatırlanması gereken bazı şeyler: Yeni bir WordPress sitesi başlattıktan hemen sonra, anahtar ve güvenlik tuzu WordPress’i değiştirin. Sitenizin saldırıya uğrama eğilimi varsa, tüm kullanıcıları şifrelerini değiştirmeye zorlamanın yanı sıra güvenlik anahtarlarınızı güncelleyin. WordPress kullanıcıları ekibinizden kaldırıldıktan veya siteye erişimden sonra güncellemek isteyebilirsiniz.Bu, en son kurabiyelerinin ve oturumlarının yok edilmesini sağlayacaktır. Asla kendi anahtarınızı yapmayın.WordPress’ten Tuz Anahtar Yapımcıları veya Eklentilerle Process Automation’ı kullanın.Çok daha kolay ve daha güvenli. İster manuel olarak yapmayı veya bir eklenti kullanmayı seçin, anahtarınızın sık sık değişeceği bir program yapın.Güvenlik anahtarları, girişin hacklenmesinin çok zor olmasının nedeni olsa da, düzenli olarak güncellemeye devam etmek için daha da etkili olmasına rağmen.
