WordPress güvenliği tüm wordpress kullanıcıları için oldukça önem arz eden bir konu. Emin olun sitenizin hiti arttıkça, iyi bir yerlere geldikçe buna göz diken ve emeğinizi çalmak isteyen insanlar olacaktır.
İşte bu kötü niyetin önüne geçebilmek adına güvenlik önlemi olarak yapabileceğiniz en iyi şey wordpress sitenize ithemes security eklentisi kurmanız.
iThemes Security Kurulumu
WordPress admin panelinizden Eklentiler >> Yeni ekle sekmesi altından sağ üst köşedeki arama kutusuna iThemes security yazarak eklentiyi aratıyoruz ve karşımıza yukarıdaki resimdeki gibi bir ekran çıkıyor.
Resimde Yünklenenler olarak görünen buton, sizde şimdi kur butonu olarak görünecektir. Şimdi Kurbutonuna tıklayarak iThemes security eklentisini wordpress sitenize kolaylıkla kurmanız mümkün.
iThemes Security Ayarları
Eklentiyi yükleyip, etkin hale getirdikten sonra ilk defa Admin Paneli >> Securtiy >> Settings sekmesine gittiğinizde karşınıza Security Check diye bir ekran gelecektir. Bu ekranda Secure Site butonuna tıklamadan! sol alt köşede bulunan Close butonuna tıklayın. Biz her ayarı tek tek yapacağız.
Global Settings
iThemes Security Ayarları – Global Settings
Not: Eklentinin bu özelliğinin ve altta sıraladığım tüm özelliklerinin ayarlarına gitmek için öncelikle özelliğin isminin hemen altına yer alan Configure Settings ( Ayarları Yapılandır ) butonuna tıklayın. Eğer bu buton yoksa da öncelikle Enable butonuna tıklayarak özelliği aktif hale getirmeniz gerekir ve ondan sonra Configure Settings butonu açılır.
#Write to Files: Bu kısmı işaretleyip etkin hale getirdiğimizde iThemes security eklentisinin wp.config.php ve .htaccess sayfalarını yazmasına izin veriyoruz.
Eğer bunu etkinleştirmezseniz, tüm yazım işlemini sizin manuel olarak yapmanız gerekli. Yani eklentinin düzgün çalışması için bu seçeneği etkin hale getirmeniz şart.
#Host Lockout Message: Bir bilgisayar (host) sitenizden geçici olarak banlandığı zaman bu mesajı alır. Bu kısmı Türkçeleştirebilirsiniz. (Geçici olarak banlandınız vs.)
#User Lockout Message: Sitenizin bir üyesi üst üste yanlış şifre girdiğinde ya da herhangi biri ( bot veya gerçek kişi ) üye olmadığı halde üye girişi girişimi ile üye bilgileri ele geçirme denemesi yaptığında geçici olarak banlanır.
İşte buraya da bu kişi banlandığı zaman karşısına çıkacak mesajı yazıyoruz. Yine aynı şekilde bu kısmı da istediğiniz gibi Türkçeleştirebilirsiniz.
#Blacklist Repeat Offender: Bu ayarla kara liste (Kalıcı Ban) oluşturmayı etkinleştiriyoruz ve bir kullanıcının yada bot’un, kara listeye nasıl gireceğini alttaki ayarlarla belirliyoruz.
#Blacklist Threshold: Bu özellikte, bir kullanıcı kaç kere üst üste geçiçi ban yerse kara listeye girer, belirliyoruz.
#Blacklist Lookback Period: Bu özellikte üst üste ban sınırının zaman dilimini, güncinsinden belirliyoruz.
#Lockout Period: Geçici banlanmanın süresini belirliyoruz.
↑ Sistem Nasıl İşliyor ? : Üstteki 3 ayar şu şekilde işliyor, Lockout Period kısmında 15 dakika yazdığınızda bir kullanıcının şüpheli bir girişiminde 15 dakika boyunca geçici olarak banlanmasını sağlıyoruz.
Blacklist Lookback Period kısmına 7 gün ve Blacklist Threshold kısmına 3 yazarsak, prosedür şu şekilde işliyor; Bir kullanıcı 7 gün içerisinde 3 kere 15 dakikalık geçici ban yerse, iThemes security o kullanıcıyı direkt kara listeye alıyor ve kalıcı ban yiyor. Sitenize de aynı IP adresi ile bir daha giriş yapamıyor.
#Lockout White List: Bu kısımda kendi IP adresinizi veya istediğiniz diğer IP adreslerini beyaz listeye ekliyorsunuz. Kendi IP adresinizi Add my Current IP adress to white listbutonunu kullanarak beyaz listeye ekleyebilirsiniz.
Bunu yaparak kendinizi ve eklediğiniz diğer IP adreslerini admin veya üye girişi yaparken şifrenizi yanlış girseniz bile üstte ayarladığımız şekilde hem geçici hem de kalıcı banlamalardan uzak tutumuş oluyorsunuz.
Yani, eğer kendi IP adresinizi beyaz listede belirtmezseniz, sitenize giriş yaparken şifrenizi 4 kere üst üste yanlış girdiğinizde, sizde 15 dakikalık ban geçici ban yersiniz. Bunun, site sahibi olarak sizin başınıza gelmesini istemezsiniz tabi ki :) O yüzden IP adresinizi beyaz listeye eklemenizde fayda var.
#Log Type: Giriş denemelerinin nerede depolamasını seçiyorsunuz. Veritabanınızda depolamanızda fayda var. ( Database Only )
#Days to Keep Database Logs: Bu şeçenek ile iThemes security eklentisinin giriş denemelerini ne kadarlık bir zaman aralığında veritabanınızda saklanmasını belirliyoruz. ( 30 gün ideal )
#Allow Data Tracking: Bu seçeneği etkin hale getirdiğimizde ise iThemes bizim eklenti kullanımımız ile ilgili veri topluyor. Bir nevi eklenti yazarlarına feedback / geri bildirim yapmış oluyorsunuz.
#Override Proxy Detection: Eğer proxy kullanmıyorsanız IP belirlemede bu seçeneği etkinleştirerek daha net sonuçları alabilirsiniz.
#Hide Security Menu in Admin Bar: Bu özellik ise ekranın en üstünde bulunan Admin barından Security yazısını, yani eklentinin yönetim paneli kısa yolunu kaldırır. ( üyelerin eklenti ayarlarına erişimini engellemek amaçlı)
#Show Error Codes: Bu ayar etkin hale getirildiğinde eklentinin verdiği her bir hataya bir kod atanmış olur. Bu da eğer eklenti yazarları ile iletişime geçtip, destek almak isterseniz eklenti yazarlarının hatayı tespit etmek için işlerine yarayacak bir ayar.
Dolayısı ile böyle bir destek talebiniz olmadığı ve eklenti yazarları bu ayar sizden etkin hale getirmenizi istemediği sürece bu ayarı NO olarak bırakın.
404 Detection
iThemes Security 404 Detection Ayarları
404 Detection özelliği sitenizde 404, yani bulunamayan sayfaları size gösterilmesini sağlar. Aynı zamanda buradan yapacağınız ayarlamalar ile sitenize hack girişiminde bulunan kişileri veya botları engelleyebiliyorsunuz.
#Minutes to Remember 404 Error (Check Period): Bu seçenekten iThemes eklentisinin 404 hatasını alan ip adresini geçici veya kalıcı ban için ne kadar süre ile aklında tutması gerektiğini belirliyoruz.
Buradaki süreyi ne kadar yüksek tutarsanız siteniz veritabanına binecek yük o kadar fazla olacaktır. Benim tavsiyem max 10 dakikayı geçirmemeniz yönündedir.
#Error Threshold: Eğer bir kullanıcı veya bot sitenizde var olmayan bir sayfaya (yani 404) gereğinden fazla girmeyi denerse, geçici olarak banlanmasında fayda var çünkü bu kötü niyetli bir girişim denemesi olabilir. İşte bu özellikte 404 girişlerini buraya girdiğimiz sayıyla limitliyoruz. ( 20 ideal )
Eğer bu kişi veya bot geçici ban yemesine rağmen bu hareketini 3 kere (Global Settings kısm ında ayarladığımız sayı ) daha tekrarlarsa da ( 7 gün içinde ) kalıcı olarak ban yiyecektir.
Ancak siz yine de garanti olması açısıdan bu kısmı 0 (sıfır) olarak ayarlayın.
0 olarak bıraktığınız zaman eklenti yine kayıt tutar ancak herhangi bir aksiyonda bulunmaz. Yani o ip adresine kalıcı veya geçici ban atmaz.
Ben kendim de bu kısmı 0 olarak kullanıyorum ve 2 – 3 gün de bir mutlaka Admin Paneli >> Security >> Logs >> Notices sekmesinden 404 hatalarını inceliyorum.
Şüpheli gördüğüm ip adreslerini ise kendim manuel olarak Admin Paneli >> Security >> Settings >> Banned Users >> Banned Host kısmına yazıyorum ve ayarları kaydet diyerek kalıcı olarak banlıyorum.
#404 File/Folder White List: Bu özellikte iThemes security eklentisinin beyaz listesinde bulunan sayfalarınız 404 denetim işleminin dışında tutulur ki bazı sayfalarınız kesinlikle bu listede olmalıdır.
Diyelim ki sitenizden favicon sayfanız silindi veya bozuldu. Eğer bir kullanıcı sitenizde 20’dan fazla sayfayı ziyaret ederse ki her sayfada favicon olduğu için ve 404 hatası verdiği için, 21. sayfaya tıkladığında geçici ban yer. Tabi ki bunun olmasını istemezsiniz. Aşağıda beyaz listeye ( White List ) almanız gereken dosyaları paylaşıyorum.
/favicon.ico
/robots.txt
/apple-touch-icon.png
/apple-touch-icon-precomposed.png
/wp-content/cache
/browserconfig.xml
/crossdomain.xml
/labels.rdf
/trafficbasedsspsitemap.xml
#Ignored File Types: Bu kısımda da dosya türlerini beyaz listeye ekliyoruz. Hemen üstte yer alan özellikte olduğu gibi.
Away Mode
iThemes Security Away Mode Ayarları
Away modu etkinleştirmek demek, belirlediğiniz saatlerde site admin panelini, yani site giriş panelini tamamıyla kapatmak demek. Site admin panelini belirli saatlerde tamamen kapalı tutarak saldırı riskini azaltabilirsiniz. ( Eğer üyelik sisteminiz yoksa )
Ben bu özelliği aktif olarak kullanmıyorum ancak yine de kullanmak isterseniz gece saatleri 4 ile sabah 7 arası ( hiç giriş yapmadığınız saatler ) site admin panelini kapatmak için mantıklı olabilir.
Not: Bir de eklenti saati ile ( ki bu saat away mode ayarları sayfasında yazar ) Türkiye saati arasında farklılık var. Saatleri set ederken bu farkı da mutlaka göz önünde bulundurun.
#Type of Restriction: Admin paneli kapatma işleminin günlük ya da bir kerelik olmasını seçiyoruz. Eğer admin panelinizin devamlı olarak belirli saatlerde kapalı kalmasını istiyorsanız günlük seçeneğini seçin.
#Start Time: Bu seçenekten ise başlangıç saatini seçiyoruz. Başlangıç saatinizi genelde sitenize giriş yapmadığınız saatlerde seçmelisiniz. Bir çok insan için en uygun olan zaman gece saatleridir diye düşünüyorum.
#End Time: Admin panelinin tekrar aktif olacağı saatide buradan belirliyoruz.
Banned Users
iThemes Security Banned Users Ayarları
#Default Blacklist: HackRepair.com’un hali hazırda bir kara listesi var. Sizinde bu kara listeyi, bu özelliği etkinleştirerek banlama listenize katmanızda fayda var.
#Ban Lists: Bu seçeneği etkinleştirerek, istediğiniz IP adresini manuel olarak bir alttaki Ban Hosts seçeneğinden banlayabilirsiniz ve o ip adresi kalıcı olarak banlanıyor. Bir daha da siz banı kaldırmadıkça sitenize giriş yapamıyor.
#Ban Hosts: Hatırlarsanız, iThemes security eklentisinin 404 hatalarını IP adresleriyle birlikte bize bildirmesini etkinleştirmiştik. iThemes security’nin gönderdiği rapora göre şüpheli bir girişimde bulunduğuna inandığınız IP adresini direkt olarak buraya yazarak kalıcı olarak banlayabilirsiniz.
#Ban User Agents: Bu kısım ise bot banlamaları içindir.
Database Backup
iThemes Security Database Backups Ayarları
Database Backup özelliğini aktif hale getirdiğinizde eklenti bizim için otomatik olarak yine bu özelliğin altından yaptığımız ayarlar ölçüsünde sitemizin veritabanı yedeğini alıyor.
Ancak tavsiyem bu özelliği kullanmamanızdır. Keza ben de kullanmıyorum. Bu özellik sadece veritabanı yedeğini alır. Site yedeği ise sadece veritabanı yedeği alınarak tamamlanmış olmaz. Ben site yedeğimi hem veritabanı hem de site dosyalarım için manuel olarak alıyorum.
Eğer yine de bu özelliği kullanmak isterseniz gerekli ayarlamalar şöyle;
#Backup Full Database: Bu seçeneği etkinleştirerek ihtemes security eklentisinden bizim için otomatik olarak veritabanı yedeği almasını talep ediyoruz.
#Backup Method: Bu seçenekte ise iThemes security eklentisinin aldığı yedeği hangi yolla bize ulaştıracağını seçiyoruz. E-mail olarak seçmeniz en güvenli yol.
#Backups to Retain: Bir üst seçenekte eğer yedekleri locally, yani site serverınızda saklamayı seçmeyi tercih ettiyseniz, bu seçenekten de alınan veritabanı yedeklerinin kaç tanesinin site serverınızda saklanması gerektiğini seçiyorsunuz. 0 ( sıfır ) yaptığınız zaman eklenti hepsini saklıyor.
#Compress Backup Files: Veritabanı boyutunuz büyükse, yedeği zip olarak almanızda fayda var. Diğer türlü e-mail atarken “mb” limitinden dolayı mail alamayabilirsiniz.
#Exclude Tables: Bu kısımda ise veritabanı yedeğinde hangi tabloların olmayacağınakarar veriyoruz. Logs, lockouts gibi tabloların veritabanı yedeğinizde yer almasına gerek yok.
#Schedule Database Backups: Bu seçeneği etkinleştirerek iThemes security eklentisinden yedek alma işlemini belirli aralıklarla yapmasını talep ediyoruz.
#Backup Interval: ( Bir üstteki seçeneği aktif ettiğimizde bu seçenek açılır ) Otomatik yedek alma işleminin zaman aralığını gün cinsinden belirliyoruz. 3 günde bir yedek alıp size ulaştırması ideal diye düşünüyorum.
File Change Detection
iThemes Security Ayarları File Change Detection
Bu özelliği etkinleştirdiğinizde, iThemes security sizi, siteniz dosyalarında sizin dışısınızda yapılan değişimlerden haberdar eder. Bazı insanlar sitenizi ele geçirse bile bunu size belli etmeden bazı dosyalarda değişiklik yaparak kendi yararına kullanabilir. Bu yüzden buda önemli bir özellik. Etkinleştirmenizde fayda var.
#Files and Folders List: Hangi dosyaların taramaya dahil edileceğini, hangilerinin ise taramanın dışında bırakılacağını seçiyoruz. Normalde hepsi seçili oluyor. Ancak tarama dışında bırakmak istediğiniz dosya varsa da sol kısımdaki bölümden seçerek sağ kısıma atıyorsunuz.
#Ignore File Types: Bu listede yer alan dosya uzantıları için dosya değişikliğinin yapılıp, yapılmadığı kontrol edilmeyecek. Yani bu dosya uzantıları taramanın dışında tutulacak
#Display File Change Admin Warning: Bu seçeneği etkinleştirdiğinizde, eklenti yaptığı tarama sonucunda sitenizde herhangi bir değişiklikle karşılaşırsa, size wordpress sitenizin admin panelinde uyarı olarak belirtiyor.
Local Brute Force Protection
iThemes Security Ayarları Local Brute Force Protection Ayarları
Sitenizin admin giriş şifresini öğrenmek isteyen bir kişi, harf ve rakam kombinasyonlarını sürekli deneyen bir programla giriş denemeleri yaparak, kullanıcı adınızı ve şifrenizi öğrenebilir. İşte, bunun önüne bu seçeneği etkinleştirerek geçebiliriz.
#Max Login Attempts Per Host: Bir hostun ( ip – cihaz ya da bilgisayarın ) sitenize giriş için yapacağı denemelerinin en fazla kaç kere üst üste olabileceğinin limitini belirliyoruz. ( 5 ideal ) 5 giriş denemesi de başarız olursa sistem kişinin bilgisayarını veya hostunu banlıyor ve sistem dışı bırakıyor.
#Max Login Attempts Per User: Bir kullanıcının sitenize giriş için yapacağı denemelerinin en fazla kaç kere üst üste olabileceğinin limitini belirliyoruz. ( 10 ideal )10 giriş denemesi de başarısız olursa sistem kişinin kullanıcı adını kilitliyor ve sistem dışı bırakıyor.
#Minutes to Remember Bad Login (check period): Giriş denemelerinin kaç dakika eklenti hafızasından tutulacağını belirliyoruz. ( 10 ideal )
Mesela bu kısmı 5 olarak set ettiğimizde 10 dakika içerisinde bir host 10 – bir kullanıcı ise 10 kere üst üste giriş denemesi yaparsa geçici olarak banlanır. ( kullanıcı ise sitenizde kayıtlı kullanıcı adı askıya alınır )
Eğer bu geçici banlanmalar 7 gün içerisinde 3 kere olursa da bu kullanıcı veya host kalıcı olarak otomatik banlanır ve bir daha sitenize ulaşım sağlayamaz. ( Bu 7 gün ve 3 kere ayarlarını hatırlarsanız Global Settings kısmından set etmiştik )
#Automatically ban “admin” user: Bu seçeneği etkinleştirerek, bir kişinin sitenizin giriş panelinede kullanıcı adına admin yazıp, giriş denemesi yaptığı anda direkt bir üstteki seçenekte belirlediğimiz süre kadar ( 5 dakika ) banlanmasını sağlamış oluyoruz.
Network Brute Force Protection
iThemes Security Ayarları Brute Force Protection Ayarları
Bu özellik ithemes security eklentisinin en sevdiğim özelliklerinden bir tanesi. Normalde siz Local Brute Force Protection özelliğinde set ettiğiniz ayarlar sonucunda giriş denemesi yaparak admin bilgilerinizi kırmak isteyen kişileri geçici ve hatta kalıcı olarak banlamasını sağlıyorsunuz.
Bu özelliği aktif ettiğinizde de sizin sitenize giriş denemesi yaparak admin bilgilerinizi kırmak isteyen ve kalıcı olarak banlanan kişilerin ip adresi bilgileri eklentinin genel havuzuna gönderiliyor.
Yine aynı şekilde bu havuza eklentinin bu özelliği aktif edilen tüm sitelerce eklenti tarafından banlanan ip adresleri bilgileri de gönderiliyor.
Ve havuzda yer alan tüm ip adresleri eklentinin bu özelliği kullanan tüm sitelerden otomatik olarak banlanmış oluyor. Yani bu özellik ile potansiyel olarak Brute Force saldırısında bulanabilecek kişi veya botları da engellemiş oluyorsunuz.
Bu özellikten yararlanmak için tek yapmanız gereken özelliği Enable / Aktif hale getirdikten sonra özelliğin ayarlarından ( Configure Settings ) E-Mail kısmına sitenizin bağlı olduğu mail adresini yazmanız.
Mail adresini yazıp, ayarları kaydettikten sonra eklenti otomatik olarak size bir API key atıyor ve siz de bu havuza dahil olmuş oluyorsunuz.
Password Requirements
iThemes Security Ayarları Password Requirements Ayarları
Bu özelliği etkinleştirmek (Enable) sitenize üye olanları güçlü bir şifre seçimine zorlar. Bunusadece yönetici ve editörler için uygulamanızı şiddetle tavsiye ederim.
Çünkü;
Eğer bir kullanıcı üye olurken güçlü şifre oluşturmazsa, eklenti kullanıcının üyeliğini güçlü bir şifre oluşturulana kadar kabul etmez ki buda kullanıcıların kolaylıkla üye olmaktan caymalarını sağlayabilir.
#Minimum Role: Hangi rol için güçlü şifre uygulamasının geçerli olacağını seçiyoruz.
Mesela; Editör için seçim yaptığınızda üyeliklerde yönetici ve editörler için yüksek güvenlikli şifre koymayı zorunlu hale getiriyorsunuz. Yazar seçtiğinizde ise üyeliklerdeyönetici, editör ve yazarlar için yüksek güvenlikli şifre koymayı zorunlu hale getiriyorsunuz.
SSL
Eğer sitenizi http’den https uzantısına taşıdıysanız yönlendirme için eklentinin bu ayarını da kullanabilirsiniz. Ancak bunu kesinlikle önermem. Çünkü http’den https geçiş işlemi sadece bu yönlendirme ile de bitmiyor.
Bu işlem hiç bir noktanın atlanmaması gerektiği özenli bir çalışma istiyor. Keza yapılacak herhangi bir hatada sitenizin tüm google sırlamasını kaybetme riskiniz var.
WordPress SSL kurulumu ve Http’den Https’ye Geçiş yazımda bu işlemi nasıl yapacağınızı anlattım. Eğer böyle bir geçiş yapacaksanız ithemes securtiy eklentisinin bu ayarı ile hiç uğraşmayın. Direkt yazımı takip ederek yapın.
System Tweaks
iThemes Security System Tweaks Ayarları
#System Files: (Protect System Files) Bu özelliği etkinleştirerek readme.html,readme.txt, wp-config.php, install.php, wp-includes, ve .htaccess dosyalarını ziyaretçilerin ulaşımına kapatıyoruz.
#Directory Browsing: Bu özelliği etkin hale getirerek bir ziyaretçiye no index olarak sunulan bir dosyanın bulunduğu klasörde yer alan dosya listelerini gizlemiş olursunuz.
#Request Methods: Request (istek) metodlarını filtreler.
#Suspicious Query Strings: Bu özelliği etkinleştirdiğinizde, ithemes security herhangi bir şüpheli URL sorgusuyla karşılaşırsa sorguyu filtreler.
#Non-English Characters: İngilizce dışında kullanılan karakterleri engeller. Bu özelliği kesinlikle etkinleştirmeyin! Türkçe karakterler bu özelliğe ters düşeceğinden, sitenizde bozulmalar olur.
#Long URL Strings: Bu özellik sitenizin URL uzunluklarını belirli bir limite indirir ki bu özelliği etkinleştirmenizde kesinlikle fayda var. Çünkü bir çok hack yöntemi URL sorgularıyla yapılır.
#File Writing Permissions: Dosya yazma iznini yasaklar. Yani hiç bir dosya sizin dışınızda kimse tarafından değiştirilemez. Bu özelliği kullanırken çok dikkatli olun!Eğer Cache eklentisi veya .htaccess dosyanızı yazan başka eklentiler kullanıyorsanız bu özellikten uzak durun. Aksi halde sitenizin bozulmasına sebep olabilir.
#PHP in Uploads: Bu özelliği etkinleştirerek potansiyel kötü niyetli php yüklemelerini engellersiniz. Böylelikle sitenize php uzantılı ( php kod içeren ) yüklemeler yapılamaz.
#PHP in Plugins: Eklenti dosyalarına PHP yüklemeleri yapamayı engeller. Bu kısmı etkin hale getirmeyin. Aksi halde eklentinizde yaptığınız güncellemeler sonucu bozulmalar olabilir.
#PHP in Themes: Tema dosyalarına PHP yüklemeleri yapmayı engeller. Bu kısmı etkin hale getirmeyin. Aksi halde temanızda yaptığınız güncellemeler sonucu bozulmalar olabilir.
WordPress Salts
iThemes Security System Tweaks Ayarları
WordPress Salts, yani WordPress güvenlik anahtarları kullanıcı çerezlerinde saklanan bilgilerin şifrelenmesini geliştirmek için WordPress tarafından kullanılan ve rastgele oluşturulmuş değişkenlerdir.
Örneğin, sitenizin saldırıya uğradığını ve admin şifrenizin başkası tarafından çalındığını veya bilindiğini düşünüyorsanız bu durumda ilk yapmanız gereken işlem şifrenizi değiştirmek olacaktır.
Ancak bu gibi durumlarda sadece şifre değiştirmek yeterli olmayabilir. Şifrenizi değiştireniz bile wordpress sitenize giriş yapan kişi kendi istediği ile manuel olarak çıkış (log out) yapmadığı sürece her türlü işlemi yapmaya devam edebilir.
Bu yüzden WordPress güvenlik anahtarlarını değiştirmeniz gerekir. Anahtarları değiştirdikten sonra, tüm kullanıcılar otomatik olarak çıkış yapacak / yaptırılacaklardır. Site yeniden girmeleri içinse tekrar giriş yapmaları gerekecektir.
İşte bu wordpress güvenlik anahtarlarını (WordPress Salts) değiştirme işlemini de ithemes security eklentisinin bu özelliğini etkin hale getirip (Enable) ardından Configure Settings >> Change WordPress Salts seçeneğini işaretleyip ayarları kaydederek yapabilirsiniz.
WordPress Tweaks
iThemes Security WordPress Tweaks Ayarları
#Windows Live Writer Header: Windows Live Writer kullanıyorsanız bu özelliği atlayın. Kullanmıyorsanuz bu seçeneğide etkinleştirin.
#EditURI Header: Eğer sitenizi Flicker veya benzeri sitelerle entegre ettiyseniz, ozaman bu özelliği etkinleştirmenizde fayda var. Entegrasyon yoksa bu özelliğide atlayın.
#Comment Spam: Botlardan gelen spam yorumları engeller.
#Display Random Version: Eğer bir sorguda wordpress sürümü gösterme zorunluluğu olursa sitenizin wordpress versiyonunu rasgele gösterir.
#File Editor: Eğer bu özelliği etkin hale getirirseniz dosya düzenleme işlemini wordpress üzerinden yapmanız engellenir. Yani, Görünüm >> Düzenleyici seçeneğini admin panelinizden kaldırılır. Bu özelliği etkinleştirdikten sonra dosya düzenleme işlemlerinizi FTP üzerinden ya da diğer yollardan yapmanız gerekecektir.
#XML-RPC: Bu özelliği Disable XMLRPC olarak işaretlemenizde büyük fayda var derim çünkü son zamanlarda en çok kullanılan hack yöntemlerinden birisi de bu. Ben bile kendi sitemde günde onlarca XMLRPC pingback alıyorum. Fakat, özelliği etkinleştirmeniz Jetpack gibi bazı eklentilerinizin çalışmasına engel olabilir. O yüzden karar sizin.
#REST API: Varsayılan olarak REST API sitenizde gizli olduğuna veya gizli kalması gerektiğine inandığınız bilgileri wordpress geliştiricileri erişimine açar.
Mesela
- Yayınlanmış gönderileri veya sayfaları olmayan üyeleriniz için kullanıcı ayrıntılarını içeren sayfaları
- Sitenizde yüklü olan ancak sitenizin herhangi bir yerinde hiç bir indirme linki veya gösterim linklemesi olmayan ortam kütüphanesi içerikleriniz indirebilirmesi ve görüntülenmesi gibi.
İşte bu ayar ile wordpress geliştiricilerinin REST API erişimini Restirected Accessseçeneğini işaretleyerek kısıtlı hale getiriyorsunuz.
#Login Error Messages: Başarısız bir oturum açma girişimi sonucu kullanıcıya geri bildirim olarak verilen, girdiğiniz şifre hatalı veya kullanıcı adı hatalı gibi neyin hatalı olduğunu spesifik olarak belirten hata mesajlarını engeller.
#Force Unique Nickname: Kullanıcılarınızı daha önce kullanılmamış nickler kullanmaya zorlar.
#Disable Extra User Archives: Eğer bir yazarın sitenizindeki içerik sayısı 0 (sıfır) ise, yazar sayfasını gösterimden kaldırır.
#Protect Against Tabnapping: WordPress link verme işlemlerini yeni sekmede açılacak şekilde ayarladığınızda link verdiğiniz site bir güvenlik açığı olduğu için sizin gönderdiğini trafiği istediği gibi başka bir yere yönlendirebiliyor.
Bu özellik de yeni sekmede açılan wordpress linklerine rel=”noopener noreferrer” etiketi ekleyerek bu güvenlik açığını ortadan kaldırıyor. ( Bu eklemeyi son güncelleme ile wordpress’de getirdi. )
#Login with Email Address or Username: Normalde wordpress kullanıcı girişlerinde (admin girişi de dahil) hem kullanıcı adını hem de kullanıcı mail adresini kullanıcı adı olarak kabul ediyor.
Bu seçenek ile de kullanıcı adı bilgisini sadece mail ile ya da kullanıcı adı ile giriş yapma şeklinde ayarlayabiliyorsunuz.
#Mitigate Attachment File Traversal Attack: WordPress’de var olan bir açıklık sebebi ile herhangi bir kullanıcı ( en düşük seviye de olsa) bir şekilde admin kullanıcısına ait olan düzenleme ve silme gibi ayrıcalıklar elde ederek ortam dosyaları için düzenleme veya silme işlemi yapabiliyor.
Tabi bu silme işlemi sadece ortam dosyaları ile de sınırlı kalmayabiliyor. İşte bu seçeneği etkin hale getirdiğinizde admin olmayıp da admin izninlerine sahip kullanıcıların, wp-config.php gibi hassas dosyalar da dahil olmak üzere WordPress kurulumunuzdaki herhangi bir dosyayı silebilecekleri bir saldırıyı azaltmaya yardımcı oluyor.
Advanced ( Gelişmiş Ayarlar )
iThemes Security Advanced Ayarları
Hide Backend
Bu seçeneği aktif, yani enable hale getirip, Configure Settings butonuna tıklayarak özellik ayarlarından Enable the hide backend feature seçeneğini işaretlediğimiz zaman wordpress’in varsayılan olarak kullandığı wp-login.php / wp-admin yani site giriş paneli URL adresini sizin belirlediğiniz bir uzantı ismiyle değiştirme özelliğini aktif ediyoruz.
#Login Slug: Yeni giriş adresiniz hangi uzantıda olacağını belirliyorsunuz. Örn: Diyelim ki bunu “haydigirelim” yaptınız, bu noktadan sonra artık wordpress sitenize girişler
http://sizinsiteniz.com/haydigirelim
URL adresi üzerinden gerçekleşir.
#Enable Redirection: Eğer site giriş adresini wp-admin veya wp-login.php yazarak ulaşmak isteyen kullanıcılar olursa da bu seçeneği etkinleştirdiğinizde karşılarına 403 forbidden sayfası çıkmıyor da sitenizin herhangi var olan bir sayfasına yönlendiriliyorlar.
#Redirection Slug: Burda ise 404 sayfa URL adresini belirliyoruz. Bunu “Bulunamadi”olarak yazarsanız, herhangi biri sitenizde var olmayan bu giriş sayfalarından herhangi birine ( wp-admin veya wp-login.php ) ulaşmaya çalıştığında karşısına
siteniz.com/bulunamadi
URL adresi çıkar. Yani boş bir 404 sayfası.Change Content Directory
Bu seçeneği önce etkinleştirerek (Enable) ardından Configure Settings butonuna tıklayıp özelliğin ayarlarına gittiğinizde wp-content dosyamızın ismini Directory Name kısmına girdiğimiz isimle değiştirebiliyorsunuz.
Bu da oldukça önemli bir güvenlik önlemi aslında. Eğer sitenizi yeni kurmadıysanız ve sitenizde içerik varsa bu özellikten uzak durun!!! çünkü sitenizin bozulmasına sebep olacaktır.
Kesinlikle Uyarmalıyım Ki!!!Bu değişikliği sadece ve sadece wordpress kurulumunu yeni yaptıktan sonra ve sitenize hiç bir içerik girmeden önce yapınız.
0 Yorumlar