Merhaba Arkadaşlar, Uzun süredir rooteto‘ya şifre denemeleri yapıyorlar diğer sitelerimede aynı şekilde ama son 1 haftada bu giriş denemeleri inanılmaz arttı. Rooteto’ya 47002 defa giriş denemesi yapıldı ve bunların hepsi başarısız oldu.
IP adresleri, kullanıcı adları vs. hepsini takip ediyorum ama artık sıkıldım ip engellemeden vs. 🙂
wp-login.php‘yi .htaccess ile şifreleyip bu güvenliği değiştirdim. Eğer şifreyi 2 defa yanlış girerlerse sunucu direkt ip engelliyor.
cPanel‘de klasör şifreleme özelliği var ancak WordPress sistemi buna izin vermiyor bu yüzden bu işlemi manuel yapmamız gerekiyor.
Şimdi başlayalım işimize.
- wp-admin klasörü içerisine .passwd adında bir dosya oluşturuyoruz.
- Dosya içerisine “Şifre Oluşturucu” sitesinden oluşturduğumuz kullanıcı adı ve şifresini .passwd dosyası içerisine ekliyoruz.
- Siteden aldığım örnek kod: eto:$apr1$AJg.aeXn$6nJKy1puS.0SG.xjdv2Z11
- Daha sonra WordPress’in kurulu olduğu ana dizine geliyoruz. Bu genelde linux’ta: public_html / windwos’ta: httpdocs klasörü içerisinde yer alıyor.
- public_html içerisindeki .htaccess dosyasını notepad++ aracılığı ile açıyoruz ve içerisine alttaki kodları ekliyoruz.
ErrorDocument 400 /hata/badrequest.html
ErrorDocument 401 /hata/authreqd.html
ErrorDocument 403 /hata/forbid.html
ErrorDocument 404 /hata/notfound.html
ErrorDocument 500 /hata/serverr.html
<FilesMatch "wp-login.php">
AuthName "Rooteto Panel - Guvenlik"
AuthType Basic
AuthUserFile /home/linuxid/public_html/wp-admin/.passwd
require valid-user
</FilesMatch>
Yukarıdaki kodu .htaccess dosyası içerisinde en üst satıra ekliyoruz. Ama burada dikkat etmeniz gereken olay yukarıdaki kod kısmındaki “linuxid” kısmı.
linuxid : Sizin ftp kullanıcı adınız, hosting firmanızın verdiği kullanıcı adıdır. Bazı firmalarda farklılık gösterebilir ama %80 böyledir. Linux sunucularda kullanıcı adları home klasörü içerisine yer alırlar windows sunucularda bu yol böyle değildir. Windows sunucularda dizin yolunu hosting firmanıza sorup öğrenebilirsiniz.