WordPress, dünya genelinde milyonlarca web sitesinin altyapısını oluşturduğu için siber saldırganların en çok hedef aldığı platformlardan biridir. Özellikle /wp-admin ve /wp-login.php sayfaları, brute force (kaba kuvvet) ve kimlik bilgisi doldurma (credential stuffing) saldırılarının merkezinde yer alır.
Şifrelerin tek başına yeterli olmadığı günümüzde, ek güvenlik katmanları kaçınılmaz hale gelmiştir. Bu noktada WordPress oturum açma ekranına güvenlik soruları eklemek, hem pratik hem de etkili bir çözüm sunar.
Bu makalede;
- Güvenlik sorularının ne olduğu
- WordPress’te neden önemli oldukları
- Eklenti ile ve kod kullanarak nasıl eklenecekleri
- En iyi uygulamalar ve dikkat edilmesi gerekenler
detaylı şekilde ele alınacaktır.
Güvenlik Soruları Nedir?
Güvenlik soruları, kullanıcının yalnızca kendisinin bilebileceği önceden belirlenmiş sorulara verilen yanıtlara dayanan bir doğrulama yöntemidir.
Örnek güvenlik soruları:
- İlk evcil hayvanınızın adı nedir?
- Doğduğunuz şehir hangisidir?
- İlkokul öğretmeninizin soyadı nedir?
Bu yöntem, genellikle şifre doğrulamasından sonra devreye girerek ek bir güvenlik katmanı oluşturur.
WordPress’te Güvenlik Soruları Neden Önemlidir?
1. Brute Force Saldırılarını Zorlaştırır
Saldırgan şifreyi ele geçirse bile, güvenlik sorusunu bilmediği sürece giriş yapamaz.
2. İki Faktörlü Doğrulamaya Alternatif veya Destek Olur
SMS veya uygulama tabanlı 2FA kullanmak istemeyen siteler için hafif ama etkili bir ek güvenlik çözümüdür.
3. Kullanıcı Deneyimini Çok Fazla Bozmaz
Doğru yapılandırıldığında, kullanıcılar için karmaşık olmayan bir doğrulama süreci sunar.
4. Paylaşılan Hesap Riskini Azaltır
Özellikle editör veya yazar hesaplarında, yetkisiz kullanım ihtimalini düşürür.
WordPress’e Güvenlik Soruları Ekleme Yöntemleri
WordPress’te bu işlemi yapmanın iki temel yolu vardır:
- Eklenti kullanarak
- Kod yazarak (manuel yöntem)
Eklenti Kullanarak Güvenlik Soruları Ekleme
Önerilen Eklentiler
A- WP Security Question
- Giriş ekranına güvenlik sorusu ekler
- Kullanıcı bazlı sorular tanımlanabilir
- Kolay kurulum ve kullanım
B- Two Factor Authentication (Security Questions destekli)
- Güvenlik sorularını 2FA ile birlikte kullanma imkânı sunar
Kurulum Adımları
- WordPress Yönetim Paneli → Eklentiler → Yeni Ekle
- Arama bölümüne eklenti adını yaz
- Yükle ve Etkinleştir
- Ayarlar bölümünden:
- Güvenlik sorularını belirle
- Kaç soru sorulacağını seç
- Zorunlu kullanıcı rollerini tanımla
Avantajları
- Kod bilgisi gerekmez
- Hızlı devreye alınır
- Güncellemelerle desteklenir
Dezavantajları
- Fazla eklenti site performansını etkileyebilir
- Ücretsiz sürümlerde sınırlamalar olabilir
Kod Yazarak Güvenlik Soruları Ekleme (Gelişmiş Yöntem)
Eğer eklenti kullanmak istemiyorsan, functions.php veya özel bir eklenti aracılığıyla güvenlik sorusu ekleyebilirsin.
Temel Mantık
- Kullanıcıya profil ekranında soru ve cevap tanımlatılır
- Giriş sırasında cevap doğrulanır
- Yanlış cevapta giriş engellenir
Dikkat Edilmesi Gerekenler
- Cevaplar düz metin olarak saklanmamalı
- Hash veya sanitize işlemleri uygulanmalı
- Yanlış deneme sayısı sınırlandırılmalı
Bu yöntem, PHP ve WordPress Hook’ları konusunda deneyim gerektirir. Canlı sitede denemeden önce mutlaka test ortamı kullanılmalıdır.
Güvenlik Soruları Kullanırken En İyi Uygulamalar
Tahmin Edilebilir Sorulardan Kaçının
“Doğum yılınız nedir?” gibi sorular kolay tahmin edilebilir.
Kullanıcıya Özel Soru Tanımlama İzni Verin
Hazır sorular yerine kullanıcının kendi sorusunu belirlemesi daha güvenlidir.
Büyük/Küçük Harf ve Boşluk Duyarlılığını Kaldırın
Kullanıcı deneyimini artırır ve gereksiz kilitlenmeleri önler.
Yanlış Deneme Sayısını Sınırlayın
3–5 denemeden sonra geçici kilit uygulamak güvenliği artırır.
Güvenlik Sorularını Tek Başına Kullanmayın
En iyi sonuç için:
- Güçlü şifre
- CAPTCHA
- 2FA
ile birlikte kullanılması önerilir.
Güvenlik Soruları mı, 2FA mı?
| Özellik | Güvenlik Soruları | 2FA |
|---|---|---|
| Kurulum | Kolay | Orta |
| Güvenlik Seviyesi | Orta | Yüksek |
| Kullanıcı Deneyimi | İyi | Orta |
| SMS/App Gereksinimi | Yok | Var |
En ideal senaryo, güvenlik sorularını 2FA’ya destekleyici olarak kullanmaktır.
SEO ve Kurumsal Siteler İçin Ek Öneriler
- Admin kullanıcı adını “admin” olarak bırakmayın
/wp-adminyolunu gizleyin- XML-RPC’yi kapatın veya sınırlayın
- Giriş denemelerini loglayın
Özellikle kurumsal WordPress sitelerinde, bu önlemler marka güvenilirliği açısından kritik öneme sahiptir.
WordPress oturum açma ekranına güvenlik soruları eklemek, sitenizi hedef alan saldırılara karşı etkili ve uygulanabilir bir savunma katmanı oluşturur. Tek başına mucizevi bir çözüm olmasa da, doğru yapılandırıldığında hesap ele geçirme riskini ciddi oranda azaltır.
Eklentiyle hızlı çözüm ya da kodla özel yapı… Hangisini seçersen seç, önemli olan güvenliği çok katmanlı düşünmek ve düzenli olarak sistemi güncel tutmaktır.
