WPS Hide Login Kullanarak WordPress Yönetici Sayfasını Nasıl Korursunuz

Varsayılan WordPress giriş URL’leri — yoursite.com/wp-admin ve yoursite.com/wp-login.php — kamuya açık olarak bilinmekte olup otomatik kaba kuvvet kampanyalarında ve kimlik bilgisi doldurma saldırılarında ilk hedef haline gelmektedir. WPS Hide Login, bu öngörülebilir uç noktaları kendi seçtiğiniz özel bir URL ile değiştiren hafif bir WordPress eklentisidir; böylece orijinal yollara yapılan kimliği doğrulanmamış istekler, bir giriş formu sunulmak yerine sessizce yönlendirilir.

Bu kılavuz, WPS Hide Login için eksiksiz kurulum, yapılandırma, kurtarma prosedürü ve katmanlı güvenlik stratejisini kapsamaktadır — çoğu öğreticinin atladığı teknik uç durumlar dahil.

Varsayılan Giriş URL’sini Değiştirmenin Önemi

Belirsizlik yoluyla güvenlik tek başına tam bir savunma değildir; ancak meşru ve ölçülebilir bir ilk katmandır. Botlar bir giriş formu bulamadığında, forma karşı kimlik bilgisi gönderemezler. Barındırma düzeyindeki güvenlik duvarı günlüklerine ilişkin araştırmalar, /wp-login.php ve /wp-admin adreslerinin WordPress HTTP 403/429 olaylarının büyük çoğunluğunu oluşturduğunu tutarlı biçimde göstermektedir — mütevazı sitelerde bile günde binlerce istek.

Giriş URL’sini değiştirmek, bu saldırı yüzeyini sıfır performans maliyetiyle ortadan kaldırır. Güçlü parolalar, iki faktörlü kimlik doğrulama ve bir web uygulaması güvenlik duvarıyla birleştirildiğinde, başarılı bir saldırı için gereken çabayı önemli ölçüde artırır.

WordPress’i bir VPS Hosting ortamında çalıştırıyorsanız, eklentiye ek olarak Nginx deny yönergeleri veya Apache .htaccess kurallarıyla bunu sunucu düzeyinde de güçlendirebilirsiniz — bu kombinasyon makalenin ilerleyen bölümlerinde ele alınmaktadır.

Güvenlik Katmanları: WPS Hide Login ve Alternatif Yaklaşımlar

Kuruluma geçmeden önce, WPS Hide Login’in diğer sertleştirme teknikleri arasındaki konumunu anlamak faydalı olacaktır.

WPS Hide Login, bu tablodaki sunucu düzeyindeki kontrollerden en az biriyle birleştirildiğinde en etkili sonucu verir. Güçlü kimlik bilgilerinin veya bir WAF’ın yerini tutmaz; ancak otomatik araçların güvendiği kolay hedefleri ortadan kaldırır.

Adım 1: WPS Hide Login Eklentisini Kurun

1. WordPress kontrol panelinize giriş yapın.
2. Eklentiler > Yeni Ekle bölümüne gidin.
3. Arama alanına WPS Hide Login yazın.
4. WPServeur, nofearinc ve Beee tarafından yayımlanan eklentinin yanındaki Şimdi Kur düğmesine tıklayın.
5. Kurulum tamamlandıktan sonra Etkinleştir‘e tıklayın.

Doğrulama ipucu: Etkinleştirmenin ardından eklentinin Eklentiler > Yüklü Eklentiler altında etkin olarak listelendiğini doğrulayın. Eklenti bu aşamada ön yüzde görünür herhangi bir değişiklik yapmaz — yapılandırma tamamen ayarlar panelinde gerçekleşir.

Adım 2: Eklentiyi Yapılandırın

Etkinleştirmenin ardından eklenti, ayrı bir menü öğesi oluşturmak yerine ayarlarını Ayarlar > Genel sayfasının altına ekler. Bu kasıtlıdır — yapılandırmayı düşük profilli tutar.

1. WordPress kontrol panelinizde Ayarlar > Genel bölümüne gidin.
2. Sayfanın alt kısmındaki WPS Hide Login bölümüne kadar aşağı kaydırın.

Güçlü Bir Giriş URL’si Seçme

Giriş URL’si alanında varsayılan değeri özel bir yol ile değiştirin. Bunu ikincil bir parola gibi değerlendirin: sözlükte yer almayan, tahmin edilmesi güç ve marka adınızdan türetilmemiş olmalıdır.

Kaçınılması gereken zayıf seçimler:

• /mylogin
• /admin-login
• /wp-login-new
• /login

Daha iyi seçimler:

• Rastgele alfanümerik bir dize: /a7f3kx91
• Parola ifadesi tarzında bir yol: /morning-circuit-deploy
• Meşru bir sayfayı taklit eden bir yol: /resources/team-portal

URL, Linux tabanlı sunucularda büyük/küçük harf duyarlıdır (bu, Ubuntu veya CentOS çalıştıran neredeyse tüm Dedicated Servers ve VPS örneklerini kapsar). /MyLogin ve /mylogin farklı yollar olarak değerlendirilir.

Yönlendirme URL’sini Yapılandırma

Yönlendirme URL’si alanı, kullanıcıların /wp-login.php veya /wp-admin adreslerine doğrudan erişmeye çalıştıklarında nereye yönlendirileceğini belirler. Bunu bilinçli olarak seçin:

• Ana sayfanıza yönlendirin (/): Tarafsız bir seçenek; saldırgana hiçbir bilgi vermez.
• Özel bir 404 sayfasına yönlendirin: Kaynağın mevcut olmadığını bildirir; bu teknik olarak doğrudur ve daha fazla araştırmayı caydırır.
• Bir bal küpü sayfasına yönlendirin: Gelişmiş teknik — analiz için ziyaretçinin IP adresini kaydeden bir sayfaya yönlendirin.

Görünür bir “Erişim Reddedildi” mesajı içeren bir sayfaya yönlendirmekten kaçının; bu durum saldırgana sitede bir giriş sayfasının var olduğunu doğrular.

1. Değişiklikleri Kaydet‘e tıklayın.

Adım 3: Yeni Giriş URL’nizi Kullanarak Oturum Açın

Kaydettikten sonra orijinal giriş uç noktaları hemen devre dışı bırakılır. /wp-login.php veya /wp-admin adreslerine yapılan her istek, belirttiğiniz URL’ye yönlendirilecektir.

Kontrol panelinize erişmek için:

1. Tarayıcınızda https://yoursite.com/your-custom-path adresine gidin.
2. WordPress kimlik bilgilerinizi normal şekilde girin.
3. Kontrol paneli, davranışta herhangi bir görünür fark olmaksızın yüklenir.

Önemli: WordPress’in yerleşik “Parolanızı mı unuttunuz?” ve kullanıcı kayıt akışları da dahili olarak /wp-login.php kullanır. WPS Hide Login, ilgili form eylem URL’lerini yeniden yazarak bunları sorunsuz biçimde yönetir — ancak üretime geçmeden önce bunun kendi tema ve eklenti yapınızda çalıştığını doğrulayın.

Adım 4: Yeni Giriş URL’sini Hemen Yer İşaretlerine Ekleyin

Bu adım operasyonel açıdan kritiktir. Yeni URL’yi tarayıcınızda yer işaretlerine ekleyin ve kimlik bilgilerinizin yanı sıra parola yöneticinizde saklayın. Birden fazla WordPress kurulumunu yönetiyorsanız, özel URL’yi dahili çalışma kitabınıza veya gizli bilgiler kasanıza kaydedin.

Belleğinize güvenmeyin. Unutulan özel bir giriş URL’sinin kurtarma süreci, dosya sistemi erişimi gerektirmekte olup üretim ortamında aksaklıklara yol açabilir.

Adım 5: Tüm Yönlendirme Yollarını Test Edin

Test sistematik olmalıdır. Özel/gizli bir tarayıcı penceresi açın (önbelleğe alınmış oturum verilerini önlemek için) ve aşağıdakilerin her birini doğrulayın:

• https://yoursite.com/wp-login.php — giriş formu göstermeden belirttiğiniz URL’ye yönlendirmelidir.
• https://yoursite.com/wp-admin — giriş formu veya kontrol paneli göstermeden yönlendirmelidir.
• https://yoursite.com/wp-admin/admin-ajax.php — bu uç nokta erişilebilir kalmalıdır; WPS Hide Login, AJAX’a bağımlı eklentilerin bozulmasını önlemek için bunu yönlendirmenin dışında tutar.
• https://yoursite.com/your-custom-path — WordPress giriş formunu doğru şekilde görüntülemelidir.
• Parola sıfırlama e-posta bağlantıları — bir parola sıfırlama işlemi başlatın ve e-postadaki bağlantının orijinal yol yerine özel giriş yolunuzdan geçtiğini doğrulayın.

admin-ajax.php engellenirse, AJAX çağrılarına dayanan tema ve eklentilerde ön yüz işlevselliğinin bozulduğunu göreceksiniz. Bu, WPS Hide Login’i agresif önbellekleme veya özel Nginx kurallarıyla birleştirirken karşılaşılan bilinen bir uç durumdur.

Adım 6: Sunucu Düzeyinde Güçlendirme (Önerilen)

Sunucu erişiminizin bulunduğu ortamlarda, eklenti devre dışı bırakılsa bile varsayılan yolların korumalı kalması için web sunucusu katmanında sert bir engel ekleyin.

Nginx — server {} bloğunuzun içine ekleyin:

location = /wp-login.php {
    return 301 https://yoursite.com/;
}

location ^~ /wp-admin/ {
    # Allow admin-ajax.php for front-end AJAX
    location = /wp-admin/admin-ajax.php {
        try_files $uri =404;
        fastcgi_pass unix:/run/php/php8.2-fpm.sock;
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
    return 301 https://yoursite.com/;
}

Apache — WordPress yeniden yazma bloğunun üzerindeki .htaccess dosyanıza ekleyin:

<FilesMatch "^wp-login.php$">
    Order Deny,Allow
    Deny from all
</FilesMatch>

Bu kurallar WordPress ve PHP’den bağımsız olarak çalışır; yani istekleri WordPress önyüklenmeden önce yakalar — bu da anlamlı bir performans ve güvenlik avantajı sağlar.

Adım 7: Tamamlayıcı Güvenlik Eklentileriyle Birleştirin

WPS Hide Login, URL keşfedilebilirliğini ele alır. Aşağıdakilere karşı koruma sağlamaz:

• XML-RPC uç noktası üzerinden kimlik bilgisi saldırıları (/xmlrpc.php)
• Tema veya eklentilerdeki güvenlik açıkları
• Ele geçirilmiş hesaplardan kaynaklanan kimliği doğrulanmış saldırılar

Aşağıdakilerle katmanlı kullanın:

• Limit Login Attempts Reloaded: Yapılandırılabilir sayıda başarısız denemeden sonra kilitleme politikalarını uygular. Yalnızca varsayılan değil, özel giriş URL’nizde de çalışır.
• Wordfence Security: Öğrenme modlu güvenlik duvarı, gerçek zamanlı tehdit istihbarat akışı ve dosya bütünlüğü izleme sağlar. İki faktörlü kimlik doğrulama modülü özellikle değerlidir.
• Disable XML-RPC: WordPress mobil uygulamasını veya Jetpack’i kullanmıyorsanız, /xmlrpc.php adresini tamamen devre dışı bırakın — bu, WPS Hide Login’in dokunmadığı ayrı bir kaba kuvvet vektörüdür.
• WP 2FA: İkinci faktör olarak zamana dayalı tek kullanımlık parola (TOTP) kimlik doğrulaması ekler; böylece yalnızca kimlik bilgisi hırsızlığı erişim için yetersiz kalır.

Siteniz VPS with cPanel içeren bir planda barındırılıyorsa, WordPress eklentilerinden bağımsız olarak giriş denemelerini hız sınırlamak için sunucu düzeyinde ModSecurity kurallarını da yapılandırabilirsiniz.

Özel Giriş URL’sini Unutursanız Erişimi Nasıl Kurtarırsınız

Bu, operasyonel açıdan en hassas senaryodur. Özel giriş URL’sini kaybeder ve kontrol paneline erişemezseniz, eklentinin dosya sistemi düzeyinde devre dışı bırakılması gerekir.

Yöntem 1: Barındırma Kontrol Paneli Üzerinden Dosya Yöneticisi

1. Barındırma kontrol panelinize (cPanel, Plesk veya eşdeğeri) giriş yapın.
2. Dosya Yöneticisi‘ni açın ve /wp-content/plugins/ dizinine gidin.
3. wps-hide-login klasörünü wps-hide-login-disabled olarak yeniden adlandırın.
4. Klasör adı artık eşleşmediğinden WordPress eklentiyi otomatik olarak devre dışı bırakacaktır.
5. yoursite.com/wp-login.php adresi üzerinden sitenize erişin — varsayılan URL artık aktiftir.
6. Giriş yapın, özel URL yapılandırmanızı alın veya sıfırlayın, ardından yeniden etkinleştirmek için klasörü wps-hide-login olarak yeniden adlandırın.

Yöntem 2: FTP/SFTP Erişimi

# Connect via SFTP (replace with your actual credentials)
sftp user@yoursite.com

# Navigate to the plugins directory
cd /public_html/wp-content/plugins/

# Rename the plugin folder to deactivate it
rename wps-hide-login wps-hide-login-disabled

Yöntem 3: WP-CLI (Sunucunuzda Mevcutsa)

Barındırma ortamınız WP-CLI’yi destekliyorsa — VPS Hosting ve yönetilen sunucu planlarında yaygındır — bu en hızlı kurtarma yöntemidir:

# Deactivate the plugin from the command line
wp plugin deactivate wps-hide-login --path=/var/www/html

# Confirm it is deactivated
wp plugin list --path=/var/www/html

Geri yüklenen varsayılan URL üzerinden giriş yaptıktan sonra, eklentiyi kontrol panelinden yeniden etkinleştirin ve özel yolunuzu yeniden yapılandırın.

Yöntem 4: Veritabanını Doğrudan Düzenleme

Son çare olarak, eklentinin saklanan seçeneğini doğrudan veritabanında kaldırabilirsiniz. Bu yöntem, dosya sistemi erişiminin mevcut olmadığı ancak veritabanı erişiminin (phpMyAdmin veya MySQL CLI aracılığıyla) sağlanabildiği durumlarda uygundur.

-- Remove WPS Hide Login configuration from wp_options
DELETE FROM wp_options WHERE option_name = 'whl_page';
DELETE FROM wp_options WHERE option_name = 'whl_redirect';

Bu sorguları çalıştırdıktan sonra eklenti, teknik olarak hâlâ etkin olsa bile varsayılan davranışa (URL gizleme yok) geri döner ve /wp-login.php üzerinden giriş yapmanıza olanak tanır.

Olası Tuzaklar ve Uç Durumlar

Önbellekleme çakışmaları: Tam sayfa önbellekleme eklentileri (WP Rocket, W3 Total Cache, LiteSpeed Cache), eski giriş URL’si için yönlendirme yanıtını önbelleğe alabilir. WPS Hide Login’i yapılandırdıktan sonra tüm önbellekleri temizleyin ve yönlendirmenin yanlış bir hedefle önbellekten sunulmadığını doğrulayın.

CDN ve ters proxy değerlendirmeleri: Siteniz Cloudflare veya başka bir ters proxy’nin arkasındaysa, /wp-login.php ve /wp-admin adreslerinin CDN katmanında önbelleğe alınmadığından emin olun. Bu yollar her zaman önbelleği atlamalıdır. Cloudflare’in varsayılan “Çerezde Önbelleği Atla” kuralı çoğu WordPress kurulumunda bunu yönetir; ancak bunu açıkça doğrulayın.

Çoklu site kurulumları: WPS Hide Login, WordPress Multisite ağlarıyla sınırlı uyumluluğa sahiptir. Alt alan adı tabanlı çoklu sitede, her alt sitenin giriş URL’si dikkatli biçimde yönetilmelidir. Üretim çoklu site ağına dağıtmadan önce bir hazırlık ortamında kapsamlı testler yapın.

Eklenti çakışmaları: Bazı üyelik eklentileri, e-ticaret platformları (WooCommerce’in “Hesabım” sayfası) ve LMS eklentileri, doğrudan /wp-login.php adresine gönderen kendi giriş formlarını oluşturur. WPS Hide Login’i etkinleştirdikten sonra, sitenizdeki tüm özel giriş formlarını denetleyerek action özelliklerinin güncellendiğinden veya eklentinin URL yeniden yazma işlemi tarafından ele alındığından emin olun.

SSL gereksinimi: Özel giriş URL’nizi her zaman HTTPS üzerinden çalıştırın. HTTP üzerinden kimlik bilgisi göndermek, URL ne kadar belirsiz olursa olsun ağ dinlemesine maruz kalma riskini doğurur. Sitenizi henüz güvence altına almadıysanız, SSL Certificates isteğe bağlı bir eklenti değil, bir ön koşuldur.

Teknik Karar Kontrol Listesi

WPS Hide Login’i üretim ortamına dağıtmadan önce ve sonra bu kontrol listesini kullanın:

• [ ] Özel giriş URL’si sözlükte yer almayan, markadan türetilmeyen ve bir parola yöneticisinde saklanan bir değerdir
• [ ] Engellenen yollar için yönlendirme URL’si yapılandırılmış ve gizli bir pencerede test edilmiştir
• [ ] admin-ajax.php erişilebilir durumda (ön yüzde AJAX’a bağımlı bir özellikle test edin)
• [ ] Parola sıfırlama e-posta bağlantıları özel giriş yolundan doğru şekilde geçmektedir
• [ ] Eklenti etkinleştirildikten sonra tüm tam sayfa önbellekleri temizlenmiştir
• [ ] CDN/ters proxy’nin giriş ile ilgili yollar için önbelleği atladığı doğrulanmıştır
• [ ] /wp-login.php ve /wp-admin üzerinde sunucu düzeyinde engelleme, derinlemesine savunma katmanı olarak eklenmiştir
• [ ] XML-RPC uç noktası değerlendirilmiş ve gerekli değilse devre dışı bırakılmıştır
• [ ] Tamamlayıcı eklentiler (hız sınırlama, 2FA, WAF) etkin ve yapılandırılmıştır
• [ ] Kurtarma prosedürü belgelenmiş ve hazırlık ortamında test edilmiştir
• [ ] SSL sertifikası etkin ve site genelinde HTTPS’yi zorunlu kılmaktadır

SSS

WPS Hide Login tüm kaba kuvvet saldırılarını önler mi?

Hayır. Yalnızca bilinen varsayılan giriş URL’lerini hedef alan otomatik saldırıları önler. Bir saldırgan özel giriş URL’nizi keşfederse — kaynak kod ifşası, sunucu günlükleri veya sosyal mühendislik yoluyla — kaba kuvvet denemeleri yeniden başlayabilir. URL gizlemeyi her zaman hız sınırlama ve iki faktörlü kimlik doğrulamayla birleştirin.

WPS Hide Login, WordPress otomatik güncellemelerini veya cron işlerini bozar mı?

Hayır. WordPress çekirdek güncellemeleri, eklenti güncellemeleri ve wp-cron.php kimlik doğrulama için /wp-login.php kullanmaz. Bunlar nonce’lar ve uygulama parolaları veya doğrudan dosya yürütmesini kullanır. WPS Hide Login bu süreçlere müdahale etmez.

Klasörü yeniden adlandırmadan WPS Hide Login’i devre dışı bırakırsam giriş URL’sine ne olur?

Eklentiyi WordPress kontrol paneli üzerinden devre dışı bırakmak, /wp-login.php ve /wp-admin adreslerini işlevsel giriş uç noktaları olarak hemen geri yükler. Özel URL’niz çalışmayı durdurur. Bu işlem geri alınabilir — eklentiyi yeniden etkinleştirmek özel URL yapılandırmasını geri yükler.

WPS Hide Login’i bir WordPress Multisite ağında kullanabilir miyim?

Dikkatli kullanılmalıdır. Eklenti ağın birincil sitesinde çalışır; ancak alt sitelerde, özellikle alt dizin çoklu site yapılandırmalarında tutarsız davranış sergileyebilir. Dağıtmadan önce ağınızın hazırlık klonunda test edin ve WordPress sürümünüzle bilinen çoklu site çakışmaları için eklentinin GitHub sorun takipçisini inceleyin.

Özel giriş URL’sini diğer yöneticilerle paylaşmak güvenli midir?

Özel giriş URL’sini hassas bir kimlik bilgisi olarak değerlendirin. Yalnızca şifreli kanallar (bir parola yöneticisinin paylaşım özelliği, şifreli bir mesajlaşma uygulaması) aracılığıyla paylaşın; düz metin e-postalara veya kamuya açık depolarda saklanan belgelere asla eklemeyin.