iThemes Security Kurulumu ve Ayarları | 2018

1

WordPress siteler için güvenliğin ve düzenli yedekleme yapmanın ne kadar önemli olduğundan WordPress’le ilgili hemen hemen her yazımızda bahsediyoruz. Daha önce detaylı şekilde WordPress Güvenlik Önlemlerinden, WordPress Yedekleme Eklentilerinden, WordPress Güvenlik Eklentilerinden bahsetmiştik. Bu yazımızda en sık kullanılan güvenlik eklentilerinden biri olan iThemes Security eklentisi ile en kolay yoldan sitelerinizin güvenliğini nasıl sağlayacağınızı konuşacağız. 

iThemes Security eklentisininhangi ayarların mutlaka kullanılması gerektiğinden öncelikli olarak bahsedeceğiz fakat eklenti üzerindeki tüm ayarları detaylı şekilde sizlere açıklayacağız. Bu sayede sizde sitenize en uygun ayarları kendiniz belirleyebileceksiniz.

WordPress Konusunda İlginizi Çekebilecek Diğer Yazılarımız

iThemes Security Ayarları

Eklentiyi WordPress sitenize kurduktan sonra WordPress Yönetici Paneline eklenen Security sekmesine tıklayın. Karşınıza birinci adım olarak Security Check seçeneği gelecek ve bu seçenek sayesinde tek tıkla siteniz için pek çok alanda güvenlik düzenlemesi yapabileceksiniz. Bu düzenleme her siteye tavsiye edilirken, aralarında şunlar yer alıyor;

  • – Yasaklı kullanıcılar
  • – Veritabanı yedeklemeleri
  • – Brute Force koruması
  • – Güçlü şifreler
  • – WordPress düzenlemeleri

Security Check siteniz için temel güvenlik ayarlarının uygulanmasını sağlayan bölümdür. Yazımızın ilerleyen kısımlarında zaten burada yapılan ayarları tek tek nasıl yapacağımızı seçeceğiz.

Global Settings 

Eklentinin temel ayarları ve sitenin güvenliği için gerekli temel bazı ayarlar Global Settings üzerinden düzenlenebilir.

Bu bölümde eklentinin sağlıklı çalışabilmesi için gereken önemli bir seçenek bulunmaktadır. Önemli kısımlar için Kalın ve italik yazı tipi kullanılmıştır.

  • Write to Files -> Bu özellik iThemes Security eklentisine .htaccess ve wp-config.php dosyalarını düzenleme yetkisi verir. .htaccess ve wp-config.php dosyaları bazı güvenlik ayarları için gerekli temel dosyalardır. İleride yeri geldikçe sizlere açıklanacaktır.
  • Host Lockout Message -> Bu bölüm sitenize erişimi engellenmiş bir host(sunucuya) görünecek mesaj bu alandan düzenlenebilir.
  • User Lockout Message -> Bu bölüm sitenize erişimi engellenmiş bir kullanıcıya görünecek mesaj bu alandan düzenlenebilir.
  • Community Lockout Message -> iThemes Security topluluğu tarafından daha önce spam yaptığı fark edilmiş IP adreslerinden sitenize girmeye çalışanlara gösterilecek mesaj bu alandan düzenlenebilir.
  • Blacklist Repeat Offender -> Bu özelliği aktif ederek, sitenize, düzenli olarak, spam amacıyla giren kötü amaçlı kişileri veya botları kara listeye alarak sitenize erişmesini engelleyebilirsiniz. Bu özelliği aktif ettikten sonra alt kısmında bulunan ayarlar ile kimlerin hangi durumda kara listeye alınacağını belirleyebilirsiniz. Temel ayarlar aşağıdaki şekildedir;
  • Blacklist Threshold -> Bir IP adresinden sitenize yapılan girişler, iThemes Security tarafından kaç defa geçici olarak engellendiğinde kalıcı olarak engellenmesini isterseniz bu bölüme o sayıyı yazmalısınız.
  • Blacklist Lookback Period -> Karalisteye alınan IP adreslerinin sitenize erişiminin kaç gün kalıcı olarak engelleneceğini buradan belirleyebilirsiniz.
  • Lockout Period -> Geçici erişim engelinin kaç dakika olacağını bu özellik ile belirleyebilirsiniz. 15 Dakika tavsiye edilen süredir.
  • Lockout White List ->  Bu özellik sayesinde belirlenen IP adreslerinden çok sayıda hatalı giriş denemesi olsa bile IP adresinden siteye erişimin engellenmemesini sağlayabilirsiniz. Buraya eğer sabit IP kullanıyorsa site yöneticilerinin IP’leri eklenebilir.
  • Log Type -> Hatalı girişlerin iThemes Security tarafından nasıl kaydedilmesini istediğinizi bu özellik üzerinden seçebilirsiniz. Küçük siteler için Database Only (sadece veritabanı) daha uygun iken büyük ve çok kullanıcılı sitelerde veritabanına kayıt yapmak veritabanının gereksiz büyümesine ve sitenin yavaşlamasına yol açacağı için File Only (sadece dosya) çok daha uygun olacaktır.
  • Days to Keep Database Logs -> Veritabanı verilerinin ne kadar süre ile veritabanında tutulacağını belirleyebileceğiniz bölümdür. 14 Gün idealdir.
  • Allow Data Tracking -> iThemes Security’nin siteniz hakkındaki bilgileri toplaması ve eklentiyi geliştirmek için kullanmasına izin veriyorsanız bu özelliği aktif edebilirsiniz.
  • Override Proxy Detection -> Eğer Proxy kullanmıyorsanız bu özellikle daha doğru IP adresi tespiti yapabilirsiniz.
  • Hide Security Menu in Admin Bar -> WordPress kullanıcı paneline giriş yaptığınızda üst kısımda bulunan yönetici menüsünde iThemes Security’e kolay erişim menüsünün görünmesini istemiyorsanız bu özelliği seçebilirsiniz.
  • Show Error Codes -> Hata kodlarını size gösterilip gösterilmeyeceğini belirleyebilirsiniz. Varsayılan olarak No yani kapalıdır.

 Notification Center

  • Notification Center yani Bildirim Merkezi, iThemes Security eklentisinin size hangi durumlarda ve hangi şekilde bildirim göndereceğini belirleyeceğiniz alandır.
  • E-Posta ile bilgilendirilme Ayarları -> From Email -> Bu bölümle iThemes Security’nin hangi e-posta adresini kullanarak size e-posta göndereceğini seçebilirsiniz. WordPress’in varsayılan ayarları için boş bırakabilirsiniz.
  • Default Recipients -> Kimlerin bildirim e-postası alacağını belirleyebilirsiniz. All Admin Users seçeneği seçilirse WordPress sitenizde yönetici olan bütün kişilere güvenlik bildirimleri iletilecektir. Eğer isterseniz sadece seçili yöneticilere e-posta gönderilmesini sağlayabilirsiniz.

Database Backup -> Veritabanı Yedekleme

iThemes dilerseniz veritabanı yedeğinizi alıp size e-posta ile iletebilir. Veritabanı yedeğinizin hangi e-posta adreslerine iletilmesini istiyorsanız alt-alta olacak şekilde e-posta adreslerini girebilirsiniz.

  • HideBackend Notify -> Hide Backend özelliğini kullanarak eğer WordPress Kullanıcı Girişine ait olan URL’yi değiştirdiğinizde (ileride detaylı anlatacağız) kullanıcılara gidecek e-posta içeriğini ve hangi kullanıcılara e-posta iletilmesini istediğinizi bu bölümden düzenleyebilirsiniz.
  • Security Digest -> Sitenize ciddi bir saldırı olduğunda iThemes Security size binlerce e-posta gönderebilir. Ve bu durum bazen oldukça sinir bozucu olabilir. Eğer bu seçeneği aktif ederseniz, size gelecek mail sayısı azalacak ve sitenize yapılan saldırı / hatalı girişlerle ilgili özet içerikli e-postalar alacaksınız.
  • Site Lockouts -> Hatalı giriş yaptığı için vb. geçici süreyle engellenen kullanıcılar için e-posta ile bildirim almak isterseniz bu bölümü aktifleştirebilirsiniz. Fakat bu bölümü aktifleştirirseniz, günde onlarca-yüzlerce e-posta alabilirsiniz.

Global Settings ve Notification Settings ile ilgili İpuçları

  • İlk olarak bildirimlerin size gelmesi için WordPress varsayınlan kullanıcı ayarlarında belirttiğiniz e-posta adresinizi doğru girdiğinizden emin olun. 
  • Security Digest kısmının aktif olduğundan emin olun. Böylece binlerce e-posta almaktan kurtulabilirsiniz.
  • Global Settings kısmında yasaklanan kullanıcılara gösterilecek mesajları ‘User Lockout Message’ kutucuğundan dilediğiniz şekilde ayarlayabilirsiniz.
  • Kalıcı olarak banlanacak kişileri belirleyebilir isterseniz kendiniz de girişini engellemek istediğiniz IP’leri ekleyebilirsiniz.
  • Kendi IP adresinizi Whitelist(Güvenilir IP’ler) sekmesine eklemeyi unutmayın.
  • Güvenlik verilerinin küçük siteler için sadece veritabanında saklanmasını tercih edebilirsiniz.
  • Eğer kendiniz Varnish ya da Cloudflare gibi bir proxy servisi kullanmıyorsanız, Override Proxy Service seçeneğini aktif hâle getirerek IP adreslerini daha rahat tanımlayabilirsiniz.

404 Detection

Bu özellik ile sitenizde var olmayan sayfalara girmek için çok sayıda deneme yapan bot veya kötü niyetli kişileri engelleyebilirsiniz. Bu özelliği etkinleştirdiğinizde engellenen kişiler Global Settings ile belirlediğimiz özelliklere göre kalıcı olarak banlanacaklar ve aynı şekilde siteye girmeye çalıştıklarında Global Settings ile belirlediğimiz karşılama mesajını görecekler.

  • Minutes to Remember 404 Error (Check Period) -> Hatalı girilen 404 sayfaların kaç dakika hatırlanacağını bu özellik ile belirleyebilirsiniz. Kişi veya bot burada belirlenen süre içinde, aşağıda belirleyeceğimiz sayıda 404 sayfasına girerse IP adresinin sitenize erişimi geçici olarak (global settings’te belirlediğiniz süre) engellenir.
  • Error Threshold -> Burada belirtilen sayı kadar hatalı giriş yukarıda belirtilen süre içinde yapıldığında IP adresinin sitenize girişi geçici olarak engellenir.
  • 404 File/Folder White List -> 404 sayfa hataları için güvenilir listesine alınacak dosyaları bu bölüme eklemelisiniz.

404 Detection ile ilgili ipuçları

  • 404 Detection servisini kullanmadan önce sitenizi bir 404 aracıyla kontrol edin. Eğer çok sayıda 404 sayfası varsa gerçek kullanıcıların ve Google Bot gibi siteniz için yararlı botların banlanmasına yol açabilirsiniz.
  • About Lockouts sekmesinde kullanıcıların Global Settings’teki ayarlara göre engellendiğini göreceksiniz. Bu kullanıcıların IP’leri .htaccess üzerine yazılacak ve belirlenen süre için kalıcı olarak banlanacaklardır.
  • Buraya almak istemediğiniz 404 sayfalarını whitelist sekmesine ekleyebilirsiniz.

Away Mode

– Away Mode, yöneticiler de dahil tüm kullanıcıların, site yönetim paneline giriş özelliğini (login) belirlediğiniz saatlerde tamamen kapatmanızı sağlar.  Böylece Brute Force saldırıları bir miktar engellenebilir. Örneğin gece 1’den gündüz 8’e kadar sitenizin giriş sayfasını kapatabilirsiniz.

Type of Restriction -> Giriş Engelleme Tipi

  • Daily -> Sitenizde düzenli olarak her gün, belirli saatlerde kullanıcı giriş özelliğini kapatmak istiyorsanız bu özelliği kullanmalısınız.
  • One Time -> Belirli bir tarihe özel, tek seferlik olarak sitenize kullanıcı girişi yapılmasını engeller.

 

Away Mode ile İlgili İpuçları

  • Özelliği etkinleştirmeden önce o anki saatin site saatiyle aynı olduğuna emin olun.
  • Eğer Away Mode aktifken siteye girmek isterseniz wp-content> uploads > ithemes security klasörü içindeki itsec_away.config dosyasını silmeniz gerekiyor.

Cezalı Kullanıcılar

Buradaki Hack Repair Default Blacklist sekmesi eklentinin geliştiricisi tarafından hazırlanan bir özellik. Tanınan bot ve zararlı saldırganları otomatik olarak kara listeye alıyor. Fakat bazı sitelerdeki üçüncü parti uygulama kullanan siteler bunlardan etkilenebiliyor. Bu nedenle bu özelliği aktif ettikten sonra sitenizi ve eklenti işlevlerini vs detaylı şekilde kontrol etmelisiniz.

  • Enable Ban List -> Engellenen IP adresleri bu alana yazılır. İsterseniz siz de sitenize erişimini engellemek istediğiniz IP adreslerini bu alana ekleyebilirsiniz.

Local Brute Force Protection

Bu sekmede de Global Settings’teki Kalıcı / Geçici Erişim Engelleme ayarlarınız kullanılıyor. Hatalı Kullanıcı Adı – Şifre denemeleri yapan kullanıcıların IP adresleri .htaccess dosyası içine yazılıyor ve kalıcı olarak banlanıyorlar.

  • Max Login Attempts Per Host-> Tek IP adresinden kaç hatalı giriş denemesi yapılırsa kişinin erişiminin geçici olarak engelleneceğini buradan belirleyebilirsiniz.
  • Max Login Attempts Per User ->  Eğer kişi aynı kullanıcı adıyla bu alanda belirlenenden fazla hatalı giriş yaparsa belirlenen kullanıcı adı sistem tarafından kilitlenir. Sizin kullanıcı adınızı bilen kötü niyetli kişiler bu şekilde hesabınızın kilitlenmesine neden olabilir.
  • Automatically ban “admin” user ->   Eğer sitenize admin kullanıcı adı kullanılarak bir giriş denemesi yapılırsa sistem tarafından otomatik olarak banlanır. En sık kullanılan kullanıcı adlarından biri olan admin kullanıcı adını değiştirmek oldukça önemli. Yöneticilerin admin gibi basit ve kolay tahmin edilebilir kullanıcı adlarını kullanmamaları tavsiye edilir. Eğer kullanıcı adınız admin değilse bu özelliği de aktifleştirebilirsiniz. Yazımızın devamında Admin kullanıcı adının nasıl değiştirilebileceğini öğrenebilirsiniz.

Brute Force Protection İpuçları

  • Local Brute Force Protection kısmında ‘admin’ kullanıcı adıyla giriş yapmaya çalışan kişileri otomatik olarak siteden atma seçeneğiniz bulunuyor. Eğer sitenizde bu kullanıcı adıyla birisi yoksa özelliği mutlaka kullanmanızı tavsiye ederiz.

Database Backups

Oldukça önemli olan veritabanı yedekleme özelliği iThemes Security’de de bulunuyor. Düzenli veya elle yedeklemeler almanızı sağlayan eklenti aynı zamanda dilerseniz yedeklenen veritabanını e-posta ile size de gönderebiliyor. Ayrıca veritabanınız üzerinde sadece temel WordPress bileşenleri için yedekleme veya komple veritabanı yedekleme gibi seçenekler de bulunuyor.

  • Backup Full Database -> Bu özellik aktif edildiğinde, veritabanınızda bulunan eklenti ve tema veriler de dahil tam bir veritabanı yedeği oluşturulur.
  • Backup Method -> Bu özellik ile yedeklemelerin hangi yöntemle yapılacağını belirleyebilirsiniz. E-mail Only seçeneği belirlendiğinde yedeklenen veritabanı size sadece e-posta ile gönderilir. Save Locally Only seçeneği belirlendiğinde ise yedeklenen veritabanı sunucunuza kaydedilir.  Save Locally ve Email seçeneği ile hem sunucunuz üzerinde bir yedek oluşturabilir hem de oluşturulan yedeğim e-posta ile size iletilmesini sağlayabilirsiniz.
  • Backups to Retain -> Eğer veritabanını sunucunuza yedeklemek isterseniz, kaç adet yedeğin sunucunuzda saklanacağını bu alandan belirleyebilirsiniz. “0” değeri girilirse tüm yedekler saklanır.
  • Compress Backup Files -> Yedeklenen veritabanını zip formatına sıkıştırılmasını sağlar.
  • Exclude Tables -> WordPress Veritabanında WordPress Temel Bileşenleri dışında kullandığınız tema ve eklentiler içinde veriler ve tablolar bulunabilir. Veritabanı yedeğiniz hazırlanırken temel bileşenlerden olmayan eklenti veya tema verilerinden hangilerinin hazırlanan yedeklere eklenmeyeceğini belirleyebilirsiniz.
  • Schedule Database Backups ->  Bu özellik aktifleştirildiğinde eklenti; zamanlanmış, düzenli, veritabanı yedekleri almaya başlar.
  • Backup Interval -> Kaç günde bir veritabı yedeği alınacağını zamanlamanıza yarar.

 

  • Manuel olarak bir yedek oluşturabilir veya zamanlama yapabilirsiniz.
  • Yedekleme yöntemini, ve kaç tane yedeğin saklanacağını belirleyebilirsiniz.
  • Eğer yedeklemelere zaman atarsanız, ne sıklıkta olacağını ayarlayabilirsiniz.

File Change Detection – Dosya Değişiklik Tespiti

Sitenize bağlı olarak eklentinin bu kısmı, sitenizde olup biteni incelemek için kullanılabilecek önemli özelliklerden birisi. WordPress sitelere yapılan malware saldırılarında bazen site dosyalarında değişiklik yapılsa bile kullanıcı farkına varamıyor. File Change Detection özelliği ise bunu tespit etmeye yarıyor. Dosyalarda yapılan tüm değişikleri kaydeden ve istediğinizde incelemeniz sağlayan sistemin kullanılması büyük sitelerde biraz sıkıntıya yol açabilir.

Özelliği etkinleştirdikten sonra karşılaştırma için kullanıcılacak ilk dosya taramasını “Scan Files Now” tuşuna basarak çalıştırabilirsiniz.

  • Files and Folders List -> Taramaya dahil edilmesini istemediğiniz dosyaları bu özelliği kullanarak çıkarabilirsiniz. Örneğin eğer önbellekleme (cache) eklentisi kullanıyosanız, eklentinin önbellekleme için kullandığı klasörlerini tespit ederek taramadan çıkarmak daha az gereksiz bildirim almanızı sağlayabilir.
  • Ignore File Types -> Bu alanda belirtilen uzantılara sahip dosya ve belgelerde olacak değişiklikler kayda alınmayacaktır.
  • Display File Change Admin Warning -> Dosya Değişiklikleriyle ilgili bildirimi yönetici panelinizden görmenize imkan sağlayan özelliktir.

 

File Change Detection ile ilgili İpuçları

  • – Taranacak klasörlerde özel dosya seçimi yapabilirsiniz.
  • – Dosya değişikliklerinde nasıl bilgilendirileceğinizi seçebilirsiniz.

File Permissions – Dosya İzinleri

File Permissions özelliği hızlıca sitenizdeki klasör ve dosya izinlerine bakmanızı sağlar. Farklı ortamlar farklı izinler kullanır ve bu normaldir. Klasörlerinizin 777, dosyalarınızın ise 666 veya 777 iznine sahip olmamasına dikkat edin. Cpanel veya bir FTP aracı kullanarak sitenizde tavsiye edilen CHMod ayarlarını kullanabilirsiniz.

Show Details ile özellik sekmesini açıp “Load File Permissions” tuşuna basarak sitenizdeki dosya izinlerini görüntüleyebilirsiniz.

iThemes sizlere tavsiye edilen CHmod ayarlarını da gösterecek ve hatalı CHmod ayarlarınız varsa sizi bilgilendirecektir.

 

Network Brute Force Protection

Burada iThemes’in kara listesi kullanılıyor. Eğer iThemes Security tarafından belirlenen ve kalıcı olarak banlanan IP adreslerinin sitenize erişimi engellenecektir.

SSL

Eğer sitenizde SSL desteği varsa bütün HTTP sayfaların yönlendirmesini yapabilirsiniz.  Sadece siteniz doğru şekilde SSL desteğine sahipse burayı aktif edin. Aksi takdirde bütün siteye erişim kesilebilir. SSL’e geçiş için bu eklenti yerine .htaccess’te düzenleme yapmanın daha iyi olduğunu düşünüyorum. Tabii ki karar yine de sizin. İlerleyen günlerde SSL’e geçiş hakkında detaylı bir yazıyı sizlerle paylaşacağız.

Strong Password Enforcement

Bu özelliği aktif hâle getirerek siteye kayıt olacak kullanıcıları güçlü( Büyük / küçük harf, rakam içeren ve belirli bir karakterden uzun) bir parola seçmeye zorlayabilirsiniz. Seçeceğiniz kullanıcı türü ve onun üstündekilerin tamamı bundan sonra basit şifreler belirleyemez. Bol yöneticili ve editörlü siteler için oldukça faydalı bir özelliktir.

Enabled -> Bu seçenek işretlenirse güçlü parola özelliği etkinleştirilir.

Minumum Role -> Bu alanda seçilecek kullancı türü ile seçilen kullanıcı türünden fazla yetkiye sahip bütün kişilerin güçlü şifreler kullanmasını sağlar.

System Tweaks

System Tweaks modülünde sitenizin güvenliği için birkaç düzenleme yapabilirsiniz. Buna rağmen pek çoğu uyumsuzluklara yol açabilir. Dolayısıyla tamamını kullanmadan önce tek tek deneyerek kontrol etmenizi öneririz. 

Buradaki seçenekler ve özellikleri şu şekilde;

  • Protect System Files – Sitenizde bulunan, önemli dosyaları herkesin görmesini engeller. readme.html, readme.txt, wp-config.php, install.php, wp-includes, and .htaccess gibi dosyalara dışarıdan biri eriştiğinde sitenizle ilgili önemli bazı bilgilere de erişebilir. Bu özelliği aktif ederek dışarıdan yukarıda belirtilen sistem dosyalarına erişim engellenir.
  • Directory Browsing – Herhangi bir index dosyasının gözükmediği durumlar kişiler  kullanıcıların sitenin klasör dizinini görmesini engeller. Dizin görüntüleme özelliği açık olursa yine kötü niyetli kişiler sitenizde erişilmemesi gereken dosyalara erişebilir.

Yukarıda anlattığımız iki güvenlik önlemini herhangi bir eklenti kullanmadan da yapabilirsiniz. WordPress Güvenlik Önlemleri başlıklı yazımızı okuyarak farklı güvenlik önlemleriyle ilgili de bilgiler alabilirsiniz.

  • Disable Request Methods – Trace ve delete istek metodlarını filtreler, bu HTTP protokol metodlarının sitenize erişimini durdurur. Bunlar meşru şekilde kullanılabildiği gibi, kimi zaman saldırılarda da kullanılırlar. WordPress REST API kullanıyorsanız bu özelliği kullanmamalısınız.
  • Suspicous Query Strings – Şüpheli sorgu ekleri kullanılarak sitenizin veritabanına sızmaya çalışan kişilerin engellemesini sağlar.SQL enjeksiyonlarına karşı savunma.
  • Non-English Characters – Aynı şekilde SQL enjeksiyonlarına karşı savunma sağlar fakat sadece İngilizce sitelerde kullanılmalıdır.
  • Long URLs – Sitenize erişirken kullanılan şüpheli ve gereğinden uzun URL sorguları ile sitenize erişmeye çalışanları engeller. Eğer uzun URL’lere sahip yazılarınız varsa sorun çıkarabilir. Yine aynı şekilde SQL enjeksiyonlarını engellemeye yarar.
  • File Writing Permissions – Komut dosyalarının ve kullanıcılarının .htaccess ve wp-config.php dosyalarında değişiklik yapmalarını engeller. Bazı eklentilerin çalışmasında bozulmaya yol açabilir. .htaccess ve wp-config.php dosyalarını daha güvenli olan 444 izniyle değiştirir. Varsayılan olarak bunların izni daha az güvenli olan 644’dür. Seçeneği etkinleştirdiğinizde CHmod 444 olarak güncellenir. Seçeneği kapattığınızda ise tekrar 644 olacaktır.
  • Disable PHP in Uploads – Dosya yükleme klasöründe PHP işlevlerinin kullanılmasını engeller. Bu sayede dışarıdan sitenize yükleme yapanların sitenizde PHP komut çalıştırması ve bu şekilde sızması engellenmiş olur. Bu işlevselliği etkilemez fakat dış kaynakların zararlı script kullanmalarının önüne geçer.
  • Disable PHP in Plugins – Plugins yani eklentilerin yüklendiği klasörde PHP komutlarının çalışmasını engeller. Bu durum bazı eklentilerin çalışmamasına yol açabilir. Bu seçenek bir çok eklenti işlevini etkileyeceği için dikkatli kullanınız.
  • Disable PHP in Themes – Themes yani temalar klasöründe PHP komutlarının çalışmasını engeller. Bu durum bazı temaların çalışmasını engeller. Bu seçenek bir çok tema işlevini etkileyeceği için dikkatli kullanınız.

WordPress Tweaks

Tıpkı System Tweaks’te olduğu gibi burayı da komple aktif etmeden önce çakışma ihtimallerine karşı tek tek denemenizi tavsiye ederiz.

  • Windows Live Writer – Eğer sitenizde Windows Live Writer kullanmıyorsanız bu dosyaya erişimi engellemek için bu özelliği aktifleştirebilirsiniz.
  • EditURI -> Eğer sitenizde WordPress Web_Client veya XML-RPC kullanmıyorsanız yada Flickr gibi bir siteyle entegrasyonunuz bulunmuyorsa bu özelliği aktifleştirebilirsiniz.
  • Comment Spam – Bunu aktif etmek spam yorumların azalmasını sağlar. Spam yorumların engellemesi ile ilgili Akismet Spam Uygulaması Kurulumu hakkında yazımızı okuyabilirsiniz.
  • File Editor – Bunu aktif ederek sitenizdeki dosya düzenleyicisine erişimi kaparsınız. Böylece dosyalar sadece sunucu üzerinden değiştirilebilir hâle gelecektir.
  • XML-RPC – XML-RPC dış uygulamalar ile sitenize erişmenize olanak sağlayan bir özelliktir. Örneğin WordPress mobil uygulaması XML-RPC üzerinden bağlantı sağlar. Fakat bu özellik Brute Force ile sitenize saldırılmasına yol açabilir. Dolayısıyla kimse kullanmıyorsa “Disable XML-RPC” Seçeneğini seçerek özelliği devre dışı bırakın. Eğer Jetpack ya da WordPress Mobile uygulaması kullanıyorsanız Disable Pingbacks seçeneğini işaretleyin.
  • Multiple Authentication Attempts per XML-RPC Request –  Yukarıda bahsettiğimiz gibi XML-RPC özelliği sitenizin çok sayıda brute force saldırısı almasına yol açabilir. Bu özellik çoklu giriş denemesi yapan IP’leri bloklamaya yarar. Block seçeneği tıpkı bir üst maddede olduğu gibi XML-RPC özelliği kullanmıyorsanız “Block(Recomended)” şeklinde olmalı.
  • REST API – Varsayılan olarak REST API sitedeki yayımlanmış yazılara, kullanıcılara ve medyaya erişim sağlar. Restricted seçeneği tavsiye edilir.
  • Login Error Messages – Hatalı giriş yapan kişiler için hata mesajını gizler, böylece tekrar saldırı yapması zorlaşır.
  • Force Unique Nickname – Botlara ve saldırganlara karşı kullanıcılara özgün nick seçimini zorunlu kılar
  • Protect Against Tabnapping – Site dışı target_blank linklere karşı phishing(kimlik avı) saldırılarına karşı önlem alır. 

WordPress Salts

Fazla teknik detaylara girmeden açıklamak gerekirse, WordPress giriş yapan kullanıcıları tanımlamak için cookie – çerez kullanır. Yani bir anlamda gizli bir doğrulama sistemine sahiptir ve bunlar wp-config.php dosyası içinde tutulur. Diğer parolalar gibi, WordPress’teki ‘salt’ denilen bu anahtarları da zaman zaman değiştirmek gerekir. Dolayısıyla bu özelliği kullanabilirsiniz.

iThemes Security Gelişmiş Ayarlar

iThemes Security tarafından “Recommended” yani tavsiye edilen ayarları genel olarak sizlerle paylaştık ve önemli olan ayarları kalın ve italik yazı tipi ile yazdık. Yazımızın devamında iThemes Security eklentisindeki gelişmiş güvenlik ayarlarına “Advenced” sekmesine tıklayarak geçebiliriz. (Bknz: Görsel)

 

iThemes Security Gelişmiş Ayarları 2018
iThemes Security Gelişmiş Ayarlar

ÖNEMLİ!!!

Gelişmiş Ayarlar bölümünde yapılacak değişiklikler geri döndürülemez bozulmalara ve  sitenizin açılmamasına neden olabilir. Bu nedenle değişiklik yapmadan önce sitenizin ve veritabanınızın tam bir yedeğini aldığınızdan emin olun.

 

Admin User

Bu özellik ile kullanıcı adı olan admin ve kullanıcı ID’si olan 1’i değiştirebilirsiniz. Admin varsayılan olarak geldiği için en sık kullanılan kullanıcı adlarından birisi ve bu nedenle hackerların da sitenize erişmeye çalışırken ilk deneyeceği kullanıcı adı olacaktır.

ÖNEMLİ!!!

Admin User bölümünde değişiklik yapmadan önce sitenizin ve veritabanınızın tam bir yedeğini aldığınızdan emin olun.

 

Change Content Directory

Bu özellik, wp-content klasörünün tüm içeriğini farklı isimde bir klasöre taşımanızı sağlar. İşlem eklenti ile veya başka bir şekilde geri döndürülemez. Bu işlem sitenizdeki temaların, eklentilerin bozulmasına, uploads klasörüne yüklenmiş dosyalara erişimin eski linklerden engellenmesine yol açabilir. Bu özelliğin sadece yeni kurulmuş bir WordPress sitede kullanımı tavsiye edilmektedir. Genel olarak ise özelliğin kullanımı artık pek tavsiye edilmemektedir.

ÖNEMLİ!!!

Change Content Directory bölümünde değişiklik yapmadan önce sitenizin ve veritabanınızın tam bir yedeğini aldığınızdan emin olun.

Temel olarak WordPress’le ilgili bir çok dosya wp-content klasöründe bulunmaktadır. Yüklenen tüm eklentiler, temalar, uploads klasörü (sizin yüklediğiniz dosyalar) wp-content klasörünün içinde bulunmaktadır. Bu dosyaları farklı bir dizine taşımak bazı botları engelleyecektir. Fakat artık modern botlar dizin değişikliğini kolayca algılayabilmektedir ve bu işlevin pek bir özelliği bulunmamaktadır.

Change Database Table Prefix

WordPress veritabanı için tablolar oluştururken varsayılan olarak wp_ ön ekini kullanır. (Ör: wp_users, wp_posts) Sitenize sızmak isteyen kişiler varsayılan olan ve  bu nedenle en sık kullanılan veritabanı ön eki olan wp_ yi kullanarak WordPress veritabanını hedefleyen bir script yazabilirler. WordPress veritabanı ön ekinizi değiştirerek bu olası saldırıları engelleyebilir.

Bu işlem sitenizin veritabanının bozulmasına, sitenizin açılmamasına, eklenti ve temalarınızın çalışmamasına yol açabilir.

ÖNEMLİ!!!

Change Database Table Prefix bölümünde değişiklik yapmadan önce sitenizin ve veritabanınızın tam bir yedeğini aldığınızdan emin olun.

Bu özelliğin sadece yeni kurulmuş bir WordPress sitede kullanımı tavsiye edilmektedir.

Hide Backend

Bu özelliği kullanarak, yönetici ve üyelerin giriş yapma sayfaları olan siteadresiniz/wp-login.php adresini değiştirebilir böylece, kötü niyetli kişilerin sitenizin Login sayfasını bularak Brute Force denilen kullanıcı adı – şifre kombinasyonlarını denedikleri yöntemi engellemiş olursunuz.

Hide Backend: Özelliği aktif etmek için bu alandaki seçeneği işaretleyin

Login Slug: Bu alana giriş (login) sayfası için belirlediğiniz yeni adresi girin
Örnek: siteadresiniz/girissayfasi

Enable Redirection: Bu özelliği aktif ederek giriş veya admin sayfanız erişmek isteyen kişileri başka bir sayfaya yönlendirebilirsinizRedirection Slug: Yönlendirmek istediğiniz sayfa adresini bu alana girebilirsiniz. Ana sayfa için boş bırakabilirsiniz veya /bulunamadi gibi sayfa ekleyerek 404 sayfasına yönlendirebilirsiniz.

404 sayfalarınızı SEO için düzenlemek hakkında daha fazla bilgi almak için 404 Sayfaları ve SEO başlıklı yazımızı okuyabilirsiniz.

ÖNEMLİ!!!

Change Database Table Prefix bölümünde değişiklik yapmadan önce sitenizin ve veritabanınızın tam bir yedeğini aldığınızdan emin olun.

 

iThemes Security ayarları hakkında hazırladığımız yazının sonuna geldik. WordPress hakkında daha fazla yazı okumak için WordPress kategorimizi ziyaret edebilirsiniz.

Eklentide yapılacak değişikliklerden veya eklentinin yüklenmesinden kaynaklanacak sorunlardan ve oluşacak problemlerden ogrenio.com sorumlu değildir.
Bunları da beğenebilirsin
1 yorum
  1. olcay diyor

    Merhaba. Bu gelişmiş (Advanced) bölümünde bir de “Server Config Rules” ve “wp-config-php Rules” diye iki bölüm var kimse buranın ne olduğunu anlatmamış? Bu kısımları ne yapacaz?

Cevap bırakın

E-posta hesabınız yayımlanmayacak.

Bu website, kullanıcı deneyimini arttırmak için çerezleri kullanmaktadır. Sitemizi kullanarak bunu kabul etmiş sayılırsınız. KabulDaha Fazla Bilgi