WordPress güvenliği tüm wordpress kullanıcıları için oldukça önem arz eden bir konu. Emin olun sitenizin hiti arttıkça, iyi bir yerlere geldikçe buna göz diken ve emeğinizi çalmak isteyen insanlar olacaktır.
İşte bu kötü niyetin önüne geçebilmek adına güvenlik önlemi olarak yapabileceğiniz en iyi şey wordpress sitenize ithemes security eklentisi kurmanız. ( bkz: eklenti nasıl kurulur )
iThemes Security Kurulumu
WordPress admin panelinizden Eklentiler >> Yeni ekle sekmesi altından sağ üst köşedeki arama kutusuna iThemes security yazarak eklentiyi aratıyoruz ve karşımıza yukarıdaki resimdeki gibi bir ekran çıkıyor.
Resimde Yünklenenler olarak görünen buton, sizde şimdi kur butonu olarak görünecektir. Şimdi Kurbutonuna tıklayarak iThemes security eklentisini wordpress sitenize kolaylıkla kurmanız mümkün.
iThemes Security Ayarları
Eklentiyi yükleyip, etkin hale getirdikten sonra ilk defa Admin Paneli >> Securtiy >> Settings sekmesine gittiğinizde karşınıza Security Check diye bir ekran gelecektir. Bu ekranda Secure Site butonuna tıklamadan! sol alt köşede bulunan Close butonuna tıklayın. Biz her ayarı tek tek yapacağız.
>> Global Settings
>> 404 Detection
>> Away Mode
>> Banned Users
>> Database Backup
>> File Change Detection
>> Local Brute Force Protection
>> Network Brute Force Protection
>> Password Requirements
>> SSL
>> System Tweaks
>> WordPress Salts
>> WordPress Tweaks
>> Advanced: Hide Backend
>> Advanced: Change Content Directory
>> Advanced: Change Database Table Prefix
Global Settings
Not: Eklentinin bu özelliğinin ve altta sıraladığım tüm özelliklerinin ayarlarına gitmek için öncelikle özelliğin isminin hemen altına yer alan Configure Settings ( Ayarları Yapılandır ) butonuna tıklayın. Eğer bu buton yoksa da öncelikle Enable butonuna tıklayarak özelliği aktif hale getirmeniz gerekir ve ondan sonra Configure Settings butonu açılır.
İdeal Global Settings Ayarları Tek Resim
#Write to Files: Bu kısmı işaretleyip etkin hale getirdiğimizde iThemes security eklentisinin wp.config.php ve .htaccess sayfalarını yazmasına izin veriyoruz.
Eğer bunu etkinleştirmezseniz, tüm yazım işlemini sizin manuel olarak yapmanız gerekli. Yani eklentinin düzgün çalışması için bu seçeneği etkin hale getirmeniz şart.
#Host Lockout Message: Bir bilgisayar (host) sitenizden geçici olarak banlandığı zaman bu mesajı alır. Bu kısmı Türkçeleştirebilirsiniz. (Geçici olarak banlandınız vs.)
#User Lockout Message: Sitenizin bir üyesi üst üste yanlış şifre girdiğinde ya da herhangi biri ( bot veya gerçek kişi ) üye olmadığı halde üye girişi girişimi ile üye bilgileri ele geçirme denemesi yaptığında geçici olarak banlanır.
İşte buraya da bu kişi banlandığı zaman karşısına çıkacak mesajı yazıyoruz. Yine aynı şekilde bu kısmı da istediğiniz gibi Türkçeleştirebilirsiniz.
#Blacklist Repeat Offender: Bu ayarla kara liste (Kalıcı Ban) oluşturmayı etkinleştiriyoruz ve bir kullanıcının yada bot’un, kara listeye nasıl gireceğini alttaki ayarlarla belirliyoruz.
#Blacklist Threshold: Bu özellikte, bir kullanıcı kaç kere üst üste geçiçi ban yerse kara listeye girer, belirliyoruz.
#Blacklist Lookback Period: Bu özellikte üst üste ban sınırının zaman dilimini, gün cinsinden belirliyoruz.
#Lockout Period: Geçici banlanmanın süresini belirliyoruz.
↑ Sistem Nasıl İşliyor ? : Üstteki 3 ayar şu şekilde işliyor, Lockout Period kısmında 15 dakika yazdığınızda bir kullanıcının şüpheli bir girişiminde 15 dakika boyunca geçici olarak banlanmasını sağlıyoruz.
Blacklist Lookback Period kısmına 7 gün ve Blacklist Threshold kısmına 3 yazarsak, prosedür şu şekilde işliyor; Bir kullanıcı 7 gün içerisinde 3 kere 15 dakikalık geçici ban yerse, iThemes security o kullanıcıyı direkt kara listeye alıyor ve kalıcı ban yiyor. Sitenize de aynı IP adresi ile bir daha giriş yapamıyor.
#Lockout White List: Bu kısımda kendi IP adresinizi veya istediğiniz diğer IP adreslerini beyaz listeye ekliyorsunuz. Kendi IP adresinizi Add my Current IP adress to white list butonunu kullanarak beyaz listeye ekleyebilirsiniz.
Bunu yaparak kendinizi ve eklediğiniz diğer IP adreslerini admin veya üye girişi yaparken şifrenizi yanlış girseniz bile üstte ayarladığımız şekilde hem geçici hem de kalıcı banlamalardan uzak tutumuş oluyorsunuz.
Yani, eğer kendi IP adresinizi beyaz listede belirtmezseniz, sitenize giriş yaparken şifrenizi 4 kere üst üste yanlış girdiğinizde, sizde 15 dakikalık ban geçici ban yersiniz. Bunun, site sahibi olarak sizin başınıza gelmesini istemezsiniz tabi ki :) O yüzden IP adresinizi beyaz listeye eklemenizde fayda var.
#Log Type: Giriş denemelerinin nerede depolamasını seçiyorsunuz. Veritabanınızda depolamanızda fayda var. ( Database Only )
#Days to Keep Database Logs: Bu şeçenek ile iThemes security eklentisinin giriş denemelerini ne kadarlık bir zaman aralığında veritabanınızda saklanmasını belirliyoruz. ( 30 gün ideal )
#Allow Data Tracking: Bu seçeneği etkin hale getirdiğimizde ise iThemes bizim eklenti kullanımımız ile ilgili veri topluyor. Bir nevi eklenti yazarlarına feedback / geri bildirim yapmış oluyorsunuz.
#Override Proxy Detection: Eğer proxy kullanmıyorsanız IP belirlemede bu seçeneği etkinleştirerek daha net sonuçları alabilirsiniz.
#Hide Security Menu in Admin Bar: Bu özellik ise ekranın en üstünde bulunan Admin barından Security yazısını, yani eklentinin yönetim paneli kısa yolunu kaldırır. ( üyelerin eklenti ayarlarına erişimini engellemek amaçlı)
#Show Error Codes: Bu ayar etkin hale getirildiğinde eklentinin verdiği her bir hataya bir kod atanmış olur. Bu da eğer eklenti yazarları ile iletişime geçtip, destek almak isterseniz eklenti yazarlarının hatayı tespit etmek için işlerine yarayacak bir ayar.
Dolayısı ile böyle bir destek talebiniz olmadığı ve eklenti yazarları bu ayar sizden etkin hale getirmenizi istemediği sürece bu ayarı NO olarak bırakın.
404 Detection
İdeal 404 Detection Ayarları Tek Resim
404 Detection özelliği sitenizde 404, yani bulunamayan sayfaları size gösterilmesini sağlar. Aynı zamanda buradan yapacağınız ayarlamalar ile sitenize hack girişiminde bulunan kişileri veya botları engelleyebiliyorsunuz.
#Minutes to Remember 404 Error (Check Period): Bu seçenekten iThemes eklentisinin 404 hatasını alan ip adresini geçici veya kalıcı ban için ne kadar süre ile aklında tutması gerektiğini belirliyoruz.
Buradaki süreyi ne kadar yüksek tutarsanız siteniz veritabanına binecek yük o kadar fazla olacaktır. Benim tavsiyem max 10 dakikayı geçirmemeniz yönündedir.
#Error Threshold: Eğer bir kullanıcı veya bot sitenizde var olmayan bir sayfaya (yani 404) gereğinden fazla girmeyi denerse, geçici olarak banlanmasında fayda var çünkü bu kötü niyetli bir girişim denemesi olabilir. İşte bu özellikte 404 girişlerini buraya girdiğimiz sayıyla limitliyoruz. ( 20 ideal )
Eğer bu kişi veya bot geçici ban yemesine rağmen bu hareketini 3 kere (Global Settings kısm ında ayarladığımız sayı ) daha tekrarlarsa da ( 7 gün içinde ) kalıcı olarak ban yiyecektir.
Ancak siz yine de garanti olması açısıdan bu kısmı 0 (sıfır) olarak ayarlayın.
0 olarak bıraktığınız zaman eklenti yine kayıt tutar ancak herhangi bir aksiyonda bulunmaz. Yani o ip adresine kalıcı veya geçici ban atmaz.
Ben kendim de bu kısmı 0 olarak kullanıyorum ve 2 – 3 gün de bir mutlaka Admin Paneli >> Security >> Logs >> Notices sekmesinden 404 hatalarını inceliyorum.
Şüpheli gördüğüm ip adreslerini ise kendim manuel olarak Admin Paneli >> Security >> Settings >> Banned Users >> Banned Host kısmına yazıyorum ve ayarları kaydet diyerek kalıcı olarak banlıyorum.
#404 File/Folder White List: Bu özellikte iThemes security eklentisinin beyaz listesinde bulunan sayfalarınız 404 denetim işleminin dışında tutulur ki bazı sayfalarınız kesinlikle bu listede olmalıdır.
Diyelim ki sitenizden favicon sayfanız silindi veya bozuldu. Eğer bir kullanıcı sitenizde 20’dan fazla sayfayı ziyaret ederse ki her sayfada favicon olduğu için ve 404 hatası verdiği için, 21. sayfaya tıkladığında geçici ban yer. Tabi ki bunun olmasını istemezsiniz. Aşağıda beyaz listeye ( White List ) almanız gereken dosyaları paylaşıyorum.
/favicon.ico
/robots.txt
/apple-touch-icon.png
/apple-touch-icon-precomposed.png
/wp-content/cache
/browserconfig.xml
/crossdomain.xml
/labels.rdf
/trafficbasedsspsitemap.xml
#Ignored File Types: Bu kısımda da dosya türlerini beyaz listeye ekliyoruz. Hemen üstte yer alan özellikte olduğu gibi.
Away Mode
Away modu etkinleştirmek demek, belirlediğiniz saatlerde site admin panelini, yani site giriş panelini tamamıyla kapatmak demek. Site admin panelini belirli saatlerde tamamen kapalı tutarak saldırı riskini azaltabilirsiniz. ( Eğer üyelik sisteminiz yoksa )
Ben bu özelliği aktif olarak kullanmıyorum ancak yine de kullanmak isterseniz gece saatleri 4 ile sabah 7 arası ( hiç giriş yapmadığınız saatler ) site admin panelini kapatmak için mantıklı olabilir.
Not: Bir de eklenti saati ile ( ki bu saat away mode ayarları sayfasında yazar ) Türkiye saati arasında farklılık var. Saatleri set ederken bu farkı da mutlaka göz önünde bulundurun.
#Type of Restriction: Admin paneli kapatma işleminin günlük ya da bir kerelik olmasını seçiyoruz. Eğer admin panelinizin devamlı olarak belirli saatlerde kapalı kalmasını istiyorsanız günlük seçeneğini seçin.
#Start Time: Bu seçenekten ise başlangıç saatini seçiyoruz. Başlangıç saatinizi genelde sitenize giriş yapmadığınız saatlerde seçmelisiniz. Bir çok insan için en uygun olan zaman gece saatleridir diye düşünüyorum.
#End Time: Admin panelinin tekrar aktif olacağı saatide buradan belirliyoruz.
Banned Users
İdeal Banned Users Ayarları Tek Resim
#Default Blacklist: HackRepair.com’un hali hazırda bir kara listesi var. Sizinde bu kara listeyi, bu özelliği etkinleştirerek banlama listenize katmanızda fayda var.
#Ban Lists: Bu seçeneği etkinleştirerek, istediğiniz IP adresini manuel olarak bir alttaki Ban Hosts seçeneğinden banlayabilirsiniz ve o ip adresi kalıcı olarak banlanıyor. Bir daha da siz banı kaldırmadıkça sitenize giriş yapamıyor.
#Ban Hosts: Hatırlarsanız, iThemes security eklentisinin 404 hatalarını IP adresleriyle birlikte bize bildirmesini etkinleştirmiştik. iThemes security’nin gönderdiği rapora göre şüpheli bir girişimde bulunduğuna inandığınız IP adresini direkt olarak buraya yazarak kalıcı olarak banlayabilirsiniz.
#Ban User Agents: Bu kısım ise bot banlamaları içindir.
Database Backup
İdeal Database Backup Ayarları Tek Resim
Database Backup özelliğini aktif hale getirdiğinizde eklenti bizim için otomatik olarak yine bu özelliğin altından yaptığımız ayarlar ölçüsünde sitemizin veritabanı yedeğini alıyor.
Ancak tavsiyem bu özelliği kullanmamanızdır. Keza ben de kullanmıyorum. Bu özellik sadece veritabanı yedeğini alır. Site yedeği ise sadece veritabanı yedeği alınarak tamamlanmış olmaz. Ben site yedeğimi hem veritabanı hem de site dosyalarım için manuel olarak alıyorum. Nasıl alınacağını ise site yedeği nasıl alınır başlıklı yazımda anlattım.
Eğer yine de bu özelliği kullanmak isterseniz gerekli ayarlamalar şöyle;
#Backup Full Database: Bu seçeneği etkinleştirerek ihtemes security eklentisinden bizim için otomatik olarak veritabanı yedeği almasını talep ediyoruz.
#Backup Method: Bu seçenekte ise iThemes security eklentisinin aldığı yedeği hangi yolla bize ulaştıracağını seçiyoruz. E-mail olarak seçmeniz en güvenli yol.
#Backups to Retain: Bir üst seçenekte eğer yedekleri locally, yani site serverınızda saklamayı seçmeyi tercih ettiyseniz, bu seçenekten de alınan veritabanı yedeklerinin kaç tanesinin site serverınızda saklanması gerektiğini seçiyorsunuz. 0 ( sıfır ) yaptığınız zaman eklenti hepsini saklıyor.
#Compress Backup Files: Veritabanı boyutunuz büyükse, yedeği zip olarak almanızda fayda var. Diğer türlü e-mail atarken “mb” limitinden dolayı mail alamayabilirsiniz.
#Exclude Tables: Bu kısımda ise veritabanı yedeğinde hangi tabloların olmayacağına karar veriyoruz. Logs, lockouts gibi tabloların veritabanı yedeğinizde yer almasına gerek yok.
#Schedule Database Backups: Bu seçeneği etkinleştirerek iThemes security eklentisinden yedek alma işlemini belirli aralıklarla yapmasını talep ediyoruz.
#Backup Interval: ( Bir üstteki seçeneği aktif ettiğimizde bu seçenek açılır ) Otomatik yedek alma işleminin zaman aralığını gün cinsinden belirliyoruz. 3 günde bir yedek alıp size ulaştırması ideal diye düşünüyorum.
File Change Detection
Bu özelliği etkinleştirdiğinizde, iThemes security sizi, siteniz dosyalarında sizin dışısınızda yapılan değişimlerden haberdar eder. Bazı insanlar sitenizi ele geçirse bile bunu size belli etmeden bazı dosyalarda değişiklik yaparak kendi yararına kullanabilir. Bu yüzden buda önemli bir özellik. Etkinleştirmenizde fayda var.
#Files and Folders List: Hangi dosyaların taramaya dahil edileceğini, hangilerinin ise taramanın dışında bırakılacağını seçiyoruz. Normalde hepsi seçili oluyor. Ancak tarama dışında bırakmak istediğiniz dosya varsa da sol kısımdaki bölümden seçerek sağ kısıma atıyorsunuz.
#Ignore File Types: Bu listede yer alan dosya uzantıları için dosya değişikliğinin yapılıp, yapılmadığı kontrol edilmeyecek. Yani bu dosya uzantıları taramanın dışında tutulacak
#Display File Change Admin Warning: Bu seçeneği etkinleştirdiğinizde, eklenti yaptığı tarama sonucunda sitenizde herhangi bir değişiklikle karşılaşırsa, size wordpress sitenizin admin panelinde uyarı olarak belirtiyor.
Local Brute Force Protection
Sitenizin admin giriş şifresini öğrenmek isteyen bir kişi, harf ve rakam kombinasyonlarını sürekli deneyen bir programla giriş denemeleri yaparak, kullanıcı adınızı ve şifrenizi öğrenebilir. İşte, bunun önüne bu seçeneği etkinleştirerek geçebiliriz.
#Max Login Attempts Per Host: Bir hostun ( ip – cihaz ya da bilgisayarın ) sitenize giriş için yapacağı denemelerinin en fazla kaç kere üst üste olabileceğinin limitini belirliyoruz. ( 5 ideal ) 5 giriş denemesi de başarız olursa sistem kişinin bilgisayarını veya hostunu banlıyor ve sistem dışı bırakıyor.
#Max Login Attempts Per User: Bir kullanıcının sitenize giriş için yapacağı denemelerinin en fazla kaç kere üst üste olabileceğinin limitini belirliyoruz. ( 10 ideal ) 10 giriş denemesi de başarısız olursa sistem kişinin kullanıcı adını kilitliyor ve sistem dışı bırakıyor.
#Minutes to Remember Bad Login (check period): Giriş denemelerinin kaç dakika eklenti hafızasından tutulacağını belirliyoruz. ( 10 ideal )
Mesela bu kısmı 5 olarak set ettiğimizde 10 dakika içerisinde bir host 10 – bir kullanıcı ise 10 kere üst üste giriş denemesi yaparsa geçici olarak banlanır. ( kullanıcı ise sitenizde kayıtlı kullanıcı adı askıya alınır )
Eğer bu geçici banlanmalar 7 gün içerisinde 3 kere olursa da bu kullanıcı veya host kalıcı olarak otomatik banlanır ve bir daha sitenize ulaşım sağlayamaz. ( Bu 7 gün ve 3 kere ayarlarını hatırlarsanız Global Settings kısmından set etmiştik )
#Automatically ban “admin” user: Bu seçeneği etkinleştirerek, bir kişinin sitenizin giriş panelinede kullanıcı adına admin yazıp, giriş denemesi yaptığı anda direkt bir üstteki seçenekte belirlediğimiz süre kadar ( 5 dakika ) banlanmasını sağlamış oluyoruz.
Network Brute Force Protection
Bu özellik ithemes security eklentisinin en sevdiğim özelliklerinden bir tanesi. Normalde siz Local Brute Force Protection özelliğinde set ettiğiniz ayarlar sonucunda giriş denemesi yaparak admin bilgilerinizi kırmak isteyen kişileri geçici ve hatta kalıcı olarak banlamasını sağlıyorsunuz.
Bu özelliği aktif ettiğinizde de sizin sitenize giriş denemesi yaparak admin bilgilerinizi kırmak isteyen ve kalıcı olarak banlanan kişilerin ip adresi bilgileri eklentinin genel havuzuna gönderiliyor.
Yine aynı şekilde bu havuza eklentinin bu özelliği aktif edilen tüm sitelerce eklenti tarafından banlanan ip adresleri bilgileri de gönderiliyor.
Ve havuzda yer alan tüm ip adresleri eklentinin bu özelliği kullanan tüm sitelerden otomatik olarak banlanmış oluyor. Yani bu özellik ile potansiyel olarak Brute Force saldırısında bulanabilecek kişi veya botları da engellemiş oluyorsunuz.
Bu özellikten yararlanmak için tek yapmanız gereken özelliği Enable / Aktif hale getirdikten sonra özelliğin ayarlarından ( Configure Settings ) E-Mail kısmına sitenizin bağlı olduğu mail adresini yazmanız.
Mail adresini yazıp, ayarları kaydettikten sonra eklenti otomatik olarak size bir API key atıyor ve siz de bu havuza dahil olmuş oluyorsunuz.
Password Requirements
Bu özelliği etkinleştirmek (Enable) sitenize üye olanları güçlü bir şifre seçimine zorlar. Bunu sadece yönetici ve editörler için uygulamanızı şiddetle tavsiye ederim.
Çünkü;
Eğer bir kullanıcı üye olurken güçlü şifre oluşturmazsa, eklenti kullanıcının üyeliğini güçlü bir şifre oluşturulana kadar kabul etmez ki buda kullanıcıların kolaylıkla üye olmaktan caymalarını sağlayabilir.
#Minimum Role: Hangi rol için güçlü şifre uygulamasının geçerli olacağını seçiyoruz.
Mesela; Editör için seçim yaptığınızda üyeliklerde yönetici ve editörler için yüksek güvenlikli şifre koymayı zorunlu hale getiriyorsunuz. Yazar seçtiğinizde ise üyeliklerde yönetici, editör ve yazarlar için yüksek güvenlikli şifre koymayı zorunlu hale getiriyorsunuz.
SSL
Eğer sitenizi http’den https uzantısına taşıdıysanız yönlendirme için eklentinin bu ayarını da kullanabilirsiniz. Ancak bunu kesinlikle önermem. Çünkü http’den https geçiş işlemi sadece bu yönlendirme ile de bitmiyor.
Bu işlem hiç bir noktanın atlanmaması gerektiği özenli bir çalışma istiyor. Keza yapılacak herhangi bir hatada sitenizin tüm google sırlamasını kaybetme riskiniz var.
WordPress SSL kurulumu ve Http’den Https’ye Geçiş yazımda bu işlemi nasıl yapacağınızı anlattım. Eğer böyle bir geçiş yapacaksanız ithemes securtiy eklentisinin bu ayarı ile hiç uğraşmayın. Direkt yazımı takip ederek yapın.
System Tweaks
İdeal System Tweaks Ayarları Tek Resim
#System Files: (Protect System Files) Bu özelliği etkinleştirerek readme.html, readme.txt, wp-config.php, install.php, wp-includes, ve .htaccess dosyalarını ziyaretçilerin ulaşımına kapatıyoruz.
#Directory Browsing: Bu özelliği etkin hale getirerek bir ziyaretçiye no index olarak sunulan bir dosyanın bulunduğu klasörde yer alan dosya listelerini gizlemiş olursunuz.
#Request Methods: Request (istek) metodlarını filtreler.
#Suspicious Query Strings: Bu özelliği etkinleştirdiğinizde, ithemes security herhangi bir şüpheli URL sorgusuyla karşılaşırsa sorguyu filtreler.
#Non-English Characters: İngilizce dışında kullanılan karakterleri engeller. Bu özelliği kesinlikle etkinleştirmeyin! Türkçe karakterler bu özelliğe ters düşeceğinden, sitenizde bozulmalar olur.
#Long URL Strings: Bu özellik sitenizin URL uzunluklarını belirli bir limite indirir ki bu özelliği etkinleştirmenizde kesinlikle fayda var. Çünkü bir çok hack yöntemi URL sorgularıyla yapılır.
#File Writing Permissions: Dosya yazma iznini yasaklar. Yani hiç bir dosya sizin dışınızda kimse tarafından değiştirilemez. Bu özelliği kullanırken çok dikkatli olun! Eğer Cache eklentisi veya .htaccess dosyanızı yazan başka eklentiler kullanıyorsanız bu özellikten uzak durun. Aksi halde sitenizin bozulmasına sebep olabilir.
#PHP in Uploads: Bu özelliği etkinleştirerek potansiyel kötü niyetli php yüklemelerini engellersiniz. Böylelikle sitenize php uzantılı ( php kod içeren ) yüklemeler yapılamaz.
#PHP in Plugins: Eklenti dosyalarına PHP yüklemeleri yapamayı engeller. Bu kısmı etkin hale getirmeyin. Aksi halde eklentinizde yaptığınız güncellemeler sonucu bozulmalar olabilir.
#PHP in Themes: Tema dosyalarına PHP yüklemeleri yapmayı engeller. Bu kısmı etkin hale getirmeyin. Aksi halde temanızda yaptığınız güncellemeler sonucu bozulmalar olabilir.
WordPress Salts
WordPress Salts, yani WordPress güvenlik anahtarları kullanıcı çerezlerinde saklanan bilgilerin şifrelenmesini geliştirmek için WordPress tarafından kullanılan ve rastgele oluşturulmuş değişkenlerdir.
Örneğin, sitenizin saldırıya uğradığını ve admin şifrenizin başkası tarafından çalındığını veya bilindiğini düşünüyorsanız bu durumda ilk yapmanız gereken işlem şifrenizi değiştirmek olacaktır.
Ancak bu gibi durumlarda sadece şifre değiştirmek yeterli olmayabilir. Şifrenizi değiştireniz bile wordpress sitenize giriş yapan kişi kendi istediği ile manuel olarak çıkış (log out) yapmadığı sürece her türlü işlemi yapmaya devam edebilir.
Bu yüzden WordPress güvenlik anahtarlarını değiştirmeniz gerekir. Anahtarları değiştirdikten sonra, tüm kullanıcılar otomatik olarak çıkış yapacak / yaptırılacaklardır. Site yeniden girmeleri içinse tekrar giriş yapmaları gerekecektir.
İşte bu wordpress güvenlik anahtarlarını (WordPress Salts) değiştirme işlemini de ithemes security eklentisinin bu özelliğini etkin hale getirip (Enable) ardından Configure Settings >> Change WordPress Salts seçeneğini işaretleyip ayarları kaydederek yapabilirsiniz.
WordPress Tweaks
İdeal WordPress Tweaks Ayarları Tek Resim
#Windows Live Writer Header: Windows Live Writer kullanıyorsanız bu özelliği atlayın. Kullanmıyorsanuz bu seçeneğide etkinleştirin.
#EditURI Header: Eğer sitenizi Flicker veya benzeri sitelerle entegre ettiyseniz, ozaman bu özelliği etkinleştirmenizde fayda var. Entegrasyon yoksa bu özelliğide atlayın.
#Comment Spam: Botlardan gelen spam yorumları engeller.
#Display Random Version: Eğer bir sorguda wordpress sürümü gösterme zorunluluğu olursa sitenizin wordpress versiyonunu rasgele gösterir.
#File Editor: Eğer bu özelliği etkin hale getirirseniz dosya düzenleme işlemini wordpress üzerinden yapmanız engellenir. Yani, Görünüm >> Düzenleyici seçeneğini admin panelinizden kaldırılır. Bu özelliği etkinleştirdikten sonra dosya düzenleme işlemlerinizi FTP üzerinden ya da diğer yollardan yapmanız gerekecektir.
#XML-RPC: Bu özelliği Disable XMLRPC olarak işaretlemenizde büyük fayda var derim çünkü son zamanlarda en çok kullanılan hack yöntemlerinden birisi de bu. Ben bile kendi sitemde günde onlarca XMLRPC pingback alıyorum. Fakat, özelliği etkinleştirmeniz Jetpack gibi bazı eklentilerinizin çalışmasına engel olabilir. O yüzden karar sizin.
#REST API: Varsayılan olarak REST API sitenizde gizli olduğuna veya gizli kalması gerektiğine inandığınız bilgileri wordpress geliştiricileri erişimine açar.
Mesela
- Yayınlanmış gönderileri veya sayfaları olmayan üyeleriniz için kullanıcı ayrıntılarını içeren sayfaları
- Sitenizde yüklü olan ancak sitenizin herhangi bir yerinde hiç bir indirme linki veya gösterim linklemesi olmayan ortam kütüphanesi içerikleriniz indirebilirmesi ve görüntülenmesi gibi.
İşte bu ayar ile wordpress geliştiricilerinin REST API erişimini Restirected Access seçeneğini işaretleyerek kısıtlı hale getiriyorsunuz.
#Login Error Messages: Başarısız bir oturum açma girişimi sonucu kullanıcıya geri bildirim olarak verilen, girdiğiniz şifre hatalı veya kullanıcı adı hatalı gibi neyin hatalı olduğunu spesifik olarak belirten hata mesajlarını engeller.
#Force Unique Nickname: Kullanıcılarınızı daha önce kullanılmamış nickler kullanmaya zorlar.
#Disable Extra User Archives: Eğer bir yazarın sitenizindeki içerik sayısı 0 (sıfır) ise, yazar sayfasını gösterimden kaldırır.
#Protect Against Tabnapping: WordPress link verme işlemlerini yeni sekmede açılacak şekilde ayarladığınızda link verdiğiniz site bir güvenlik açığı olduğu için sizin gönderdiğini trafiği istediği gibi başka bir yere yönlendirebiliyor.
Bu özellik de yeni sekmede açılan wordpress linklerine rel=”noopener” etiketi ekleyerek bu güvenlik açığını ortadan kaldırıyor. ( Bu eklemeyi son güncelleme ile wordpress’de getirdi. )
#Login with Email Address or Username: Normalde wordpress kullanıcı girişlerinde (admin girişi de dahil) hem kullanıcı adını hem de kullanıcı mail adresini kullanıcı adı olarak kabul ediyor.
Bu seçenek ile de kullanıcı adı bilgisini sadece mail ile ya da kullanıcı adı ile giriş yapma şeklinde ayarlayabiliyorsunuz.
#Mitigate Attachment File Traversal Attack: WordPress’de var olan bir açıklık sebebi ile herhangi bir kullanıcı ( en düşük seviye de olsa) bir şekilde admin kullanıcısına ait olan düzenleme ve silme gibi ayrıcalıklar elde ederek ortam dosyaları için düzenleme veya silme işlemi yapabiliyor.
Tabi bu silme işlemi sadece ortam dosyaları ile de sınırlı kalmayabiliyor. İşte bu seçeneği etkin hale getirdiğinizde admin olmayıp da admin izninlerine sahip kullanıcıların, wp-config.php gibi hassas dosyalar da dahil olmak üzere WordPress kurulumunuzdaki herhangi bir dosyayı silebilecekleri bir saldırıyı azaltmaya yardımcı oluyor.
Advanced ( Gelişmiş Ayarlar )
Hide Backend
Bu seçeneği aktif, yani enable hale getirip, Configure Settings butonuna tıklayarak özellik ayarlarından Enable the hide backend feature seçeneğini işaretlediğimiz zaman wordpress’in varsayılan olarak kullandığı wp-login.php / wp-admin yani site giriş paneli URL adresini sizin belirlediğiniz bir uzantı ismiyle değiştirme özelliğini aktif ediyoruz.
#Login Slug: Yeni giriş adresiniz hangi uzantıda olacağını belirliyorsunuz. Örn: Diyelim ki bunu “haydigirelim” yaptınız, bu noktadan sonra artık wordpress sitenize girişler http://sizinsiteniz.com/haydigirelim
URL adresi üzerinden gerçekleşir.
#Enable Redirection: Eğer site giriş adresini wp-admin veya wp-login.php yazarak ulaşmak isteyen kullanıcılar olursa da bu seçeneği etkinleştirdiğinizde karşılarına 403 forbidden sayfası çıkmıyor da sitenizin herhangi var olan bir sayfasına yönlendiriliyorlar.
#Redirection Slug: Burda ise 404 sayfa URL adresini belirliyoruz. Bunu “Bulunamadi” olarak yazarsanız, herhangi biri sitenizde var olmayan bu giriş sayfalarından herhangi birine ( wp-admin veya wp-login.php ) ulaşmaya çalıştığında karşısına siteniz.com/bulunamadi
URL adresi çıkar. Yani boş bir 404 sayfası.
Change Content Directory
Bu seçeneği önce etkinleştirerek (Enable) ardından Configure Settings butonuna tıklayıp özelliğin ayarlarına gittiğinizde wp-content dosyamızın ismini Directory Name kısmına girdiğimiz isimle değiştirebiliyorsunuz.
Bu da oldukça önemli bir güvenlik önlemi aslında. Eğer sitenizi yeni kurmadıysanız ve sitenizde içerik varsa bu özellikten uzak durun!!! çünkü sitenizin bozulmasına sebep olacaktır.
Kesinlikle Uyarmalıyım Ki!!!Bu değişikliği sadece ve sadece wordpress kurulumunu yeni yaptıktan sonra ve sitenize hiç bir içerik girmeden önce yapınız.
#Bir de değişiklik öncesi wordpress sitenizin yedeğini mutlaka ve mutlaka alın çünkü wp-content dosyanızın ismini değiştirmek sitenizin tamamıyla bozulmasına sebep olabilir. Eğer site yedeği nasıl alınır bilmiyorsanız. WordPress Site Yedeği Alma – Site Yedekleme başlıklı yazımda bunu detaylı bir şekilde anlattım.
Change Database Table Prefix
Bu özelliği önce etkinleştirerek (Enable) ardından Configure Settings butonuna tıklayıp özelliğin ayarlarına gidip, change prefix kısmını Yes yapıtğınızda ithemes security veritabanınızda bulunan tablo prefixlerini ( yani isimlerini ) değiştirecektir.
Bildiğiniz üzere wordpress veritabanı tabloları tüm wordpress’in kurulu olduğu siteler için aynıdır. Bu da büyük bir güvenlik açığı oluşturmaktadır. Bu seçeneği etkinleştirdikten sonra wp_users olan tablo prefix isminiz, eklentinin rastgele atadığı karakterlerden oluşacaktır. dw202jsh3_users gibi.
Kesinlikle Uyarmalıyım ki Bu değişikliği sadece ve sadece wordpress kurulumunu yeni yaptıktan sonra ve sitenize hiç bir içerik girmeden önce yapınız.
#Bir de değişikliği yapmadan önce wordpress sitenizin yedeğini mutlaka ve mutlaka alın çünkü veritabanı tablolarının ismini değiştirmek sitenizde bozulmalara sebep olabilir. Eğer site yedeği nasıl alınır bilmiyorsanız. WordPress Site Yedeği Alma – Site Yedekleme başlıklı yazımda bunu detaylı bir şekilde anlattım.
Umarım iThemes Security Ayarları – Kurulumu başlıklı yazımı yararlı bulmuşsunuzdur. Teşekkürlerinizi, yazımı sosyal mecralarda paylaşarak gösterebilirsiniz. Bu benim için fazlasıyla yeterli olacaktır.
Merhaba Burak. Bahsettiğin şekilde ayarları yaptım. Siteme facebook veya google hesabıyla giriş seçeneği ekledim. Güvenlik eklentisi etkinken facebook veya google hesabıyla siteme giriş yapılamıyor; ancak eklentiyi pasif yaptığımda bu hesaplardan biriyle giriş yapabiliyorum.
iThemes kullanmaya devam ederek ayarlardan bu durumu nasıl düzeltebilirim? Eğer facebook veya google ile girişi etkinleştirebilmem için iThemes ayarlarından birini kapatmak zorunda kalırsam, bu ciddi bir şekilde güvenlik açığı oluşturur mu? Oluşturursa, sosyal medya hesaplarıyla girişi başka şekilde aktif etmenin bir yolu var mıdır? Yoksa bu özelliği hiç mi kullanmasam? Desteğin ve içerikler için çok teşekkürler!
Burak hocam kolay gelsin, Selamun aleyküm. İThemes eklentisi kullanıyorum. Ben hack ve güvenlik zafiyetini minimuma indirmek için
XML-RPC özelliğini devre dışı bıraktım ayrıca htaccess dosyasına da manual kod yazarak kapattım. Sağlamasını /xmlrpc.php olarak yazdığımda olduğum sayfayı döngü yaparak yeniliyor bu işlem doğru mudur?
Bir de wordpress içinde ayarlar >yazma>bölümünde servisleri güncelle seçeneği var en altta şimdi ben buraya 2019 güncel ping sitelerini yazdım. Bunları yazsam sitemiz ping gönderip güncelleştirme yapar mı?
Yani tüm yazdıklarımı sileyim mi? Yazdıklarımı güncellesin tanıtsın istiyordum.
Cevaplarsanız memnun olurum. 🌹 Teşekkür ediyorum
Burak Bey, Hayırlı günler, Bu İthemes i yükledim ve ayarlarıda yukarıda anlattığınızın aynısını yaptım, Fakat Zomnify de kşisel test yüklemeye çalıştığımda, testi hazırlamamdan bitirmeme kadar hiçbir sıkıntı yokken tam yayımlaya bastığım anda hiçbr hareket olmuyor ve yayımla düğmesinin yanına “Kırmızı ünlemle Bir hata bulundu” Yazısı geliyor. Önizle ye bastığımda ise “Lütfen gönderiyi kaydedin” diye bir mesaj çıkıyor. Bu i themes’ten kaynaklanabilirmi? veya soruu nasıl çözebilirim. Biraz uzun oldu ama kusura bakmayın, Sizden cevap bekliyorum, Teşekkürler Kolay Gelsin…
merhaba
ben belirttiğiniz şekilde wp-admini değiştirdim fakat temamın (jannah) siteye entegre ettiği üyeler için girişyap bölümüne tıklayınca yanlış kullanıcı adı şifre girince değiştirdiğim wp-admin giriş yerine yönlendiriliyor. bu bir açık değil mi benim giriş yaptığım admin bölümünü üyeye gösteriyor
merhabalar, eklentinin pro versiyonunu aldım kurdum ayarlarını vs yaptım fakat, sitem aşırı şekilde yavasladı. bir yerde hatamı yaptım diye ikinci kez yaptım yine aynı oldu?
ne yapmam gerekir. acaba cdn alsam bu sorun çözülür mü?
Hocam aslında pro versiyona gerek yoktu. Yani pro versiyonun öyle ücretsiz versiyonda olmayan, fark yaratacak özellikler yok. Yani olmazsa olmaz özellikleri yok. Eğer yavaşlama yaptıysa, ücretli versiyon için ücret iadesi isteyin, ücretsiz versiyonu kullanın sadece. Gene de ben yavaşlamanın sebebinin ücretli veya ücretsiz kullanım farkından olduğunu düşünmüyorum, mutlaka eklenti ayarlarından yaptığınız bir ayardan dolayıdır da o ayarın da ne olacabileceğini, ne yaptığınızı kestirmem imkansız.
Merhaba,
Tavsiyeniz ve anlatımınız üzere WP Fastest Cache kurulum yapmıştım gayette memnunum %60 larda olan sayfa hızları %85-90 lara firladı.
İthemes Security ayarlarını yapınca Wp fastest Cache uyarı vermeye başladı. Belirttiği linke tıklayınca ithemes security File Change modülü açılıyor.
O ayarları nasıl düzenlemek lazım? teşekkürler.
WP Fastest Cache Seçenekleri
iThemes Security noticed file changes in your WordPress site. Please review the logs to make sure your system has not been compromised.
Ellerinize sağlık başarılarınızın devamını dilerim, uzun zamandır dikkatimi çeken bir site anlatımlar sade herkesin anlayacağı şekilde tebrik ederim.
Advanced ( Gelişmiş Ayarlar ) da Hide Backend kısmında Custom Login Action kısmı gelmiş. Konuyu güncelleştirmenize faydam dokunsun diye yorumda belirtiyorum iyi çalışmalar.
Merhaba,
Güzel paylaşım ve detaylı açıklamalarınızdan dolayı teşekkürü borç bildiğimden dolayı bu yorumu yapıyorum. Gerçekten çok güzel, detaylı, açıklayıcı bir anlatım ve muhteşem bir paylaşım olmuş. Siz gibi değerli bu denli anlatımcılara ve bu tarz paylaşımlara ihtiyamıcımız var. GÜZEL PAYLAŞIMINIZDAN DOLAYI ÇOK TEŞEKKÜR EDERİZ.
Change Content Directory kısmını ayarlarken: An “invalid format” error prevented the request from completing as expected. The format of data returned could not be recognized. This could be due to a plugin/theme conflict or a server configuration issue. bu hatayı almaktayım nasıl düzeltebilirim yardımcı olur musunuz?
Hata mesajında hatanın eklenti / tema uyuşmazlığından ya da hosting firmanız taraflı bir kısıtlamadan dolayı olabileceği yazıyor. Bu durumda öncelikle hosting firmanız ile iletişime geçin. wp-content dizininin isminin değilştirilmesi ile ilgili bir kısıtlama olabilir mi diye sorun. Ardından ise temanızı başka bir tema ile değiştirin. Hata hala devam ediyorsa eklentiyi etkisiz hale geitip, silip tekrar yükleyin ve yeni yüklemenizde bu kısmın ayarları ile hiç oynamayın ,olduğu gibi bırakın yani.
Merhaba; Makaleniz gerçekten bir kütüphane oldu bizim için elinize sağlık.
eklentiyi kurdum ama yönetim paneli geçişlerinde bir yavaşlık oldu. sizde aynı sorunu yaşadınız mı?
Teşekkürler.
ve bu işlemi geri de alamıyorum. En korktuğum aşama buydu zaten korktuğum başıma geldi,
Hocam merhaba,Lütfen acil yardımcı olur musunuz, birşeyleri yanlış yaptım. Öncelikle kaleminize sağlık.
Ben çok büyük bir hata yaptım talimatlarınıza göre ayarlamayı yaparken. security check kısmına ilk kez tıkladığımda ***With Network Brute Force Protection, your site is protected against attackers found by other sites running iThemes Security. If your site identifies a new attacker, it automatically notifies the network so that other sites are protected as well. To join this site to the network and enable the protection, click the button below.*** yazısının altındaki kutucuğa mail adresimi girdim. ve YES I işaretleyerek **Activating network brute force protection*** u tıkladım :((( Bunun üzerine mailime API anahtarı düştü. Of ya ne yaptım . Ve sizin ayarlarda belirttiğiniz notification email, send digest email bu kutucukların hiç biri bende çıkmıyor, lütfen yardımcı olur musunuz , çok rica edicem….
Merhabalar benim bir sorunum var wordpress güncellemesinden sonra admin panel girişinde bu yazı çıkıyor (Your IP address has been flagged as a threat by the iThemes Security network.) ve giriş yapamıyorum yardımcı olursanız sevinirim.
Merhaba,
Daha sonra sizin kullandığınız Sucuri eklentisini kullanacağım ücretli olarak. Sanırım ithemes security eklentisinden daha iyi. Ancak sizce ücretsiz olarak bu eklentiyi mi, Sucuri eklentisini mi kullanmalıyım? Hangisini önerirsiniz?
Bir de Sucuri ile ilgili bir anlatımınız yok. Acaba çok mu otomatik ayarları?
Sucuri kullanımı ile ilgili yazıma wordpress hack temizleme başlıklı yazımdan ulaşabilirsiniz.
Merhaba,
Cevap vermiyorsunuz ama yine de şansımı denemek istedim. Epeydir uğraştığım bir sorun var ve ancak siz yardım edebilirsiniz bana.
Ithemes eklentisini yönlendirmelerinizle kurdum ve kullanıyorum. Fakat bir defa telefonumdan yanlış şifre girdiğim için engellendim. Aylardır da telefonumdan giriş yapamıyorum.
Telefonumun IP’sini beyaz listeye ekleyince girebiliyorum ama IP kısa süre değişince yine giriş yapamıyorum.
Telefonumdan ya da farklı bir IP’den siteme bir daha giriş yapamayacak mıyım ya? Lütfen yardım edin.
Evet, giriş yaptığınız adresleri whhie ip liste ( beyaz liste ) alacaksınız. Ya da eklentinin bu özelliğini tamamen kapatacaksınız.
Bugün site hack yedi çözüm ararken yine sen çıktın karşıma haha :D ingilizcem olsa bu kadar iyi ayar yapamazdım süper anlatım için teşekkürler :)
Merhaba Burak,
Öncelikle anlatımın için teşekkür ederim fakat eklentinin güncel versiyonunda, anlatımda olmayan bir çok fonksiyon mevcut. Bu konuda yeniden bir çalışma yapacak mısın?
Your IP address has been flagged as a threat by the iThemes Security network.
kendi siteme giremiyorum isim tescilde kayıtlı site eklentisi ile ilgili bizim yapabileceğimiz birşey yok dediler siteme nasıl giriş yapabilirim yardımcı olursanız sevinirim
Hocam bende yazarlarımın admin paneline girmesi gerekirken normal sayfaya yönlendiriyor ayrıca wp-admin sayfasına da ulaşamıyor :/
teşekkür ederim. banada çok faydalı oldu
Merhaba Burak Bey,
Aradığım hemen her şeyi bulduğum siteniz, benim için tam bir kılavuz oldu.
Sitemin güvenliğiyle ilgili bir sorunum varken, yine sizde buldum çareyi. :)
iThemes eklentisini kurdum ve çok memnunum ama farklı ip’lerden sürekli şöyle iletiler alıyorum:
“user tried to login as admin.”
“too many attempts to access a file that does not exist”
Bunlar bot saldırılar mı yoksa birileri siteme mi dadanmış? Cevaplarsanız çok sevinirim.
CPU’ya etkisi nedir acaba?
Merhaba Hocam
Dün gece evde ayarları yaptım her şey çok güzel, wp-logini değiştirdim, bugün iş yerime geldim admin girişi yapamıyorum, ip falan mı tanıyor acaba evden yaptım diye iş yerinden mi admin olarak giremiyorum, nasıl düzeltebilirim
Merhaba Sevgili Burak. Sana danışmak İstediğim önemli bir sorunum var. Wordfence Security sitedeki resimleri yedeklediği için diski doldurmuş ve bu neden yüzünden geçen siteye resim ekleyemedim.Sunucumu barındıran Turhosttan yardım istediğimde sağ olsunlar hemen sorunumu çözdüler ancak bana şöyle bir öneri ve uyarıda bulundular
“Sunucunuzun diski dolmuş gözükmektedir.
wordfence eklentisi sürekli loglama yapmasından dolayı ????????*348*********.txt sürekli kayıt eklenmektedir.
Bu dosyayı sıfırladık , ilgili eklenti ayarlarınızı kontrol etmenizi önermektedir.”
Ben bu ayarı nereden yapacağımı bilmiyorum bir fikrin var ise lütfen yardımcı olur musun?
Hocam eklentiyi daha önce kullanmadım, ayarları nasıl bilmiyorum ancak eklenti altında bir logs seçeneği olması gerekli. Ya bu logs seçeneğini komple kapatmalısınız, ya da hafta da bir ya da ayda bir bu logları manuel olarak kendiniz temizlemeli, silmelisiniz.
Öncelikle neredeyse bütün yazılarınızı okudum gercekten adım adım ince detaylı anlatıyosunuz cok begendim fikir sahibi olmakla kalmadım birazda sayenizde cogu seyi ogrenmis oldum kendi adıma dogru seyleri ogredigimi hissediyorum bir tesekkuru borc bildim ilgi ve heyecanla takipteyim
Burak Hocam Selamlar.
iThemes Security eklentisini birkaç gündür sorunsuz kullanıyordum fakat bugün wp-admin girişini yapamadım. Şöyle ki admin paneline giriş yapmak istediğimde direk sayfa url sine yönlendiriyor. Turhost ile görüştüğümde bu eklentiden kaynaklandığını söylediler ve eklentiyi etkisiz hale getirincede sorun düzeldi. Acaba sorun hangi ayarından kaynaklanıyordur?
Selamlar,
Eklentiyi siteye kurduktan sonra temanın fuctions ayarlarında değişiklik yaptım ve sitem açılmayığ hata verdi. Eklentiyi ftp üzerinden silip değişiklikler sonrasında yine ftp üzerinden kurdum ve düzeldi. Bu işlem sonucu ilerde sorun yaşar mıyım?
teşekkürler,
Burak Hocam. Güvenlik eklentilerine bakılınca indirmeoranı=olumlu yorum sayısında ” Wordfence Security”eklentisi daha iyi görünüyor. Fakat ben sizin bilgi tecrübenize özellikle güvendiğim için danışmak istedim. Sizce bir tık dahi olsa hangisini kullansam daha iyi olur. Kolaylıklar dilerim.
Burak Bey Merhaba emeğiniz ve özveriniz için çok teşekkür ederim yazdıklarını adım adım üşenmeden uyguladım. Benim websitemde ithemes security yüklemiş olduğum resimler bazen kafasına göre göstermiyor. Başka bir kullanıcı açtığında siteki resimleri göremiyor. Şöyle bir şikayet gördüm ama nasıl çözdüklerini tam anlayamadım. https://wordpress.org/support/topic/filter-suspicious-query-strings-blocks-timthumb-images
Yardımcı olursanız sevinirim.
Burak hocam, herkesin sorunu aslında şu login kısmı.
Yeni versiyonda”Hide Login Area” kısmı yok herkes orada takılıyor çünkü ayarların yapınca sistem sizi çıkış yaptırıyor. siteadi.com/wplogin geliyor ama sonra siteadi.com/bulunamadı diyor. bunun bir çözümü varmı hemde sizde konuda o kısmı güncellersiniz. 2 tane kısım yok çünkü yeni özellikte.
Saygılar..
Davut merhaba, yakında yazıyı baştan sona güncelleyeceğim.
merhaba, ben cache leme için cloudflare kullanıyorum. artı ssl sertifikasıda aldım.buna ragmen ithemes i kurup bahsettiğiniz ayarları yapmalımıyım.
Allah ‘ ın Selâmı , rahmeti ve bereketi herkesin üzerine olsun. Ben burada XML-RPC kısmıyla alakalı bir durumu aktarmak istiyorum. Jetpack eklentisini kurmak isteyen birisi ilk önce bu ayarı enable yapmalıdır. Yoksa Jetpack, site_inaccessible yani HTTP 403 hatası veriyor. Bu ayarı disableden enableye çevirdiğiniz zaman jetpack için sıkıntı kalmıyor. Jetpack ı bağladıktan sonra bu ayarı tekrardan disable yaptım ben ve jatpack şimdilik bir sıkıntı çıkarmadı
Burak Bey merhaba
öncellikle paylaştığınız bilgiler için çok teşekkür ederim. Size bir şey sormak istiyorum. Tavsiyenize uyup ücretli bir domain ve host aldım. wordpress i kurdum. Thema yı seçtim. Fakat sonraki adımları kesinlikle tamamlayamıyorum. Cache eklentisi kurmaya başlıyorum, bir süre sonra değişiklikleri kaydetmeye çalışınca bloguma erişimim engelleniyor. Cacheden vazgeçtim. Güvenlik kuracam derken database yedekleme işi çıkıyor. Blogum şu anda boş. Paylaşim yok, data yok, resim yok. Yedekleme yapmam yine de gerekşyor mu? Yoksa yedeklemeyi atlayıp güvenlik kurabilir miyim. Çok teşekkür ederim.
Hocam cache eklenisi için WP Super cache’i kurun öncelikle, kurulumu ve ayarları yapılması daha basittir. Güvenlik eklenisi adımınıda atlayın. Daha sonradan yaparsınız başlangıçta hiç bir önemi yok. Sizinde ddiğiniz gibi, daha hiç bir içerik yokken yedekleme yapmanızın da hiç bir anlamı yok.
Ücretli sürümlü ile normal sürüm ayarları aynımı?
Sizin öneriniz ücretlimi normal sürümğ kullanmı?
Yazının güncellenmesi gerekiyor. Çok farklı değil, sadece yeni çıkan bir kaç özellik eksik. Sadece yazının içine eklenmesi gerekiyor.
Siz güncellemek ister misiniz ? Güncellenecek noktaları bana iletişim formundan gönderin. Bende güncelleyeyim. Ne dersiniz ?
burak hocam eklentinin sunduğu hangi seçenek, ismini belirtirseniz yanlışlık yapmamış olurum.
teşekkürler & yardımınıza
Yorum yaptığınız içeriğin içerisinde hangi ayardan .htaccess dosyasını yazıma kapatıp açabileceğiniz yer alıyor. Hemen üstte yer alan içeriği okursanız, nasıl yapacağınızı öğrenebilirsiniz.
Burak Bey Selam,
Eklentiyi kurduktan sonra .htaccess dosyasına sonradan ek bir kod eklemek istersek ne yapmamız gerekiyor. Zira bu eklenti ile bir çok fonksiyonun erişimi ile birlikte .htaccess dosyasınında erişimi engelleniyormuş.
Teşekkürler
Hocam eklentinin sunduğu seçeneklerden bir tanesi .htaccess dosyasını erişime kapatma fakat bu özelliği aktif edip etmemek sizin elinizde. Bu özelliği etkisizleştirerek .htaccess dosyanızı tekrar erişime açabilirsiniz.
Çok güzel bir anlatım ve çok yararlı buldum çok teşekkür ederim
Yorumun için ben teşekkür ederim Mehmet
Peki VirusTotal’dan API anahtarı alınabileceğini yazmışsınız. Ben bulamadım, acaba bu uygulamaları artık geçersiz midir?
Burak Hocam Selam. Eklenti ayarlarını ilettiğiniz gibi yapıp kaydettiğimde “403 forbitten” hatası alıyorum. Sorun nereden kaynaklanıyordur?
tşk,
Hocam onlarca ayar var, hangi ayarı nasıl yaptınızda bu hatayı hangi sayfanızda aldınız bilmiyorum bu nedenle en sağlıklısı hostunuzla iletişime geçmeniz.
sıkı bir takipçiniz olarak plugini kurdum. Fakat sitede hit artınca çok fazla sorun çıkartmaya başladı ve kaldırmak istiyorum. 3 farklı deneme sonuçu düzgünce kaldıramadım ve hep kaldırma işlemi öncesi yedeğe geri göndüm. plugini ilk kurmadan önceki site yedeğine dönemem çünkü o yedekle şuanki güncel site arasında 160 makalelik fark var ve 160 özgün makale çok büyük bir emek. Lütfen bu yazı gibi bir de nasıl temiz bir şekilde kaldırabileceğimize dair bir yazı yazar mısınız?
Ne gibi sorunlar çıkarttı anlamadım hocam. Silme işlemide tamamen ayarlarınıza bağlı olarak değişir. İsterseniz ithemes resimi sayfasından yada wordpress resmi forumundan detaylı bilgi alabilirsiniz.
Hocam İthemes secrutry olmuyor etkinleştiriyorum tekrar wordpress paneline giremiorum ftpden silince düzeliyor başka bir Güçlü güvenlik uygulaması varmı şimdiden teşekürler
Çok Çok teşekür ederim Burak bey sağolun
Merabar Burak bey Away Mode kısmını Günlük seçip saat ayarlamalarını yaptıktan sonra kaydet dedim ve sitem önüme geldi ve wordpres admin paneline gitmeye çalışıyorum sitem tekrar önüme geliyor yardımcı olursanız sevinirim şuanda giremiorum şimdiden teşekürler
Eğer seçtiğiniz saat aralıkları şu an bulunduğunuz saat dilimini kapsıyorsa siteniz yönetim panelinin kapanması çok normal.
Eğer ben şu an ki saat dilimini seçmedim diyorsanız, o zamanda sitenizin saat dilimini daha önceden istanbul saat dilimine ayarlamadınız demektir.
Şu an sitenizi tekrar açmanın tek yolu veritabanınızdan yada eklentinin dosya ismini ftp üzerinden değiştirip etkisizleştirmek.
eklentiyi yüklediğimden beri sayfa oluştururken yada yazı yazarken çok fazla bağlantı koptu hatası alıyorum.
bunun sebebi nedir acaba?
Çok detaylı ve güzel bir yazı olmuş. Sitemde kullandım. Teşekkür ederim.
Gerçekten emeğinize sağlık. Çok detaylı ve güzel bir anlatım olmuş. sitem için kullandım ve oldukça güzel. Ayrıca size g+ da yapıyorum. Teşekkürler. Yeni bir blogcu olarak sizi takipteyim.
Çok teşekkürler Burak Can Kara
Hocam naptınız döktürmüşsünüz . Çok güzel bir eklentiymiş buna kanaat getirdim, çok detaylı ayarlar yapabiliyorum. Bundan önce manuel olarak güvenlik ayarları yapmaya çalıştım ama siteyi berbat ettim. Tam aradığım eklentiyi paylaşmışsınız ama makale çok uzun bitirene kadar akla karayı seçtim. Emeğinize sağlık bu kadar uzun makaleyi yazmak gerçekten başarı.
Saolun hocam teşekkür ederim.
Teşekkürler, hallettim hepsini :)
Sağ olasın kardeşim
Hyır hocam üyelik için bir eklenti kullanmıyorum daha doğrusu bu hazır bir tema kullanıyorum. Bileşenler kısmında üye giriş kısmı var şu şekilde http://screencast.com/t/c2DV2Gsuy3ab
. Hide login area kısmının üye giriş paneli ile değil admin giriş paneli ile ilgilsi var değil mi hocam
Evet admin bölümüyle ilgisi var fakat wordpress altyapısında üyelerde admin panelinden giriş yapar normalde. Temanızdaki bileşen sadece bir ön yüz yani admin giriş panelinin yanpanele taşınmış hali o yüzden farklı şeyler değil. Önce bileşenlerden üye girişi bileşenini kaldırın daha sonra, yine admin giriş adresini değiştirin ve sonra tekrar bileşenlerden üyelik giriş bileşenini aktif hale getirin. Bu sefer bileşen yeni “path”i kavrayacaktır diye düşünüyorum. Olmazsa iletişim formu üzerinden sitenizin giriş bilgilerini gönderin birde ben bakayım.
Hocam yardımlarınız için teşekkürler siz olmasanız sorunun nedenini anlayamaz günümü öldürmüş olurdum. Hata için host servisimle hemen görüşeceğim, eklentinin de günahına girmiş oldum :)
Hocam şimd siteyi incelerken fark ettim üye giriş kısmı kayboldu hemen bileşenlerdne geri getirdim bu sefer de anasayfa giremiyorum siteye üye ol bölümü çıkıyor, başka bir yer açılmıyor. Hide login are ksımında sadece sitem için yeni giriş yolu tanımladım wp-login.php yerine bu kısımda diğer bölümler seçili değil. Sizce sebebi ne olabilir hide login area kısmını pasif hale de getirebilriim fakat bu işi bu eklenti yapamıyorsa kullanmam en basit şeyi yapamayan güenlik eklentisi ne iş eyarar ki . Şimdiden teşekkürler
Bileşenlerden neyi getirdiniz anlamadım. Bileşenlerde üyelik girişi için veya üye olma için bir eklenti kullanıyorsanız belki o eklentinin uyumsuzluğudur. Yoksa iThemes security eklentisinde bi problem çıkacağını düşünmüyorum. Dünya çapında yüz binlerce insan kullanıyor.
ağzım açık kaldı ben okumaya uygulamaya yoruldum hocam siz paylaşım yapmışsınız boşuna değil wp ile ilgili bir şey aradığımda sitenizin hep karşıma çıkması, paylaşım için teşekkürler
Yazılarımı yazmaya çalışırken daha iyisi yazılamasın prensibini uygulayarak emek veriyorum. Yorumunuz için teşekkür ederim.
Tebrikler çok güzel anlatım yapmışsınız.
şu an sitemde iThemes security programını kullanıyorum çokta memnunum, Wordfence Security ile iThemes security arasında kıyaslama yapacak olursakta oyum iThemes’den yana olur.