21 Ağu
Tasarımcı 14 Yorum21.686 kez okundu

WordPress Güvenlik Eklentisi: Wordfence Security

Kategori: Wordpress wordfence wordpress guvenlik

WordPress’in kolay kullanımı ve modifiye edilebilirği sayesinde çok popüler bir yazılım oldu. Popüler olan her yazılımın güvenlik riskleri de fazla olmaktadır. WordPress’i kullanan kitle kadar güvenliğini delip geçmek için uğraşan kitleler de bir hayli fazla. Bu nedenle WordPress yüklü siteler için güvenlik önlemi almanız gerekiyor. Wordfence Security adlı güvenlik eklentisinden bahsedeceğim.

wordfence api anahtarı girişi

http://www.wordfence.com/ adlı site tarafından geliştirilen eklentiyi buradan indirdikten sonra Api anahtarı almak için buradan FREE üyelik modelini seçerek üye oluyorsunuz. Ücretli paketler hakkında ayrıca bilgi vereceğim. Eklentiyi WordPress admin panelden ya da FTP aracılığıyla yükledikten sonra aktif ediyorsunuz ve Api anahtarını da girerek çalışmasını sağlıyorsunuz.

Wordfence Security Özellikleri

wordfence-panelEklentiyi kurduktan sonra Wordfence paneli de sol menüye eklenmiş oluyor.  Toplam 6 alt menüyle geliyor.

  • Scan – Tarama
  • Blocked IP’s – Engellenmiş IP adresleri
  • Country Blocking – Ülke Engelleme
  • Scan Schedule – Tarama Takvimi
  • Options – Ayarlar

Öncelikle ayarlar kısmıyla eklentinin tanıtımına başlayacağım.

Wordfence – Options (Ayarlar)

Wordfence ayar paneli eklentinin en önemli noktası. Bu adımda site güvenliği için yapmak istediklerinizi belirliyorsunuz.

Basic Options kısmında güvenlik ihlalleri ile ilgili maillerin nereye gideceği, api anahtarı girişi ve güvenlik seviyesi seçimi bölümleri var. Sitenize saldırı yapıldıysa ya da sizin güvenlik için verdiğiniz önem yüksekse security level olarak 4 seçebilirsiniz. Ben custom level adımını seçerek Advanced Options kısmından ayarlamanızı öneririm.

Wordfence Advanced Options (Gelişmiş ayarlar)

Alerts – Uyarılar

wordfence alerts paneli ayarları

Alert on critical problems    : Kritik problemlerde uyar
Alert on warnings : Tehliki durumunda uyar
Alert when an IP address is blocked : IP adresi engellendiğinde uyar
Alert when someone is locked out from login : Herhangi bir kişinin girişi engellendiğinde uayr
Alert when the “lost password” form is used for a valid user : Kayıtlı  bir kişi şifre unutma adımını kullandığında uyar
Alert me when someone with administrator access signs in : Yönetici olarak giriş yapıldığında uyar.
Alert me when a non-admin user signs in : Yönetici olmayan bir üye giriş yaptığında uyar.

Yukardaki işlemlerden size uygununu seçerek siz hangi durumlarda e mail ile uyarılmak istiyorsanız bunu belirleyebilirsiniz. Ben tavsiye ettiğim ayarları yukardaki resimde belirttim.

Live Trafik View – Anlık Trafik İzleme

Enable Live Traffic View    : Anlık izlemeyi aktif et.
Don’t log signed-in users with publishing access:   Yazar yetkisi ile giriş yapmış üyelerin kaydını tutma.
List of comma separated usernames to ignore:    Belirleyeceğiniz kullanıcı isimleri ile giriş yapanları yoksay
List of comma separated IP addresses to ignore:    Belirlediğiniz ip adresleri ile giriş yapanları yoksay
Browser user-agent to ignore: Tarayıcı botlarını yoksay

Live Traffic adımını aktif ederseniz sitenize nereden ,hangi ip adresleri ile girildiğinin kayıtlarını tutulmasını sağlarsınız. Bu veri yükü getirebilir ama hacklenme durumunda anlık izleme adımından giriş yolunu görebilir ya da ilgili ip adresini engelleyebilirsiniz. İlk 2 seçeneği aktif olarak kullanabilirsiniz.

Scans to ınclude – Taramaya Eklemeler

Enable automatic scheduled scans    : Zamanlanmış otomatik taramaları aktif et.
Scan core files against repository versions for changes : Çekirdek dosyaların sürüm değişikliklerini tara.
Only available to Premium Members:
Scan theme files against repository versions for changes : Tema dosyalarındaki sürüm değişiklikleirni tara
Scan plugin files against repository versions for changes : Eklenti dosyalarının sürüm değişikliklerini tara

Bu bölümde otomatik taramayı mutlaka aktif edin. Zaman zaman otomatik taramalar gerçekleştirip güvenlik risklerini size bildirir.Otomatik tarama aktifken siteniz offline olduğunda da size uyarı gelecektir.

Ücretli üyelik satın alırsanız alttaki diğer 2 seçeneği de aktif edebiliyorsunuz. Böylece tema,eklenti ve WordPress güncelleştirmesi çıktığında anında e mail ile uyarı alıyor ve hızlıca güncellemelerinizi yapıyorsunuz.

wordfence tarama ayarları

Scan for signatures of known malicious files : Bilinen virüs imzalarını tara.
Scan file contents for backdoors, trojans and suspicious code : Açık kapı, trojan ve zararlı kod bulaşma kontrolü için tara.
Scan posts for known dangerous URLs and suspicious content : Yazılardaki bilinen zararlı url adresleri ve şüpheli içerikler için içeriği tara.
Scan comments for known dangerous URLs and suspicious content : Yorumlardaki bilinen zararlı url adresleri ve şüpheli içerikleri tara.
Scan for out of date plugins, themes and WordPress versions  : Güncel olmayan eklenti,tema ve WordPress sürümlerini tara.
Check the strength of passwords  : Şifre zorluğunu kontrol et.
Monitor disk space  : Disk alanını göster.
Scan for unauthorized DNS changes : Yetkisiz DNS değişikliklerini tara.
Scan files outside your WordPress installation : WordPress dosyaları dışında yüklü olan dosyaları tara.

Bu bölümde hepsini aktif olarak kullanmanızı öneririm.

Firewall Rules – Güvenlik Duvarı Kuralları

Enable firewall rules : Güvenlik duvarı kurallarını aktif et.
Immediately block fake Google crawlers:  Sahte Google örümceklerini yasakla.
How should we treat Google’s crawlers  : Google örümceklerinin davranışları ile ilgili ayarlama seçimi.
If anyone’s requests exceed:
If a crawler’s page views exceed:
If a crawler’s pages not found (404s) exceed:
If a human’s page views exceed:
If a human’s pages not found (404s) exceed:
If 404’s for known vulnerable URL’s exceed:
How long is an IP address blocked when it breaks a rule:

ıf ile başlayan bölümlerde topluca bir açıklama yapacağım. Örnek : eğer bir insan saniyede 2 sayfa görüntülemeden fazla bir görüntüleme yaparsa onu kısıtla ya da engelle şeklinde ayarlamalar yapabilirsiniz. Buradaki ayarları sitenizin ziyaretçi trafiğine göre dikkatli yapmalısınız.

Basit Ddos atak yöntemleri ile gönderilen paket isteklerinin sayısı belirlediğiniz rakama ulaşırsa direkt olarak ip engellemesi yapabilirsiniz. Saldırı alan site sahiplerinin bu adımda ayarları kendileri belirlemeli ve dikkatli yapmaları gerekir. Yanlış ayarlar doğal ziyaretçilerin de engellenmesine neden olabilir.

Login Security Options – Giriş Güvenliği Ayarları

wordfence giriş güvenliği

Enable login security : Giriş güvenliğini aktif et
Lock out after how many login failures : X defa hatalı giriş yapılırsa girişi kitle.
Lock out after how many forgot password attempts : X defa şifre unuttum adımı kullanılırsa girişi kitle.
Count failures over what time period    : Hatalı girişlerin sayılma periyodunu belirleme
Amount of time a user is locked out  : Girişi engellenmiş kişinin bekleme süresi
Immediately lock out invalid usernames  : Tanımlı olmayan kullanıcı adları giriş için kullanıldığında anında girişi kitle.
Don’t let WordPress reveal valid users in login errors : Geçerli kullanıcıların giriş hatalarına izin verme

Özellikle şifre denemelerinin sıklıkla yapılmasını engellemek için iyi bir seçenek bu bölüm. Ayrıca veritabanına sızıp admin email adresini değiştirip şifre talbinde bulunmaya çalışan hackerlar için de kısa süreli bir engelleme diyebilirim.  Bu adımda yukarda önerdiğim ayarları kullanabilrisiniz.

 Other Options – Diğer Ayarlar

Whitelisted IP addresses that bypass all rules:  Beyaz liste- Bütün kuralları geçen ip adresleri

Hide WordPress version : wordpress sürümü sakla
Hold anonymous comments using member emails for moderation  : WordPress kullanıcı maillerinden birini kullanarak yorumları onaylatmayı deneyenleri yakala
Scan comments for malware and phishing URL’s  : Yorumlardaki url ve sahte yönlendirmeleri tara
Check password strength on profile update : Profil güncelleştirildiğinde şifre güvenliğini denetle.
Participate in the Wordfence Security Network : Wordfence güvenlik ağına katıl.
Maximum memory Wordfence can use    Megabytes : Eklentinin kullanabileceği hafızayı belirle.
Enable debugging mode (increases database load)    : Hata modunu etkinleştir.
Delete Wordfence tables and data on deactivation? : Ekelnti deaktif olduğunda veritabanındaki eklenti ile ilgili tabloları sil.

Son 2 seçenek hariç diğerlerini aktif olarak kullanmanızı tavsiye ediyorum. Virüs programlarındaki gibi kendi kullanıcı ağlarına güvenlik tehdit raporlarını da göndererek başka sitelerde önceden önlem de almış oluyorlar.

Wordfence Scan – Tarama Bölümü

Bu bölümde manuel tarama yaptırabilirsiniz. Eğer ayarlarda otomatik tarama aktifse 7 günde bir tarama gerçekleştirir. Bulduğu hataları, değiştirilmiş dosyaları size gösterir. Önceki ve sonraki hallerini görebilir bir problem varsa düzeltirsiniz ya da yoksay diyerek atlayabilirsiniz. Örneğin versions dosyanzda WordPress versiyonunuzu yazdıran kodu silecektir eğer ayarlarda bunu aktif ettiyseniz. Tarama yaptırdığınızda da problem olarak gösterecektir bu tip değişiklikleri yoksayabilirsiniz.

Ayrıca eski dosya sürümünü de geri yükleyebiliyorsunuz. Değişiklik yapılmış dosyalar için güzel bir çözüm.

Wordfence Live Traffic

wordfence-trafik-analiz

Sitenizin anlık trafiğini izleyebileceğiniz bu bölümde 9 sekme bulunmaktadır. Hata sayfaları, giriş ve çıkışları, örümcekleri vs. birçok anlık işlemi görebilir şüpheli bulduğunuz ip adreslerini engelleyebilrisiniz.

Wordfence Blocked IP Addresses – Yasaklanmış IP Adresleri

Engellediğiniz ip adreslerini görebilir istediğiniz zaman bütün engelleri kaldırabilirsiniz.

Country Blocking ve Scan Schedule bölümleri ücretli üyelik almış olanlar için aktif olacaktır.

Ücretsiz üyeliğindeki özellikler bana göre gayet yeterli ve etkilidir. WordPress.org dizinine kayıtlı bir eklenti olduğu için güvenerek kullanabilirsiniz.

"WordPress Güvenlik Eklentisi: Wordfence Security" yazısı için 14 yorumyapılmış.

  1. ahmetsahin dedi:

    gerçekten çok güzel ve gerekli bir eklenti ayrıca türkçe çeviri ve açıklamalarınız içine gereçektende çok teşekkürler klavyenize saglık…heleki hack yedikten sonra dahada önem vermeye başladım bu tür güvenlik eklentilerine

  2. Dilek Özatmaca(özsoylu) dedi:

    Ben bugün bu güvenlik eklentisini ilk defa siteme kurdum,umarım acemiliğimden kimse faydalanıp emeğimi hiçe sayarak siteme zarar vermeye kalkamaz bu eklenti sayesinde. Bizim gibi ingilizcesi ve tecrübesi olmayanlar için çok güzel ve detaylı anlatmışsınız çok teşekkürler. Bu sayfayı yer imlerime ekledim böylelikle bir sıkıntı olduğunda burdan nasıl çözeceğimi öğrenirim çok teşekkürler.

    • Tasarımcı dedi:

      Eklentiden bir zarar geleceğini zannetmiyorum. Tabi ki eklenti açıklarından faydalanılarak yapılan hack girişimleri de mevcut. Ama denediğim için bir zararını görmedim henüz. Ücretli versiyonunda güvenlik daha iyileştirilebiliyor.

  3. Serkan Dinç dedi:

    Merhaba benim wordpress sitem üzerinden wordpresslog@yandex.com adresine sürekli spam mail gönderiyor ben bu eklentiyi ekledim bir kaç dosyada hata buldu ve güncelledi sorun çözüldü zannettim ama hala çözülmemiş. WordPressi kaldırıyorum baştan kuruyorum ama yine aynı sıkıntıyla karşılaşıyorum böyle bir şey başınıza hiç geldi mi?

    • Tasarımcı dedi:

      Böyle birşey olmadı ben kullanırken. Eklenti ile alakalı olduğuna emin misiniz? Yapımcılarına ingilizce mail atın. Eklentinin ücretli sürümü de var o nedenle bu tip birşey yapacaklarını zannetmiyorum.

  4. şükrü dedi:

    Firewall Rules ayarları ile ilgili sayıları verebilirmisiniz.Bu bölümü nasıl ayarlamalıyız…
    Teşekkürler

  5. websaati dedi:

    Guzel bir yazi olmus wp guvenlik eklentisi oldugunu bilmiyordum kendi siteme yukleyecegim ayrica tr ceviri icin tesekkurler.

  6. Pingback: Wordpress Güvenliğiniz için Rublon

  7. sigorta dedi:

    WordPress sitelerimden çok çektim özellikle bu bazı eklentilerin açıklarından dolayı kaç tane sitem hacklendi. O nedenle artık daha dikkatli ve titiz olmaya çalışıyorum. Özellikle güvenlik eklentilerinden bir tanesini kullandım oda better wp security eklentisiydi. Bu eklentide güncellemeden sonra hoşuma gitmemeye başadı yeni bir eklenti denemek istiyorum bu önerdiğiniz eklentiyi en kısa zamanda deneyeceğim. Emeğinize sağlık hocam.

  8. nazarca dedi:

    Merhabalar hocam öncelikle bu değerli bilgiler için emeğinize sağlık çok teşekkürler. Yaklaşık 1 yıldır bu eklentiyi kullanıyorum ve 1 ay öncesine kadar sorun yaşamamıştm.1 Ay önce ilk olarak sunucuya resim yüklemek isterken sunucu hatası yazıp resimleri yüklemedi. Daha sonra bir kaç denemeden sonra siteden çıkıp tekrar girmeye çalıştım ancak bu sefer herşeyi doğru yapmama rağmen siteme giremedim. Bağlı olduğum sunucumun olduğu host firmasına durumu bildirdim onlar hemen hallettiler anca bana da bu uyarıyı yazmışlar

    “Sunucunuzun diski dolmuş gözükmektedir.
    wordfence eklentisi sürekli loglama yapmasından dolayı eb…………………txt sürekli kayıt eklenmektedir.
    Bu dosyayı sıfırladık , ilgili eklenti ayarlarınızı kontrol etmenizi önermektedir.”
    Fakat ben bunu nereden yapacağımı bilmediğim için yapamadım ve az önce sunucum da sorun çıkıp site açılmayınca aklıma bu geldi tüm yazdıkarınızı okumama rağmen sorunu nereden halledeceğimi anlamadım . Bana yardımcı olabilir misiniz bu ayarı nereden yapmam gerekiyor?

  9. nazarca dedi:

    Hocam bahsettiğim txt dosyası Süper cache hata ayıklama açık olduğu için oraya o klasöre 30 cb bir yük bindirmiş bu nedenden Sunucunun diski dolmuş şimdi Hata Ayıklama seçeneğini Deaktive ettim.

  10. Toplu sms dedi:

    anlatım için teşekkürler

Bir Cevap Yazın

wordpress Temalar

Wordpress Tema Tasarımı
ücretiz wordpress mizah-eğlence-komedi teması
Wordpress SEO Teması

Abonelik

  • RSS

    Yazıları ve yorumları takip edin.

  • Friendfeed

    Friendfeed aracılığı ile yazılarımıza yorum yapabilir ve arkadaşlarınızla paylaşabilirsiniz.

 
Hakkında

Web tasarım günlüğümüzde özellikle Wordpress konusunda bilgiler bulunmaktadır. Seo hakkında bilgiler ve Wordpress eklentilerinin kullanımı anlatılmaktadır.
Tasarım yaparken bilmemeiz gereken püf noktalar belirli zaman aralıklarıyla yazılmaktadır.
Amaç Dizayn

AmaçSEO Teması

© 2011 Web Tasarım – Tasarım Günlüğü - Web tasarım hayal gücünüzle sınırlı değildir. Tasarım öğrendikçe gelişir.

Sitede yer alan tüm içerik Web Tasarım – Tasarım Günlüğü'na aittir.

Tasarım: AmacDizayn | Site Haritası