Günümüzün en büyük web günlüğü yada web sitesi oluşturma yazılımı olarak kullanılan WordPress, açık kaynak oluşu ve kaynak kodlarının herkesin rahatça kullanımına açık olması nedeniyle birçok web programcısı, tasarımcısı tarafından kullanılan bir CMS yazılımıdır. Özelleştirilebilir ve kolay düzenlenebilirliği, seo uyumluluğu ve geniş eklenti ve tema desteği ile web tasarım ve programlama dünyasının gözdesi haline gelmiştir.
Ancak buna ek olarak; WordPress sürekli saldırılara ve hacklenme gibi birçok saldırıya da hazır hale gelmektedir. Çünkü kullanıcıların meydana getirdiği, kullanıcıların birliği ile oluşturulan WordPress, açık kod yapısı sayesinde kötü niyetli kullanıcıların da gözde bir saldırı aracı haline gelebilmekte; hackerlar tarafından hacklenmeye açık bir konuma da kendisini sunmaktadır.
Genelde hackerler; wp-admin üzerinden XSS, SQL Injection, Brute Force vb. teknikleri kullanarak site yönetimini ele geçirmeye çalışmaktalar.
Wordpress Admin Paneli URL Değiştirmek
Bugün yapacağımız yöntem ile WordPress’e ait wp-admin (örnek: wordpress.com.tr/wp-admin) gibi bir url’de yer alan WordPress Yönetim adresinde yer alan standart wp-admin değerini kendimize özel hale getirerek wp-admin klasör adını değiştirerek güvenlik seviyemizi bir nebze de olsa yükseltmeye çalışacağız. Bu şekilde de standart wordpress giriş adresini yani yolunu kendimize; sadece bizim bildiğimiz bir wordpress yolu haline getireceğiz.
Bunun için direkt olarak wp-admin klasörünün adını değiştirmek için örnek olarak kontrolpanelim yada kontrolpaneli yapmak yeterli değildir. Çünkü bu wordpress kontrol paneli yolu wordpress dosyalarımızın içinde, temalarımızda yada bazı kullandığımız eklentilerin içinde yer almaktadır. Çünkü bazı tema ve eklentiler wp-admin klasörü içerisinde yer alan bazı php dosyalarına ihtiyaç duymaktadır.
WordPress’e ait wp-admin yolunu değiştirmek yani wp-admin adresini değiştirmek için öncelikle ftp’mizde yer alan tüm dosyaları bilgisayarımıza indirmemiz gerekmektedir (indirme işlemini tamamladıktan sonra herhangi bir sorunu karşı dosyalarınızı yedeklemeniz önerilir).
Şimdi ise tek tek tüm dosyaları açıp içerisinde “wp-admin” değerini aramak zor olacağı için bize yardımcı olacak ve tüm dosyalarda wp-admin yolunu arayacak bir programa ihtiyacımız olacaktır. Bu programımızın adı; grepWin isimli kullanımı gayet basit bir programdır. grepWin programını buradaki bağlantıyı kullanarak indirebilirsiniz.
grepWin Wp-admin yolunu değiştirmek grepWin isimli programı indirdiğinizi ve kurduğunuzu varsayarak işlemlerimize devam ediyoruz. Şimdi ftp’nizden indirdiğiniz ve yine hatırlatalım yedeğini aldığınızı düşündüğümüz tüm dosyalarımızı masaüstümüz üzerinde WordPress adında yer alan bir klasör içerisine kopyalayım. Kopyalama işlemi sonrasında da wordpress isimli klasörümüzün üzerinde sağ tıklayalım ve açılan menüden grepWin seçeneğini tıklayalım.
Şimdi ise karşımıza gelen grepWin ekranında;
grepWin Wp-Admin Adresini DeğiştirmekSearch for yazan alan wp-admin, Replace with yazan alana da yeni wp-admin yönetim paneli adresinin ne olmasını istiyorsak onu yazıyoruz (örnek: wordpress.com.tr/wp-admin adresini wordpress.com.tr/kontrolet yapmak istiyorsak replace with alanına kontrolet yazmalıyız). Ardından da enter tuşuna basmak yerine kendimiz (enter tuşu search tuşuna tanımlıdır ve değişimi gerçekleştirmemektedir) replace butonuna basıyoruz ve değişikliklerimizi gerçekleştiriyoruz.
Bu adımdan sonra wp-admin klasörümüzün adını replace with değerinde ne yazmış isek onu yapıyoruz ve ardından değişiklik yaptığımız klasör içerisinde yer alan css klasörüne giriyoruz ve;
wp-admin.dev.css, wp-admin.css, wp-admin-rtl.dev.css, wp-admin-rtl.css adını da yapmış olduğumuz yeni kontrol paneli adresinde yer alan klasör adresimizin adı yapıyoruz (wp-admin klasörünün yeni adı ne ise onu). Ardından tekrar grepWin’de; search for kısmında sırasıyla wp-admin.dev.css, wp-admin.css, wp-admin-rtl.dev.css, wp-admin-rtl.css dosyalarını tam dosya adı olarak (örnek: wp-admin.dev.css şeklinde) yazıyoruz ve replace with kısmına da yeniklasoradimiz.dev.css şeklinde getiriyoruz. Bu şekilde wp-admin css sorununu da ortadan kaldırmış oluyoruz.
Şimdi ki yeni adımımızda da wp-includes dizini içerisinde yer alan class-wp-admin-bar.php dosyamızın adını css dosyalarımıza uygulamadığımız gibi adını değiştiriyor, grepWin programı ile tüm dosyalarda aratarak değişikliğimizi gerçekleştiriyoruz.
Bu adımımız da eğer başarıyla sonuçlanmışsa son olarak wp-login.php için değişiklik yapmalıyız. Çünkü wordpress.com.tr/wp-admin şeklinde browser’ımızdan girişlerimiz login yani sisteme giriş yapmamış isek; wp-login.php ‘ye yönlendirilmekte. Biz her ne kadar wp-admin’inin adını değiştirmiş olsak da; wp-login.php’yi değiştirmemiş isek wp-admin’e giriş yapamayan kullanıcı wordpress.com.tr/wp-login.php ‘ye girmeyi deneyecek ve başarılı olacaktır. Bunun için yine grepWin programına giriyoruz search for kısmına wp-login.php yapıyor, replace with kısmına da wp-login.php dosyamızın yeni adı yani wp-login.php dosyasının adını değiştirmek istediğimiz yeni dosya adını yazıyoruz (örnek: wp-login.php ‘ye bundan sonra girismerkezi.php şeklinde erişilmesini istiyorsak). Ardından değişiklik yapıldıktan sonra wp-login.php dosyamızın da adını değiştiriyoruz ve tüm wp-admin erişimlerini dışarıdan gelen kullanıcılara yada saldırganlara kapatmış oluyoruz.
Not ve Hatırlatma: Bazı wordpress tarafından kullanılan eklenti yada temalarda, ihtiyaç duyulan kod satırlarında wp-admin ve wp-login.php değerlerini yazılımcılar kullanmış olabilmekte. Bu gibi durumlarda grepWin yardımı ile ihtiyaç duyan eklenti ve temayı bilgisayarınıza indirerek eklenti ve temada wp-admin yada wp-login.php giriş yolunu değiştirme işlemini yukarıdaki örnekte olduğu gibi yapmanız gerekmektedir.
Yukarıda anlatılan bu uygulama tamamen sizin insiyatifinizde olduğundan başınıza gelebilecek sorun yada problemlerden tamamen kendiniz sorumlu olursunuz. İşlemlerde karşılaştığınız sorun yada sormak istediğiniz soruları yazı altında yer alan yorumlar tarafından bana iletebilirsiniz.
Ancak buna ek olarak; WordPress sürekli saldırılara ve hacklenme gibi birçok saldırıya da hazır hale gelmektedir. Çünkü kullanıcıların meydana getirdiği, kullanıcıların birliği ile oluşturulan WordPress, açık kod yapısı sayesinde kötü niyetli kullanıcıların da gözde bir saldırı aracı haline gelebilmekte; hackerlar tarafından hacklenmeye açık bir konuma da kendisini sunmaktadır.
Genelde hackerler; wp-admin üzerinden XSS, SQL Injection, Brute Force vb. teknikleri kullanarak site yönetimini ele geçirmeye çalışmaktalar.
Wordpress Admin Paneli URL Değiştirmek
Bugün yapacağımız yöntem ile WordPress’e ait wp-admin (örnek: wordpress.com.tr/wp-admin) gibi bir url’de yer alan WordPress Yönetim adresinde yer alan standart wp-admin değerini kendimize özel hale getirerek wp-admin klasör adını değiştirerek güvenlik seviyemizi bir nebze de olsa yükseltmeye çalışacağız. Bu şekilde de standart wordpress giriş adresini yani yolunu kendimize; sadece bizim bildiğimiz bir wordpress yolu haline getireceğiz.
Bunun için direkt olarak wp-admin klasörünün adını değiştirmek için örnek olarak kontrolpanelim yada kontrolpaneli yapmak yeterli değildir. Çünkü bu wordpress kontrol paneli yolu wordpress dosyalarımızın içinde, temalarımızda yada bazı kullandığımız eklentilerin içinde yer almaktadır. Çünkü bazı tema ve eklentiler wp-admin klasörü içerisinde yer alan bazı php dosyalarına ihtiyaç duymaktadır.
WordPress’e ait wp-admin yolunu değiştirmek yani wp-admin adresini değiştirmek için öncelikle ftp’mizde yer alan tüm dosyaları bilgisayarımıza indirmemiz gerekmektedir (indirme işlemini tamamladıktan sonra herhangi bir sorunu karşı dosyalarınızı yedeklemeniz önerilir).
Şimdi ise tek tek tüm dosyaları açıp içerisinde “wp-admin” değerini aramak zor olacağı için bize yardımcı olacak ve tüm dosyalarda wp-admin yolunu arayacak bir programa ihtiyacımız olacaktır. Bu programımızın adı; grepWin isimli kullanımı gayet basit bir programdır. grepWin programını buradaki bağlantıyı kullanarak indirebilirsiniz.
grepWin Wp-admin yolunu değiştirmek grepWin isimli programı indirdiğinizi ve kurduğunuzu varsayarak işlemlerimize devam ediyoruz. Şimdi ftp’nizden indirdiğiniz ve yine hatırlatalım yedeğini aldığınızı düşündüğümüz tüm dosyalarımızı masaüstümüz üzerinde WordPress adında yer alan bir klasör içerisine kopyalayım. Kopyalama işlemi sonrasında da wordpress isimli klasörümüzün üzerinde sağ tıklayalım ve açılan menüden grepWin seçeneğini tıklayalım.
Şimdi ise karşımıza gelen grepWin ekranında;
grepWin Wp-Admin Adresini DeğiştirmekSearch for yazan alan wp-admin, Replace with yazan alana da yeni wp-admin yönetim paneli adresinin ne olmasını istiyorsak onu yazıyoruz (örnek: wordpress.com.tr/wp-admin adresini wordpress.com.tr/kontrolet yapmak istiyorsak replace with alanına kontrolet yazmalıyız). Ardından da enter tuşuna basmak yerine kendimiz (enter tuşu search tuşuna tanımlıdır ve değişimi gerçekleştirmemektedir) replace butonuna basıyoruz ve değişikliklerimizi gerçekleştiriyoruz.
Bu adımdan sonra wp-admin klasörümüzün adını replace with değerinde ne yazmış isek onu yapıyoruz ve ardından değişiklik yaptığımız klasör içerisinde yer alan css klasörüne giriyoruz ve;
wp-admin.dev.css, wp-admin.css, wp-admin-rtl.dev.css, wp-admin-rtl.css adını da yapmış olduğumuz yeni kontrol paneli adresinde yer alan klasör adresimizin adı yapıyoruz (wp-admin klasörünün yeni adı ne ise onu). Ardından tekrar grepWin’de; search for kısmında sırasıyla wp-admin.dev.css, wp-admin.css, wp-admin-rtl.dev.css, wp-admin-rtl.css dosyalarını tam dosya adı olarak (örnek: wp-admin.dev.css şeklinde) yazıyoruz ve replace with kısmına da yeniklasoradimiz.dev.css şeklinde getiriyoruz. Bu şekilde wp-admin css sorununu da ortadan kaldırmış oluyoruz.
Şimdi ki yeni adımımızda da wp-includes dizini içerisinde yer alan class-wp-admin-bar.php dosyamızın adını css dosyalarımıza uygulamadığımız gibi adını değiştiriyor, grepWin programı ile tüm dosyalarda aratarak değişikliğimizi gerçekleştiriyoruz.
Bu adımımız da eğer başarıyla sonuçlanmışsa son olarak wp-login.php için değişiklik yapmalıyız. Çünkü wordpress.com.tr/wp-admin şeklinde browser’ımızdan girişlerimiz login yani sisteme giriş yapmamış isek; wp-login.php ‘ye yönlendirilmekte. Biz her ne kadar wp-admin’inin adını değiştirmiş olsak da; wp-login.php’yi değiştirmemiş isek wp-admin’e giriş yapamayan kullanıcı wordpress.com.tr/wp-login.php ‘ye girmeyi deneyecek ve başarılı olacaktır. Bunun için yine grepWin programına giriyoruz search for kısmına wp-login.php yapıyor, replace with kısmına da wp-login.php dosyamızın yeni adı yani wp-login.php dosyasının adını değiştirmek istediğimiz yeni dosya adını yazıyoruz (örnek: wp-login.php ‘ye bundan sonra girismerkezi.php şeklinde erişilmesini istiyorsak). Ardından değişiklik yapıldıktan sonra wp-login.php dosyamızın da adını değiştiriyoruz ve tüm wp-admin erişimlerini dışarıdan gelen kullanıcılara yada saldırganlara kapatmış oluyoruz.
Not ve Hatırlatma: Bazı wordpress tarafından kullanılan eklenti yada temalarda, ihtiyaç duyulan kod satırlarında wp-admin ve wp-login.php değerlerini yazılımcılar kullanmış olabilmekte. Bu gibi durumlarda grepWin yardımı ile ihtiyaç duyan eklenti ve temayı bilgisayarınıza indirerek eklenti ve temada wp-admin yada wp-login.php giriş yolunu değiştirme işlemini yukarıdaki örnekte olduğu gibi yapmanız gerekmektedir.
Yukarıda anlatılan bu uygulama tamamen sizin insiyatifinizde olduğundan başınıza gelebilecek sorun yada problemlerden tamamen kendiniz sorumlu olursunuz. İşlemlerde karşılaştığınız sorun yada sormak istediğiniz soruları yazı altında yer alan yorumlar tarafından bana iletebilirsiniz.
