Xpress Kullanan Forumlar için Forum Güvenliği

netr0n

XenGenTr
Yönetici
XGT Admin
Katılım
6 Ara 2016
Mesajlar
2,984
Konum
istanbul
Web sitesi
netron.web.tr
Merhaba arkadaşlar, bu makalemizde XenForo forumları için hazırlanmış XPress eklentisi hakkında güvenlik önlemleri hakkında bilgiler bulacaksınız. Tabii burada güvenlik önlemi derken bu XPress eklentisinin güvensiz bir eklenti olduğu anlamına gelmesin. O zaman Kısaca XPress eklentisinden bahsedelim daha sonra neden güvenlik önlemi almamız gerektiği konusunu açıklayalım.

XPress Eklentisi Nedir?

XPress eklentisi wordpress yazılımı ile xenforo yazılımı arasında köprü kurmamıza yarayan bir eklentidir. Yani XPress eklentisi XenForo ile Wordpress yazılımını birbirine entegrasyon etmemize olanak sağlıyor. Bu sayede XenForo forumlarında XPress eklentisi sayesinde Wordpress yazılımını Forumumuz da bir blog, bir portal gibi kullanabiliyoruz. Bu entegrasyon sayesinde Wordpress tarafındaki bir konuyu/makaleyi XenForo Forumlarına gönderebilir veya XenForo tarafındaki bir konuyu/makaleyi wordpress tarafına gönderebiliriz. Forumda üye olan kullanıcılar aynı şekilde wordpress tarafına yorum yazabilirler. Kısaca XPress eklentisinin en temel işleyişi bu arkadaşlar, eklenti hakkında daha geniş bilgiye buradaki XPress - A theme and bridge for bringing WordPress into XenForo konusundan ulaşabilirsiniz.

Bizim Neden Güvenlik Önlemi Almamız gerekiyor?

Bizim güvenlik önlemi almamızın en büyük nedeni Wordpress yazılımı kullanıyor olmamız.

Peki Wordpress yazılımı güvensiz bir yazılım mı?

Hayır, güvensiz bir yazılım değil. Dünya'daki web sitelerinin %33'ü wordpress alt yapısını kullanmakta. Haliyle kötü niyetli kişilerin en çok bu yazılım üzerinde çalışma yaptıklarını ve en çok bu yazılım üzerinde kötü niyetlerini gösterdikleri için wordpress alt yapısı kullanan herkesin ekstra bir güvenlik önlemi alması gerekiyor. Tabii bu wordpress'in kötü bir yazılım olduğu anlamına gelmesin aksine dünya'da bu kadar çok kullanılması, bu kadar çok geliştiricisinin olması yazılımın ne kadar popüler olduğunu ortaya koyuyor. Güvenlik konusunda en köklü şirketlerin bile güvenlik konusunda sorunlar yaşadıklarını ve halen çözüm bulamadıklarını görüyoruz buna örnek vermek gerekirse Microsoft bile milyarlarca dolar harcadığı yazılımlarını maalesef koruyamıyor. Dünya'da %100 güvenli denilen tek bir yapı yoktur. Eğer XenForo yazılımı dünya'da wordpress kadar çok kullanılsaydı bu gibi sorunlar onlar da da çıkardı ki ***** olayına bakılırsa her yazılımın bir güvenlik zafiyeti olduğunu görebilir. Hal böyle olunca bizler kullandığımız yazılıma göre ekstra güvenlik önlemi/önlemleri almak durumundayız.

O halde XenForo yazılımı içerisinde Wordpress kullanıyorsak XPress olsun veya olmasın aşağıdaki işlemleri mutlaka yapmanızı öneririz. Bu işlemler sizinde aşağıda gördüğünüz gibi artık manuel yapılmıyor. Güvenlik konusunda bir çok eklenti, bizim belki saatlerce uğraşacağımız işlemleri dakikalar içerisinde yapmamıza olanak sağlıyor. Biz iThemes Security eklentisini kullandık ve anlatımımızı da buna göre yaptık. En çok kullanılan güvenlik eklentisidir.

Yapmamız gereken wordpress admin panelinize girerek Eklentiler alanından yeni ekle diyerek arama alanına iThemes Security yazarak aratmak karşımıza aşağıdaki resimdeki gibi ilgili eklentilerin listesi gelecektir. Bu alanda iThemes Security eklentisinin üzerinde bulunan hemen yükle butonuna tıklayarak eklentiyi yüklüyoruz

wp1.JPG

Eklenti yüklendikten sonra yine ilgili alanda eklentiyi Etkinleştirmeniz gerekmektedir. Örnek resim aşağıda.

wp2.JPG

Admin panelinizde sol menüden security bölümüne tıklıyoruz.

6588

Karşımıza aşağıdaki gibi bir ekran geliyor. Bu alandan Secure Site butonuna tıklıyoruz.

wp4.JPG

Daha sonra aşağıdaki alan karşımıza geliyor. Bu alan önemli bir alandır. Bu alan hakkında kısaca bilgi vermek gerekirse, siteniz saldırı aldığında size saldırıyı yapan ağ hakkında bilgi verir bu bilgi size burada belirtmiş olduğunuz mail tarafından verilir. E-mail adresi alanına aktif bir mail adresi yazısını ve yandaki seçim kutusundan evet'i seçip Active Network Brute Force Protection butonuna tıklayın ve sonra close diyerek bu alanı kapatın.

wp5.JPG

Daha sonra karşımıza aşağıdaki alan gelecek bu alanları sırasıyla aktif edeceğiz.

wp6.JPG

Security Check

İlk alanımız Security Check bu alana herhangi bir işlem yapmıyoruz. Zaten başlarken ilk olarak bunu yapmıştık.

Global Settings

Bir sonraki alanımız global settings alanı Configure Settings butonuna tıklayarak ilgili bölümün ayarlar alanına gidin. Bu alan bizden wp-config.php and .htaccess dosyalarına yazma izni vermemizi ister bu yüzden Allow iThemes Security to write to wp-config.php and .htaccess. Checkbox kutucuğu Varsayılan olarak işaretli gelir ama siz yinede işaretli olduğundan emin olun. Daha sonra sol altta bulunan Save Settings butonuna tıklayın.

Örnek resim;

wp7.JPG

Notification Center

Bu alan bize bilgi gelecek alan ya da bilgilendirmeleri kimlerin almasını istediğimizi bildirdiğimiz alan. Varsayılan olarak tüm yöneticilerin bildirim alması işaretli olarak geliyor. Yani All Yönetici users bunun altında bir checkbox daha var o da ilgili admin oluyor dilerseniz onu işaretleyip tüm bildirimleri sadece bir yöneticinin almasını sağlayabilirsiniz.

Örnek resim:

wp8.JPG

404 Detection

Bu alanda oldukça önemli bir alandır. Öncelikle enable butonuna tıklıyoruz daha sonra Configure Settings diyoruz. Bu alan 404 hatalarınızı kontrol etmenize olanak sağlar. 404 sayfa hatalarının ne sıklıkla olduğu ya da bir saldırımı olduğu hakkında bilgiler alırsınız. Saldırı olduğunda o kullanıcıyı vereceğiniz dakika boyunca banlar. Ayrıca sizin ekleyeceğiniz uzantıları da kontrolünüz altına alabilirsiniz.

Örnek resim:


wp9.JPG


Away Mode

Bu alan bize gerekmiyor sitemiz devamlı yayın yapacağı için bu alan bizi ilgilendirmiyor. :)


Banned Users

Bu alanda işlevsel bir alandır. Dileyen kullanabilir. Bu alan sizin karaya listeye aldığınız ip'leri / üyeleri banlar arkadaşlar.


Database Backups

Bu alandan wp yedeği alabilirsiniz ama önerilmediğini duydum bu yüzden siz yedeklerinizi sunucunuz üzerinden alın.

File Change Detection

Bu alanda gerçekten faydalı bir alandır. Enable diyerek çalıştırıyoruz. Daha sonra Configure Settings butonuna tıklıyarak ayarlar bölümüne gidiyoruz. Bu bize şöyle bir olanak sağlıyor. Dosyalarımız değiştiğinde en ufak bir kod bile eklense bunu bize bildirerek dosyalarımızı kontrol altında tutuyoruz. Ya da anlık olarak değişen bir dosya var mı diye tarama yaptırabiliyoruz. Unutmadan bu aktif olduğunda wp admin panelemizde düzenleyici alanı gizlenir. Düzenleyici alanını aktif etmek için File Change Detection alanına gelerek disable etmeniz gerekir.



File Permissions

Bu alanda dosya izinlerimizi kontrol edebilir veya dosya izinlerimizi bu alandan değiştirebiliriz.

Local Brute Force Protection

Bu alanda oldukça faydalıdır. Configure Settings diyerek ayarlar alanına gidiyoruz. Burada dikkat etmeniz gereken Automatically ban "admin" user seçeneği işaretsiz gelir. Wordpress tarafındaki yöneticinin admin ismi olmaması önerilir. Kötü niyetli kişiler/botlar her zaman admin kullanıcı adını dener. Eğer admin kullanıcı ismini kullanıyorsanız isminizi değiştirten sonra bu alanı işaretleyip kayıt edin. Eğer admin ile giriş yapılırsa işaretlediğiniz için admin ile giriş yapmayı deneyen herkesi sistem banlayacaktır.

Password Requirements

Bu alanda önemli bir alandır. Kullanıcılara zorlayıcı şifreler girmelerini önerir. Strong Passwords alanını işaretleyin ve enable alanını aktif edin.

SSL

SSL kullanıyorsanız enable edebilirsiniz.

System Tweaks

Bu alan saldırılara karşı ekstra önlemler alır. Hepsini de işaretleyebilirsiniz. Size lazım olanları da işaretleyebilirsiniz. Varsayılan disable olarak gelir aktif etmeniz lazım.

Gizli anahtar, sitenize şifreye rasgele öğeler ekleyerek bilgisayar korsanlığını ve erişmeyi zorlaştırır.

WordPress Salts

Bu alan şifrelere ekstra önlemler alır. Bu değişimler database alanında yapılır siz yine aynı şifreyi kullanırsınız ama kırılması zor şifreler ayarlamasını sağlar.

WordPress Tweaks

Bu alan son derece önemlidir. Bu alandaki kutucucukları aşağıdaki listeye göre seçin;

--Remove the Windows Live Writer header.
--Remove the RSD (Really Simple Discovery) header.
--Reduce Comment Spam
--Disable File Editor
--Disable XML-RPC (recommended)
--Block (recommended)
--Restrick Access(recommended)
--Disable login error messages
--Force users to choose a unique nickname
--Disables a user's author page if their post count is 0.
--Alter target="_blank" links to protect against tabnapping
--Prevent attachment thumbnails from traversing to other files.

Daha sonra eklenti sayfasındaki Advanced bölümüne tıklayın örnek resim aşağıda

wp10.JPG

Admin User

Bu alanda çok önemlidir. Her girişte admin kullanıcı ID'sini değiştirir. Change User ID 1 checkbox alanını işaretleyin.

Change Database Table Prefix

Bu alanda çok gereklidir. Bildiğiniz üzere wordpress tabloların önekine wp_ ekler bu seçilirse rastgele önekler oluşturulur ve kimse tahmin edemez. Change Prefix alanını evet olarak seçin.

Hide Backend

Bu alanda gereklidir. Admin panel giriş yollunu değiştirir. Aslında bir güvenlik duvarı örer. Login Slug alanına bir admin yolu yazalım örnek: admin/yoneticipanel artık admin paneline wp-admin değilde bu alandan giriş yaparsınız..

Örnek resim:

wp11.JPG

Anlatılacaklar bu kadar arkadaşlar, umarız sizler için faydalı bir makale olmuştur.

XenGenTr
 
Google ads alanı