Blog

WordPress Güvenlik Eklentisi: Wordfence Security

WordPress’in kolay kullanımı ve modifiye edilebilirği sayesinde çok popüler bir yazılım oldu. Popüler olan her yazılımın güvenlik riskleri de fazla olmaktadır. WordPress’i kullanan kitle kadar güvenliğini delip geçmek için uğraşan kitleler de bir hayli fazla. Bu nedenle WordPress yüklü siteler için güvenlik önlemi almanız gerekiyor. Wordfence Security adlı güvenlik eklentisinden bahsedeceğim.

http://www.wordfence.com/ adlı site tarafından geliştirilen eklentiyi buradan indirdikten sonra Api anahtarı almak için buradan FREE üyelik modelini seçerek üye oluyorsunuz. Ücretli paketler hakkında ayrıca bilgi vereceğim. Eklentiyi WordPress admin panelden ya da FTP aracılığıyla yükledikten sonra aktif ediyorsunuz ve Api anahtarını da girerek çalışmasını sağlıyorsunuz.

Wordfence Security Özellikleri

Eklentiyi kurduktan sonra Wordfence paneli de sol menüye eklenmiş oluyor.  Toplam 6 alt menüyle geliyor.

• Scan – Tarama
• Blocked IP’s – Engellenmiş IP adresleri
• Country Blocking – Ülke Engelleme
• Scan Schedule – Tarama Takvimi
• Options – Ayarlar

Öncelikle ayarlar kısmıyla eklentinin tanıtımına başlayacağım.

Wordfence – Options (Ayarlar)

Wordfence ayar paneli eklentinin en önemli noktası. Bu adımda site güvenliği için yapmak istediklerinizi belirliyorsunuz.

Basic Options kısmında güvenlik ihlalleri ile ilgili maillerin nereye gideceği, api anahtarı girişi ve güvenlik seviyesi seçimi bölümleri var. Sitenize saldırı yapıldıysa ya da sizin güvenlik için verdiğiniz önem yüksekse security level olarak 4 seçebilirsiniz. Ben custom level adımını seçerek Advanced Options kısmından ayarlamanızı öneririm.

Wordfence Advanced Options (Gelişmiş ayarlar)

Alerts – Uyarılar

Alert on critical problems    : Kritik problemlerde uyar
Alert on warnings : Tehliki durumunda uyar
Alert when an IP address is blocked : IP adresi engellendiğinde uyar
Alert when someone is locked out from login : Herhangi bir kişinin girişi engellendiğinde uayr
Alert when the “lost password” form is used for a valid user : Kayıtlı  bir kişi şifre unutma adımını kullandığında uyar
Alert me when someone with administrator access signs in : Yönetici olarak giriş yapıldığında uyar.
Alert me when a non-admin user signs in : Yönetici olmayan bir üye giriş yaptığında uyar.

Yukardaki işlemlerden size uygununu seçerek siz hangi durumlarda e mail ile uyarılmak istiyorsanız bunu belirleyebilirsiniz. Ben tavsiye ettiğim ayarları yukardaki resimde belirttim.

Live Trafik View – Anlık Trafik İzleme

Enable Live Traffic View    : Anlık izlemeyi aktif et.
Don’t log signed-in users with publishing access:   Yazar yetkisi ile giriş yapmış üyelerin kaydını tutma.
List of comma separated usernames to ignore:    Belirleyeceğiniz kullanıcı isimleri ile giriş yapanları yoksay
List of comma separated IP addresses to ignore:    Belirlediğiniz ip adresleri ile giriş yapanları yoksay
Browser user-agent to ignore: Tarayıcı botlarını yoksay

Live Traffic adımını aktif ederseniz sitenize nereden ,hangi ip adresleri ile girildiğinin kayıtlarını tutulmasını sağlarsınız. Bu veri yükü getirebilir ama hacklenme durumunda anlık izleme adımından giriş yolunu görebilir ya da ilgili ip adresini engelleyebilirsiniz. İlk 2 seçeneği aktif olarak kullanabilirsiniz.

Scans to ınclude – Taramaya Eklemeler

Enable automatic scheduled scans    : Zamanlanmış otomatik taramaları aktif et.
Scan core files against repository versions for changes : Çekirdek dosyaların sürüm değişikliklerini tara.
Only available to Premium Members:
Scan theme files against repository versions for changes : Tema dosyalarındaki sürüm değişiklikleirni tara
Scan plugin files against repository versions for changes : Eklenti dosyalarının sürüm değişikliklerini tara

Bu bölümde otomatik taramayı mutlaka aktif edin. Zaman zaman otomatik taramalar gerçekleştirip güvenlik risklerini size bildirir.Otomatik tarama aktifken siteniz offline olduğunda da size uyarı gelecektir.

Ücretli üyelik satın alırsanız alttaki diğer 2 seçeneği de aktif edebiliyorsunuz. Böylece tema,eklenti ve WordPress güncelleştirmesi çıktığında anında e mail ile uyarı alıyor ve hızlıca güncellemelerinizi yapıyorsunuz.

Scan for signatures of known malicious files : Bilinen virüs imzalarını tara.
Scan file contents for backdoors, trojans and suspicious code : Açık kapı, trojan ve zararlı kod bulaşma kontrolü için tara.
Scan posts for known dangerous URLs and suspicious content : Yazılardaki bilinen zararlı url adresleri ve şüpheli içerikler için içeriği tara.
Scan comments for known dangerous URLs and suspicious content : Yorumlardaki bilinen zararlı url adresleri ve şüpheli içerikleri tara.
Scan for out of date plugins, themes and WordPress versions  : Güncel olmayan eklenti,tema ve WordPress sürümlerini tara.
Check the strength of passwords  : Şifre zorluğunu kontrol et.
Monitor disk space  : Disk alanını göster.
Scan for unauthorized DNS changes : Yetkisiz DNS değişikliklerini tara.
Scan files outside your WordPress installation : WordPress dosyaları dışında yüklü olan dosyaları tara.

Bu bölümde hepsini aktif olarak kullanmanızı öneririm.

Firewall Rules – Güvenlik Duvarı Kuralları

Enable firewall rules : Güvenlik duvarı kurallarını aktif et.
Immediately block fake Google crawlers:  Sahte Google örümceklerini yasakla.
How should we treat Google’s crawlers  : Google örümceklerinin davranışları ile ilgili ayarlama seçimi.
If anyone’s requests exceed:
If a crawler’s page views exceed:
If a crawler’s pages not found (404s) exceed:
If a human’s page views exceed:
If a human’s pages not found (404s) exceed:
If 404’s for known vulnerable URL’s exceed:
How long is an IP address blocked when it breaks a rule:

ıf ile başlayan bölümlerde topluca bir açıklama yapacağım. Örnek : eğer bir insan saniyede 2 sayfa görüntülemeden fazla bir görüntüleme yaparsa onu kısıtla ya da engelle şeklinde ayarlamalar yapabilirsiniz. Buradaki ayarları sitenizin ziyaretçi trafiğine göre dikkatli yapmalısınız.

Basit Ddos atak yöntemleri ile gönderilen paket isteklerinin sayısı belirlediğiniz rakama ulaşırsa direkt olarak ip engellemesi yapabilirsiniz. Saldırı alan site sahiplerinin bu adımda ayarları kendileri belirlemeli ve dikkatli yapmaları gerekir. Yanlış ayarlar doğal ziyaretçilerin de engellenmesine neden olabilir.

Login Security Options – Giriş Güvenliği Ayarları

Enable login security : Giriş güvenliğini aktif et
Lock out after how many login failures : X defa hatalı giriş yapılırsa girişi kitle.
Lock out after how many forgot password attempts : X defa şifre unuttum adımı kullanılırsa girişi kitle.
Count failures over what time period    : Hatalı girişlerin sayılma periyodunu belirleme
Amount of time a user is locked out  : Girişi engellenmiş kişinin bekleme süresi
Immediately lock out invalid usernames  : Tanımlı olmayan kullanıcı adları giriş için kullanıldığında anında girişi kitle.
Don’t let WordPress reveal valid users in login errors : Geçerli kullanıcıların giriş hatalarına izin verme

Özellikle şifre denemelerinin sıklıkla yapılmasını engellemek için iyi bir seçenek bu bölüm. Ayrıca veritabanına sızıp admin email adresini değiştirip şifre talbinde bulunmaya çalışan hackerlar için de kısa süreli bir engelleme diyebilirim.  Bu adımda yukarda önerdiğim ayarları kullanabilrisiniz.

 Other Options – Diğer Ayarlar

Whitelisted IP addresses that bypass all rules:  Beyaz liste- Bütün kuralları geçen ip adresleri

Hide WordPress version : wordpress sürümü sakla
Hold anonymous comments using member emails for moderation  : WordPress kullanıcı maillerinden birini kullanarak yorumları onaylatmayı deneyenleri yakala
Scan comments for malware and phishing URL’s  : Yorumlardaki url ve sahte yönlendirmeleri tara
Check password strength on profile update : Profil güncelleştirildiğinde şifre güvenliğini denetle.
Participate in the Wordfence Security Network : Wordfence güvenlik ağına katıl.
Maximum memory Wordfence can use    Megabytes : Eklentinin kullanabileceği hafızayı belirle.
Enable debugging mode (increases database load)    : Hata modunu etkinleştir.
Delete Wordfence tables and data on deactivation? : Ekelnti deaktif olduğunda veritabanındaki eklenti ile ilgili tabloları sil.

Son 2 seçenek hariç diğerlerini aktif olarak kullanmanızı tavsiye ediyorum. Virüs programlarındaki gibi kendi kullanıcı ağlarına güvenlik tehdit raporlarını da göndererek başka sitelerde önceden önlem de almış oluyorlar.

Wordfence Scan – Tarama Bölümü

Bu bölümde manuel tarama yaptırabilirsiniz. Eğer ayarlarda otomatik tarama aktifse 7 günde bir tarama gerçekleştirir. Bulduğu hataları, değiştirilmiş dosyaları size gösterir. Önceki ve sonraki hallerini görebilir bir problem varsa düzeltirsiniz ya da yoksay diyerek atlayabilirsiniz. Örneğin versions dosyanzda WordPress versiyonunuzu yazdıran kodu silecektir eğer ayarlarda bunu aktif ettiyseniz. Tarama yaptırdığınızda da problem olarak gösterecektir bu tip değişiklikleri yoksayabilirsiniz.

Ayrıca eski dosya sürümünü de geri yükleyebiliyorsunuz. Değişiklik yapılmış dosyalar için güzel bir çözüm.

Wordfence Live Traffic

Sitenizin anlık trafiğini izleyebileceğiniz bu bölümde 9 sekme bulunmaktadır. Hata sayfaları, giriş ve çıkışları, örümcekleri vs. birçok anlık işlemi görebilir şüpheli bulduğunuz ip adreslerini engelleyebilrisiniz.

Wordfence Blocked IP Addresses – Yasaklanmış IP Adresleri

Engellediğiniz ip adreslerini görebilir istediğiniz zaman bütün engelleri kaldırabilirsiniz.

Country Blocking ve Scan Schedule bölümleri ücretli üyelik almış olanlar için aktif olacaktır.

Ücretsiz üyeliğindeki özellikler bana göre gayet yeterli ve etkilidir. WordPress.org dizinine kayıtlı bir eklenti olduğu için güvenerek kullanabilirsiniz.