iThemes Security Pro Özelliği Spotlight – WordPress Tweaks

Feature Spotlight gönderilerinde, iThemes Security Pro eklentisindeki bir özelliği vurgulayacağız ve bu özelliği neden geliştirdiğimizi, özelliğin kimler için olduğunu ve özelliğin nasıl kullanılacağını biraz paylaşacağız.

Bugün, WordPress web sitenizi güvence altına almak için bir araç koleksiyonu olan WordPress Tweaks'i ele alacağız.

Neden WordPress Tweaks Kullanmalısınız?

WordPress'in en büyük avantajlarından biri, üçüncü taraf araçlar ve hizmetler ile uyumlu olmasıdır. Ancak, bu hizmetlerden yararlanmıyorsanız, web sitenizde bir bilgisayar korsanının potansiyel olarak yararlanabileceği gereksiz giriş noktalarına sahip olursunuz.

WordPress ayrıca bir saldırganın kaba kuvvet saldırısını güçlendirmesine ve hatta sunucunuzda depolanan dosyalarda kötü niyetli değişiklikler yapmasına olanak tanıyan başka kolaylıklar da sağlar.

iThemes Security Pro WordPress Tweaks ayarlarını kullanmalısınız çünkü bunlar, WordPress'in bazı potansiyel yumuşak noktalarını sertleştirmek için özel olarak tasarlanmış bir dizi araç.

iThemes Security Pro'da WordPress Tweaks Nasıl Kullanılır

WordPress Tweaks'i kullanmaya başlamak için Güvenlik Menüsündeki Gelişmiş bağlantısını tıklayın.

Gelişmiş menüye girdikten sonra. WordPress Tweaks sekmesine tıklayın.

WordPress Tweaks Ayarları

WordPress Tweaks, API Erişimi ve Kullanıcılar olmak üzere 2 bölüme ayrılmıştır. Şimdi bu ayarlara daha yakından bakalım.

API Erişimi

1. XML-RPC

Dosya Düzenleyiciyi Devre Dışı Bırak ayarı, eklentiler ve temalar için WordPress dosya düzenleyicisini devre dışı bırakır. WordPress dosya düzenleyicisini devre dışı bırakmak, web sitenize büyük miktarda güvenlik ekler.

Bir bilgisayar korsanı web sitenize başarıyla girebilirse, WP dosya düzenleyicisi, sunucunuzda depolanan dosyalarda kötü niyetli değişiklikler yapmalarına izin verir. Ancak, WP dosya düzenleyicisini devre dışı bırakırsanız, bilgisayar korsanının eklentilerinizde ve temalarınızda kötü niyetli değişiklikler yapmak için sunucu kimlik bilgilerine ihtiyacı olacaktır.

WordPress'in XML-RPC özelliği, harici hizmetlerin sitedeki içeriğe erişmesine ve bunları değiştirmesine olanak tanır. Örneğin, Jetpack, WordPress web sitelerine bağlanmak ve içeriği değiştirmek için XML-RPC gerektirir.

iThemes Security Pro'daki XML-RPC ayarının 3 seçeneği vardır:

• XML-RPC'yi Devre Dışı Bırak – XML-RPC, sitede devre dışı bırakılır. Jetpack, WordPress mobil uygulaması, pingback'ler ve XML-RPC kullanan diğer hizmetler kullanılmıyorsa bu ayar şiddetle önerilir.
• Geri Pingleri Devre Dışı Bırak – Yalnızca geri bildirimleri devre dışı bırakın . Diğer XML-RPC özellikleri normal şekilde çalışacaktır. Jetpack veya WordPress Mobil uygulaması gibi özelliklere ihtiyacınız varsa bu ayarı seçin.
• XML-RPC'yi Etkinleştir – XML-RPC tamamen etkinleştirilmiştir ve normal şekilde çalışacaktır. Bu ayarı yalnızca sitenin sınırsız XML-RPC kullanımına sahip olması gerekiyorsa kullanın.

XML-RPC kullanan herhangi bir hizmet kullanmıyorsanız, XML-RPC'yi Devre Dışı Bırak seçeneğini kullanmanızı öneririz.

2. XML-RPC İsteği Başına Çoklu Kimlik Doğrulama Denemesi

Giriş formu kullanmanın yanı sıra WordPress'e giriş yapmanın başka yolları da vardır. Saldırgan XML-RPC kullanarak tek bir HTTP isteğinde yüzlerce kullanıcı adı ve parola denemesi yapabilir.

Kaba kuvvet yükseltme yöntemi, saldırganların yalnızca birkaç HTTP isteğinde XML-RPC kullanarak binlerce kullanıcı adı ve parola denemesi yapmasına olanak tanır.

iThemes Security Pro'daki XML-RPC İsteği Başına Çoklu Kimlik Doğrulama Denemesi ayarının iki seçeneği vardır:

• Engelle – Birden çok oturum açma girişimi içeren XML-RPC isteklerini engeller. Bu ayar şiddetle tavsiye edilir.
• İzin Ver – Birden çok oturum açma girişimi içeren XML-RPC isteklerine izin verir. Bu ayarı yalnızca bir hizmet gerektiriyorsa kullanın.

XML-RPC İstek Bloğu başına Çoklu Kimlik Doğrulama Denemesi seçeneğinin kullanılması, XML-RPC isteği başına birden çok kimlik doğrulama girişimini engeller. Kullanıcı adı ve şifre denemelerinin sayısını her istek için bir tane ile sınırlamak, WordPress girişinizi güvence altına almak için uzun bir yol kat edecektir.

3. REST API'si

WordPress REST API, WordPress'in bir parçasıdır ve geliştiricilere WordPress'i yönetmenin yeni yollarını sunar.

Varsayılan olarak, REST API, sitenizde gizli olduğunu düşündüğünüz bilgilere erişmek için kullanılabilir:

• Ürünler veya üye programları gibi gönderi gibi görünmeyenler de dahil olmak üzere tüm gönderi türlerinden yayınlanan gönderiler .
• Yayınlanmış gönderileri veya sayfaları olmayan kullanıcıları içerebilecek kullanıcı ayrıntıları .
• Herhangi bir yerde halka açık olarak bağlantılı olmayan medya indirme bağlantılarını açığa çıkarabilecek medya kitaplığı girişleri . Bu, üyelere özel içeriği, bazı eklentiler tarafından oluşturulan yedekleri veya medya kitaplığına eklenen diğer türdeki dosyaları indirmek için bağlantılar içerebilir. (BackupBuddy yedeklerinin medya kitaplığında depolanmadığını ve REST API aracılığıyla erişilemediğini unutmayın.)

iThemes Security Pro'daki REST API ayarının iki seçeneği vardır.:

• Kısıtlı Erişim – Çoğu REST API verisine erişimi kısıtlayın. Bu, çoğu isteğin oturum açmış bir kullanıcıyı veya belirli ayrıcalıklara sahip bir kullanıcıyı gerektireceği ve potansiyel olarak gizli veriler için genel istekleri engelleyeceği anlamına gelir. Bu seçeneği seçmenizi öneririz.
• Varsayılan Erişim – REST API verilerine erişim varsayılan olarak bırakılır. Yayınlanan gönderiler, kullanıcı ayrıntıları ve medya kitaplığı girişleri dahil olmak üzere bilgiler genel erişime açıktır.

Özel bilgilere erişimi sınırlamak için Kısıtlı Erişim seçeneğini kullanmanızı öneririz.

Kullanıcılar

1. Dosya Düzenleyiciyi Devre Dışı Bırak

Dosya Düzenleyiciyi Devre Dışı Bırak ayarı, eklentiler ve temalar için WordPress dosya düzenleyicisini devre dışı bırakır. WordPress dosya düzenleyicisini devre dışı bırakmak, web sitenize büyük miktarda güvenlik ekler.

Bir bilgisayar korsanı web sitenize başarıyla girebilirse, WP dosya düzenleyicisi, sunucunuzda depolanan dosyalarda kötü niyetli değişiklikler yapmalarına izin verir. Ancak, WP dosya düzenleyicisini devre dışı bırakırsanız, bilgisayar korsanının eklentilerinizde ve temalarınızda kötü niyetli değişiklikler yapmak için sunucu kimlik bilgilerine ihtiyacı olacaktır.

2. Benzersiz Takma Adı Zorla

Benzersiz Takma Adı Zorla ayarı, kullanıcıları profillerini güncellerken veya yeni bir hesap oluştururken benzersiz bir takma ad seçmeye zorlar. Benzersiz bir takma ad kullanmak, botların ve saldırganların, yazar sayfalarındaki koddan kullanıcıların oturum açma kullanıcı adlarını kolayca toplamasını engeller. Kullanılırsa yazar besleme URL'lerini etkileyeceğinden, bunun mevcut kullanıcıları otomatik olarak güncellemediğini unutmayın.

Kullanıcıları benzersiz bir takma ad kullanmaya zorlamak, belirsizlik yoluyla güvenliğin başka bir örneğidir. WordPress girişinizi güvence altına almak için iThemes Security Pro Parola Gereksinimleri ve İki Faktörlü Kimlik Doğrulama özelliklerini etkinleştirmeniz daha iyi olur.

3. Ekstra Kullanıcı Arşivlerini Devre Dışı Bırakın

iThemes Security Pro'daki Ekstra Kullanıcı Arşivlerini Devre Dışı Bırak ayarı, sitenize gönderi göndermeyen kullanıcılar için gönderi arşivlerini devre dışı bırakarak botların kullanıcı adlarını belirlemesini zorlaştırır.

Bir kullanıcının yazar sayfasının gönderi sayısı 0 ise devre dışı bırakılması, belirsizlik yoluyla güvenliğin başka bir örneğidir. WordPress girişinizi güvence altına almak için iThemes Security Pro Parola Gereksinimleri ve İki Faktörlü Kimlik Doğrulama özelliklerini etkinleştirmeniz daha iyi olur.

4. E-posta Adresi veya Kullanıcı Adı ile Giriş Yapın

Varsayılan olarak WordPress, kullanıcıların bir e-posta adresi veya kullanıcı adı kullanarak oturum açmasına izin verir. E-posta Adresi veya Kullanıcı Adı ile Oturum Açma ayarı, oturum açma işlemlerini yalnızca e-posta adreslerini veya kullanıcı adlarını kabul edecek şekilde kısıtlamanıza olanak tanır.

iThemes Security Pro'daki E-posta Adresi veya Kullanıcı Adı ile Oturum Açma ayarının üç seçeneği vardır:

• E-posta Adresi ve Kullanıcı Adı (Varsayılan) – Kullanıcıların, kendi e-posta adresini veya kullanıcı adını kullanarak oturum açmasına izin verin. Bu, varsayılan WordPress davranışıdır.
• Yalnızca E-posta Adresi – Kullanıcılar yalnızca kendi e-posta adresini kullanarak oturum açabilir. Bu, bir kullanıcı adı kullanarak oturum açmayı devre dışı bırakır.
• Yalnızca Kullanıcı Adı – Kullanıcılar yalnızca kendi kullanıcı adlarını kullanarak oturum açabilir. Bu, bir e-posta adresi kullanarak oturum açmayı devre dışı bırakır.

Girişleri e-posta adresleriyle sınırlamak, kaba kuvvet saldırısına karşı biraz koruma sağlayabilir. Bir bot, yazarın sayfasını kullanıcı adları için sıyırabilirken, kullanıcı e-posta adresleri için bir web sitesini sıyırması daha az olasıdır.

Ancak yine de, WordPress girişinizi güvence altına almak için iThemes Security Pro Parola Gereksinimleri ve İki Faktörlü Kimlik Doğrulama özelliklerini etkinleştirmeniz daha iyi olur.

Özet: WordPress Güvenliğini Güçlendirmek için WordPress Tweaks

iThemes Security Pro'daki WordPress Tweaks, WordPress web sitenizin güvenliğini güçlendirmek için özel olarak tasarlanmıştır. iThemes Security Pro eklentisi ile web sitenize şu ekstra güvenlik katmanlarını da ekleyebilirsiniz:

• İki faktörlü kimlik doğrulama
• Parolasız oturum açma
• Dosya değişikliği algılama
• Yerel kaba kuvvet koruması

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.