WordPress Wordfence Security Eklentisi Ayarları

Wordpress ile yaptığımız web siteleri güvenli mi? WordPress ile herhangi bir site yapsam saldırıya uğrar mı gibi soru duyuyor gibiyim. Her sistem saldırıya uğrar bizim yapmamız gereken ise bu saldırılara karşı önlemlerimizi almak. Sitemizi kötü niyetli saldırılara karşı korumaktır. Nasıl mı yapacağız? WordPress Wordfence Security Güvenlik Eklentisini kurarak web sitemizi güvenli bir hale getireceğiz.

Wordfence Security Güvenlik Eklentisi ile sitelerimizde yer alan virüsleri çok kolay bir şekilde temizleme yapabilirsiniz.

Wordfence Security Güvenlik Eklentisi bizlere nasıl bir ayrıcalıklar sunuyor bu konu üzerinde genel bilgiler verelim.

Unutmayım Wordfence Security Güvenlik Eklentisinin bazı bölümleri ücretlidir. https://www.wordfence.com/wordfence-signup/#pricing sayfasından ücretler konusunda bilgiler alabilirsiniz. Daha fazla seçenek ücretli bölümlerde bulunmaktadır.

Wordfence Security Güvenlik Eklentisinin Avantajları

1. Belirlemiş olduğunuz ip adreslerini kara listeye ekleme yapabilirsiniz. Bu sayede saldırı gelen ip adresleri engelleme yapabilirsiniz.
2. Web sitelerinin İp adresleri ile eşleme yapığında engelleme.
3. Web sitenize giriş yapmaya çalışan ve başarısız olan kişileri engelleme bu seçeneği kaç giriş başarısızdan sonra kilitleme yapabilirsiniz.
4. Şifresini unutanlar ve hatırlatma için giriş denemesi yapan kullanıcıları belirli bir süre içerisinde engelleme yapabilirsiniz.
5. Belirli kullanıcıları oturum açmak için engelleme yapabilirsiniz.
6. Şifre belirleme yaparken daha güçlü şifre belirleme yapmanız için uyarılar almanızı sağlama
7. Kullanıcı adınızı doğru girdiniz ancak şifrenizi yanlış girdiniz WordPress size şifrenizi yanlış girdiniz diye uyarı yapmaktadır. Wordfence Security Güvenlik eklentisi sayesine kullanıcı adı ve şifrenizi yanlış girdiniz uyarısını alacaksınız.
8. WordPress’de admin kullanıcı adlarını devre dışı bırakırsanız ve ayarlar alanında herkes kayıt olabilir seçeneği aktif ise bazı kullanıcılar admin olarak kullanıcı adı alabilirler buda üyelik alanlarında bir karışıklığa neden olabilir bu tür durumlardan kurtulmak için Wordfence Security Güvenlik eklentisi kullanmamız gerekmektedir.
9. Yöneticilerin ve diğer sitenizi üye olan kişilerin kullanıcı adlarını WordPress REST API’si ile keşfetmeleri mümkündür. Bu güvenlik eklentisini kullanarak bu tür sorunları ortadan kaldırınız.
10. Boş bir kullanıcı adı ile web sitelerimizin yorumlar bölümüne otomatik olarak yorum eklemek ve oturum açma girişiminde bulunabilirler bu tarz saldırıların tarayıcı olduklarını bilemeyiz. WordPres Wordfence Security Güvenlik eklentisi ile sahte yapılan anti spam yorumları engellemesini ve bu tarz saldırıyı yapan IP adreslerin otomatik olarak kara listeye almasını sağlar.
11. Sitenize üye olan kullanıcılar zayıf bir şifremi kullandı. Yöneticilere direk olarak zayıf parola kullanan kişileri bildirmekte ve yöneticilerde kullanıcılarına daha güçlü bir şifre belirlemesi yapılması için bildirimler yapabilir.
12. Wordfence Security genel saldırılar yapılan dünya çapında IP adreslerini tespit etmekte ve sizin yerine otomatik olarak bu IP adreslerini engelleme yapmaktadır.
13. Sahte Google tarayıcılarını hemen engelleme yapabilirsiniz. Google Botlarına benzer botların engellemesini yapabilirsiniz.
14. Sitenizin tam kapsamlı olarak tarama yapabilirsiniz. Tam kapsamlı için Premium sahibi olmanız gerekmektedir.
15. WordPress girişlerde barkod kod ya da Authenticator kod ile giriş yapmanızı sağlayan seçenekler mevcuttur.

WordPress Wordfence Security Güvenlik Eklentisinin Kurulumu

Wordpress Wordfence Security Güvenlik Eklentisi kurabilmemiz için ilk olarak.

• Eklentiler
• Yeni Ekle
• Eklenti adını Wordfence yazalım.

WordPress sitemize Wordfence eklentisi gelecektir.

Şimdi tüm ayarlamaların nasıl yapılacağı konusunda detaylı olarak bilgiler verelim.

WordPress Wordfence Security Güvenlik Eklentisi Ayarları

1’inci seçenekte Web sitemize yapılan karmaşık saldırıları korumaya yönelik bilgiler verilmektedir. Güvenlik uygulamalarını devreye sokmamız gerekmektedir.

2’inci seçenekte ise Güvenlik Duvarları ile ilgili bilgiler yer almaktadır. Ortalama %70 korumayı otomatik yaparken %30 diğer korumalar için ücretli bir şekilde kullanılmasını istemektedir.

3’üncü seçenek gerçek zamanlı IP adreslerini devre dışı bırakmak için kullanılan seçenektir. Yine bu alan ücretli bir şekilde ayarlamaları yapılmaktadır.

4’üncü seçenek ise WordPress sitemizin şifrelerinin güvenliği ile ilgili bilgiler yer almaktadır. Bu ayarlar otomatik olarak yapılmıştır.

Şimdi ayarlarımızı biraz şekillendirme yapalım. Birinci seçenekte yer Alan Web Application Firewall alanında “Manage WAF” seçeneğini seçelim.

Karşımıza bu şekilde bir ekran gelecektir bu alanda Enabled and Protecting seçeneğini seçelim ve gerçek zamanlı bir korumayı aktif hale getirelim. Aşağıya doğru inelim.

Advanced Firewall Options

1. WordPress eklentiler yüklenen kadar IP ve Ülke engellemesini geciktirme işlemi yapar. WordPress eklentileri yüklendiği zaman ya da o eklentilerden bazı durumlarda eklentiler üzerinden trafik gelir. Güvenlik eklentisi bazı ülkelerden gelen IP adreslerini engelleme yaparsanız eğer WordPress eklentilerini kurmada zorlanabilirsiniz. Bu seçenek sayesinde ise eklentiler kuruluncaya kadar engellenen ip adresleri devre dışı bırakılır.

• Beyaz Listedeki İp Adresleri: WordPress Wordfence Security Güvenlik eklentisi ile bazı ip adreslerini Beyaz listeye alabilirsiniz. 2 numaralı kutucukta yer alan alana ofisinizin ya da sürekli giriş yaptığınız ip adreslerini bu alana girerek engellemeleri kaldırabilirsiniz.

• Hangi web sitelerinden gelen trafikleri engelleme yapılmasın. Bu alanda görülen web siteleri ve yönlendirmeler kabul edilsin demektir.

4. Web sitelerinizi saldırı yapılan IP adreslerini tespit ettiniz ve onları engellemek istiyorsunuz o zaman 4 numaralı alana ip adreslerini girmeniz yeterli olacaktır. Ayrıca bu alan alana boş trafik getirilen web sitenin adresinide yazabilirsiniz

• Bu alana ise engellemek istemediğiniz URL ve IP adreslerini yazabilirsiniz. Hangi ip adresleri ve URL alanları engellendi ise o Blocking alanında görebilirsiniz.

Rules

Bu alanda otomatik olarak oluşturulmuş kurallar bulunmaktadır. Bu kurallarda herhangi bir değişiklik yapmak zorunda değiliz ayarları olduğu gibi durabilir.

Brute Force Protectio

Bu alanda yer alan seçenekler ile daha güçlü ve güvenli şifre koruması için ek ayarların yapılması sağlanmaktadır. Bu alanı kendi istediğiniz özelliklere göre değişiklik yapabilirsiniz.

• Seçenekte kaç giriş başarısız olursa sistemi kilitleme yapılacağı konusunda bilgiler verilmektedir. Bu alanı 5 yaparsanız kullanıcı 5 kere yanlış giriş yaptığı zaman sistem kilitlenecektir.
• Kaç kere şifremi unuttum denemesi yapmasında sistem kitlenmesini istiyorsunuz. Bu alanı 5 kere yaparsanız eğer 5 kere şifre sıfırlaması gönderilmesi durumunda sistemi kilitleme yapacaktır.
• Hangi zaman diliminde sorunlar için ne kadar bir sürede kitlenme olsun. Bu alanı 4 saat olarak işaretlenmiş 4 saat boyunca kilitli kalacaktır.
• Kullanıcıları ne kadar süre ile kilitli kalmasını istiyorsunuz 4 saat boyunca istiyorsanız herhangi bir işlem yapmanız gerek yok.
• Bu seçeneği kullanım yapması gereken alanlar kişiler sadece kendileri yönetici ise yapmaları doğru diğer oluşturulan kullanıcılar engellenecektir. Siz bir e ticaret sitesi yönetiyorsunuz ve bu alanı seçtiniz o zaman kullanıcılarınızı engellersiniz bu seçenek onların hoşlarına gitmez.
• Sizlerin bir kullanıcıyı engellemek istediğiniz zaman bu alanı seçmeniz gerekmektedir. İstemediğiniz kullanıcıları buradan engelleme yapınız.
• Veri ihlalleri ile sızan kullanıcıları engelleme yapmak için otomatik olarak kullanılan alanlardan biridir.

Additional Options

Bu alanda kullanıcıların giriş sistemi üzerinde güvenlik önlemlerinin alınması konusunda detaylı olarak bilgiler verilmektedir. Bu alanları kullanarak kullanıcıların daha güvenli bir şekilde giriş yapmalarını ve sistemin daha iyi bir şekilde korunması hedeflenmektedir.

• Güçlü şifreler uygulansın. Kullanıcılarınızın daha güçlü bir şifre belirlenmesi için bu alanları kullanmamızda fayda var.
• WordPress’de giriş yapmaya çalışıyorsunuz kullanıcı adınızı doğru yazdınız ancak şifrenizi yanlış yazdınız sistem sadece size şifrenizi yanlış yazdınız hatasını verecektir. Yani kullanıcı adınızı artık kötü niyetli yazılımlar biliyor. Bu seçeneği aktif etmeniz durumunda ise, kullanıcı adı şifre yanlış girildiğinde ikisinin de hatasını alacaksınız.
• Muhtemelen ilk olarak WordPress sitenizi kurarken kullanıcı adınızı “admin” olarak belirleme yaptınız. Bazı kişiler sitenize üye olurken kullanıcı adını admin yapmaya çalışacaktır buda güvenlik sorununu ortaya çıkartabilir. Bu tür sorunların engellenmesi için bu alanı aktifleştirme yapabilirsiniz.
• WordPress API seçeneklerini kullanarak kullanıcı adınızın tespit edilmesini engelleme yapınız.
• Boş User-Agent ve Referer ile POST istekleri gönderen IP’leri engelleyin.
• HTML etiketleri çıktıdan önce sıyrılır ve satır sonları uygun etiketlere dönüştürülür.
• Profil güncellemesinde parola gücünü kontrol et: bu alanda ise kullanıcılarınız zayıf bir şifre kullanıyor ise o kullanıcılarınıza siz yönetici olarak bildirimlerde bulunabilirsiniz.
• Gerçek zamanlı olarak eklentinin güvenlik ağına katılarak dünya çapında yapılan saldırılar için otomatik olarak engellenme yapılacaktır.

Rate Limiting

Bu alanda ise arama motorları ile ilgili bazı güvenlik sistemleri oluşturmaktadır. Örnek olarak Sahte Google botları gibi görünün botların engellemesini yapabilirsiniz. Ancak bu durumu bir daha düşünmeniz gerekmektedir. SEO analizi yaparken Semrush, Ahrefs gibi siteler ile sürekli analizler yapmaktayız bu tür botları engelleme yaparak sitemizi 503 hatası almasına sebep olabiliriz.

Bu alan üzerinde fazla durmak istemiyorum.

Scan (Taramak) Web Sitenizi Tarayınız

Bu alanda ise Web sitemizde herhangi bir güvenlik açığının olup olmadığı konusunda detaylı olarak taramaların yapılacağı alandır. “STAR NEW SCAN” seçeneğine tıklama yaptığınız zaman sitenizi tarama yapabilirsiniz. Bu alanda size genel hataları sistem verecektir.

Login Security (Güvenli Giriş Bilgileri)

Web sitenizin giriş bilgilerini borkod, kod ya da Authenticator App bilgilerini kullanarak daha fazla güvenli giriş seçeneklerini kullanabiliriz.

Bu alana kadar genel ayarlar üzerinden durduk. Artık diğer ayarlar eklentinin ayarlarıdır. Sitenizin güvenlik durumu konusunda daha fazla bilgi almak istiyorsanız WordPress Jetpack yazımızı okuyarak genel bilgi sahibi olabilirsiniz.