WordPress

WordPress Güvenlik Eklentisi – iThemes Security Ayarları 2019

WordPress kullanıcıları bir hayli fazla olduğu gibi zamanla da kullanıcı sayısı artmaktadır. Tabii bu kadar kullanıcısı olan bir CMS Yazılımın açıklarını arayan ve bunları değerlendiren kötü amaçlı kişilerin sayısı göz ardı edilemeyecek kadar fazla. WordPress yazılımı kullanıyorsanız, muhakkak güvenlik önlemlerini almalısınız. Bu yazımda wordpress güvenliğini oldukça güzel üstlenen iThemes Security eklentisinin ayarları ve görevlerinden bahsedeceğim. WordPress sitenizin güvenliği için sizinde bu eklentiyi kullanmanızı gönül rahatlığıyla önerebilirim.

iThemes Security Kurulumu

Eklenti kurulumu için admin panelinize giriş yaptıktan sonra ” eklentiler > yeni ekle ” adımlarını takip ederek, yüklemek istediğiniz eklentinin adını yani iThemes Security yazmalısınız.

iThemes Security Kurulumu
iThemes Security Kurulumu

Açılan sayfada Hemen yükle butonuna tıklayarak kurulumu gerçekleştirebilirsiniz. Kurulum gerçekleştirdikten sonra eklenti otomatik olarak etkinleşmiş olacaktır. Ancak, her ihtimale karşı eklentiler menüsünde kurmuş olduğunuz eklentinin etkin olup olmadığı kontrol edebilirsiniz.

iThemes Security2
iThemes Güvenlik 2

Kurulum ve etkinleştirme işlemini yaptığınızda admin panelinde sol menüde Security başlığı altın eklentiyi görebilirsiniz. Settings butonuna tıkladığınızda Security Check sayfası açılacaktır. Bu sayfada yapabileceğiniz bazı basit ayarlardan bahsetmekte. Ayarlarınızı manuel olarak yapacağınız için bu sayfayı sol altta bulunan Close butonu ile kapatabilirsiniz.

WordPress Güvenlik Eklentisi Ayarları

Eklentinin ayarlarını açtığınızda tüm fonksiyonlar için ayrı ayrı etkin durumuna getirebileceğiniz bir sayfa açılacaktır. Bu sayfada ihtiyacınız olan ve aktif etmek istediğiniz fonksiyonu Enable butonu ile aktif edebilirsiniz. Aktif olan fonksiyonun ayarlarını güncelleyebilmeniz için ise Configure Settings butonuna tıklayarak ilerleyebilirsiniz.

Global Settings Ayarları

Eklentinin çalışırken engelleme algoritmasını ve temel yapılandırmaları burada belirtmelisiniz. Yapılandırmaları düzgün şekilde yapabilmeniz için aşağıda tüm özelliklerin ne için olduğunu belirttim.

Write to Files : Eklentide yapacağınız yapılandırmaları wp-config.php ve .htaccess dosyasına otomatik olarak yazması için bu seçeneğini aktif duruma getirmelisiniz. Bu seçeneği aktif duruma getirmediğiniz de yapılan değişiklikleri manuel olarak yerleştirmeniz gerekmektedir.

Host Lockout Message : Bir ziyaretçiyi geçici olarak engellediğinizde ekranda belirecek yazıdır. Bu kısa ” error ” yerine daha belirgin bir mesaj ile güncellemenizi öneririm. Örn: Geçici olarak engellendiniz.

User Lockout Message : Admin paneline üst üste yanlış giriş denemeleri sebebiyle kullanıcı veya bot engellendiğin de karşılaşılacak mesajdır. Bu kısmı da dilerseniz Türkçeleştirebilirsiniz. Örn : Çok fazla geçersiz giriş yapma girişimi nedeniyle kilitlendi.

Community Lockout Message : Bazı IP Adresleri iThemes Security eklentisi tarafından engellenmektedir. Böylelikle bu IP Adresleri sizin sitenize karşı yaratabilecek tehditlere karşı otomatik olarak engellenecektir. Burada bu tehdite karşı verecek uyarı mesajını güncelleyebilirsiniz. Örn: IP adresiniz iThemes Güvenlik ağı tarafından tehdit olarak işaretlendi.

Blacklist Repeat Offender : Bu seçeneği aktif ettiğinizde, bir sonraki 3 seçenekte belirteceğiniz ayarlara göre kullanıcının veya botun kalıcı olarak engellenmesini sağlar. Bu seçenekler için uygun olanları belirteceğim. Ancak, bu ayarları kendi isteğinize ve kurallarınıza göre belirlemeniz daha uygundur.

Blacklist Threshold : Bir kullanıcının üst üste kaç kez engellendiğinde kalıcı olarak engelleneceğini belirleyebilirsiniz. 3 kez geçici engel yediğinde kalıcı olarak engellenmesi yeterlidir.

Blacklist Lookback Period : Kalıcı olarak engellenen bir kullanıcının kaç gün boyunca engelli kalacağını belirleyebilirsiniz. 7 gün engelli kalması ortalama bir süredir ve uygundur.

Lockout Period : Yanlış giriş denemelerin kaç dakika boyunca takip edeceğini burada belirlemelisiniz. 45 dk. uygundur.

Lockout White List : Buraya ise yukarıda belirtilen ayarların tümünden etkilenmemesini istediğiniz IP Adreslerini yazabilirsiniz. Yani kendi IP Adresinizi var ise editörlerin IP Adreslerini yazabilirsiniz . Kendi sitenize erişiminiz engellenmesini istemiyorsanız, bunu yapmalısınız.

Kendi IP Adresinizin engellenmesini istemiyorsanız, Add my current IP to the White List butonuna tıkladığınızda direkt olarak sizin IP Adresinizi bu listeye ekleyecektir.

Kendi IP Adresinizi Lookup IP Address butonuna tıklayarak açılan sayfada öğrenebilirsiniz.

Log Type : iThemes Security giriş denemelerinin log kaydını nerede tutmak istediğinizi sormaktadır. Log kayıtlarını veritabanında tutmanız uygundur. Bunun için Database Only seçeneğini seçebilirsiniz.

Days to Keep Database Logs : Log kayıtlarının ne kadar süre depolanmasını istediğinizi belirleyebilirsiniz. Bu seçeneği 30 olarak bırakabilirsiniz.

Allow Data Tracking : iThemes Security eklentisi için eklenti kodlayıcısına yapılabilecek iyileştirmeler ile ilgili geri bildirim vermektedir.

Proxy Detection : Bir proxy kullanmıyorsanız, yani web sitenize gelen ziyaretçilerin hepsi tek bir IP Adresinden geliyorsa, bu seçeneği aktif ederek daha doğru sonuçlar alabilirsiniz. Bu seçeneği automatic olarak işaretlemenizi öneririm.

Hide Security Menu in Admin Bar : Eklentiyi yüklediğinizde wordpress admin panelinde en üst barda bulunan security yazısını kaldırır.

Show Error Codes : Bu seçeneği aktif ettiğinizde eklenti ile ilgili alabileceğiniz hatalarda bir hata mesajı verecektir. Bu da eklentiyi kodlayan kişiler ile iletişime geçerek destek almak istediğinizde hatanın çözümünü kolaylaştıracaktır. Seçeneği sizden böyle bir şey istenmediği sürece aktif etmenize gerek yoktur. 

404 Detection Ayarları

Bu bölümde web sitenizde 404 hataları ile karşılaşıldığında ne gibi engellemeler olacak ve bu engellemelerden etkilenmemesini istediğiniz dosya / uzantıları belirtmelisiniz.

Minutes to Remember 404 Error (Check Period) : Bir kullanıcının web sitenizde almış olduğu 404 hatalarını ne kadar süre takip edeceğini belirleyeceğiniz bölümdür. Bu kısmı aşırı yüksek yapmanıza gerek yoktur. 5-10 dk aralığında olabilir. 5 dk yeterlidir.

Error Threshold : Bu seçenek ile kullanıcının kaç kez 404 hatası aldığında engelleneceğini ayarlayabilirsiniz. Ancak, bu seçeneği 0 olarak işaretlemeniz ve zaman zaman bu hatayı log kayıtlarından manuel olarak incelemenizi öneririm. Çünkü bu eklentiyi kullanırken amacımız kötü niyetli kişileri engellemek olsa da bu ayar ile asıl kullanıcıları engelleme ihtimaliniz olabilir.

Engelleme ise global settings bölümünde yaptığınız Lockout Period – Blacklist Lookback Period – Blacklist Threshold ayarlarına göre gerçekleşmektedir.

Log kayıtlarını incelemek için admin > security > logs > notices adımlarını takip edebilirsiniz.

404 File/Folder White List : Bu ayarlardan etkilenmesini istemediğiniz sayfaları burada belirtmeniz gerekir. Bazı sayfaları ise sitenizin sağlığı için direkt olarak burada tanımlı olması doğru olacaktır. Bu sayfalar ;

/favicon.ico
/robots.txt
/apple-touch-icon.png
/apple-touch-icon-precomposed.png
/wp-content/cache
/browserconfig.xml
/crossdomain.xml
/labels.rdf
/trafficbasedsspsitemap.xml

Ignored File Types : 404 hatası alınmasına rağmen yaptığınız ayarlardan etkilenmemesini istediğiniz dosya uzantılarını burada belirtmelisiniz. iThemes Security eklentisinin de default olarak belirlediği ve benimde kesinlikle bu bölümde olmasını önerdiğim uzantılar :

.jpg
.jpeg
.png
.gif
.css

Away Mode Ayarları

Web sitenizin admin panelini ihtiyacınız olmayan zamanlarda erişime kapatabilirsiniz. Böylelikle izin vermediğiniz zaman aralığında web sitenizin admin bilgileri doğru girilse dahi giriş sağlanmayacaktır.

Eklentinin saati ile sizin saatiniz arasında farklılık olabilir. Eklenti saatini Away Mode ayarlarında görebilirsiniz. Güncelleştirmeleri yaparken saat farkını dikkate almanız gerekmektedir.

Type of Restriction : Bu özelliği etkinleştirmek istediğiniz zaman aralığını seçmelisiniz. Sürekli bu özelliğin aktif olmasını istiyorsanız, Daily. Sadece bir sefer için aktif etmek istiyorsanız, One time seçeneğini seçmelisiniz.

Start Time : Yönetici panelinin kullanılmasını istemediğiniz saatin başlangıç zamanını buradan seçebilirsiniz.

End Time : Buradan ise bu ayarın hangi saatte kapanacağını ayarlayabilirsiniz.

Banned Users

Bu özellik ile web sitenize giriş yapmasını istemediğiniz IP Adreslerini ve kullanıcıları engelleyebilirsiniz.

Default Blacklist : hackrepair.com’un blacklistinde bulunan IP Adreslerini otomatik olarak engellemenizi sağlar. Web siteniz için bu özelliği aktif etmenizi öneririm.

Ban Lists : Bu seçeneği aktif ederek, bir sonraki seçenek olan Ban Hosts kısmında belirttiğiniz IP Adreslerini kalıcı olarak engellemiş olursunuz.

Ban Hosts : Engellemek istediğiniz IP Adreslerini buraya manuel olarak ekleyerek web sitenize girişlerini engelleyebilirsiniz. Tabi bunun aktif olması için Ban Lists seçeneğini aktif duruma getirmeyi unutmamalısınız.

Ban User Agents : Sitenize erişmesine izin verilmeyen kullanıcıların engellenmesi için kullanılır.

Database Backup Ayarları

Eklentinin bu özelliği ile aşağıda belirleyeceğiniz ayarlar ile veritabanı yedeği alabilirsiniz. Ben bu özelliği kullanmanızı önermem. Siteniz için tam yedekleme yapmanızın her zaman daha sağlıklı olacağına eminim.

cPanel ile yedek almak için, cPanel ile nasıl yedek alınır? başlıklı yazımı okuyabilirsiniz.

Backup Full Database : Veritabanında ki tüm tabloların yedeklenmesini için bu seçeneği aktif etmelisiniz.

Backup Method : Yedekleme sonrası verileriniz için kaydetme yöntemini seçmenizi ister. E-mail only seçeneğini seçtiğinizde alınan yedeği size iletir.

Server locally and Email veya Server locally only seçeneğini seçerseniz, web sitenizin bulunduğu sunucu üzerinde yedekleme yapmaktadır.

Backups to Retain : Backup Method seçeneğinde Server locally and Email veya Server locally only seçeneğini seçerseniz, sunucuda kaç adet yedek tutmasını istediğinizi yazabilirsiniz. 0 yaparsanız, tümünü tutar. 2 yaparsanız, en son alınan 2 yedeği tutar.

Compress Backup Files : Yedekleme dosyalarının .zip dosyası olarak sıkıştırılmasını sağlar. Eklentinin Database Backups özelliğini kullanıyorsanız, muhakkak bunu aktif etmenizi öneririm.

Exclude Tables : Kullandığınız bazı eklentiler veritabanında günlük veriler yazabilir. Bu da fazla alan kaplamasına neden olur ve bazen yedek almayı zorlaştırabilir. Bundan dolayı yedeklenmesini istemediğiniz günlük oluşturulan tabloları yedeklemenin dışında bırakabilirsiniz. Bu işlemi yapsanız da tablonun kendisi yedeklenir ancak, içeriği yedeklenmez.

Schedule Database Backups : Veritabanının ne kadar süre ile yedekleneceğini bu seçeneği aktif ederek belirtebilirsiniz.

Backup Interval : Bir üstteki seçeneği aktif ettiğinizde bu alan açılacaktır ve veritabanının kaç günde bir yedeklenmesini istediğinizi burada belirtebilirsiniz.

File Change Detection Ayarları

Bu özellik web siteniz için bir monitoring sistemi kurar. Yani web sitenizde yapılan değişiklikleri gözler ve değişiklikler için log kaydını tutar. Log kayıtlarını takip etmek için admin > secrity > logs > all events adımlarını takip ederek, File Change için filtreleme yaparak kontrol edebilirsiniz.

Files and Folders List : Hangi dosyaları takip etmek istediğinizi hangilerini takip etmek istemediğinizi seçmelisiniz.  Default olarak hepsi seçili olacaktır. Tarama yapılmasını istemediğiniz dosyaların üzerine geldiğinizde beliren – butonu ile tarama yapılacak dosyalar arasından çıkartabilirsiniz.

Ignore File Types : Burada belirtilen dosya uzantıları için tarama yapılmayacaktır. Eklenti açıklamasında da bu madde ile ilgili güzel bir açıklama yapılmıştır;

Eklentide belirtilen açıklama ” Resimler gibi dosyaları değiştirmek mümkün olsa da, oldukça nadirdir ve bilinen tüm WordPress saldırıları php, js ve diğer metin dosyalarından yararlanır. ” şeklindedir.  Yani bu kısımda herhangi bir güncelleme yapmamanızı öneririm.

Local Brute Force Protection Ayarları

Admin panelinize giriş denemelerini kontrol ederek, belirlemiş olduğunuz ayarlara göre engelleme yapar. Böylelikle web sitenizi brute force ataklarından koruyabilirsiniz.

Max Login Attempts Per Host : Bir IP Adresinden gelen ziyaretçinin web sitenizin admin paneline üst üste kaç kez yanlış giriş denemesi sonrası engellenmesini istediğinizi burada belirleyebilirsiniz. 5 olarak ayarlamanız uygundur.

Max Login Attempts Per User : Bir kullanıcı adı ile web sitenizin admin paneline üst üste kaç kez yanlış giriş denemesi sonrası engellenmesini istediğinizi burada belirleyebilirsiniz. Bu kısmı da 5 olarak ayarlayabilirsiniz. Bir kullanıcı yanlış giriş denemesi yapsa dahi bunu 5 sefer üst üste bilinçli olarak yapmayacağını düşünmekteyim.

Minutes to Remember Bad Login (check period) : Hatalı giriş denemelerinin kaç dakika boyunca takip edileceğinin burada ayarlamalısınız. Burayı da 5 olarak tanımlayabilirsiniz.

Bu durumda Local Brute Force Protection için yapılan ayarlar, 5 dk içerisinde bir kullanıcı veya IP Adresinden 5 kez yanlış giriş denemesi yapıldığında geçici olarak engellenmesini sağlar.

Bilmeniz gereken bir diğer konu ise global settings bölümünde yaptığınız Lockout Period – Blacklist Lookback Period – Blacklist Threshold ayarları burada da geçerli olacaktır. Yani yapmış olduğunuz kurallar dahilinde 7 gün içinde 3 kez bu kurallar ihlal edilirse IP Adresi veya kullanıcı kalıcı olarak engellenir.

Network Brute Force Protection Ayarları

Local Brute Force Protection özelliğinde Brute Force ataklarını engelleyebilmek için bazı ayarlar gerçekleştirdiniz. Bu ayarlar sonucunda zarar verebilecek IP Adreslerinin engellenmesini sağladınız. Eklentinin bu özelliği ise, tam olarak bu özelliği kullanan diğer kullanıcıların yaptığı ayarlardan sizinde faydalanmanızı sağlar. Yani eklenti zararlı IP Adreslerinden bir havuz oluşturur ve bu havuzda bulunan IP Adresleri sizin sitenize henüz herhangi bir saldırıya geçmeden erişimi engellenir.

Özelliği aktif etmek için Enable ardından Configre Settings butonuna tıklayın. Email Address kısmına sitenizi kurarken belirlediğini mail adresini yazarak ayarları kaydedebilirsiniz.

Password Requirements Ayarları

Web sitenizde yeni kullanıcılar için güvenli şifre kullanmaya zorlar.
Minimum Role : Bu özelliği en düşük kimler için aktif etmek istediğinizi burada ayarlıyorsunuz. Yani yönetici, editör ve yazar için aktif etmek istiyorsanız, en düşük seçenek olan yazar seçeneğini seçmelisiniz.  Burada benim önerim ise web sitenize üye olan kişilere aşırı zorluk çıkartmamak için maksimum yazar seçeneğini seçmenizdir. Aksi taktirde kullanıcılarınızı üye olmaktan istemeyerek caydırabilirsiniz.

SSL

Sitenizde SSL Sertifikası kurulu ve https yönlendirmesi yapmanız gerekiyorsa bu özellik kullanılır. Ancak, bu özelliği kullanmamanızı öneririm. Çünkü bu özellik ile http to https yönlendirmesi yaptığınızda tam olarak faydalı olmayacaktır.

Web sitenizde SSL Sertifikası kuruluysa ve yönlendirme yapmak istiyorsanız, WordPress http to https (SSL) yönlendirmesi nasıl yapılır? başlıklı yazımı kontrol edebilirsiniz.

System Tweaks Ayarları

Bu özellik ile, bazı sayfalara erişimi engelleyerek sitenizi daha güvenli hale getirebilirsiniz. Eklentinin bu detaylarını kontrol ederek muhakkak kullanmanızı öneririm.

System Files: WordPress sitenizin güvenli olmasını istiyorsanız, bazı dosyalarınıza erişimi muhakkak engellemelisiniz. Bu özelliği aktif etmeniz readme.html, readme.txt, wp-config.php, install.php, wp-includes ve .htaccess dosyalarınıza erişimi engelleyebilirsiniz.

Directory Browsing : Bir dizinde index dosyası yok ise tarayıcı size otomatik olarak index of sayfasını ve bu dizinde bulunan dosyaları indirebilir bir şekilde gösterir. Bu seçeneği aktif ettiğinizde index dosyası olmayan sayfalara erişimi engeller.

Request Methods : İstekleri filtreler.

Suspicious Query Strings : Web sitenize gelen istekleri takip ederek, sorgulama yapar.

Non-English Characters : İngilizce karakterler haricinde sitenizde bulunan karakterleri engelleyecektir. Tabii ki bu özelliği kesinlikle aktif etmemelisiniz.

Long URL Strings : Web sitenizde ki URL uzunluklarının karakter sayısını sınırlar. Uzun URL’leri kısaltmanız web sitenizde gözü olan kişilerin işini hayli zorlaştıracaktır. Bu özelliği aktif etmenizi kesinlikle öneririm.

File Writing Permissions : Bu özelliği aktif etmeniz durumunda .htaccess ve wp-config dosyasına yazmayı önler ve sadece manuel güncelleme yapabilirsiniz. Bu özelliği aktif ettiğinizde kullandığınız bazı eklentiler ile ilgili sorunlar yaşarsınız. Bundan dolayı aktif etmemelisiniz.

PHP in Uploads : PHP uzantılı dosyaların yüklenmesini engeller. Kötü amaçlı yüklenen dosyaların uploads dizinine müdahale etmesini engeller. Bu özellik ile aslında güzel bir güvenlik önlemi alabilirsiniz. Ancak bu özellik size ilerleyen zamanlarda baş ağrıtıcı sorunlar yaşatabilir.

PHP in Plugins : Eklenti dosyalarına PHP dosyalarını eklemeyi engeller. Bu özelliği aktif duruma getirmemelisiniz.

PHP in Themes : Tema dosyalarına PHP dosyalarını eklemeyi engeller. Bu özelliği de aktif duruma getirmemelisiniz.

WordPress Salts

Admin şifrenizin kötü amaçlı kişiler tarafınca ele geçirildiğini düşünüyorsanız veya farklı kişiler tarafından admin şifreniz biliniyor ve siz değiştirmek istiyorsanız, bu bir güvenlik açığıdır. Çünkü siz şifrenizi değiştirseniz dahi diğer kullanıcılar çerezlerden faydalanarak çıkış yapmadığı sürece eski şifre ile erişim sağlayabileceklerdir.

Bu seçeneği aktif ettiğinizde yaptığınız bir şifre değişikliği sonrası diğer cihazların tümü çıkış yapacak ve tekrar giriş yapmaları gerekecektir. 

Özelliği aktif etmek için Configre Settings > Change WordPress Salts adımlarını takip edebilirsiniz.

WordPress Tweaks

WordPress sitenizin bazı default ayarlarını değiştirerek daha güvenli bir siteye sahip olmanızı sağlar. Ayrıca, bu özellik ile XML-RPC saldırılarını da önleyebilirsiniz.

Windows Live Writer Header : Windows Live Writer kullanıyorsanız, bu özelliği aktif etmeyin. Kullanmıyorsanız özelliği aktif edebilirsiniz.

EditURI Header : Web sitenizi Flickr vb. servislere entegre ettiyseniz, bu özelliği kullanmanızı öneririm. Aksi taktirde bu özelliği kullanmanızın bir anlamı yoktur.

Comment Spam : Spam yorumları engeller. Ancak, bu özelliği ben kullanmıyorum. Spam yorumları engellemek için bu özelliğin alternatifi ve daha doğrusu olduğunu düşündüğüm Akismet Anti-Spam eklentisini kullanıyorum.

File Editor : Bu özelliği aktif etmeniz durumunda admin paneliniz de görünüm > düzenleyiciyi kalkacak ve sadece FTP bağlantısı ile değişiklik yapılabilir duruma gelecektir.

XML-RPC : Web sitenizi en çok karşılaşılan saldırı tiplerinden biri olan XML-RPC saldırılarından koruyabilmek için bu seçeneği kesinlikle aktif etmenizi öneririm. Ancak, bu özelliği kullanırken aynı zamanda Jetpack eklentisini kullanmak istiyorsanız sorun yaşamanız muhtemel bir durumdur. Bundan dolayı aşağıdaki seçeneklere göre bu özelliği aktif etmeniz daha sağlıklı olacaktır.

  • Disable XML-RPC : Asıl aktif etmenizi önerdiğim seçenek budur. Ancak, maalesef bir çok wordpress kullanıcısı Jetpack eklentisini kullanmakta ve bu özellik ile birlikte kullanıldığında sorun yaşatmaktadır.
  • Disable Pingbacks : Bu seçenek XML-RPC saldırılarını önlemese de en azından pingback önlenmesini sağlar.

Multiple Authentication Attempts per XML-RPC Request : Birden fazla oturum açma denemesi içeren XML-RPC isteklerini engeller. Bu özelliği kullanmanız önerilir. Aktif etmek için Block seçeneğini seçili bırakmalısınız.

REST API : Web sitenizde gizli olduğuna inandığınız yayınlanan yayınlar, kullanıcı bilgileri gibi verileri wordpress geliştiricilerine erişimi kısıtlar. Burada Restricted Access seçeneğini seçerek özelliği aktif duruma getirmenizi öneririm.

Login Error Messages : Admin panelinde yapılan hatalı girişlerde kullanıcı adı yanlış, parola yanlış gibi uyarıları engeller. Yani yanlış bir kullanıcı adı veya parola girildiğinde herhangi bir uyarı vermez ve giriş yapmaz.

Force Unique Nickname : Yeni kullanıcılar için daha öncesinde alınmamış bir kullanıcı adı seçimi yapmaya zorlar.

Disable Extra User Archives : Bir yazarın içerik sayısı 0 ise yazarın profilini gizler.

Protect Against Tabnapping : Farklı bir sayfaya link verdiğinizde bu sayfaya farklı bir yönlendirme koyulmuş olabilir ve bir güvenlik tehdidi içeriyor ise bu özelliği aktif ettiğinizde girişi engeller. Kullanıcılarınız için bu özelliği aktif etmenizi öneririm.

Login with Email Address or Username : Sadece kullanıcı adı veya e-posta ile kullanıcı girişi yapmaya zorlar.

  • Email Address and Username : Hem e-posta hem de kullanıcı adı ile giriş yapılmasını istiyorsanız, bu seçeneği seçerek özelliği aktif edebilirsiniz.
  • Email Address Only : Sadece e-posta adresi ile giriş yapılmasını istiyorsanız, bu seçeneği seçmelisiniz.
  • Username Only : Sadece kullanıcı adı ile giriş yapılmasını istiyorsanız, bu seçeneği seçmelisiniz.

Mitigate Attachment File Traversal Attack : WordPress sitenizde herhangi bir açıktan dolayı düşük yetkilere sahip bir kullanıcı, admin yetkisine sahip olan kullanıcı rollerini kullanabilir. Bu bazen sistem dosyalarınızın dahi zarar görmesine sebebiyet verir. Bu seçeneği aktif etmeniz durumunda bu özellik riski olabildiğince düşürüyor.

iThemes Security Advanced ( Gelişmiş ) Ayarları

iThemes Security eklentisi kullanıcılarına bazı gelişmiş ayarlar sunmaktadır. Bu ayarlarda biraz daha dikkatli olmak gerekiyor. Gelişmiş ayarlar sayfasına eklentinin ana sayfasının sol üst tarafında bulunan advanced butonu ile ulaşabilirsiniz.

iThemes Security Gelişmiş Ayarlar

iThemes Security eklentisinin advanced ( gelişmiş ) ayarlarını yapmadan önce web sitenizin mutlaka ve mutlaka yedeklerini almalısınız. Bu ayarlar web siteniz ile ilgili kalıcı sorunlar yaşatabilir. Bu işlemleri yapmadan önce bende web sitemin yedeklerini aldım.

Admin User

Default kullanıcı adı olan ” admin “ saldırganlar tarafından kolayca tahmin edilebilir. Bu özelliğin görevi ise admin kullanıcı adını ve 1 olan kullanıcı ID Numarasını değiştirmesini sağlar.

Change Content Directory

Bu özellik ile temaların, eklentilerin, yüklediğiniz görsellerin vb. dosyaların bulunduğu wp-content klasörünün adını değiştirebilirsiniz. Oldukça önemli bir güvenlik önlemi olmasına rağmen wordpress kurulumunu yeni yapmadıysanız, bu özelliği kesinlikle kullanmamalısınız.

WordPress kurulumunu yeni yaptıysanız, New Directory Name kısmına wp-content dosyanızın yeni adını yazarak kaydedebilirsiniz.

Change Database Table Prefix

Veritabanı tablolarında ön eki değiştirmenizi sağlayan bu özellik tıpkı Change Content Directory özelliği gibi  wordpress kurulumunu yeni yapan kullanıcılar tarafından aktif edilmelidir. Default olarak wp_ ön ekini değiştirmekte oldukça önemli bir güvenlik önlemi olsa da temanın, eklentilerin bozulmasına hatta web sitenize erişim sorunu yaşanmasına sebep olur. Bundan dolayı wordpress kurulumunu yeni yapmadıysanız, bu özelliği kullanmamalısınız.

Hide Backend

Eklentinin bu özelliği ile web sitenizin admin paneline giriş uzantısını değiştirebilirsiniz. Benim fikrim bu eklenti sadece bu özelliği için bile kullanılabileceği yönündedir. Bu özellik sayesinde web sitenizin admin paneline /wp-admin veya /wp-config.php ile ulaşmanız yerine sizin belirlediğiniz bir uzantı ile ulaşabilir olacaksınız.

Hide Backend : Enable the hide backend feature. butonu ile özelliği aktif duruma getiriyoruz ve ardından ayarlarımızı yapılandırmaya başlayabiliriz.

Login Slug : Buraya admin paneline nasıl ulaşmak istediğinizi yazmalısınız. Örn: yonetimpaneli şeklinde yazdığınızda artık web sitenizin admin paneline siteadiniz.com/yonetimpaneli uzantısı ile ulaşabilir olacaksınız.

Enable Redirection : Admin paneline ulaşmak için wp-admin veya wp-config.php yazılırsa 403 Forbidden hatasına yönlendirmesi gerekirken farklı bir sayfaya yönlendirme yapar. Bu özelliği de aktif etmenizi öneririm. Aktif ettiğiniz de sayfa Redirection Slug kısmında belirleyeceğiniz sayfaya yönlenecektir.

Redirection Slug : Enable Redirection kısmında yaptığınız ayar sonrası yönlenecek sayfayı burada belirleyebilirsiniz. Benim önerim ana sayfaya yönlendirmenizdir. Ana sayfaya yönlendirmek için buraya herhangi bir şey yazmamalısınız.

Custom Login Action : WordPress, birçok giriş ve çıkış işlevini işlemek için ‘action’ değişkenini kullanır. Varsayılan olarak bu eklenti normal olanları idare edebilir, ancak bazı eklentiler ve temalar özel bir işlem (örneğin özel bir gönderiden çıkmak gibi) kullanabilir. Özel bir işlem yapmanız gerekiyorsa, bu kısma ekleyebilirsiniz.

Etiketler

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Ayrıca kontrol et

Close