iThemes Security Ayarları – Kurulumu Detaylı Anlatım

Wordpress Eklentileri / Plugins

WordPress güvenliği tüm wordpress kullanıcıları için oldukça önem arz eden bir konu. Emin olun sitenizin hiti arttıkça, iyi bir yerlere geldikçe buna göz diken ve emeğinizi çalmak isteyen insanlar olacaktır.

İşte bu kötü niyetin önüne geçebilmek adına güvenlik önlemi olarak yapabileceğiniz en iyi şey wordpress sitenize ithemes security eklentisi kurmanız. ( bkz: eklenti nasıl kurulur )

iThemes Security Kurulumu

iThemes Security Eklenti Kurulumu

 

WordPress admin panelinizden Eklentiler >> Yeni ekle sekmesi altından sağ üst köşedeki arama kutusuna iThemes security yazarak eklentiyi aratıyoruz ve karşımıza yukarıdaki resimdeki gibi bir ekran çıkıyor.

Resimde Yünklenenler olarak görünen buton, sizde şimdi kur butonu olarak görünecektir. Şimdi Kurbutonuna tıklayarak iThemes security eklentisini wordpress sitenize kolaylıkla kurmanız mümkün.

iThemes Security Ayarları


Eklentiyi yükleyip, etkin hale getirdikten sonra ilk defa Admin Paneli >> Securtiy >> Settings sekmesine gittiğinizde karşınıza Security Check diye bir ekran gelecektir. Bu ekranda Secure Site butonuna tıklamadan! sol alt köşede bulunan Close butonuna tıklayın. Biz her ayarı tek tek yapacağız.

>> Global Settings
>> 404 Detection
>> Away Mode
>> Banned Users
>> Database Backup
>> File Change Detection
>> Local Brute Force Protection
>> Network Brute Force Protection
>> Password Requirements
>> SSL
>> System Tweaks
>> WordPress Salts
>> WordPress Tweaks
>> Advanced: Hide Backend
>> Advanced: Change Content Directory
>> Advanced: Change Database Table Prefix

Global Settings

iThemes Security Ayarları - Global Settings

iThemes Security Ayarları – Global Settings

Not: Eklentinin bu özelliğinin ve altta sıraladığım tüm özelliklerinin ayarlarına gitmek için öncelikle özelliğin isminin hemen altına yer alan Configure Settings ( Ayarları Yapılandır ) butonuna tıklayın. Eğer bu buton yoksa da öncelikle Enable butonuna tıklayarak özelliği aktif hale getirmeniz gerekir ve ondan sonra Configure Settings butonu açılır.


İdeal Global Settings Ayarları Tek Resim


#Write to Files: Bu kısmı işaretleyip etkin hale getirdiğimizde iThemes security eklentisinin wp.config.php ve .htaccess sayfalarını yazmasına izin veriyoruz.

Eğer bunu etkinleştirmezseniz, tüm yazım işlemini sizin manuel olarak yapmanız gerekli. Yani eklentinin düzgün çalışması için bu seçeneği etkin hale getirmeniz şart.

#Host Lockout Message: Bir bilgisayar (host) sitenizden geçici olarak banlandığı zaman bu mesajı alır. Bu kısmı Türkçeleştirebilirsiniz. (Geçici olarak banlandınız vs.)

#User Lockout Message: Sitenizin bir üyesi üst üste yanlış şifre girdiğinde ya da herhangi biri ( bot veya gerçek kişi ) üye olmadığı halde üye girişi girişimi ile üye bilgileri ele geçirme denemesi yaptığında geçici olarak banlanır.

İşte buraya da bu kişi banlandığı zaman karşısına çıkacak mesajı yazıyoruz. Yine aynı şekilde bu kısmı da istediğiniz gibi Türkçeleştirebilirsiniz.

#Blacklist Repeat Offender: Bu ayarla kara liste (Kalıcı Ban) oluşturmayı etkinleştiriyoruz ve bir kullanıcının yada bot’un, kara listeye nasıl gireceğini alttaki ayarlarla belirliyoruz.

#Blacklist Threshold: Bu özellikte, bir kullanıcı kaç kere üst üste geçiçi ban yerse kara listeye girer, belirliyoruz.

#Blacklist Lookback Period: Bu özellikte üst üste ban sınırının zaman dilimini, gün cinsinden belirliyoruz.

#Lockout Period: Geçici banlanmanın süresini belirliyoruz.

Sistem Nasıl İşliyor ? : Üstteki 3 ayar şu şekilde işliyor, Lockout Period kısmında 15 dakika yazdığınızda bir kullanıcının şüpheli bir girişiminde 15 dakika boyunca geçici olarak banlanmasını sağlıyoruz.

Blacklist Lookback Period kısmına 7 gün ve Blacklist Threshold kısmına 3 yazarsak, prosedür şu şekilde işliyor; Bir kullanıcı 7 gün içerisinde 3 kere 15 dakikalık geçici ban yerse, iThemes security o kullanıcıyı direkt kara listeye alıyor ve kalıcı ban yiyor. Sitenize de aynı IP adresi ile bir daha giriş yapamıyor.

#Lockout White List: Bu kısımda kendi IP adresinizi veya istediğiniz diğer IP adreslerini beyaz listeye ekliyorsunuz. Kendi IP adresinizi Add my Current IP adress to white list butonunu kullanarak beyaz listeye ekleyebilirsiniz.

Bunu yaparak kendinizi ve eklediğiniz diğer IP adreslerini admin veya üye girişi yaparken şifrenizi yanlış girseniz bile üstte ayarladığımız şekilde hem geçici hem de kalıcı banlamalardan uzak tutumuş oluyorsunuz.

Yani, eğer kendi IP adresinizi beyaz listede belirtmezseniz, sitenize giriş yaparken şifrenizi 4 kere üst üste yanlış girdiğinizde, sizde 15 dakikalık ban geçici ban yersiniz. Bunun, site sahibi olarak sizin başınıza gelmesini istemezsiniz tabi ki :) O yüzden IP adresinizi beyaz listeye eklemenizde fayda var.

#Log Type: Giriş denemelerinin nerede depolamasını seçiyorsunuz. Veritabanınızda depolamanızda fayda var.  ( Database Only )

#Days to Keep Database Logs: Bu şeçenek ile iThemes security eklentisinin giriş denemelerini ne kadarlık bir zaman aralığında veritabanınızda saklanmasını belirliyoruz. ( 30 gün ideal )

#Allow Data Tracking: Bu seçeneği etkin hale getirdiğimizde ise iThemes bizim eklenti kullanımımız ile ilgili veri topluyor. Bir nevi eklenti yazarlarına feedback / geri bildirim yapmış oluyorsunuz.

#Override Proxy Detection: Eğer proxy kullanmıyorsanız IP belirlemede bu seçeneği etkinleştirerek daha net sonuçları alabilirsiniz.

#Hide Security Menu in Admin Bar: Bu özellik ise ekranın en üstünde bulunan Admin barından Security yazısını, yani eklentinin yönetim paneli kısa yolunu kaldırır. ( üyelerin eklenti ayarlarına erişimini engellemek amaçlı)

#Show Error Codes: Bu ayar etkin hale getirildiğinde eklentinin verdiği her bir hataya bir kod atanmış olur. Bu da eğer eklenti yazarları ile iletişime geçtip, destek almak isterseniz eklenti yazarlarının hatayı tespit etmek için işlerine yarayacak bir ayar.

Dolayısı ile böyle bir destek talebiniz olmadığı ve eklenti yazarları bu ayar sizden etkin hale getirmenizi istemediği sürece bu ayarı NO olarak bırakın.

404 Detection

iThemes Security 404 Detection Ayarları

iThemes Security 404 Detection Ayarları


İdeal 404 Detection Ayarları Tek Resim


404 Detection özelliği sitenizde 404, yani bulunamayan sayfaları size gösterilmesini sağlar. Aynı zamanda buradan yapacağınız ayarlamalar ile sitenize hack girişiminde bulunan kişileri veya botları engelleyebiliyorsunuz.

#Minutes to Remember 404 Error (Check Period): Bu seçenekten iThemes eklentisinin 404 hatasını alan ip adresini geçici veya kalıcı ban için ne kadar süre ile aklında tutması gerektiğini belirliyoruz.

Buradaki süreyi ne kadar yüksek tutarsanız siteniz veritabanına binecek yük o kadar fazla olacaktır. Benim tavsiyem max 10 dakikayı geçirmemeniz yönündedir.

#Error Threshold: Eğer bir kullanıcı veya bot sitenizde var olmayan bir sayfaya (yani 404) gereğinden fazla girmeyi denerse, geçici olarak banlanmasında fayda var çünkü bu kötü niyetli bir girişim denemesi olabilir. İşte bu özellikte 404 girişlerini buraya girdiğimiz sayıyla limitliyoruz. ( 20 ideal )

Eğer bu kişi veya bot geçici ban yemesine rağmen bu hareketini 3 kere (Global Settings kısm ında ayarladığımız sayı ) daha tekrarlarsa da ( 7 gün içinde ) kalıcı olarak ban yiyecektir.

Ancak siz yine de garanti olması açısıdan bu kısmı 0 (sıfır) olarak ayarlayın.

0 olarak bıraktığınız zaman eklenti yine kayıt tutar ancak herhangi bir aksiyonda bulunmaz. Yani o ip adresine kalıcı veya geçici ban atmaz.

Ben kendim de bu kısmı 0 olarak kullanıyorum ve 2 – 3 gün de bir mutlaka Admin Paneli >> Security >> Logs >> Notices sekmesinden 404 hatalarını inceliyorum.

Şüpheli gördüğüm ip adreslerini ise kendim manuel olarak Admin Paneli >> Security >> Settings >> Banned Users >> Banned Host kısmına yazıyorum ve ayarları kaydet diyerek kalıcı olarak banlıyorum.

#404 File/Folder White List: Bu özellikte iThemes security eklentisinin beyaz listesinde bulunan sayfalarınız 404 denetim işleminin dışında tutulur ki bazı sayfalarınız kesinlikle bu listede olmalıdır.

Diyelim ki sitenizden favicon sayfanız silindi veya bozuldu. Eğer bir kullanıcı sitenizde 20’dan fazla sayfayı ziyaret ederse ki her sayfada favicon olduğu için ve 404 hatası verdiği için, 21. sayfaya tıkladığında geçici ban yer. Tabi ki bunun olmasını istemezsiniz. Aşağıda beyaz listeye ( White List ) almanız gereken dosyaları paylaşıyorum.

/favicon.ico
/robots.txt
/apple-touch-icon.png
/apple-touch-icon-precomposed.png
/wp-content/cache
/browserconfig.xml
/crossdomain.xml
/labels.rdf
/trafficbasedsspsitemap.xml

#Ignored File Types: Bu kısımda da dosya türlerini beyaz listeye ekliyoruz. Hemen üstte yer alan özellikte olduğu gibi.

Away Mode

iThemes Security Away Mode Ayarları

iThemes Security Away Mode Ayarları

Away modu etkinleştirmek demek, belirlediğiniz saatlerde site admin panelini, yani site giriş panelini tamamıyla kapatmak demek. Site admin panelini belirli saatlerde tamamen kapalı tutarak saldırı riskini azaltabilirsiniz. ( Eğer üyelik sisteminiz yoksa )

Ben bu özelliği aktif olarak kullanmıyorum ancak yine de kullanmak isterseniz gece saatleri 4 ile sabah 7 arası ( hiç giriş yapmadığınız saatler ) site admin panelini kapatmak için mantıklı olabilir.

Not: Bir de eklenti saati ile ( ki bu saat away mode ayarları sayfasında yazar ) Türkiye saati arasında farklılık var. Saatleri set ederken bu farkı da mutlaka göz önünde bulundurun.

#Type of Restriction: Admin paneli kapatma işleminin günlük ya da bir kerelik olmasını seçiyoruz. Eğer admin panelinizin devamlı olarak belirli saatlerde kapalı kalmasını istiyorsanız günlük seçeneğini seçin.

#Start Time: Bu seçenekten ise başlangıç saatini seçiyoruz. Başlangıç saatinizi genelde sitenize giriş yapmadığınız saatlerde seçmelisiniz. Bir çok insan için en uygun olan zaman gece saatleridir diye düşünüyorum.

#End Time: Admin panelinin tekrar aktif olacağı saatide buradan belirliyoruz.

Banned Users

iThemes Security Banned Users Ayarları

iThemes Security Banned Users Ayarları


İdeal Banned Users Ayarları Tek Resim


#Default Blacklist: HackRepair.com’un hali hazırda bir kara listesi var. Sizinde bu kara listeyi, bu özelliği etkinleştirerek banlama listenize katmanızda fayda var.

#Ban Lists: Bu seçeneği etkinleştirerek, istediğiniz IP adresini manuel olarak bir alttaki Ban Hosts seçeneğinden banlayabilirsiniz ve o ip adresi kalıcı olarak banlanıyor. Bir daha da siz banı kaldırmadıkça sitenize giriş yapamıyor.

#Ban Hosts: Hatırlarsanız, iThemes security eklentisinin 404 hatalarını IP adresleriyle birlikte bize bildirmesini etkinleştirmiştik. iThemes security’nin gönderdiği rapora göre şüpheli bir girişimde bulunduğuna inandığınız IP adresini direkt olarak buraya yazarak kalıcı olarak banlayabilirsiniz.

#Ban User Agents: Bu kısım ise bot banlamaları içindir.

Database Backup

iThemes Security Database Backups Ayarları

iThemes Security Database Backups Ayarları


İdeal Database Backup Ayarları Tek Resim


Database Backup özelliğini aktif hale getirdiğinizde eklenti bizim için otomatik olarak yine bu özelliğin altından yaptığımız ayarlar ölçüsünde sitemizin veritabanı yedeğini alıyor.

Ancak tavsiyem bu özelliği kullanmamanızdır. Keza ben de kullanmıyorum. Bu özellik sadece veritabanı yedeğini alır. Site yedeği ise sadece veritabanı yedeği alınarak tamamlanmış olmaz. Ben site yedeğimi hem veritabanı hem de site dosyalarım için manuel olarak alıyorum. Nasıl alınacağını ise site yedeği nasıl alınır başlıklı yazımda anlattım.

Eğer yine de bu özelliği kullanmak isterseniz gerekli ayarlamalar şöyle;

#Backup Full Database: Bu seçeneği etkinleştirerek ihtemes security eklentisinden bizim için otomatik olarak veritabanı yedeği almasını talep ediyoruz.

#Backup Method: Bu seçenekte ise iThemes security eklentisinin aldığı yedeği hangi yolla bize ulaştıracağını seçiyoruz. E-mail olarak seçmeniz en güvenli yol.

#Backups to Retain: Bir üst seçenekte eğer yedekleri locally, yani site serverınızda saklamayı seçmeyi tercih ettiyseniz, bu seçenekten de alınan veritabanı yedeklerinin kaç tanesinin site serverınızda saklanması gerektiğini seçiyorsunuz. 0 ( sıfır ) yaptığınız zaman eklenti hepsini saklıyor.

#Compress Backup Files: Veritabanı boyutunuz büyükse, yedeği zip olarak almanızda fayda var. Diğer türlü e-mail atarken “mb” limitinden dolayı mail alamayabilirsiniz.

#Exclude Tables: Bu kısımda ise veritabanı yedeğinde hangi tabloların olmayacağına karar veriyoruz. Logs, lockouts gibi tabloların veritabanı yedeğinizde yer almasına gerek yok.

#Schedule Database Backups: Bu seçeneği etkinleştirerek iThemes security eklentisinden yedek alma işlemini belirli aralıklarla yapmasını talep ediyoruz.

#Backup Interval: ( Bir üstteki seçeneği aktif ettiğimizde bu seçenek açılır ) Otomatik yedek alma işleminin zaman aralığını gün cinsinden belirliyoruz. 3 günde bir yedek alıp size ulaştırması ideal diye düşünüyorum.

File Change Detection

iThemes Security Ayarları File Change Detection

iThemes Security Ayarları File Change Detection

Bu özelliği etkinleştirdiğinizde, iThemes security sizi, siteniz dosyalarında sizin dışısınızda yapılan değişimlerden haberdar eder. Bazı insanlar sitenizi ele geçirse bile bunu size belli etmeden bazı dosyalarda değişiklik yaparak kendi yararına kullanabilir. Bu yüzden buda önemli bir özellik. Etkinleştirmenizde fayda var.

#Files and Folders List: Hangi dosyaların taramaya dahil edileceğini, hangilerinin ise taramanın dışında bırakılacağını seçiyoruz. Normalde hepsi seçili oluyor. Ancak tarama dışında bırakmak istediğiniz dosya varsa da sol kısımdaki bölümden seçerek sağ kısıma atıyorsunuz.

#Ignore File Types: Bu listede yer alan dosya uzantıları için dosya değişikliğinin yapılıp, yapılmadığı kontrol edilmeyecek. Yani bu dosya uzantıları taramanın dışında tutulacak

#Display File Change Admin Warning: Bu seçeneği etkinleştirdiğinizde, eklenti yaptığı tarama sonucunda sitenizde herhangi bir değişiklikle karşılaşırsa, size wordpress sitenizin admin panelinde uyarı olarak belirtiyor.

Local Brute Force Protection

iThemes Security Ayarları Local Brute Force Protection Ayarları

iThemes Security Ayarları Local Brute Force Protection Ayarları

Sitenizin admin giriş şifresini öğrenmek isteyen bir kişi, harf ve rakam kombinasyonlarını sürekli deneyen bir programla giriş denemeleri yaparak, kullanıcı adınızı ve şifrenizi öğrenebilir. İşte, bunun önüne bu seçeneği etkinleştirerek geçebiliriz.

#Max Login Attempts Per Host: Bir hostun ( ip – cihaz ya da bilgisayarın ) sitenize giriş için yapacağı denemelerinin en fazla kaç kere üst üste olabileceğinin limitini belirliyoruz. ( 5 ideal ) 5 giriş denemesi de başarız olursa sistem kişinin bilgisayarını veya hostunu banlıyor ve sistem dışı bırakıyor.

#Max Login Attempts Per User: Bir kullanıcının sitenize giriş için yapacağı denemelerinin en fazla kaç kere üst üste olabileceğinin limitini belirliyoruz. ( 10 ideal ) 10 giriş denemesi de başarısız olursa sistem kişinin kullanıcı adını kilitliyor ve sistem dışı bırakıyor.

#Minutes to Remember Bad Login (check period): Giriş denemelerinin kaç dakika eklenti hafızasından tutulacağını belirliyoruz. ( 10 ideal )

Mesela bu kısmı 5 olarak set ettiğimizde 10 dakika içerisinde bir host 10 – bir kullanıcı ise 10 kere üst üste giriş denemesi yaparsa geçici olarak banlanır. ( kullanıcı ise sitenizde kayıtlı kullanıcı adı askıya alınır )

Eğer bu geçici banlanmalar 7 gün içerisinde 3 kere olursa da bu kullanıcı veya host kalıcı olarak otomatik banlanır ve bir daha sitenize ulaşım sağlayamaz. ( Bu 7 gün ve 3 kere ayarlarını hatırlarsanız Global Settings kısmından set etmiştik )

#Automatically ban “admin” user: Bu seçeneği etkinleştirerek, bir kişinin sitenizin giriş panelinede kullanıcı adına admin yazıp, giriş denemesi yaptığı anda direkt bir üstteki seçenekte belirlediğimiz süre kadar ( 5 dakika ) banlanmasını sağlamış oluyoruz.

Network Brute Force Protection

iThemes Security Ayarları Brute Force Protection Ayarları

iThemes Security Ayarları Brute Force Protection Ayarları

Bu özellik ithemes security eklentisinin en sevdiğim özelliklerinden bir tanesi. Normalde siz Local Brute Force Protection özelliğinde set ettiğiniz ayarlar sonucunda giriş denemesi yaparak admin bilgilerinizi kırmak isteyen kişileri geçici ve hatta kalıcı olarak banlamasını sağlıyorsunuz.

Bu özelliği aktif ettiğinizde de sizin sitenize giriş denemesi yaparak admin bilgilerinizi kırmak isteyen ve kalıcı olarak banlanan kişilerin ip adresi bilgileri eklentinin genel havuzuna gönderiliyor.

Yine aynı şekilde bu havuza eklentinin bu özelliği aktif edilen tüm sitelerce eklenti tarafından banlanan ip adresleri bilgileri de gönderiliyor.

Ve havuzda yer alan tüm ip adresleri eklentinin bu özelliği kullanan tüm sitelerden otomatik olarak banlanmış oluyor. Yani bu özellik ile potansiyel olarak Brute Force saldırısında bulanabilecek kişi veya botları da engellemiş oluyorsunuz.

Bu özellikten yararlanmak için tek yapmanız gereken özelliği Enable / Aktif hale getirdikten sonra özelliğin ayarlarından ( Configure Settings ) E-Mail kısmına sitenizin bağlı olduğu mail adresini yazmanız.

Mail adresini yazıp, ayarları kaydettikten sonra eklenti otomatik olarak size bir API key atıyor ve siz de bu havuza dahil olmuş oluyorsunuz.

Password Requirements

iThemes Security Ayarları Password Requirements Ayarları

iThemes Security Ayarları Password Requirements Ayarları

Bu özelliği etkinleştirmek (Enable) sitenize üye olanları güçlü bir şifre seçimine zorlar. Bunu sadece yönetici ve editörler için uygulamanızı şiddetle tavsiye ederim.

Çünkü;

Eğer bir kullanıcı üye olurken güçlü şifre oluşturmazsa, eklenti kullanıcının üyeliğini güçlü bir şifre oluşturulana kadar kabul etmez ki buda kullanıcıların kolaylıkla üye olmaktan caymalarını sağlayabilir.

#Minimum Role: Hangi rol için güçlü şifre uygulamasının geçerli olacağını seçiyoruz.

Mesela; Editör için seçim yaptığınızda üyeliklerde yönetici ve editörler için yüksek güvenlikli şifre koymayı zorunlu hale getiriyorsunuz. Yazar seçtiğinizde ise üyeliklerde yönetici, editör ve yazarlar için yüksek güvenlikli şifre koymayı zorunlu hale getiriyorsunuz.

SSL

Eğer sitenizi http’den https uzantısına taşıdıysanız yönlendirme için eklentinin bu ayarını da kullanabilirsiniz. Ancak bunu kesinlikle önermem. Çünkü http’den https geçiş işlemi sadece bu yönlendirme ile de bitmiyor.

Bu işlem hiç bir noktanın atlanmaması gerektiği özenli bir çalışma istiyor. Keza yapılacak herhangi bir hatada sitenizin tüm google sırlamasını kaybetme riskiniz var.

WordPress SSL kurulumu ve Http’den Https’ye Geçiş yazımda bu işlemi nasıl yapacağınızı anlattım. Eğer böyle bir geçiş yapacaksanız ithemes securtiy eklentisinin bu ayarı ile hiç uğraşmayın. Direkt yazımı takip ederek yapın.

System Tweaks

iThemes Security System Tweaks Ayarları

iThemes Security System Tweaks Ayarları


İdeal System Tweaks Ayarları Tek Resim


#System Files: (Protect System Files) Bu özelliği etkinleştirerek readme.html, readme.txt, wp-config.php, install.php, wp-includes, ve .htaccess dosyalarını ziyaretçilerin ulaşımına kapatıyoruz.

#Directory Browsing: Bu özelliği etkin hale getirerek bir ziyaretçiye no index olarak sunulan bir dosyanın bulunduğu klasörde yer alan dosya listelerini gizlemiş olursunuz.

#Request Methods: Request (istek) metodlarını filtreler.

#Suspicious Query Strings: Bu özelliği etkinleştirdiğinizde, ithemes security herhangi bir şüpheli URL  sorgusuyla karşılaşırsa sorguyu filtreler.

#Non-English Characters: İngilizce dışında kullanılan karakterleri engeller. Bu özelliği kesinlikle etkinleştirmeyin! Türkçe karakterler bu özelliğe ters düşeceğinden, sitenizde bozulmalar olur.

#Long URL Strings: Bu özellik sitenizin URL uzunluklarını belirli bir limite indirir ki bu özelliği etkinleştirmenizde kesinlikle fayda var. Çünkü bir çok hack yöntemi URL sorgularıyla yapılır.

#File Writing Permissions: Dosya yazma iznini yasaklar. Yani hiç bir dosya sizin dışınızda kimse tarafından değiştirilemez. Bu özelliği kullanırken çok dikkatli olun! Eğer Cache eklentisi veya .htaccess dosyanızı yazan başka eklentiler kullanıyorsanız bu özellikten uzak durun. Aksi halde sitenizin bozulmasına sebep olabilir.

#PHP in Uploads: Bu özelliği etkinleştirerek potansiyel kötü niyetli php yüklemelerini engellersiniz. Böylelikle sitenize php uzantılı ( php kod içeren ) yüklemeler yapılamaz.

#PHP in Plugins: Eklenti dosyalarına PHP yüklemeleri yapamayı engeller. Bu kısmı etkin hale getirmeyin. Aksi halde eklentinizde yaptığınız güncellemeler sonucu bozulmalar olabilir.

#PHP in Themes: Tema dosyalarına PHP yüklemeleri yapmayı engeller. Bu kısmı etkin hale getirmeyin. Aksi halde temanızda yaptığınız güncellemeler sonucu bozulmalar olabilir.

WordPress Salts

iThemes Security System Tweaks Ayarları

iThemes Security System Tweaks Ayarları

WordPress Salts, yani WordPress güvenlik anahtarları kullanıcı çerezlerinde saklanan bilgilerin şifrelenmesini geliştirmek için WordPress tarafından kullanılan ve rastgele oluşturulmuş değişkenlerdir.

Örneğin, sitenizin saldırıya uğradığını ve admin şifrenizin başkası tarafından çalındığını veya bilindiğini düşünüyorsanız bu durumda ilk yapmanız gereken işlem şifrenizi değiştirmek olacaktır.

Ancak bu gibi durumlarda sadece şifre değiştirmek yeterli olmayabilir. Şifrenizi değiştireniz bile wordpress sitenize giriş yapan kişi kendi istediği ile manuel olarak çıkış (log out) yapmadığı sürece her türlü işlemi yapmaya devam edebilir.

Bu yüzden WordPress güvenlik anahtarlarını değiştirmeniz gerekir. Anahtarları değiştirdikten sonra, tüm kullanıcılar otomatik olarak çıkış yapacak / yaptırılacaklardır. Site yeniden girmeleri içinse tekrar giriş yapmaları gerekecektir.

İşte bu wordpress güvenlik anahtarlarını (WordPress Salts) değiştirme işlemini de ithemes security eklentisinin bu özelliğini etkin hale getirip (Enable) ardından Configure Settings >> Change WordPress Salts seçeneğini işaretleyip ayarları kaydederek yapabilirsiniz.

WordPress Tweaks

iThemes Security WordPress Tweaks Ayarları

iThemes Security WordPress Tweaks Ayarları


İdeal WordPress Tweaks Ayarları Tek Resim


#Windows Live Writer Header: Windows Live Writer kullanıyorsanız bu özelliği atlayın. Kullanmıyorsanuz bu seçeneğide etkinleştirin.

#EditURI Header: Eğer sitenizi Flicker veya benzeri sitelerle entegre ettiyseniz, ozaman bu özelliği etkinleştirmenizde fayda var. Entegrasyon yoksa bu özelliğide atlayın.

#Comment Spam: Botlardan gelen spam yorumları engeller.

#Display Random Version: Eğer bir sorguda wordpress sürümü gösterme zorunluluğu olursa sitenizin wordpress  versiyonunu rasgele gösterir.

#File Editor: Eğer bu özelliği etkin hale getirirseniz dosya düzenleme işlemini wordpress üzerinden yapmanız engellenir. Yani, Görünüm >> Düzenleyici seçeneğini admin panelinizden kaldırılır. Bu özelliği etkinleştirdikten sonra dosya düzenleme işlemlerinizi FTP üzerinden ya da diğer yollardan yapmanız gerekecektir.

#XML-RPC: Bu özelliği Disable XMLRPC olarak işaretlemenizde büyük fayda var derim çünkü son zamanlarda en çok kullanılan hack yöntemlerinden birisi de bu. Ben bile kendi sitemde günde onlarca XMLRPC pingback alıyorum. Fakat, özelliği etkinleştirmeniz Jetpack gibi bazı eklentilerinizin çalışmasına engel olabilir. O yüzden karar sizin.

#REST API: Varsayılan olarak REST API sitenizde gizli olduğuna veya gizli kalması gerektiğine inandığınız bilgileri wordpress geliştiricileri erişimine açar.

Mesela

  • Yayınlanmış gönderileri veya sayfaları olmayan üyeleriniz için kullanıcı ayrıntılarını içeren sayfaları
  • Sitenizde yüklü olan ancak sitenizin herhangi bir yerinde hiç bir indirme linki veya gösterim linklemesi olmayan ortam kütüphanesi içerikleriniz indirebilirmesi ve görüntülenmesi gibi.

İşte bu ayar ile wordpress geliştiricilerinin REST API erişimini Restirected Access seçeneğini işaretleyerek kısıtlı hale getiriyorsunuz.

#Login Error Messages: Başarısız bir oturum açma girişimi sonucu kullanıcıya geri bildirim olarak verilen, girdiğiniz şifre hatalı veya kullanıcı adı hatalı gibi neyin hatalı olduğunu spesifik olarak belirten hata mesajlarını engeller.

#Force Unique Nickname: Kullanıcılarınızı daha önce kullanılmamış nickler kullanmaya zorlar.

#Disable Extra User Archives: Eğer bir yazarın sitenizindeki içerik sayısı 0 (sıfır) ise, yazar sayfasını gösterimden kaldırır.

#Protect Against Tabnapping: WordPress link verme işlemlerini yeni sekmede açılacak şekilde ayarladığınızda link verdiğiniz site bir güvenlik açığı olduğu için sizin gönderdiğini trafiği istediği gibi başka bir yere yönlendirebiliyor.

Bu özellik de yeni sekmede açılan wordpress linklerine rel=”noopener” etiketi ekleyerek bu güvenlik açığını ortadan kaldırıyor. ( Bu eklemeyi son güncelleme ile wordpress’de getirdi. )

#Login with Email Address or Username: Normalde wordpress kullanıcı girişlerinde (admin girişi de dahil) hem kullanıcı adını hem de kullanıcı mail adresini kullanıcı adı olarak kabul ediyor.

Bu seçenek ile de kullanıcı adı bilgisini sadece mail ile ya da kullanıcı adı ile giriş yapma şeklinde ayarlayabiliyorsunuz.

#Mitigate Attachment File Traversal Attack: WordPress’de var olan bir açıklık sebebi ile herhangi bir kullanıcı ( en düşük seviye de olsa) bir şekilde admin kullanıcısına ait olan düzenleme ve silme gibi ayrıcalıklar elde ederek  ortam dosyaları için düzenleme veya silme işlemi yapabiliyor.

Tabi bu silme işlemi sadece ortam dosyaları ile de sınırlı kalmayabiliyor. İşte bu seçeneği etkin hale getirdiğinizde admin olmayıp da admin izninlerine sahip kullanıcıların, wp-config.php gibi hassas dosyalar da dahil olmak üzere WordPress kurulumunuzdaki herhangi bir dosyayı silebilecekleri bir saldırıyı azaltmaya yardımcı oluyor.

Advanced ( Gelişmiş Ayarlar )

iThemes Security Advanced Ayarları

iThemes Security Advanced Ayarları

Hide Backend

Bu seçeneği aktif, yani enable hale getirip, Configure Settings butonuna tıklayarak özellik ayarlarından Enable the hide backend feature seçeneğini işaretlediğimiz zaman wordpress’in varsayılan olarak kullandığı wp-login.php / wp-admin  yani site giriş paneli URL adresini sizin belirlediğiniz bir uzantı ismiyle değiştirme özelliğini aktif ediyoruz.

#Login Slug: Yeni giriş adresiniz hangi uzantıda olacağını belirliyorsunuz. Örn: Diyelim ki bunu “haydigirelim” yaptınız, bu noktadan sonra artık wordpress sitenize girişler http://sizinsiteniz.com/haydigirelim URL adresi üzerinden gerçekleşir.

#Enable Redirection: Eğer site giriş adresini wp-admin veya wp-login.php yazarak ulaşmak isteyen kullanıcılar olursa da bu seçeneği etkinleştirdiğinizde karşılarına 403 forbidden sayfası çıkmıyor da sitenizin herhangi var olan bir sayfasına yönlendiriliyorlar.

#Redirection Slug: Burda ise 404 sayfa URL adresini belirliyoruz. Bunu “Bulunamadi” olarak yazarsanız, herhangi biri sitenizde var olmayan bu giriş sayfalarından herhangi birine ( wp-admin veya wp-login.php ) ulaşmaya çalıştığında karşısına siteniz.com/bulunamadi URL adresi çıkar. Yani boş bir 404 sayfası.

Change Content Directory

Bu seçeneği önce etkinleştirerek (Enable) ardından Configure Settings butonuna tıklayıp özelliğin ayarlarına gittiğinizde wp-content dosyamızın ismini Directory Name kısmına girdiğimiz isimle değiştirebiliyorsunuz.

Bu da oldukça önemli bir güvenlik önlemi aslında. Eğer sitenizi yeni kurmadıysanız ve sitenizde içerik varsa bu özellikten uzak durun!!! çünkü sitenizin bozulmasına sebep olacaktır.

Kesinlikle Uyarmalıyım Ki!!!Bu değişikliği sadece ve sadece wordpress kurulumunu yeni yaptıktan sonra ve sitenize hiç bir içerik girmeden önce yapınız.

#Bir de değişiklik öncesi wordpress sitenizin yedeğini mutlaka ve mutlaka alın çünkü wp-content dosyanızın ismini değiştirmek sitenizin tamamıyla bozulmasına sebep olabilir. Eğer site yedeği nasıl alınır bilmiyorsanız.  WordPress Site Yedeği Alma – Site Yedekleme başlıklı yazımda bunu detaylı bir şekilde anlattım.

Change Database Table Prefix

Bu özelliği önce etkinleştirerek (Enable) ardından Configure Settings butonuna tıklayıp özelliğin ayarlarına gidip, change prefix kısmını Yes yapıtğınızda ithemes security veritabanınızda bulunan tablo prefixlerini ( yani isimlerini ) değiştirecektir.

Bildiğiniz üzere wordpress veritabanı tabloları tüm wordpress’in kurulu olduğu siteler için aynıdır. Bu da büyük bir güvenlik açığı oluşturmaktadır. Bu seçeneği etkinleştirdikten sonra wp_users olan tablo prefix isminiz, eklentinin rastgele atadığı karakterlerden oluşacaktır. dw202jsh3_users gibi.

Kesinlikle Uyarmalıyım ki Bu değişikliği sadece ve sadece wordpress kurulumunu yeni yaptıktan sonra ve sitenize hiç bir içerik girmeden önce yapınız.

#Bir de değişikliği yapmadan önce wordpress sitenizin yedeğini mutlaka ve mutlaka alın çünkü veritabanı tablolarının ismini değiştirmek sitenizde bozulmalara sebep olabilir. Eğer site yedeği nasıl alınır bilmiyorsanız. WordPress Site Yedeği Alma – Site Yedekleme başlıklı yazımda bunu detaylı bir şekilde anlattım.


Umarım iThemes Security Ayarları – Kurulumu başlıklı yazımı yararlı bulmuşsunuzdur. Teşekkürlerinizi, yazımı sosyal mecralarda paylaşarak gösterebilirsiniz. Bu benim için fazlasıyla yeterli olacaktır.

İlgili gönderiler

iThemes Security Ayarları – Kurulumu Detaylı Anlatım” ile ilgili yorumlar;

  1. Kaan dedi ki:

    Merhaba Burak. Bahsettiğin şekilde ayarları yaptım. Siteme facebook veya google hesabıyla giriş seçeneği ekledim. Güvenlik eklentisi etkinken facebook veya google hesabıyla siteme giriş yapılamıyor; ancak eklentiyi pasif yaptığımda bu hesaplardan biriyle giriş yapabiliyorum.

    iThemes kullanmaya devam ederek ayarlardan bu durumu nasıl düzeltebilirim? Eğer facebook veya google ile girişi etkinleştirebilmem için iThemes ayarlarından birini kapatmak zorunda kalırsam, bu ciddi bir şekilde güvenlik açığı oluşturur mu? Oluşturursa, sosyal medya hesaplarıyla girişi başka şekilde aktif etmenin bir yolu var mıdır? Yoksa bu özelliği hiç mi kullanmasam? Desteğin ve içerikler için çok teşekkürler!

  2. Selami dedi ki:

    Burak hocam kolay gelsin, Selamun aleyküm. İThemes eklentisi kullanıyorum. Ben hack ve güvenlik zafiyetini minimuma indirmek için
    XML-RPC özelliğini devre dışı bıraktım ayrıca htaccess dosyasına da manual kod yazarak kapattım. Sağlamasını /xmlrpc.php olarak yazdığımda olduğum sayfayı döngü yaparak yeniliyor bu işlem doğru mudur?

    Bir de wordpress içinde ayarlar >yazma>bölümünde servisleri güncelle seçeneği var en altta şimdi ben buraya 2019 güncel ping sitelerini yazdım. Bunları yazsam sitemiz ping gönderip güncelleştirme yapar mı?
    Yani tüm yazdıklarımı sileyim mi? Yazdıklarımı güncellesin tanıtsın istiyordum.

    Cevaplarsanız memnun olurum. 🌹 Teşekkür ediyorum

  3. Adem dedi ki:

    Burak Bey, Hayırlı günler, Bu İthemes i yükledim ve ayarlarıda yukarıda anlattığınızın aynısını yaptım, Fakat Zomnify de kşisel test yüklemeye çalıştığımda, testi hazırlamamdan bitirmeme kadar hiçbir sıkıntı yokken tam yayımlaya bastığım anda hiçbr hareket olmuyor ve yayımla düğmesinin yanına “Kırmızı ünlemle Bir hata bulundu” Yazısı geliyor. Önizle ye bastığımda ise “Lütfen gönderiyi kaydedin” diye bir mesaj çıkıyor. Bu i themes’ten kaynaklanabilirmi? veya soruu nasıl çözebilirim. Biraz uzun oldu ama kusura bakmayın, Sizden cevap bekliyorum, Teşekkürler Kolay Gelsin…

  4. Ahmet dedi ki:

    merhaba
    ben belirttiğiniz şekilde wp-admini değiştirdim fakat temamın (jannah) siteye entegre ettiği üyeler için girişyap bölümüne tıklayınca yanlış kullanıcı adı şifre girince değiştirdiğim wp-admin giriş yerine yönlendiriliyor. bu bir açık değil mi benim giriş yaptığım admin bölümünü üyeye gösteriyor

  5. taner dedi ki:

    merhabalar, eklentinin pro versiyonunu aldım kurdum ayarlarını vs yaptım fakat, sitem aşırı şekilde yavasladı. bir yerde hatamı yaptım diye ikinci kez yaptım yine aynı oldu?
    ne yapmam gerekir. acaba cdn alsam bu sorun çözülür mü?

    1. Burak Oran dedi ki:

      Hocam aslında pro versiyona gerek yoktu. Yani pro versiyonun öyle ücretsiz versiyonda olmayan, fark yaratacak özellikler yok. Yani olmazsa olmaz özellikleri yok. Eğer yavaşlama yaptıysa, ücretli versiyon için ücret iadesi isteyin, ücretsiz versiyonu kullanın sadece. Gene de ben yavaşlamanın sebebinin ücretli veya ücretsiz kullanım farkından olduğunu düşünmüyorum, mutlaka eklenti ayarlarından yaptığınız bir ayardan dolayıdır da o ayarın da ne olacabileceğini, ne yaptığınızı kestirmem imkansız.

  6. Omer dedi ki:

    Merhaba,
    Tavsiyeniz ve anlatımınız üzere WP Fastest Cache kurulum yapmıştım gayette memnunum %60 larda olan sayfa hızları %85-90 lara firladı.

    İthemes Security ayarlarını yapınca Wp fastest Cache uyarı vermeye başladı. Belirttiği linke tıklayınca ithemes security File Change modülü açılıyor.
    O ayarları nasıl düzenlemek lazım? teşekkürler.

    WP Fastest Cache Seçenekleri
    iThemes Security noticed file changes in your WordPress site. Please review the logs to make sure your system has not been compromised.

  7. Omer dedi ki:

    Ellerinize sağlık başarılarınızın devamını dilerim, uzun zamandır dikkatimi çeken bir site anlatımlar sade herkesin anlayacağı şekilde tebrik ederim.

    Advanced ( Gelişmiş Ayarlar ) da Hide Backend kısmında Custom Login Action kısmı gelmiş. Konuyu güncelleştirmenize faydam dokunsun diye yorumda belirtiyorum iyi çalışmalar.

  8. Özkan dedi ki:

    Merhaba,

    Güzel paylaşım ve detaylı açıklamalarınızdan dolayı teşekkürü borç bildiğimden dolayı bu yorumu yapıyorum. Gerçekten çok güzel, detaylı, açıklayıcı bir anlatım ve muhteşem bir paylaşım olmuş. Siz gibi değerli bu denli anlatımcılara ve bu tarz paylaşımlara ihtiyamıcımız var. GÜZEL PAYLAŞIMINIZDAN DOLAYI ÇOK TEŞEKKÜR EDERİZ.

  9. Hasan dedi ki:

    Change Content Directory kısmını ayarlarken: An “invalid format” error prevented the request from completing as expected. The format of data returned could not be recognized. This could be due to a plugin/theme conflict or a server configuration issue. bu hatayı almaktayım nasıl düzeltebilirim yardımcı olur musunuz?

    1. Burak Oran dedi ki:

      Hata mesajında hatanın eklenti / tema uyuşmazlığından ya da hosting firmanız taraflı bir kısıtlamadan dolayı olabileceği yazıyor. Bu durumda öncelikle hosting firmanız ile iletişime geçin. wp-content dizininin isminin değilştirilmesi ile ilgili bir kısıtlama olabilir mi diye sorun. Ardından ise temanızı başka bir tema ile değiştirin. Hata hala devam ediyorsa eklentiyi etkisiz hale geitip, silip tekrar yükleyin ve yeni yüklemenizde bu kısmın ayarları ile hiç oynamayın ,olduğu gibi bırakın yani.

  10. Mustafa ÇETİN dedi ki:

    Merhaba; Makaleniz gerçekten bir kütüphane oldu bizim için elinize sağlık.
    eklentiyi kurdum ama yönetim paneli geçişlerinde bir yavaşlık oldu. sizde aynı sorunu yaşadınız mı?
    Teşekkürler.

  11. Ceren dedi ki:

    ve bu işlemi geri de alamıyorum. En korktuğum aşama buydu zaten korktuğum başıma geldi,

  12. Ceren dedi ki:

    Hocam merhaba,Lütfen acil yardımcı olur musunuz, birşeyleri yanlış yaptım. Öncelikle kaleminize sağlık.
    Ben çok büyük bir hata yaptım talimatlarınıza göre ayarlamayı yaparken. security check kısmına ilk kez tıkladığımda ***With Network Brute Force Protection, your site is protected against attackers found by other sites running iThemes Security. If your site identifies a new attacker, it automatically notifies the network so that other sites are protected as well. To join this site to the network and enable the protection, click the button below.*** yazısının altındaki kutucuğa mail adresimi girdim. ve YES I işaretleyerek **Activating network brute force protection*** u tıkladım :((( Bunun üzerine mailime API anahtarı düştü. Of ya ne yaptım . Ve sizin ayarlarda belirttiğiniz notification email, send digest email bu kutucukların hiç biri bende çıkmıyor, lütfen yardımcı olur musunuz , çok rica edicem….

  13. Gökhan dedi ki:

    Merhabalar benim bir sorunum var wordpress güncellemesinden sonra admin panel girişinde bu yazı çıkıyor (Your IP address has been flagged as a threat by the iThemes Security network.) ve giriş yapamıyorum yardımcı olursanız sevinirim.

  14. Akın dedi ki:

    Merhaba,

    Daha sonra sizin kullandığınız Sucuri eklentisini kullanacağım ücretli olarak. Sanırım ithemes security eklentisinden daha iyi. Ancak sizce ücretsiz olarak bu eklentiyi mi, Sucuri eklentisini mi kullanmalıyım? Hangisini önerirsiniz?

    Bir de Sucuri ile ilgili bir anlatımınız yok. Acaba çok mu otomatik ayarları?

    1. Burak Oran dedi ki:

      Sucuri kullanımı ile ilgili yazıma wordpress hack temizleme başlıklı yazımdan ulaşabilirsiniz.

  15. papatya dedi ki:

    Merhaba,
    Cevap vermiyorsunuz ama yine de şansımı denemek istedim. Epeydir uğraştığım bir sorun var ve ancak siz yardım edebilirsiniz bana.
    Ithemes eklentisini yönlendirmelerinizle kurdum ve kullanıyorum. Fakat bir defa telefonumdan yanlış şifre girdiğim için engellendim. Aylardır da telefonumdan giriş yapamıyorum.
    Telefonumun IP’sini beyaz listeye ekleyince girebiliyorum ama IP kısa süre değişince yine giriş yapamıyorum.
    Telefonumdan ya da farklı bir IP’den siteme bir daha giriş yapamayacak mıyım ya? Lütfen yardım edin.

    1. Burak Oran dedi ki:

      Evet, giriş yaptığınız adresleri whhie ip liste ( beyaz liste ) alacaksınız. Ya da eklentinin bu özelliğini tamamen kapatacaksınız.

  16. Yasin Ergül dedi ki:

    Bugün site hack yedi çözüm ararken yine sen çıktın karşıma haha :D ingilizcem olsa bu kadar iyi ayar yapamazdım süper anlatım için teşekkürler :)

  17. Doruk dedi ki:

    Merhaba Burak,
    Öncelikle anlatımın için teşekkür ederim fakat eklentinin güncel versiyonunda, anlatımda olmayan bir çok fonksiyon mevcut. Bu konuda yeniden bir çalışma yapacak mısın?

  18. ersin dedi ki:

    Your IP address has been flagged as a threat by the iThemes Security network.

    kendi siteme giremiyorum isim tescilde kayıtlı site eklentisi ile ilgili bizim yapabileceğimiz birşey yok dediler siteme nasıl giriş yapabilirim yardımcı olursanız sevinirim

  19. Mert dedi ki:

    Hocam bende yazarlarımın admin paneline girmesi gerekirken normal sayfaya yönlendiriyor ayrıca wp-admin sayfasına da ulaşamıyor :/

  20. serdar serdar dedi ki:

    teşekkür ederim. banada çok faydalı oldu

  21. papatya dedi ki:

    Merhaba Burak Bey,
    Aradığım hemen her şeyi bulduğum siteniz, benim için tam bir kılavuz oldu.
    Sitemin güvenliğiyle ilgili bir sorunum varken, yine sizde buldum çareyi. :)
    iThemes eklentisini kurdum ve çok memnunum ama farklı ip’lerden sürekli şöyle iletiler alıyorum:
    “user tried to login as admin.”
    “too many attempts to access a file that does not exist”
    Bunlar bot saldırılar mı yoksa birileri siteme mi dadanmış? Cevaplarsanız çok sevinirim.

  22. Fatih Kara dedi ki:

    CPU’ya etkisi nedir acaba?

  23. Murat dedi ki:

    Merhaba Hocam

    Dün gece evde ayarları yaptım her şey çok güzel, wp-logini değiştirdim, bugün iş yerime geldim admin girişi yapamıyorum, ip falan mı tanıyor acaba evden yaptım diye iş yerinden mi admin olarak giremiyorum, nasıl düzeltebilirim

  24. dilek dedi ki:

    Merhaba Sevgili Burak. Sana danışmak İstediğim önemli bir sorunum var. Wordfence Security sitedeki resimleri yedeklediği için diski doldurmuş ve bu neden yüzünden geçen siteye resim ekleyemedim.Sunucumu barındıran Turhosttan yardım istediğimde sağ olsunlar hemen sorunumu çözdüler ancak bana şöyle bir öneri ve uyarıda bulundular
    “Sunucunuzun diski dolmuş gözükmektedir.
    wordfence eklentisi sürekli loglama yapmasından dolayı ????????*348*********.txt sürekli kayıt eklenmektedir.
    Bu dosyayı sıfırladık , ilgili eklenti ayarlarınızı kontrol etmenizi önermektedir.”
    Ben bu ayarı nereden yapacağımı bilmiyorum bir fikrin var ise lütfen yardımcı olur musun?

    1. Burak Oran dedi ki:

      Hocam eklentiyi daha önce kullanmadım, ayarları nasıl bilmiyorum ancak eklenti altında bir logs seçeneği olması gerekli. Ya bu logs seçeneğini komple kapatmalısınız, ya da hafta da bir ya da ayda bir bu logları manuel olarak kendiniz temizlemeli, silmelisiniz.

  25. Mehmet BAYRAM dedi ki:

    Öncelikle neredeyse bütün yazılarınızı okudum gercekten adım adım ince detaylı anlatıyosunuz cok begendim fikir sahibi olmakla kalmadım birazda sayenizde cogu seyi ogrenmis oldum kendi adıma dogru seyleri ogredigimi hissediyorum bir tesekkuru borc bildim ilgi ve heyecanla takipteyim

  26. Onur dedi ki:

    Burak Hocam Selamlar.
    iThemes Security eklentisini birkaç gündür sorunsuz kullanıyordum fakat bugün wp-admin girişini yapamadım. Şöyle ki admin paneline giriş yapmak istediğimde direk sayfa url sine yönlendiriyor. Turhost ile görüştüğümde bu eklentiden kaynaklandığını söylediler ve eklentiyi etkisiz hale getirincede sorun düzeldi. Acaba sorun hangi ayarından kaynaklanıyordur?

  27. Eylül dedi ki:

    Selamlar,

    Eklentiyi siteye kurduktan sonra temanın fuctions ayarlarında değişiklik yaptım ve sitem açılmayığ hata verdi. Eklentiyi ftp üzerinden silip değişiklikler sonrasında yine ftp üzerinden kurdum ve düzeldi. Bu işlem sonucu ilerde sorun yaşar mıyım?

    teşekkürler,

  28. Ufuk dedi ki:

    Burak Hocam. Güvenlik eklentilerine bakılınca indirmeoranı=olumlu yorum sayısında ” Wordfence Security”eklentisi daha iyi görünüyor. Fakat ben sizin bilgi tecrübenize özellikle güvendiğim için danışmak istedim. Sizce bir tık dahi olsa hangisini kullansam daha iyi olur. Kolaylıklar dilerim.

  29. Mustafa dedi ki:

    Burak Bey Merhaba emeğiniz ve özveriniz için çok teşekkür ederim yazdıklarını adım adım üşenmeden uyguladım. Benim websitemde ithemes security yüklemiş olduğum resimler bazen kafasına göre göstermiyor. Başka bir kullanıcı açtığında siteki resimleri göremiyor. Şöyle bir şikayet gördüm ama nasıl çözdüklerini tam anlayamadım. https://wordpress.org/support/topic/filter-suspicious-query-strings-blocks-timthumb-images

    Yardımcı olursanız sevinirim.

  30. Davut Şahin dedi ki:

    Burak hocam, herkesin sorunu aslında şu login kısmı.
    Yeni versiyonda”Hide Login Area” kısmı yok herkes orada takılıyor çünkü ayarların yapınca sistem sizi çıkış yaptırıyor. siteadi.com/wplogin geliyor ama sonra siteadi.com/bulunamadı diyor. bunun bir çözümü varmı hemde sizde konuda o kısmı güncellersiniz. 2 tane kısım yok çünkü yeni özellikte.
    Saygılar..

    1. Burak Oran dedi ki:

      Davut merhaba, yakında yazıyı baştan sona güncelleyeceğim.

  31. metin dedi ki:

    merhaba, ben cache leme için cloudflare kullanıyorum. artı ssl sertifikasıda aldım.buna ragmen ithemes i kurup bahsettiğiniz ayarları yapmalımıyım.

  32. Akıllı İnceleme dedi ki:

    Allah ‘ ın Selâmı , rahmeti ve bereketi herkesin üzerine olsun. Ben burada XML-RPC kısmıyla alakalı bir durumu aktarmak istiyorum. Jetpack eklentisini kurmak isteyen birisi ilk önce bu ayarı enable yapmalıdır. Yoksa Jetpack, site_inaccessible yani HTTP 403 hatası veriyor. Bu ayarı disableden enableye çevirdiğiniz zaman jetpack için sıkıntı kalmıyor. Jetpack ı bağladıktan sonra bu ayarı tekrardan disable yaptım ben ve jatpack şimdilik bir sıkıntı çıkarmadı

  33. Tatiana Gezer dedi ki:

    Burak Bey merhaba
    öncellikle paylaştığınız bilgiler için çok teşekkür ederim. Size bir şey sormak istiyorum. Tavsiyenize uyup ücretli bir domain ve host aldım. wordpress i kurdum. Thema yı seçtim. Fakat sonraki adımları kesinlikle tamamlayamıyorum. Cache eklentisi kurmaya başlıyorum, bir süre sonra değişiklikleri kaydetmeye çalışınca bloguma erişimim engelleniyor. Cacheden vazgeçtim. Güvenlik kuracam derken database yedekleme işi çıkıyor. Blogum şu anda boş. Paylaşim yok, data yok, resim yok. Yedekleme yapmam yine de gerekşyor mu? Yoksa yedeklemeyi atlayıp güvenlik kurabilir miyim. Çok teşekkür ederim.

    1. Burak Oran dedi ki:

      Hocam cache eklenisi için WP Super cache’i kurun öncelikle, kurulumu ve ayarları yapılması daha basittir. Güvenlik eklenisi adımınıda atlayın. Daha sonradan yaparsınız başlangıçta hiç bir önemi yok. Sizinde ddiğiniz gibi, daha hiç bir içerik yokken yedekleme yapmanızın da hiç bir anlamı yok.

  34. ali kaya dedi ki:

    Ücretli sürümlü ile normal sürüm ayarları aynımı?
    Sizin öneriniz ücretlimi normal sürümğ kullanmı?

  35. Hüseyin dedi ki:

    Yazının güncellenmesi gerekiyor. Çok farklı değil, sadece yeni çıkan bir kaç özellik eksik. Sadece yazının içine eklenmesi gerekiyor.

    1. Burak Oran dedi ki:

      Siz güncellemek ister misiniz ? Güncellenecek noktaları bana iletişim formundan gönderin. Bende güncelleyeyim. Ne dersiniz ?

  36. Halil dedi ki:

    burak hocam eklentinin sunduğu hangi seçenek, ismini belirtirseniz yanlışlık yapmamış olurum.

    teşekkürler & yardımınıza

    1. Burak Oran dedi ki:

      Yorum yaptığınız içeriğin içerisinde hangi ayardan .htaccess dosyasını yazıma kapatıp açabileceğiniz yer alıyor. Hemen üstte yer alan içeriği okursanız, nasıl yapacağınızı öğrenebilirsiniz.

  37. Halil dedi ki:

    Burak Bey Selam,

    Eklentiyi kurduktan sonra .htaccess dosyasına sonradan ek bir kod eklemek istersek ne yapmamız gerekiyor. Zira bu eklenti ile bir çok fonksiyonun erişimi ile birlikte .htaccess dosyasınında erişimi engelleniyormuş.

    Teşekkürler

    1. Burak Oran dedi ki:

      Hocam eklentinin sunduğu seçeneklerden bir tanesi .htaccess dosyasını erişime kapatma fakat bu özelliği aktif edip etmemek sizin elinizde. Bu özelliği etkisizleştirerek .htaccess dosyanızı tekrar erişime açabilirsiniz.

  38. Mehmet dedi ki:

    Çok güzel bir anlatım ve çok yararlı buldum çok teşekkür ederim

    1. Burak Oran dedi ki:

      Yorumun için ben teşekkür ederim Mehmet

  39. hakan dedi ki:

    Peki VirusTotal’dan API anahtarı alınabileceğini yazmışsınız. Ben bulamadım, acaba bu uygulamaları artık geçersiz midir?

  40. hakan dedi ki:

    Burak Hocam Selam. Eklenti ayarlarını ilettiğiniz gibi yapıp kaydettiğimde “403 forbitten” hatası alıyorum. Sorun nereden kaynaklanıyordur?
    tşk,

    1. Burak Oran dedi ki:

      Hocam onlarca ayar var, hangi ayarı nasıl yaptınızda bu hatayı hangi sayfanızda aldınız bilmiyorum bu nedenle en sağlıklısı hostunuzla iletişime geçmeniz.

  41. Dinçer dedi ki:

    sıkı bir takipçiniz olarak plugini kurdum. Fakat sitede hit artınca çok fazla sorun çıkartmaya başladı ve kaldırmak istiyorum. 3 farklı deneme sonuçu düzgünce kaldıramadım ve hep kaldırma işlemi öncesi yedeğe geri göndüm. plugini ilk kurmadan önceki site yedeğine dönemem çünkü o yedekle şuanki güncel site arasında 160 makalelik fark var ve 160 özgün makale çok büyük bir emek. Lütfen bu yazı gibi bir de nasıl temiz bir şekilde kaldırabileceğimize dair bir yazı yazar mısınız?

    1. Burak Oran dedi ki:

      Ne gibi sorunlar çıkarttı anlamadım hocam. Silme işlemide tamamen ayarlarınıza bağlı olarak değişir. İsterseniz ithemes resimi sayfasından yada wordpress resmi forumundan detaylı bilgi alabilirsiniz.

  42. ali dedi ki:

    Hocam İthemes secrutry olmuyor etkinleştiriyorum tekrar wordpress paneline giremiorum ftpden silince düzeliyor başka bir Güçlü güvenlik uygulaması varmı şimdiden teşekürler

  43. ali dedi ki:

    Çok Çok teşekür ederim Burak bey sağolun

  44. ali dedi ki:

    Merabar Burak bey Away Mode kısmını Günlük seçip saat ayarlamalarını yaptıktan sonra kaydet dedim ve sitem önüme geldi ve wordpres admin paneline gitmeye çalışıyorum sitem tekrar önüme geliyor yardımcı olursanız sevinirim şuanda giremiorum şimdiden teşekürler

    1. Burak Oran dedi ki:

      Eğer seçtiğiniz saat aralıkları şu an bulunduğunuz saat dilimini kapsıyorsa siteniz yönetim panelinin kapanması çok normal.

      Eğer ben şu an ki saat dilimini seçmedim diyorsanız, o zamanda sitenizin saat dilimini daha önceden istanbul saat dilimine ayarlamadınız demektir.

      Şu an sitenizi tekrar açmanın tek yolu veritabanınızdan yada eklentinin dosya ismini ftp üzerinden değiştirip etkisizleştirmek.

  45. Dinçer dedi ki:

    eklentiyi yüklediğimden beri sayfa oluştururken yada yazı yazarken çok fazla bağlantı koptu hatası alıyorum.
    bunun sebebi nedir acaba?

  46. Ertuğrul dedi ki:

    Çok detaylı ve güzel bir yazı olmuş. Sitemde kullandım. Teşekkür ederim.

  47. Burak Can KARA dedi ki:

    Gerçekten emeğinize sağlık. Çok detaylı ve güzel bir anlatım olmuş. sitem için kullandım ve oldukça güzel. Ayrıca size g+ da yapıyorum. Teşekkürler. Yeni bir blogcu olarak sizi takipteyim.

    1. Burak Oran dedi ki:

      Çok teşekkürler Burak Can Kara

  48. Yabancı sağlık sigortası dedi ki:

    Hocam naptınız döktürmüşsünüz . Çok güzel bir eklentiymiş buna kanaat getirdim, çok detaylı ayarlar yapabiliyorum. Bundan önce manuel olarak güvenlik ayarları yapmaya çalıştım ama siteyi berbat ettim. Tam aradığım eklentiyi paylaşmışsınız ama makale çok uzun bitirene kadar akla karayı seçtim. Emeğinize sağlık bu kadar uzun makaleyi yazmak gerçekten başarı.

    1. Burak Oran dedi ki:

      Saolun hocam teşekkür ederim.

  49. Mami dedi ki:

    Teşekkürler, hallettim hepsini :)

  50. doğukan dedi ki:

    Sağ olasın kardeşim

  51. kaan mete dedi ki:

    Hyır hocam üyelik için bir eklenti kullanmıyorum daha doğrusu bu hazır bir tema kullanıyorum. Bileşenler kısmında üye giriş kısmı var şu şekilde http://screencast.com/t/c2DV2Gsuy3ab
    . Hide login area kısmının üye giriş paneli ile değil admin giriş paneli ile ilgilsi var değil mi hocam

    1. burak oran dedi ki:

      Evet admin bölümüyle ilgisi var fakat wordpress altyapısında üyelerde admin panelinden giriş yapar normalde. Temanızdaki bileşen sadece bir ön yüz yani admin giriş panelinin yanpanele taşınmış hali o yüzden farklı şeyler değil. Önce bileşenlerden üye girişi bileşenini kaldırın daha sonra, yine admin giriş adresini değiştirin ve sonra tekrar bileşenlerden üyelik giriş bileşenini aktif hale getirin. Bu sefer bileşen yeni “path”i kavrayacaktır diye düşünüyorum. Olmazsa iletişim formu üzerinden sitenizin giriş bilgilerini gönderin birde ben bakayım.

      1. kaan mete dedi ki:

        Hocam yardımlarınız için teşekkürler siz olmasanız sorunun nedenini anlayamaz günümü öldürmüş olurdum. Hata için host servisimle hemen görüşeceğim, eklentinin de günahına girmiş oldum :)

  52. kaan mete dedi ki:

    Hocam şimd siteyi incelerken fark ettim üye giriş kısmı kayboldu hemen bileşenlerdne geri getirdim bu sefer de anasayfa giremiyorum siteye üye ol bölümü çıkıyor, başka bir yer açılmıyor. Hide login are ksımında sadece sitem için yeni giriş yolu tanımladım wp-login.php yerine bu kısımda diğer bölümler seçili değil. Sizce sebebi ne olabilir hide login area kısmını pasif hale de getirebilriim fakat bu işi bu eklenti yapamıyorsa kullanmam en basit şeyi yapamayan güenlik eklentisi ne iş eyarar ki . Şimdiden teşekkürler

    1. burak oran dedi ki:

      Bileşenlerden neyi getirdiniz anlamadım. Bileşenlerde üyelik girişi için veya üye olma için bir eklenti kullanıyorsanız belki o eklentinin uyumsuzluğudur. Yoksa iThemes security eklentisinde bi problem çıkacağını düşünmüyorum. Dünya çapında yüz binlerce insan kullanıyor.

  53. kaan mete dedi ki:

    ağzım açık kaldı ben okumaya uygulamaya yoruldum hocam siz paylaşım yapmışsınız boşuna değil wp ile ilgili bir şey aradığımda sitenizin hep karşıma çıkması, paylaşım için teşekkürler

    1. burak oran dedi ki:

      Yazılarımı yazmaya çalışırken daha iyisi yazılamasın prensibini uygulayarak emek veriyorum. Yorumunuz için teşekkür ederim.

  54. serdar dedi ki:

    Tebrikler çok güzel anlatım yapmışsınız.

  55. SeLoRe dedi ki:

    şu an sitemde iThemes security programını kullanıyorum çokta memnunum, Wordfence Security ile iThemes security arasında kıyaslama yapacak olursakta oyum iThemes’den yana olur.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.