“WordPress .htaccess ile Wp-login.php ‘yi Şifreleyelim.” üzerine 54 yorum

  1. Bu kadar ek güvenlik gerekli değil diye düşünüyorum. Hani çok büyük kitlelere hitap eden, günlük 10k ve üzeri kullanıcı çekebilen sitem olsa uygulardım 🙂

    Yanıtla
  2. Yeni bir blog sitem var, hemde çok güzel çok severek uğraşıyorum ama güvenlik ayarlarını yapamadım ne kadar uğraşsamda 🙁 .. yazılarını beğenerek takip ediyoz. Bilgiler saol ama işte olmadı bi türlü 🙁

    Yanıtla
  3. Bu hackerlerin allah belasını versin demek geliyor içimden. ne yaptıysam olmuyor 🙁 herseferinde yine hack yiyorum. wp güzel ama her sürümünde açık oluyor.. en sonunda yine dayanamayıp düz .html’ye geçeceğim sanırım..
    bilgi için tşkler

    Yanıtla
  4. Merhaba Teakolik..
    Bugün e-postamı kontrol ettiğimde e-posta adresime şifre değişikliği talebi linkleri gelmiş. Linklere tıklamadım bir sorun olacağını hissettim. Şuan 2.8.4 versiyonunu kullanıyorum bu vesiyonda bir açık var mı?.. Vermiş olduğunuz ayarları yapmaya kalkarsam mutlak bir yerde hata yapıp siteyi çökertirim. Bilgi ve yardımların için şimdiden çok teşekkür ederim

    Yanıtla
  5. @Batuhan
    Şuan bildirilmiş bir açık yok. Fakat yinede anlattığım şekilde kendini güvene alabilirsin. Ne olur ne olmaz…

    Bu arada olmadı diyen arkadaşlar Gtalk üzerinden destek verebilirim. Aslında olmadı diye bişi yok. Kesinlikle oluyor. Dikkatlice tekrar deneyiniz. Mutlaka bir yerlerde yanlış yapıyorsunuz.

    Yanıtla
  6. Bilgi ve desteğin için teşekkür ederim. Hafta sonu izne çıkıyorum o zaman daha rahat ve sakin kafayla yaparım.. Çok sağol

    Yanıtla
  7. Bazı hosting firmaları dosya bazlı şifrelemeye izin vermiyor. htaccess ile sadece klasör şifrelenebiliyor. Olmadı diyen arkadaşlar hosting firmalarından bilgi alabilirler.

    Yanıtla
  8. Aslında .htpasswd dosyasını tarayıcıyla girilemeyen bir dizine koymaktan başka, buna yine bir .htaccess ile girişi engelleyebilir ve/veya ismini değiştirebiliriz. Bir de ben sadece wp-login.php dosyasına değil de, wp-admin dizininin tümüne engel koyuyorum, her ne kadar oturum açmayan biri wp-login.php’ye yönleniyor dahi olsa.

    Güzel yazı. Ayrıca burada bu yöntemle yapmak istemeyenler, mümkünse bir de hosting yönetim panellerinin dizin şifreleme özelliği olup olmadığına baksın. O sizin yerinize yapacaktır.

    İyi günler…

    Yanıtla
  9. arkadaşlar bu ne işe yarıyor. ben siteme üye kabul etmiyorum ama bunu yaparsam üyeliklere giriş dahamı güvenli olur.

    Yanıtla
  10. merhaba.konuyu tekrar gündeme getireceğim ama sitem hacklendi.şimdi kullanıcı adı ve şifre değiştirdim ve sitelerde gezerken bu güvenlik önlemi dikkatimi çekti. Sorum şu olacaktı : bende /.htpasswds/ diye bi klasör var. bu oluşturduğum şifreyi bu klasörün içine txt dosyası olarak mı atcam yoksa php dosyası olarak mı.ya da ben cok yanlış anladım 🙂 bi de bende .htacsess dosyası hiç yok nasıl oluştutulur yönlendirme yaparsanız sevinirim…

    Yanıtla
  11. @Gökhan
    Merhaba ;

    AuthUserFile /home/teakolik.com/.htpasswd # Şifremizin bulunduğu dosya yolunu belirttik

    satırında belirttiğim gibi şifreyi koyduğunuz dosyanın adı: .htpasswd olacaktır.

    Yanıtla
  12. özür dilerim ama son bir sorum olacak.girişte yeni bir şifre ekranı geldi.şifrem o sitede oluşturduğum site herhalde.peki kullanıcı adım ne? bi türlü giremedim wp-admine? eğer apache şifresi ise onu nereden öğrenebilirim?

    Yanıtla
  13. @Gökhan
    Dikkatle yazımı okursanız;

    teakolik:asasdas324235235sdfasdf

    gibi bir şifreleme örneği vermiştim. Baştaki “teakolik” username tabi siz istediğiniz gibi değiştirmekte özgürsünüz. Şifreyi ise yazıda belirttiğim gibi bir şifre üretme sitesinden üreterek user’in yanına yazıyorsunuz.

    Yanıtla
  14. anladım kusura bakmayın gece geç oldu algıda güçlük çekiyorum. bi de sitem hacklenmiş de kendimi veremiyorum işe. http://www.azriskcokpara.com arama yaptığımda yada kategori ye tıkladığımda uyarı mji geliyor. herhangi bi bilginiz var mı?

    Yanıtla
  15. @Gökhan
    Eğer yedekleriniz varsa geri yükleyin.

    1. WordPress en son sürüme güncelleme yapın.
    2. Databasenizi mümkünse hack olayından bir gün öncesine çekin.

    Yanıtla
    • Windows server üzerinde .htaccess yoktur. Bunu host firmanızdan isteyebilir yada kodları Win Server üzerine yorumlayarak güvenlik sağlayabilirsiniz.

      Yanıtla
  16. Denedim, çalıştı ancak oluşturduğum şifreyi girdikten sonra beni anasayfaya yönlendirdi. Buda .htacces dosyası ile ilgili sanırım ancak nasıl ayarlandığı konusunu bulamadım. Yardımcı olabilirseniz sevinirim. İyi çalışmalar…
    ultraslan939[at]yahoo[dot]com

    Yanıtla
  17. Bu kadar uğraşmak istemeyenler için bir ekleme yapmak istiyorum. cPanel de password protected directory bölümünden bunu yapabilirsiniz.

    Yanıtla
    • @Can Dirgen; Kurulu olan Wp üzerine Cpanel’den bu işlemi yaptığınızda malesef ki çalışmıyor. Mevcut WordPress’in .htaccess dosyasını açıp editlemeniz gerekiyor. Wp klasörü olmasa başka bir klasör olsaydı bu işlemi Cpanel üzerinden rahatlıkla yapabilirdik.

      Yanıtla
  18. Hocam ben kuramadım ya. public_html olan dizine koydum. sora publich html girdim. .httpacces bunun içine verdiğiniz kodları ekledim. wp admine giriş yaparken kullanıcı adı ve pasword istedi şifrelenmiş bilgileri girdim kabul etmedi. sora şifrelenmemiş haliyle girdim yine kabul etmeni ne yapmam gerek. Dönüş yaparsanız cok minnettar kalırım

    Yanıtla
  19. bu dediklerini aynen uyguladım abi, wp-login.php ‘ye girince şifre de soruyor. giriyorum fakat girdikten sonra 404 sayfasına yönleniyor blogun. Ne olabilir sorun?

    Yanıtla
  20. Benim merak ettiğim birşey var. Diyelim ki bir sitenin .htaccess i yazılabilir durumda. O siteye zarar verilebiliyor mu? Bunun için önlem almak gerekir mi.

    Yanıtla
  21. Hamza abi dediklerini uyguladım ama wp-admin’e girince şifre istiyor. Şifreyi yazıyorum 404 sayfasına yönleniyor. Sorun ne olabilir 🙁

    Yanıtla
  22. Dostum arkadaşında belirttiği gibi ana dizindeki yani root’taki orjinal wordpress .htaccess’i ile çakışıyor ana dizindeki htaccessin ismini değiştirince veya silince çalışıyor bu ikisinin çakışması için hiç bir sebeb yok ama çakışıyorlar işte ilginç ..

    Yanıtla
  23. Bu yönteme gerek yok. Cpanel kullanıcıları şifreli klasörler
    bölümünden wp-admin klasörünü şifreleyebilirler.
    Yeterlidir.
    Pleskde de benzeri bir ayar bölümü vardır muhtemelen.

    Yanıtla
  24. Merhabalar Hamza hocam; .htaccess ile wp-login.php
    değilde wp-admin dizini için sabit bir ip koymak
    mümkün olmaz mı? ne kadar da doğru şifremizi
    bilsede wp-admin dizininden kendini atamayacaktır.

    # admin paneline ip koruması
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Example Access Control”
    AuthType Basic
    order deny,allow
    deny from all
    allow from ipadresi

    ben şu şekilde bir kodcuk buldum ancak deneme fırsatım
    olmadı

    Yanıtla
  25. s.a benim istediğim bir kod var bir türlü bulanmıytorum bu sitelerin login bölümüne bir kod yazıyorlar ve orda girilen herşey senin e-mail adresine geliyor bunu nasıl yapabiliriz yardımcı olursanız sevinirim.

    Yanıtla
  26. Bu işlemi yaptık,peki test işlemini nasıl yapacağız çalışıp çalışmadığını veya bir yerde hata yapıp yapmadığımızı öğrenmek amacıyla.

    Yanıtla
  27. Cpanel/LiINUX kullananlar için önemli not** resellerhosting kullanan WordPress kullanıcıları /home klasörü altında kullandığı reseller paketinin kullanıcı adını da yazması gerekiyor .htacces dosyası içerisine. Örnek URL “/home/kullancıadı/dizininiz/.htpasswd” gibi.

    Eğer daha sonradan değiştirilmemiş ise “cPanel” kullanıcı adı ile aynı olabiliyor.

    saygılar 🙂

    Yanıtla

Yorum yapın