Geçtiğimiz zamanlarda sizlerle wp-login.php şifreleme hakkında bir ipucu paylaşmıştım. Şimdi de, wp-login.php sayfasını brute force ataklarından korumak için, aynı yöntemin, farklı ve daha pratik kodlarını paylaşmak istiyorum. Aşağıdaki kodlarda yer alan kırmızı alanları, kendinize göre, zor ve karmaşık bir URL bilgisi ile değiştiriniz. Akabinde, ilgili kodları, temanızın functions.php dosyasına ekleyin. Böylelikle, wp-login.php sayfasını ziyaret eden herkes öncelikle hata mesajı ile karşılaşacak. Sadece gizli URL'yi bilen giriş sayfasını görebilecektir.

AYRICA: WordPress Güvenlik Rehberi (Kapsamlı Anlatım)

WordPress Giriş Sayfasını Brute Force Ataklarından Koruyalım

define('SH_CUSTOM_KEY','birincigizliurl');
define('SH_CUSTOM_VAL','ikincigizliurl');
function sh_show_login_form_callback(){
if(!empty($_REQUEST['log'])){ return; }
$valid_actions = array('logout');
if(isset($_REQUEST['action']) && in_array($_REQUEST['action'], $valid_actions)){
return;
}
if(isset($_REQUEST[SH_CUSTOM_KEY]) && $_REQUEST[SH_CUSTOM_KEY] == SH_CUSTOM_VAL){
return;
}
wp_die( 'Lütfen tekrar denemeyiniz.' );
}
add_action('login_init', 'sh_show_login_form_callback');
function sh_add_hidden_field_callback(){
echo '<input type="hidden" name="'.SH_CUSTOM_KEY.'" value="'.SH_CUSTOM_VAL.'"/>';
}
add_action('login_form', 'sh_add_hidden_field_callback');
function sh_login_authenticate_callback(){
if(empty($_REQUEST['log'])){
return;
}
if(!isset($_REQUEST[SH_CUSTOM_KEY])){
wp_die( 'Lütfen tekrar denemeyiniz.' );
}
if(isset($_REQUEST[SH_CUSTOM_KEY])&& $_REQUEST[SH_CUSTOM_KEY] != SH_CUSTOM_VAL ){
wp_die( 'Lütfen tekrar denemeyiniz.' );
}
}
add_action('wp_authenticate', 'sh_login_authenticate_callback');


Not: Yukarıdaki kodların ardından, sitenize yalnızca, wp-login.php?birincigizliurl=ikincigizliurl şeklinde giriş yapabileceksiniz. Bu arada, siteden çıkışlarda v.b. herhangi bir problem olmayacaktır. Endişeniz olmasın.