All In One WP Security Kurulumu ve Ayarları Nasıl Yapılır ? Wordpress Güvenlik (How to Set Up and Configure All In One WP Security? Wordpress Security)

---

your internet site can always be threatened by spam bot or bruteforce attacks.

Öncelikle herkese merhaba. Wordpress eklentilerinden kaldığımız yerden devam ediyoruz. Bu gün sizlere wordpress güvenlik eklentisi olan All In One WP Security’i tanıtarak ayarlarını sizlere sunacağım. Siteniz her gün botlar ve Brute Force atakları ile tehdit altında olabilir. Yeni açılan siteler pek tehdit altında olmaz, fakat tedbiri elden bırakmamak gerekmektedir. Aksi takdirde Siteniz güvenlik açıklarından dolayı çökertilebilir. Eklenti sayesinde Wordpress tabanlı sitenizin güvenliğini saplamış olursunuz. Gelen saldırılardan birazda olsa kurtulabilirsiniz...

Wordpress’te güvenlik eklentisi olarak bir çok eklenti mevcuttur. Fakat bana göre bu eklenti diğerlerine göre daha iyisidir. Şimdi gelelim kurulumu,ayarları ve özellikleri nelerdir onlara bir bakalım.

Kurulumu :

---

İlk olarak Panelinizin sol tarafında bulunan Eklentiler > Yeni ekle diyoruz. Her eklenti gibi arama kısmına “All In One WP Security” yazıyoruz ve Kurarak, aktif ederek eklentimizi yüklemiş oluyoruz.

Eklentimizde toplamda 14 bölüm vardır. Bölümler şöyledir ;

1- Dashboard (Panel)
2- Settings (Ayarlar)
3- User Accounts (Kullanıcı Girişi)
4- User Registration (Kullanıcı Kaydı)
5- Databese Security (Veritabanı Güvenliği)
6- Filesytem Security (Dosya Sistem Güvenliği)
7- WHOIS Lookup (WHOIS arama)
8- Blacklist Manager(Kara Liste)
9- Firewall
10- Brute Force (Brute Force Saldırıları)
11- SPAM Prevention(Spamları önleme)
12- Scanner (Tarayıcı)
13- Maintenance (Bakım)
14- Miscellaneous

All In One WP Security otomatik olarak hemen güvenliğinizi sağlamamaktadır. Manuel ayarlamalar yapmanız gerekmektedir. Aşağıda ki yapacağımız ayarlamalar çok risklidir. Şiddetle tavsiye ediyorumki ayarları yapmadan önce sitenizin yedeğini alınız.

DASHBOARD

---

bu bölümde sayaçta puanımız 0’dır. Sebebi ise ayarları henüz yapmadığımız ve eklentiyi yeni kurmamızdan kaynaklanmaktadır. Burada ki sayaçta ibre 460 göstermesi için eklentinin bütün ayarlarını doğru yamanızgerekmektedir. Aşağıdaki resimde benim sitem de puanın 50 olmasının sebebi ise, ben daha önceleri kodlarla eklemeler felan yapmıştım o yüzdendir. Üstelik sizlere eklentiyi göstererek anlatmak için subdomain açarak gösterdiğimden kaynaklanmaktadır. Ana sitemde güvenlik açısından baya uğraştım, ondan da kaynaklanabilmektedir.

SETTİNGS

1- WP Meta İnfo Kısmı

---

bu özelliği aktif ediyoruz. Botların sitemizi ziyaret etiğinde sitemizin Wordpress tabanlı olduğunu öğrenmelerini onlardan engelliyoruz. Yani siteye gelen bot sitenizin Wordpress tabanlı oldugunu öğrenemeyecek. Günümüzde ki botların bir çoğu Wordpress’in eski versiyonlarının açıklarına göre şekillendirilmiştir. Günümüz versiyonun’a pek uyumlu değildir. Bu özelliği aktif ederek bizim hangi versiyonu kullandığımızı, ordpress tabanı kullandığımızı ondan saklıyoruz. Bota bu konuda açık vermiyoruz.

2- Flesystem Security (Wp- File Access kısmı )

---

Bir önceki bölümde botlara versiyonumuzu saklamıştık. Fakat readme.html,license.txt, wp-config-sample.php dosyaları bu sefer botlara açık hedef oluyor. Sitemizde bir şey bulamayan botlar bu kısımlara saldırarak bilgiler öğrenmeye, açıkları tespit etmeye çalışıyor. Prevent Access yo Wp Default Install Files kısmını da aktif ederek botların bu bölümden bilgi çalmasını,açığı öğrenmesini engelliyoruz.

USER ACCOUNTS (WP-User Bölümü)

---

Bir çok kişi wordpress tabanlı site açarken, kullanıcı adını “Admin” olarak yazmaktadır. Fakat bu oldukça risklidir. Brute Force saldırılarına maruz kalmayı daha da artıracaktır. Kullanıcı adımız ve şifremiz de admin,admin123 vb şeyler ise Brute force saldırıları ile şifreniz kırılarak çökertilme ihtimali çok yüksektir. Bu bölümden o açığımızı kapatarak Brute Force saldırılarına karşı engel koyacağız. Sadece Kullanıcı adımızı değiştireceğiz. Şifremizi değiştirmemize gerek yoktur. Çünkü kullanıcı adını tespit edemeyen kişi, şifre ile pek bir şey yapamaz. Hem şifre hemde kullanıcı adı birbirleri ile ilişkilidir. Hemen “Change Username” bölümünden kullanıcı adımızı değiştirerek güvenliğimizi artıracağız. Kullanıcı adımız değiştiğinde size otomatik olarak panalden çıkartacaktır. Sebebi ise yeni kullanıcı adınız ile giriş yapmanızı isteyecektir.

USER LOGİN (Login-Lockdown bölümü)

---

Bir önceki kısımda kullanıcı adımızı değiştirerek Brute Force saldırılarına karşı önlememizi aldık. Fakat peşimizi bırakmayarak,Brute Force saldırılarına devam edeceklerdir. Bu yüzden aşağıdaki ayarları yaparak saldırganları sitemizden uzak tutacağız. Ip numaraları sürekli olarak bloke ederek saldırılara karşı bir set daha koyacağız.

BRUTE FORCE BÖLÜMÜ

---

eklentimizi kurarken de, ayarları yaparken de sürekli olarak adından bahsettiğimiz namı değer Brute Force. Hackerler direk olarak saldırılarını, herkes tarafından bilinen wordpress/login sayfasına yapmaktadır. Bu sayfa adresini değiştirerek onların bu sayfayı bulmalarını engelliyoruz. Aksi takdirde deneme yanılma yolları ile de çözülme ihtimali bulunmaktadır. Hemen bu bölümden “Enable Rename Login Page Feature” aktif ediyoruz. Daha sonra boşluğa yeni giriş sayfa adresimi<i yazıyoruz. Yazacağız giriş adresini lütfen unutmayacağınız bir şey yapınız.

BRUTE FORCE (Honeypot Bölümü)

---

diyelim ki yaptığımız ayar işe yaramadı. Hepsi fasa fiso çıktı. Hackerler yine de tespit etti. İşte bu kısımda login giriş sayfanıza görünmeyecek şekilde bir tane öğe eklenecektir. Bu öğe botlara yem atıyor. Gel gel insanlar beni görmüyor, beni kodlarımı çözerek sadece sen görüyorsun gel benim formumu doldur diyor. Evet görünmez öğemiz bota yem attı ve botu tuzağa düşürerek botu sistemde bloke ediyor. Şu ana kadar toplam da login kısmına dair 4 güvenlik önlemi aldık. Bitti mi ? Hayır. Brute Force ve deneme yanılma yollarını engelledik peki Veri Tabanı güvenliğini sağladık mı ? Hayır. Şimdi kolları sıvayarak Veri Tabanı ayarlarını yapıyoruz.

DATABASE SECURİTY (DB-Prefix Bölümü)

---

ilk olarak wordpresse sitemizi kurarken bize bir tane tablo girmemizi ister. Örneğin, ‘wp_the-world”. Bu bölümde hemen ilk kutucuğu işaretliyoruz. Daha sonra ise “Change DB Prefix” butonuna tıklayarak karşımıza çıkan 6 harfli randomlu kelime giriyoruz. Böylece veri tabanı isimleri değişmektedir.

FİLESYTEM SECURİTY (File Permissions Bölümü )

---

tıpkı veri tabanı ismi istediği gibi bizden ilk zamanlarda klasör isimleri de istemiştir. Dosyalarda bir terslik yada şüphe edici bir durum söz konusu olursa “ Set Recommenden Permissions” butonuna tıklıyoruz.

FİREWALL (Basic Firewall Rules Bölümü)

---

.htaccess doyasını da ekleyeceğimiz kurallar bulunmaktadır tabi ki. İlk olarak bu bölümü aktif ediyoruz. Daha sonra ise İOS mobil işletim sisteminzde Wordpress uygulamasını kullanmıyorsanız, “Enable Pingback Protection” özelliklerini aktif hale getiriyoruz.

FİREWALL (Additional Firewall Rules Bölümü)

---

Xss saldırılarına karşı koymak için “Enable Advanced Character Stribg Filter” aktif ediyoruz. Sonra kayıt ediyoruz. Böylece XSS saldırılarına karşı önlemimi almış oluyoruz.

FİREWALL (6G Blacklist Firewall Rules Bölümü)

---

“Enable 6G Firewall Prection özelliğini aktif ediyoruz.

MİSCELLANEOUS (Copy Protection)

---

eklenti site güvenliğimizi sağladığı gibide yazımızın güvenliğinide sağlamaktadır. Emek hırsızı olan kşilerin yazılarınızı kopyala yapıştırarak çalmasını önlemektedir. “Enable Copy Protection” özelliğini aktif ederek yazı güvenliğimizide sağlıyoruz.

Bu ayarlar sonucunda ilk panelde ki ibre 150-200 arasında olması gerekmektedir. Sizlere faydalı olabildiysem Ne Mutlu Bana....

SOURCES : GİTHUB SOURCE

---

Posted on Utopian.io - Rewarding Open Source Contributors

---