Merhaba arkadaşlar, bu makalemizde XenForo forumları için hazırlanmış XPress eklentisi hakkında güvenlik önlemleri hakkında bilgiler bulacaksınız. Tabii burada güvenlik önlemi derken bu XPress eklentisinin güvensiz bir eklenti olduğu anlamına gelmesin. O zaman Kısaca XPress eklentisinden bahsedelim daha sonra neden güvenlik önlemi almamız gerektiği konusunu açıklayalım.
XPress Eklentisi Nedir?
XPress eklentisi wordpress yazılımı ile xenforo yazılımı arasında köprü kurmamıza yarayan bir eklentidir. Yani XPress eklentisi XenForo ile Wordpress yazılımını birbirine entegrasyon etmemize olanak sağlıyor. Bu sayede XenForo forumlarında XPress eklentisi sayesinde Wordpress yazılımını Forumumuz da bir blog, bir portal gibi kullanabiliyoruz. Bu entegrasyon sayesinde Wordpress tarafındaki bir konuyu/makaleyi XenForo Forumlarına gönderebilir veya XenForo tarafındaki bir konuyu/makaleyi wordpress tarafına gönderebiliriz. Forumda üye olan kullanıcılar aynı şekilde wordpress tarafına yorum yazabilirler. Kısaca XPress eklentisinin en temel işleyişi bu arkadaşlar, eklenti hakkında daha geniş bilgiye buradaki XPress - A theme and bridge for bringing WordPress into XenForo konusundan ulaşabilirsiniz.
Bizim Neden Güvenlik Önlemi Almamız gerekiyor?
Bizim güvenlik önlemi almamızın en büyük nedeni Wordpress yazılımı kullanıyor olmamız.
Peki Wordpress yazılımı güvensiz bir yazılım mı?
Hayır, güvensiz bir yazılım değil. Dünya'daki web sitelerinin %33'ü wordpress alt yapısını kullanmakta. Haliyle kötü niyetli kişilerin en çok bu yazılım üzerinde çalışma yaptıklarını ve en çok bu yazılım üzerinde kötü niyetlerini gösterdikleri için wordpress alt yapısı kullanan herkesin ekstra bir güvenlik önlemi alması gerekiyor. Tabii bu wordpress'in kötü bir yazılım olduğu anlamına gelmesin aksine dünya'da bu kadar çok kullanılması, bu kadar çok geliştiricisinin olması yazılımın ne kadar popüler olduğunu ortaya koyuyor. Güvenlik konusunda en köklü şirketlerin bile güvenlik konusunda sorunlar yaşadıklarını ve halen çözüm bulamadıklarını görüyoruz buna örnek vermek gerekirse Microsoft bile milyarlarca dolar harcadığı yazılımlarını maalesef koruyamıyor. Dünya'da %100 güvenli denilen tek bir yapı yoktur. Eğer XenForo yazılımı dünya'da wordpress kadar çok kullanılsaydı bu gibi sorunlar onlar da da çıkardı ki w*r*z olayına bakılırsa her yazılımın bir güvenlik zafiyeti olduğunu görebilir. Hal böyle olunca bizler kullandığımız yazılıma göre ekstra güvenlik önlemi/önlemleri almak durumundayız.
O halde XenForo yazılımı içerisinde Wordpress kullanıyorsak XPress olsun veya olmasın aşağıdaki işlemleri mutlaka yapmanızı öneririz. Bu işlemler sizinde aşağıda gördüğünüz gibi artık manuel yapılmıyor. Güvenlik konusunda bir çok eklenti, bizim belki saatlerce uğraşacağımız işlemleri dakikalar içerisinde yapmamıza olanak sağlıyor. Biz iThemes Security eklentisini kullandık ve anlatımımızı da buna göre yaptık. En çok kullanılan güvenlik eklentisidir.
Yapmamız gereken wordpress admin panelinize girerek Eklentiler alanından yeni ekle diyerek arama alanına iThemes Security yazarak aratmak karşımıza aşağıdaki resimdeki gibi ilgili eklentilerin listesi gelecektir. Bu alanda iThemes Security eklentisinin üzerinde bulunan hemen yükle butonuna tıklayarak eklentiyi yüklüyoruz
Eklenti yüklendikten sonra yine ilgili alanda eklentiyi Etkinleştirmeniz gerekmektedir. Örnek resim aşağıda.
Admin panelinizde sol menüden security bölümüne tıklıyoruz.
Karşımıza aşağıdaki gibi bir ekran geliyor. Bu alandan Secure Site butonuna tıklıyoruz.
Daha sonra aşağıdaki alan karşımıza geliyor. Bu alan önemli bir alandır. Bu alan hakkında kısaca bilgi vermek gerekirse, siteniz saldırı aldığında size saldırıyı yapan ağ hakkında bilgi verir bu bilgi size burada belirtmiş olduğunuz mail tarafından verilir. E-mail adresi alanına aktif bir mail adresi yazısını ve yandaki seçim kutusundan evet'i seçip Active Network Brute Force Protection butonuna tıklayın ve sonra close diyerek bu alanı kapatın.
Daha sonra karşımıza aşağıdaki alan gelecek bu alanları sırasıyla aktif edeceğiz.
Security Check
İlk alanımız Security Check bu alana herhangi bir işlem yapmıyoruz. Zaten başlarken ilk olarak bunu yapmıştık.
Global Settings
Bir sonraki alanımız global settings alanı Configure Settings butonuna tıklayarak ilgili bölümün ayarlar alanına gidin. Bu alan bizden wp-config.php and .htaccess dosyalarına yazma izni vermemizi ister bu yüzden Allow iThemes Security to write to wp-config.php and .htaccess. Checkbox kutucuğu Varsayılan olarak işaretli gelir ama siz yinede işaretli olduğundan emin olun. Daha sonra sol altta bulunan Save Settings butonuna tıklayın.
Örnek resim;
Notification Center
Bu alan bize bilgi gelecek alan ya da bilgilendirmeleri kimlerin almasını istediğimizi bildirdiğimiz alan. Varsayılan olarak tüm yöneticilerin bildirim alması işaretli olarak geliyor. Yani All Yönetici users bunun altında bir checkbox daha var o da ilgili admin oluyor dilerseniz onu işaretleyip tüm bildirimleri sadece bir yöneticinin almasını sağlayabilirsiniz.
Örnek resim:
404 Detection
Bu alanda oldukça önemli bir alandır. Öncelikle enable butonuna tıklıyoruz daha sonra Configure Settings diyoruz. Bu alan 404 hatalarınızı kontrol etmenize olanak sağlar. 404 sayfa hatalarının ne sıklıkla olduğu ya da bir saldırımı olduğu hakkında bilgiler alırsınız. Saldırı olduğunda o kullanıcıyı vereceğiniz dakika boyunca banlar. Ayrıca sizin ekleyeceğiniz uzantıları da kontrolünüz altına alabilirsiniz.
Örnek resim:
Away Mode
Bu alan bize gerekmiyor sitemiz devamlı yayın yapacağı için bu alan bizi ilgilendirmiyor.
Banned Users
Bu alanda işlevsel bir alandır. Dileyen kullanabilir. Bu alan sizin karaya listeye aldığınız ip'leri / üyeleri banlar arkadaşlar.
Database Backups
Bu alandan wp yedeği alabilirsiniz ama önerilmediğini duydum bu yüzden siz yedeklerinizi sunucunuz üzerinden alın.
File Change Detection
Bu alanda gerçekten faydalı bir alandır. Enable diyerek çalıştırıyoruz. Daha sonra Configure Settings butonuna tıklıyarak ayarlar bölümüne gidiyoruz. Bu bize şöyle bir olanak sağlıyor. Dosyalarımız değiştiğinde en ufak bir kod bile eklense bunu bize bildirerek dosyalarımızı kontrol altında tutuyoruz. Ya da anlık olarak değişen bir dosya var mı diye tarama yaptırabiliyoruz. Unutmadan bu aktif olduğunda wp admin panelemizde düzenleyici alanı gizlenir. Düzenleyici alanını aktif etmek için File Change Detection alanına gelerek disable etmeniz gerekir.
File Permissions
Bu alanda dosya izinlerimizi kontrol edebilir veya dosya izinlerimizi bu alandan değiştirebiliriz.
Local Brute Force Protection
Bu alanda oldukça faydalıdır. Configure Settings diyerek ayarlar alanına gidiyoruz. Burada dikkat etmeniz gereken Automatically ban "admin" user seçeneği işaretsiz gelir. Wordpress tarafındaki yöneticinin admin ismi olmaması önerilir. Kötü niyetli kişiler/botlar her zaman admin kullanıcı adını dener. Eğer admin kullanıcı ismini kullanıyorsanız isminizi değiştirten sonra bu alanı işaretleyip kayıt edin. Eğer admin ile giriş yapılırsa işaretlediğiniz için admin ile giriş yapmayı deneyen herkesi sistem banlayacaktır.
Password Requirements
Bu alanda önemli bir alandır. Kullanıcılara zorlayıcı şifreler girmelerini önerir. Strong Passwords alanını işaretleyin ve enable alanını aktif edin.
SSL
SSL kullanıyorsanız enable edebilirsiniz.
System Tweaks
Bu alan saldırılara karşı ekstra önlemler alır. Hepsini de işaretleyebilirsiniz. Size lazım olanları da işaretleyebilirsiniz. Varsayılan disable olarak gelir aktif etmeniz lazım.
Gizli anahtar, sitenize şifreye rasgele öğeler ekleyerek bilgisayar korsanlığını ve erişmeyi zorlaştırır.
WordPress Salts
Bu alan şifrelere ekstra önlemler alır. Bu değişimler database alanında yapılır siz yine aynı şifreyi kullanırsınız ama kırılması zor şifreler ayarlamasını sağlar.
WordPress Tweaks
Bu alan son derece önemlidir. Bu alandaki kutucucukları aşağıdaki listeye göre seçin;
--Remove the Windows Live Writer header.
--Remove the RSD (Really Simple Discovery) header.
--Reduce Comment Spam
--Disable File Editor
--Disable XML-RPC (recommended)
--Block (recommended)
--Restrick Access(recommended)
--Disable login error messages
--Force users to choose a unique nickname
--Disables a user's author page if their post count is 0.
--Alter target="_blank" links to protect against tabnapping
--Prevent attachment thumbnails from traversing to other files.
Daha sonra eklenti sayfasındaki Advanced bölümüne tıklayın örnek resim aşağıda
Admin User
Bu alanda çok önemlidir. Her girişte admin kullanıcı ID'sini değiştirir. Change User ID 1 checkbox alanını işaretleyin.
Change Database Table Prefix
Bu alanda çok gereklidir. Bildiğiniz üzere wordpress tabloların önekine wp_ ekler bu seçilirse rastgele önekler oluşturulur ve kimse tahmin edemez. Change Prefix alanını evet olarak seçin.
Hide Backend
Bu alanda gereklidir. Admin panel giriş yollunu değiştirir. Aslında bir güvenlik duvarı örer. Login Slug alanına bir admin yolu yazalım örnek:
Örnek resim:
Anlatılacaklar bu kadar arkadaşlar, umarız sizler için faydalı bir makale olmuştur.
XenGenTr
XPress Eklentisi Nedir?
XPress eklentisi wordpress yazılımı ile xenforo yazılımı arasında köprü kurmamıza yarayan bir eklentidir. Yani XPress eklentisi XenForo ile Wordpress yazılımını birbirine entegrasyon etmemize olanak sağlıyor. Bu sayede XenForo forumlarında XPress eklentisi sayesinde Wordpress yazılımını Forumumuz da bir blog, bir portal gibi kullanabiliyoruz. Bu entegrasyon sayesinde Wordpress tarafındaki bir konuyu/makaleyi XenForo Forumlarına gönderebilir veya XenForo tarafındaki bir konuyu/makaleyi wordpress tarafına gönderebiliriz. Forumda üye olan kullanıcılar aynı şekilde wordpress tarafına yorum yazabilirler. Kısaca XPress eklentisinin en temel işleyişi bu arkadaşlar, eklenti hakkında daha geniş bilgiye buradaki XPress - A theme and bridge for bringing WordPress into XenForo konusundan ulaşabilirsiniz.
Bizim Neden Güvenlik Önlemi Almamız gerekiyor?
Bizim güvenlik önlemi almamızın en büyük nedeni Wordpress yazılımı kullanıyor olmamız.
Peki Wordpress yazılımı güvensiz bir yazılım mı?
Hayır, güvensiz bir yazılım değil. Dünya'daki web sitelerinin %33'ü wordpress alt yapısını kullanmakta. Haliyle kötü niyetli kişilerin en çok bu yazılım üzerinde çalışma yaptıklarını ve en çok bu yazılım üzerinde kötü niyetlerini gösterdikleri için wordpress alt yapısı kullanan herkesin ekstra bir güvenlik önlemi alması gerekiyor. Tabii bu wordpress'in kötü bir yazılım olduğu anlamına gelmesin aksine dünya'da bu kadar çok kullanılması, bu kadar çok geliştiricisinin olması yazılımın ne kadar popüler olduğunu ortaya koyuyor. Güvenlik konusunda en köklü şirketlerin bile güvenlik konusunda sorunlar yaşadıklarını ve halen çözüm bulamadıklarını görüyoruz buna örnek vermek gerekirse Microsoft bile milyarlarca dolar harcadığı yazılımlarını maalesef koruyamıyor. Dünya'da %100 güvenli denilen tek bir yapı yoktur. Eğer XenForo yazılımı dünya'da wordpress kadar çok kullanılsaydı bu gibi sorunlar onlar da da çıkardı ki w*r*z olayına bakılırsa her yazılımın bir güvenlik zafiyeti olduğunu görebilir. Hal böyle olunca bizler kullandığımız yazılıma göre ekstra güvenlik önlemi/önlemleri almak durumundayız.
O halde XenForo yazılımı içerisinde Wordpress kullanıyorsak XPress olsun veya olmasın aşağıdaki işlemleri mutlaka yapmanızı öneririz. Bu işlemler sizinde aşağıda gördüğünüz gibi artık manuel yapılmıyor. Güvenlik konusunda bir çok eklenti, bizim belki saatlerce uğraşacağımız işlemleri dakikalar içerisinde yapmamıza olanak sağlıyor. Biz iThemes Security eklentisini kullandık ve anlatımımızı da buna göre yaptık. En çok kullanılan güvenlik eklentisidir.
Yapmamız gereken wordpress admin panelinize girerek Eklentiler alanından yeni ekle diyerek arama alanına iThemes Security yazarak aratmak karşımıza aşağıdaki resimdeki gibi ilgili eklentilerin listesi gelecektir. Bu alanda iThemes Security eklentisinin üzerinde bulunan hemen yükle butonuna tıklayarak eklentiyi yüklüyoruz
Eklenti yüklendikten sonra yine ilgili alanda eklentiyi Etkinleştirmeniz gerekmektedir. Örnek resim aşağıda.
Admin panelinizde sol menüden security bölümüne tıklıyoruz.
Karşımıza aşağıdaki gibi bir ekran geliyor. Bu alandan Secure Site butonuna tıklıyoruz.
Daha sonra aşağıdaki alan karşımıza geliyor. Bu alan önemli bir alandır. Bu alan hakkında kısaca bilgi vermek gerekirse, siteniz saldırı aldığında size saldırıyı yapan ağ hakkında bilgi verir bu bilgi size burada belirtmiş olduğunuz mail tarafından verilir. E-mail adresi alanına aktif bir mail adresi yazısını ve yandaki seçim kutusundan evet'i seçip Active Network Brute Force Protection butonuna tıklayın ve sonra close diyerek bu alanı kapatın.
Daha sonra karşımıza aşağıdaki alan gelecek bu alanları sırasıyla aktif edeceğiz.
Security Check
İlk alanımız Security Check bu alana herhangi bir işlem yapmıyoruz. Zaten başlarken ilk olarak bunu yapmıştık.
Global Settings
Bir sonraki alanımız global settings alanı Configure Settings butonuna tıklayarak ilgili bölümün ayarlar alanına gidin. Bu alan bizden wp-config.php and .htaccess dosyalarına yazma izni vermemizi ister bu yüzden Allow iThemes Security to write to wp-config.php and .htaccess. Checkbox kutucuğu Varsayılan olarak işaretli gelir ama siz yinede işaretli olduğundan emin olun. Daha sonra sol altta bulunan Save Settings butonuna tıklayın.
Örnek resim;
Notification Center
Bu alan bize bilgi gelecek alan ya da bilgilendirmeleri kimlerin almasını istediğimizi bildirdiğimiz alan. Varsayılan olarak tüm yöneticilerin bildirim alması işaretli olarak geliyor. Yani All Yönetici users bunun altında bir checkbox daha var o da ilgili admin oluyor dilerseniz onu işaretleyip tüm bildirimleri sadece bir yöneticinin almasını sağlayabilirsiniz.
Örnek resim:
404 Detection
Bu alanda oldukça önemli bir alandır. Öncelikle enable butonuna tıklıyoruz daha sonra Configure Settings diyoruz. Bu alan 404 hatalarınızı kontrol etmenize olanak sağlar. 404 sayfa hatalarının ne sıklıkla olduğu ya da bir saldırımı olduğu hakkında bilgiler alırsınız. Saldırı olduğunda o kullanıcıyı vereceğiniz dakika boyunca banlar. Ayrıca sizin ekleyeceğiniz uzantıları da kontrolünüz altına alabilirsiniz.
Örnek resim:
Away Mode
Bu alan bize gerekmiyor sitemiz devamlı yayın yapacağı için bu alan bizi ilgilendirmiyor.
Banned Users
Bu alanda işlevsel bir alandır. Dileyen kullanabilir. Bu alan sizin karaya listeye aldığınız ip'leri / üyeleri banlar arkadaşlar.
Database Backups
Bu alandan wp yedeği alabilirsiniz ama önerilmediğini duydum bu yüzden siz yedeklerinizi sunucunuz üzerinden alın.
File Change Detection
Bu alanda gerçekten faydalı bir alandır. Enable diyerek çalıştırıyoruz. Daha sonra Configure Settings butonuna tıklıyarak ayarlar bölümüne gidiyoruz. Bu bize şöyle bir olanak sağlıyor. Dosyalarımız değiştiğinde en ufak bir kod bile eklense bunu bize bildirerek dosyalarımızı kontrol altında tutuyoruz. Ya da anlık olarak değişen bir dosya var mı diye tarama yaptırabiliyoruz. Unutmadan bu aktif olduğunda wp admin panelemizde düzenleyici alanı gizlenir. Düzenleyici alanını aktif etmek için File Change Detection alanına gelerek disable etmeniz gerekir.
File Permissions
Bu alanda dosya izinlerimizi kontrol edebilir veya dosya izinlerimizi bu alandan değiştirebiliriz.
Local Brute Force Protection
Bu alanda oldukça faydalıdır. Configure Settings diyerek ayarlar alanına gidiyoruz. Burada dikkat etmeniz gereken Automatically ban "admin" user seçeneği işaretsiz gelir. Wordpress tarafındaki yöneticinin admin ismi olmaması önerilir. Kötü niyetli kişiler/botlar her zaman admin kullanıcı adını dener. Eğer admin kullanıcı ismini kullanıyorsanız isminizi değiştirten sonra bu alanı işaretleyip kayıt edin. Eğer admin ile giriş yapılırsa işaretlediğiniz için admin ile giriş yapmayı deneyen herkesi sistem banlayacaktır.
Password Requirements
Bu alanda önemli bir alandır. Kullanıcılara zorlayıcı şifreler girmelerini önerir. Strong Passwords alanını işaretleyin ve enable alanını aktif edin.
SSL
SSL kullanıyorsanız enable edebilirsiniz.
System Tweaks
Bu alan saldırılara karşı ekstra önlemler alır. Hepsini de işaretleyebilirsiniz. Size lazım olanları da işaretleyebilirsiniz. Varsayılan disable olarak gelir aktif etmeniz lazım.
Gizli anahtar, sitenize şifreye rasgele öğeler ekleyerek bilgisayar korsanlığını ve erişmeyi zorlaştırır.
WordPress Salts
Bu alan şifrelere ekstra önlemler alır. Bu değişimler database alanında yapılır siz yine aynı şifreyi kullanırsınız ama kırılması zor şifreler ayarlamasını sağlar.
WordPress Tweaks
Bu alan son derece önemlidir. Bu alandaki kutucucukları aşağıdaki listeye göre seçin;
--Remove the Windows Live Writer header.
--Remove the RSD (Really Simple Discovery) header.
--Reduce Comment Spam
--Disable File Editor
--Disable XML-RPC (recommended)
--Block (recommended)
--Restrick Access(recommended)
--Disable login error messages
--Force users to choose a unique nickname
--Disables a user's author page if their post count is 0.
--Alter target="_blank" links to protect against tabnapping
--Prevent attachment thumbnails from traversing to other files.
Daha sonra eklenti sayfasındaki Advanced bölümüne tıklayın örnek resim aşağıda
Admin User
Bu alanda çok önemlidir. Her girişte admin kullanıcı ID'sini değiştirir. Change User ID 1 checkbox alanını işaretleyin.
Change Database Table Prefix
Bu alanda çok gereklidir. Bildiğiniz üzere wordpress tabloların önekine wp_ ekler bu seçilirse rastgele önekler oluşturulur ve kimse tahmin edemez. Change Prefix alanını evet olarak seçin.
Hide Backend
Bu alanda gereklidir. Admin panel giriş yollunu değiştirir. Aslında bir güvenlik duvarı örer. Login Slug alanına bir admin yolu yazalım örnek:
admin/yoneticipanel artık admin paneline wp-admin değilde bu alandan giriş yaparsınız..Örnek resim:
Anlatılacaklar bu kadar arkadaşlar, umarız sizler için faydalı bir makale olmuştur.
XenGenTr
