Wordfence Security WordPress Kurulumu
Web sitenize Wordfence güvenlik eklentisi kurup kullanmak mı istiyorsunuz? Wordfence, WordPress sitenizin güvenliğini sağlamanıza yardımcı olan popüler bir WordPress eklentisidir ve saldırı girişimlerinden korur. Bu yazıda, WordPress’de Wordfence güvenlik eklentisinin nasıl kolayca kurulacağını ve ayarlamalarının yapılacağını göstereceğiz.
Yazı İndeksi
Wordfence nedir? WordPress Sitenizi Nasıl Korur?
Wordfence, web sitenizi, bilgisayar korsanlığı, kötü amaçlı yazılım, DDOS ve otomatik şifre deneme saldırıları gibi güvenlik tehditlerine karşı korumanıza yardımcı olan bir WordPress güvenlik eklentisidir.
Web sitenize gelen tüm trafiği filtreleyen ve şüpheli istekleri engelleyen güvenlik duvarı sayesinde sitenizi koruma işlemini yapan eklenti aktif olarak 2 milyon kullanıcı tarafından kullanılmaktadır.
Tüm WordPress çekirdek dosyalarınızı, temalarınızı, eklentilerinizi tarar ve değişiklikleri ve şüpheli kodları klasörleri yükleyen bir zararlı yazılım var ise silme yada düzelme işlemi yapar. Bu eklenti sayesinde saldırıya uğramış bir WordPress sitesini temizlemenize yardımcı olur.
Temel Wordfence eklentisi ücretsiz, ancak ülke engelleme, gerçek zamanlı olarak güncellenen güvenlik duvarı kuralları, zamanlanmış tarama gibi daha gelişmiş özelliklere erişmenizi sağlayan ücretli sürümü de beraberinde getiriyor. İhtiyaçlarınız doğrultusunda ücretli sürüme geçme kararını kendiniz vermelisiniz.
Şimdi ise maksimum güvenlik için Wordfence’i nasıl kuracağınızı ve kolayca kuracağınızı göstereceğiz.
WordPress’de Wordfence Nasıl Kurulumu ve Temel Ayarları
Yapmanız gereken ilk şey, Wordfence Security eklentisini yüklemek ve etkinleştirmektir. Etkinleştirme işleminden sonra WordPress’in yönetici çubuğuna Wordfence etiketli yeni bir menü öğesi ekleyecektir. Üzerine tıklayarak, eklentinin gösterge tablosuna erişebilirsiniz.
Bu sayfada eklentinin web sitenizdeki güvenlik ayarlarına genel bir bakış sunulmaktadır. Güvenlik bildirimlerini ve son IP engelleme, başarısız oturum açma denemeleri, engellenen toplam saldırılar gibi istatistikleri de göreceksiniz.
Wordfence ayarları farklı bölümlere ayrılmıştır. Varsayılan ayarlar çoğu web sitesi için geçerli olmakla birlikte, isteğiniz doğrultusunda düzenleme yapma şansına sahipsiniz.
Wordfence’i Kullanarak WordPress Sitenizi Tarama
Sitenizi zararlı yazılım ve kod parçalarına karşı taramak için Wordfence » Scan sayfasına geliniz. Sonrasında açılan tarama sayfasında ‘Start a Wordfence Scan’ butonuna basarak tarama işleminin bitmesini bekleyin.
Wordfence artık WordPress dosyalarınızı taramaya başlayacaktır.
Tarama, WordPress’in orjinal çekirdek ve eklenti dosyalarını ve bu dosyaların boyutlarındaki değişiklikleri arayacaktır.
Dosyaların içinde şüpheli kodları, arka kapıları, kötü amaçlı URL’leri ve bilinen zararlı kodları kontrol etmek için sitemizi tarayacağız.
Genellikle bu taramalar çalıştırmak için yüksek sunucu kaynağına ihtiyaç duyar. Wordfence, taramaları olabildiğince verimli bir şekilde çalıştırmak için tasarlanmıştır. Bir taramayı tamamlamak için gereken süre, sahip olduğunuz veriye ve sunucu yapınıza bağlıdır.
Taramanın ilerleme durumunu tarama sayfasındaki sarı kutu içerisinde görebilirsiniz. Bu bilgilerin çoğu teknik veriler olacak. Bununla birlikte, teknik şeyler hakkında endişelenmeniz gerekmez. Bırakın Wordfence işini yapsın. Tarama bittikten sonra, Wordfence size sonuçları gösterecektir.
Web sitenizde herhangi bir şüpheli kod, kötü amaçlı yazılım veya bozuk dosyalar bulunursa sizi bilgilendirecektir. Ayrıca, bu sorunları gidermek için yapmanız gereken işlemler için de size önerilerde bulunacaktır.
Ücretsiz Wordfence eklentisi, her 24 saatte bir WordPress sitenizde tam tarama işlemini otomatik olarak çalıştırır. Eklentinin ücretli sürümü, kendi tarama periyotlarınızı ayarlamanıza olanak sağlar.
Wordfence Firewall Ayarları
Wordfence, yazılımsal web sitesi güvenlik duvarı ile birlikte gelir. Bu, PHP tabanlı bir uygulama üzerinden çalışan güvenlik duvarıdır.
Wordfence güvenlik duvarı iki farklı koruma düzeyi sunar. Varsayılan olarak etkinleştirilen temel seviye Wordfence güvenlik duvarının bir WordPress eklentisi olarak çalışmasına izin verir.
Yani, güvenlik duvarının geri kalan WordPress eklentilerinizle birlikte yükleneceği anlamına gelir. Bu sizi çeşitli tehditlere karşı korur, ancak WordPress temaları ve eklentileri yüklenmeden önce tetiklenecek tehditlerden sizi korumaz.
İkinci koruma seviyesine genişletilmiş koruma adı verilir. Wordfence’in WordPress çekirdeği, eklentiler ve temalardan önce çalışmasına izin verir. Bu, daha gelişmiş güvenlik tehditlerine karşı çok daha iyi bir koruma sunar.
Genişletilmiş korumayı devreye almayı gelin birlikte görelim.
WordPress gösterge panelimizden sırayla Wordfence » Firewall gelerek Optimize Firewall butonuna basıyoruz.
Wordfence, artık sunucu yapılandırmanızı algılamak için bazı testleri arka planda çalıştıracaktır. Sunucu yapılandırmanızın Wordfence’in seçtiğinden farklı olduğunu biliyorsanız, farklı bir sunucu yapılandırması seçebilirsiniz.
Ardından, Wordfence mevcut .htaccess dosyanızı yedek olarak indirmenizi ister. ‘Download .htaccess’ düğmesine tıklayın ve yedekleme dosyasını indirdikten sonra continue düğmesine tıklayın.
Wordfence artık .htaccess dosyanızı güncelleyecek ve bu dosyanın WordPress’den önce çalışmasına izin verecektir. Artık koruma seviyenizi ‘Extended protection’ olarak göreceğiniz güvenlik duvarı sayfasına yönlendirileceksiniz.
Ayrıca bir ‘Learning Mode’ öğrenme modu düğmesi göreceksiniz. Wordfence’i ilk kez kurduğunuzda, sizin ve kullanıcılarınızı engellemediğinden emin olmak için web sitesi ile etkileşimde bulunma şeklini öğrenmeye çalışır. Bir hafta sonra otomatik olarak ‘Enabled and Protecting’ yani etkin koruma moduna geçecektir.
Wordfence Kullanarak Şüpheli Etkinliği İzleme ve Engelleme
Wordfence kendi bünyesinde canlı olarak trafik hareketlerini izlemenize olanak sağlamaktadır. Wordfence » Live Traffic sayfası üzerinden bu panele ulaşabilirsiniz. Burada, web sitenizde gezinen kişi ve botların IP listesini görebilirsiniz.
Bu sayfada tek tek IP’leri ve hatta tüm ağları engelleyebilirsiniz.
Şüpheli IP adreslerini el ile engellemek için, Wordfence » Blocking sayfasını ziyaret edebilirsiniz.
Wordfence’de Gelişmiş Ayarlar ve Araçlar
Wordfence, çok sayıda yararlı seçenek içeren güçlü bir eklentidir. Wordfence » Options sayfası altından bu ayarları kişiselleştirebilirsiniz.
Burada özellikleri seçerek açıp kapatabilirsiniz. E-posta bildirimlerini, taramaları ve diğer gelişmiş ayarları da etkinleştirebilir veya devre dışı bırakabilirsiniz.
Wordfence » Tools sayfasında, web sitenizdeki tüm kullanıcıların güçlü parolalar kullandığından emin olmak için şifre denetimi çalıştırabilirsiniz. Şüpheli IP adresleri için whois-lookup çalıştırabilir ve eklentiyle veya WordPress sitenizle ilgili sorunları gidermenize yardımcı olması için hata bilgilerini görüntüleyebilirsiniz.
Ücretli sürüme geçerek, web sitelerindeki giriş güvenliğini güçlendirmek için iki faktörlü oturum açma özelliği aktif edilebilmektedir.
Bu yazımızda genel hatları ile WordPress güvenlik eklentisi Wordfence ile ilgili bilgiler ve temel kurulum sürecine değindik. Wordfence eklentisi ile ilgili tüm sorularınızı yada eklemek istediklerinizi bize yorum olarak gönderebilirsiniz.
WordPress yönetici ekranı üzerinde Wordfence ayarlar sayfasına gidin. Delete Wordfence tables and data on deactivation yanında yer alan tiki işaretleyin ve ardından save düğmesine basın.
WordPress temel kurulum ve ayarlarını olması gerektiği yaptığınızı ve WordPress sitenizi güncel tutuğunuza eminseniz gerekli olduğunu düşünmüyoruz. Ancak WordPress sitenize sürekli olarak atak yapan kişiler var ise Firewall özelliğini kullanabilirsiniz.
selamlar eklenti güncellenmiş ve anlatım ile ep ey fark var gibi yazıyı güncellemeyi düşünüyor musunuz?
Eklenti genel işleyişi açısından farklılık göstermiyor. Zaman buldukça yeni görseller ile yazılarımızı güncelliyoruz. Son zamanlarda Wordfence aşırı CPU ve Opcache üzerine baskı yaptığı için önermiyoruz. CPU sorunu düzeltildikten sonra yeni bir anlatım sitemizde yerini alacak.
Merhaba,
Öncelikle, blogunuzla birkaç gündür tanıştım ve her yönüyle gördüğüm en iyi wordpress blogu gerçekten. Paylaşımlarınız için kendi adıma teşekkür ederim, Allah razı olsun…
Ben Wordfense güvenlik eklentisini kurdum. (VPS kullandığım için CPU sorunu yok şimdilik.) Fakat kurduğumdan beri dosya ve dizinler için izinleri (tekrar geri almama rağmen) otomatik değiştiriyor. Yönetim panelim ise güvenlik durumunu “tehlikeli” olarak raporluyor.
Acaba Wordfense’in çalışması için normal bir durum mudur? Normal olsa bile tehlikeli midir acaba? Şu linkteki – https://www.wordfence.com/help/firewall/optimizing-the-firewall/troubleshooting/ yardım doyasını da okudum, ama tam olarak anlayamadım ne yapmam gerektiğini. (ya da yanlış dosyayı okuyorum.)
Bir webmaster’la görüşmem önerildi. Lütfen, eğer bilginiz varsa yardımcı olabilir misiniz bu konuda? Rica ediyorum.
Başarılarınızın devamını dilerim, blogunuzun hayırlara vesile olması dileği ile inşaAllah…
Hayırlı günler dilerim…
Merhaba Barış, Wordfence olası güvenlik tehlikelerinin önüne geçmek amacıyla dosya ve klasör izinlerini otomatik olarak değiştirmektedir. Kullandığınız tema ve eklentiler üzerinde sorun yaşıyor musunuz?
Tekrar Merhaba,
Hızlı yanıtınız için teşekkür ederim. Hayır, o konuda hiçbir sorunum yok şimdilik. (Wordfence henüz “Learning ” modda çalışıyor bu arada.) Tek sorun, VPS yönetim panelim Plesk’teki WordPress Toolkit içerisindeki güvenlik aracı dosya ve dizin izinleri (kendisi wp-config dosyasının izinlerinin 600, diğer dosyalar için 644 ve dizinler için de 755 olarak ayarlanmıştı. ) değiştiği için site güvenlik durumunu o yüzden “tehlikeli” olarak raporluyor.
Açıkçası Plesk paneli WordPress kullanan kişilere çok fazla önermiyoruz. İmkan dahilinde ise Cpanel ve litespeed kullanmanızı tavsiye ederiz. Wordfence şuan sitenizin genel işleyişini deneyimliyor bir süre sonra learning mod devre dışı kalacaktır. Şuan için her hangi bir ayar değişikliğine gitmenize gerek yok. Uyarılar çalışmanıza engel oluyor ise ignore edebilirsiniz.
Plesk paneli mecburen kullanıyorum, çünkü VPS ile birlikte ücretsiz verildi. 🙂 Cpanel çok pahalı. Plesk’e çok alıştım ve açıkçası seviyorum, özellikle de üzerinde ücretsiz gelen ve sürekli geliştirilip, güncellenen WordPress Toolkit aracını. Belki de daha önce Cpanel kullanmadığımdan dolayıdır. Pleski önermemenizin sebebi tam olarak nedir?
WordPress Toolkit izinleri “WordPress güvenlik ilkesine göre” ayarladığını ve Wordfence de onları değiştirdiği için tehlikeli olduğunu raporluyor. Beni tedirgin eden işte o “WordPress güvenlik ilkesine göre” ayarlanan izinleri değiştirmesi Wordfence’in.
Wordfence sitenizi tehlikeye atacak bir ayarı sitenizde kullanmaz 🙂 Cpanel açıkçası kullanım kolaylığı ve özelleştirmeler açısından daha avantajlı. İlerleyen zaman içerisinde VPS optimizasyonu yaparken yada projenizi geliştirirken Plesk yüzünden bazı sıkıntılar çekebilirsiniz. Cpanel her zaman destek ve güvenlik açısından en başarılı bulduğum ara birim sistemidir.
Evet, Wordfence kendisi en iyi güvenlik eklentilerinden biri olduğu için ben de düşündüm “siteyi tehlikeye atacak bir ayarı kullanmaz.” diye. Fakat belki optimizasyon sorunu falan oldu diye, yani yanlışlıkla, hatayla izinler değişiyor diye tedirginim… 🙂
Cpanel hakkında yazdılarınızı başka kullananlardan da duyuyorum, ama dediğim gibi mecburen Plesk kullanıyorum. Aslında ‘Cpanel ile ve LiteSpeed ücretsiz etkinleştirilmiş paylaşımlı hosting’e mi taşınsam mı acaba?” diye düşünüyorum da, VPS’in rahatlığı ve avantajlarını ve daha sonra projem geliştikçe ve başka projeler de eklenirse zaten tekrar VPS’ye taşımam gerekecek diye düşündüğüm için böyle devam ediyorum. Ama şu anki aşama için israf yaptığımın, belki de mantıksız haraket ettiğim de farkındayım… 🙂 Üstelik Cpanel ve LiteSpeed de kullanamıyorum bu durumda.
Hızlı ve aydınlatıcı yanıtlarınız için tekrar teşekkür ederim. 🙂 Hayırlı Ramazanlar, çalışmalar, günler dilerim…
Paylaşımlı Cpanel yerine Plesk kurulu VPS tercih etmek tabi ki daha mantıklı. Sizede hayırlı ramazanlar uyanıksanız ayrıca hayırlı sahurlar dilerim 🙂
VPS konusunda benimle aynı fikirde olduğunuza sevindim. Evet, sahurda uyanıktım, ama cevabınızı şimdi okudum. Samimiyentiiz için de ayrıca teşekkür ederim. 🙂 Bu arada ilk kez burada kullandığım Barış nick adım, gerçek ismim Reşad. Azerbaycan’dan Sevgi ve Selamlar…
Çok memnun olduk Reşad, sitemizde bulamadığın cevapları bize yazın sayfası üzerinden sıkılmadan bize sorabilirsin.
Ben de çok memnun oldum bu blogla, sizinle tanışmamdan dolayı, teşekkür ederim desteğiniz için. 🙂 Allah oruçlarınızı da kabul etsin… Bu arada, Wordfence dışında muhabbet çok uzadıysa, mesajımı okuyup, yayınlamaya bilirsiniz, darılmam yani. 🙂
🙂 Biz her yoruma ve düşünceye saygı duyan bir ekibiz.
Merhaba wordpress siteme nasıl yaptılar bilmiyorum ama index.php ye falan başka site linki eklemişler , farkında değildim , günde 2000 kişi giren sitem bir anda 150 kişiye düştü , google ilk sayfadaki bir çok konuyu arka sayfalara atmıştı ve bir gün admin panele giremedim , shell ile hosting firmamla görüştüğümde bana linkleri söyledi ve temizledi ve ben wordfence kurdum , siteyi taradı 5 hata bulmuş ikisi önemli olarak belirtilmiş , resim çektim ama burdan gönderemiyorum , bu dosyaları sil desem programa , siteye zarar verir mi ? wp-adminin içinde
Dosya adı: wp-admin / options-plink.php
Dosya Türü: WordPress.org’dan çekirdek, tema veya eklenti dosyası değil.
Ayrıntılar: Bu dosya, kötü amaçlı etkinlik gerçekleştirmek için bir bilgisayar korsanı tarafından yüklenmiş veya değiştirilmiş gibi görünüyor. Bu dosyayı biliyorsanız, gelecekteki taramalardan hariç tutmak için göz ardı etmeyi seçebilirsiniz. Bu dosyada bulduğumuz bilinen kötü amaçlı bir dosyayla eşleşen metin şöyledir: if ($ _ POST [‘opt’] == ‘chmod’) { x0d x0a if (isset ($ _ POST [‘perm’])) { x0d x0a if (chmod ( . Enfeksiyon türü: Generic olarak bilinen kötü amaçlı bir dosya yükleyici) .
böyle bir şey bulmuş , yazının altında dosya sil ve sil olarak seçenekler var , hangisi siler , ve bunu silersem sitem zarar görür mü ? Ya da bu konuyu hosting mi çözer , yoksa temayı aldığım yer mi . Teşekkür ederim .
Dosyayı silmek yerine güncel WordPress sürümünü indirerek içerisine kod ilave edilmiş dosyalar ile değiştirmeniz yönündedir. Hosting firmanız gerekli güvenlik tedbirlerini almış işe kullandığınız eklentileri güncellemenizi öneririm. Warez tema ve eklenti kullanmıyorsanız bu saydığım adımlar sizin için yeterli olacaktır.