Herkese merhaba arkadaşlar,bu gün sizler ile birlikte WordPress’in güvenliğini sağlayan iThemes Securityin nasıl çalıştığını ne işe yaradığını neler yapabildiğini ve ayrıntılı bir şekilde ayarlarından bahsedeceğim.

Peki bu iThemes Security ne yapar,ne işe yarar aklınızda tabiikide bu soru var hemen açıklayalım iThemes WordPressinizdeki açıkları kapatır ve oluşan açıkları size e-posta yoluyla kapatır,isterseniz admin paneline giden bağlantıyı değiştirebilir,sitenizi virüs taramısından geçirebilir,ve WordPressiniz için önerilen sağlıklı ayarları yapabilirsiniz kısacası eklentimiz tüm WordPressi koruma altına alır.

Eklentinin ayarlarını yapmadan önce tabiikide ilk olarak eklentiyi indirin indirmek için buraya tıklayabilirsiniz yada eklentiler > yeni ekle > arama yerine iThemes Security yazarak eklentiyi indirebilirsiniz fazla uzatmadan ayarlara geçelim bu arada eklentiyi belki hatırlayabilirsiniz normal çünkü eski ismi Better Wp Security’di yeni ismi ile daha fazla özellik geldi hatırlatmak gerek,eski adıyla hiç alakası yok.

İthemes ayarları

Eklentiyi kurduktan sonra yan panelden Security yazısının üstüne gelerek settings yazısınada tıklayarak eklentimizin paneline erişebiliriz iThemes’in ayarlarına girdikten sonra ekrana bir çok bölüm gelecek bunlar güvenlik ayarları.

Yukaradıda gördüğünüz resim iThemes’in 2017 ayarlar sayfasıdır yani şöyle söylerebilirimki günceldir yapacağınız ayarların hepsi güncel bunu yaparken sizlerde göreceksiniz.

Security Check: Bu özellik web sitenizi taramadan geçirir banlanan kullanıcıları,veritabanı yedeklerini,site korumasını,ağ korumasını,kullanıcıların ve sizin parolanınızı ve son olarakta WordPress ayarlarınızı gözden geçirerek tarar bu işlemi yapmanız çok basit sadece Security Checkin altındaki configure settings butonuna basmak ve açılan penceredeki secure site butonuna basmask ve ardından sitenizi taramaya başlar.

Global Settings: Şimdi yavaş yavaş kritik ayarlara girmeye başlıyoruz,global settings iThemes’in fonksiyon ayarlarını değiştirmemizi ayarlamamızı sağlıyor.Üstteki gibi configure settings butonuna tıklıyoruz ve önümüze bir pencere açılıyor.

global settings ayarları

Write to files: bu özellik iThemes’in wp-config.php dosyasına ve .htaccessdosyasına erişebilmek ve ayarları daha rahat yapabilmesi için etkinleştiriyoruz.

Notification Email: size herhang bir saldırı olduğunda yada veritaban yedeği veya,herhangi bir dosyanın yedeğini aldığında mail gönderebilmesi için mail adresinizi yazıyorsunuz WebMail’den oluşturduğunuz mail adresini yazarsanız sizin için daha güvenli olur.

Send Digest Email: Bunu size kısa olarak analtıyım mailinizi iThemes’2in yollayacağı mailleri spam yapmasını engeller yani her bir yolladığı maili değilde toplu olarak yollamasını istiyorsanız bu özelliği aktif edebilirsiniz.

Backup Delivery Email: Web sitenizin yedeklerinin yollanacağı mail adresinizi yazıcaksınız.

Not olarak şunuda söylemek istiyorum bazı gereksiz yerleri geçeceğim ve bulamadığınız yerleri CTRL+F kısa yolu ile ayarı aratarak bulabilirsiniz.

Blacklist Repeat Offender: Bu özelliği etkinleştirmeniz gerekiyor web sitenizden uzaklaştırdığınız yani banladığınız kullanıcının ayarlarını yapabilmeniz için ayar izni veriyor.

Blacklist Threshold: kutucuğa “3” yazın.

Blacklist Lookback Period: kutucuğa “7” yazın.

Lockout Period: Aynı şekilde kutucuğun içine 15 yazın.

Lockout White List: Bu kısma kendi İP adresinizi yazabilirsiniz kendinizi beyaz listeye almış olursunuz yani kendinizi banlayamaz banlamaktan korursunuz.

Email Lockout Notifications: Bu özellik herhang bir banlanma esnasında veya hesap kilitlenme vs. sırasında size mail gönerir etkinleştirmenizi tavsiye ederim.

Log Type: Seçeneğini “Database Only” olarak seçin.

Days to Keep Database Logs: Kutucuğa “30” yazın.

Allow Data Tracking: iThemes’in eklentileri vs gizli kod sayesinde izlemesini aktif edersiniz etkinleştirmenizi pek önermem size kalmış bir seçenek.

Disable File Locking: Dosya kilitleme özelliğini devre dışı bırakır tabiikide bu özelliği devre dışı bırakın.

Override Proxy Detection: Cloudflare veya ona benzer bir hizmet kullanıyorsanız bu seçeneği etkinleştirmeniz gerekmekte.

Hide Security Menu in Admin Bar: Bu özellik web sitenizdeki kullanıcının veya yazarın bardaki iThemes’in ayarlarını gizler etkinleştirmenizi öneririm.

Show Error Codes: Bu özelliği default olarak bırakıyoruz yani “No (Default)” olarak bırakın.

Global Settings ayarlarımızıda doğru bir şekilde yaptıktan sonra diğer bölüme geçiyoruz.

404 detection ayarları

Bu özellik, iThemes’in 404 hatasını bulmasını etkinleştirir sitenizde açık oluşturabilmesini engellemek adına yararlı bir özellik o yüzden etkinleştirmemiz gerekiyor.

Minutes to Remember 404 Error (Check Period): Bu özellik sayesinde iThemes’in 404 hataları için kaç dakikada bir yapmasını belirliyoruz kutucuğa “5” yazmanı yeterli olucaktır.

Error Threshold: Bu özellik 404 girişlerini limitler kutucuğa “30” yazmanız sizin için yeterlidir.

404 File/Folder White List: Bu özellikte iThemes’2in beyaz listesinde bulunan web sayfalarınızın 404 denetiminden geçmesini engellersiniz engellenen sayfalar,resimler vb. şeyler aşağıdaki kutucukta yazmaktadır eğer hiç birşey yazmıyor ise yada yanlış bilgiler yazıyorsa size verdiğimiz kodları o kutucuğa girmeniz yeterli olucaktır.

/favicon.ico
/robots.txt
/apple-touch-icon.png
/apple-touch-icon-precomposed.png
/wp-content/cache
/browserconfig.xml
/crossdomain.xml
/labels.rdf
/trafficbasedsspsitemap.xml

Ignored File Types: Bu özellik,dosya türlerini beyaz listeye alır.İstediğiniz herhangi bir dosya varsa yazabilirsiniz.

away mode ayarları

Nedir bu away mode hemen bahsedeyim,bu özellik sayesinde belirlediğiniz saatlerde admin paneline girişi yasaklarsınız bana göre çok faydalı bir eklenti tabiikide bunu uyuduğunuz zaman göre ayarlarsanız sizin için daha iyi olur,ve bu özellik sayesinde sitenize giriş yapmaya çalışan hacklerdan korunmuşda olursunuz bu arada bu özellik sizde kurulu değilse away mode bölümünden enable butonuna basarak aktif edebilirsiniz.

Type of Restriction: Admin panelini kapatma ayarını yaparsınız bu işlemde 2 seçenek bulunur günlük ve bi kereliğine ve bu özelliği size şiddetle tavsiye ederim (Dailiy) yapmanızda fayda var.

Start Time: Bu özellik başta belirttiğim gibi başlangıç saatini seçmenize yardımcı olur yani siteye girmediğiniz zamanı seçmelisiniz.

End Time: Admin panelinin tekrar aktif olacağı saatin seçimini yapın.

Local Brute Force Protection ayarları

Bu özellik bizim için çok önemli bir özelliktir eğer hacker web sitenizin admin paneli girişini bulduysa sürekli rastgele şifreler deneyerek veya herhangi bir kötücül yazılımla şifrenizi bulmaya çalışırsa bunu engellemeye çalışır peki nasıl engeller ondanda bahsedelim,bu özellik sayesinde admin paneline giriş limiti koyabiliyoruz isterseniz 5 kere denediğinde girişi yasaklansın isterseniz 15-20 bu size kalmış ama etkinleştirmenizde herhangi bir sakınca yoksa kesinlikle etkinleştirin.

Max Login Attempts Per Host: Giriş limiti belirlemeniz gerekiyor 5 ideal.

Max Login Attempts Per User: Bir kullanıcının giriş için yapacağı denemelerinin en fazla kaç olacağını limitlememiz gerekiyor siteniz için 10 ideal olucaktır.

Minutes to Remember Bad Login (check period): Geçici ban sebebini belirleyin 5 ideal olucaktır.

Automatically ban “admin” user: Eğer hacker kötücül yazılım kullanıp panele girmeye çalışıyorsa ve otomatik admin yazıp girmeye çalıştıysa geçici olarak engelleniyor bu özelliği aktifleştirmelisiniz.

database backup ayarları

Bu özellik sayesinde veritabanının güncel olarak yedeğini alır etkinleştirmekte tabiikide fayda hele bir gün siteniz hacklenirse olucakları siz düşünün.

Backup Full Database: Bu özelliği etkinleştirdiğinizde iThemes bizim için otomatik bir şekilde veritabanın yedeğini alır.

Backup Method: Bu seçek iThemesin bize bu yedeği nasıl,hangi şekilde yollayacağını seçiyoruz (Mail only daha güvenli olucaktır.)

Backups to Retain: Kutucuğa “0” yazın bu özellik 1 veya 2 olursa public_html de veya hosting dosyaların içinde olucaktır.

Compress Backup Files: Veritabanınız çok fazla büyükse bu özellik sayesinde .zip dosyasının boyutunu küçültebilirsiniz etkinleştirmekte fayda var.

Exclude Tables: Bu seçeneği değiştirmenize gerek yok yedek alıcak dosyaları seçmemizi söylüyor.

Schedule Database Backups: Bunu devre dışı bırakın.

File Change Detection ayarları

Bu özellik sayesinde hostinginiz üzerinde yada wordpress dosyalarınız değiştiğinde ve bunu farkettiğinde sizi uyarır aktifleştirmeniz gerekiyor.

Split File Scanning: Dosyalarda sizden hariç herhangi başka biri dosyaları değiştirirse sizi bigilendirir bunu etkinleştirmenizde çok fazla fayda var.

Include/Exclude Files and Folders: Bu seçeneği “Exclude Selected” olarak seçmeniz gerekmekte.

Files and Folders List: hangi dosyaları dahil edeceğini seçer bu seçeneği değiştirmenize ellemenize gerek yok olduğu gibi bırakın.

Email File Change Notifications: Herhangi bir dosyanın değiştirildiğini farkederse size mail yoluyla bilgilendirir.

Display File Change Admin Warning: Bu seçeneği etkinleştirirseniz herhangi bir dosya değiştirildiğinde admin panelinde uyarı olarak gösterir.

System Tweaks ayarları

System Tweaks web sitenizin kaynak ayarlarını yapar yani daha çok dışarıdan gelen linklerle işi olur şiddetle aktifleştirmenizi tavsiye ederim.

System Files: Bu özellik sayesinde .htacces,install.php vb. dosyalarının ziyaretçilerin erişmesini engelliyoruz bu özelliği etkinleştirin.

Directory Browsing: Bu özellik sayesinde üst rehberi saklarsınız güvenlik açısından büyük bir unsurdur etkinleştirmeniz gerekiyor.

Request Methods: İstek metodlarını filtreler.

Suspicious Query Strings: Herhangi bir şüpheli URL’yi sorgular.

Non-English Characters: dikkat! bu özelliği asla ama asla etkinleştirmeyin! ingilizce dışında kelimeleri engeller sitenizin bozulmasına sebep olabilir.

Long URL Strings: Sitenizin URL uzunluklarını belirli bir limite kadar indirir.Hack yöntemlerinden kaçınılmış olursunuz şiddetle tavsiye ediyorum etkinleştirin.

File Writing Permissions: Dosya yazma iznini yasaklar bu özelliği devre dışı bırakın.

PHP in Plugins: Bu özellik sayesinde kötü amaçla yazılmış PHP dosyalarınını yüklemeyi engeller.

wordpress tweaks ayarları

Windows Live Writer Header: Eğer sunucunuzda Windows Live Writer kullanıyorsanız bunu etkinleştirin kullanmıyorsan etkinleştirmenize gerek yok.

EditURI Header: Siteniz dribbble,flicker gibi internet sitelerine kayıtlıysa bu özelliği aktifleştirin.

Comment Spam: Yorum spamını engeller aktifleştirin.

File Editor: Bu özellik sayesinde admin paneline bir hacker eriştiyse görünüm > düzenle kısmından hiçbirşeyi düzenleyemez sadece FTP’den düzenleme hakkına sahip kalırsınız etkinleştirin.

XML-RPC: Bu özellik son zamanlarda artan hack yöntemlerinden biridir bu özelliği aktifleştirin fakat başka bir güvenlik eklentisi varsa etkinleştirdiğinizde bu özellik çalışmayabilir.

Force Unique Nickname: Eğer üyeliklere açık bir internet siteniz varsa bu özelliği kesinlikle etkinleştirin daha önceden kullanılmış kullanıcı adlarını koymayı engeller ve hiç koyulmamış kullanıcı adları koymaya zorlar.

hide backend ayarları

Bu özellik sayesinde admin panelinin urlsini değiştirir yani giriş panelini değiştirir bu özelliğide kullanmanızı kesinlikle tavsiy ederim.

Hide Backend: Admin panelinin URLsini değiştirir aktifleştirin.

Login Slug: Kutuya “wplogin” yazın artık admin paneline wp-admin üzerinden veya wp-login.php üzerinden değilde siteadi.com/wplogin üzerinden giriş yapıcaksınız.

Enable Redirection: Eğer wp-admin’den giren bir kullanıcı olursa hata sayfasına yönlendirecek.

Redirection Slug: Yönlendirme sayfasına bir ad verin kutucuğa “not_found” yazın ve bırakın.

Custom Login Action: Kendinize özel giriş URLsi yapabilirsiniz.

Bu yazımız bukadar! umarım faydalı olmuştur birazcık uzun oldu ama çok faydalı olduğuna eminim umarım WordPressinizde herhangi bir açık olmaz şunuda hatırlatmak istiyorum açıksız güvenilir bir WordPress sitesine sahip olmak için kesinlikle ama kesinlikle w-arez eklenti,tema,dosya kullanmayın diğer WordPress güvenlik rehberine gitmek için buraya tıklayın yorumlarınızı bekliyoruz!

-ReklamBaşımdaki Sorun - Soru Cevap

4 YORUMLAR

  1. Bende wordpress kullanıyorum ve bu eklentiyle hiç karşılaşmamıştım taki sizin yazınızı görene kadar adım adım çok güzel bir biçimde analtmışsınız hemen işe koyulup eklentiyi deniyorum elinize sağlık 🙂

  2. çok iyi bir makale olmuş etkileyici uzun acıklayıcı bir makale olmuş. ellerinize saglık böyle bilgilendirici makalelere devam güvenligim 2 kat arttı worpdressde.

  3. Altyapı olarak bende WordPress kullanıyorum ve böyle bir eklentinin olduğunu bilmiyordum taki sizin yazınızı görene kadar şimdi hemen işe koyulup adım adım dediklerinizi uygulayacağım teşekkürler 🙂

  4. kardeş çok teşekkür ederim, web siteme ikide bir gecenin bu vaktinde (02-03:00) saatlerinde durmadan giriş yapmak isteyenleri verdiğin paylaştığın eklenti ile bertaraf ettim gerçekten çok saolun,

CEVAP VER

Please enter your comment!
Please enter your name here