Eylül 18, 2012

Better Wp Security Log Panel

Better WP Security – Better WP Security Log

1 – Sitenize başarısız giriş denemeleri kayıtları.

2 – Sitenizde 404 hataları listeler. bu hatalar günlük olarak silinir.

3 – Sitenizde geçici olarak banlananlar listesi

4 –  Sitenizde değişiklik yapılan dosyalar listesi

5 – Verileri silmek için kullanılır.

6 – Engellenen host listesi

7 – Engellenen ip listesi

8 – 404 hatası veren likler ve dosyalar listesi

9 – Sitenize yapılan giriş denemeleri

10 – Geciçi ban atılan ip’ler listesi.

11 – Değişen dosyalar listesi

12 – Eklenen dosya listesi

13 – Silinen dosya listesi

14 – Düzenlenmiş dosya listesi

 

 

Eylül 18, 2012

Better Wp Security Ayarları 5

Better WP Security – Other Tweaks

 15 – Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities
  15 – yüklenen dosyaların adlarını 255 karakterden fazla ise kabul etmez.URL kabul edilir.
 16 -You are allowing users to edit theme and plugin files from the WordPress backend
  16 – Görünüm panelinde bulunan bulunan düzenleyiciyi kapatır.
 17 – Better WP Security is allowed to write to wp-config.php and .htaccess.
  17 – Better Wp Security , wp-config.php ve. Htaccess içine yazmak için izin veririlir. Bu izni daha önceden vermiştik zaten bunda dolayı burda işaretli gözükmekte.
 18 – wp-config.php and .htacess are writeable. 
  18 – wp-config.php ve. htacess dosyalarına yazma izinlerini kaldırır
 19 – Users may still be able to get version information from various plugins and themes.
 19 – Ziyaretçilere eklenti ve tema   sürüm bilgisini değişik versiyon numaraları gösterip  saklar.
A) Oturum açma sırasın da yanlış  giriş hatalarının gözükmesini engeller.
B) Spam Yorumları engeller.

Better WP Security – Change wp-content Directory

20 – You should rename the wp-content directory of your site. 

 20 – Sitenizin wp-content dizini yeniden adlandırır.

UYARI: Bu aracı kullanmadan önce WordPress yedegi alın.Yeniden adlandırırken wp-content mevcut olan içerik linkleri saklanıp değişecektir. Bir çok temada sorun yaratmaktadır dikkatli kullanın 

 

Better WP Security – SSL

21 – You are not requiring a secure connection for logins or for the admin area.
21 – Sitenizde loginler için SSL kullanın.

Bu özelliği kullana bilmek için sunucunuz da SSL desteği olması gerekmekte,Sunucunuz da bu özellik sitenizi ulaşılmaz duruma gelir. 

Eylül 18, 2012

Better Wp Security Ayarları 4

Better WP Security – Intrusion Detection

13 – Your installation is not actively blocking attackers trying to scan your site for vulnerabilities.

13 – Aktif güvenlik açıkları için sitenizi tarayan saldırganları engeler.

404 Detection

 13-1) 404 saldırı tespitini etkinleştirir.

13-2)  404 saldırıları sonucu ulaşılmazsa siteye mail gönderilir.

13-3)  E-posta adresi

13-4)  404 hataları hafızada tutulma dakikası. Bu süre uzun olursa normal kullanıcılarda etkilenebilir. 1 dk yeterlidir.

13-5) Kaç kere 404 sorgusu yapılırsa geçici ban atılır. 30 diye ayarladım kullanıcılar etkilene biliyor.

13-6) Geçici ban’ın kaç dakika süreceği.

13-7)  Bu kutucuk işaretli ise aşağıdaki panelde yazan gecici ban sayısına ulaştıktan sonra ip ban listesine eklenir.

 İp’iniz bu listeye gire bilir proxy yada modemi kapatıp açarak ip değişip sitenize ulaşabilirsiniz.

13-8) Kaç kere geçici ban atıldıktan sonra ban listesine ekleneceği sayısı.

13-9) 404 taramalarından etkilenmeyen ip listesi.(kendi ipnizi ekliye bilirsiniz)

 

File Change Detection

14 – Your installation is not actively looking for changed files

14 –  Sizden sonra değiştirilmiş dosyaları algılar.

14-10) Dosya değişikliği algılama etkinleştirmek için bu onay kutusunu işaretleyin.

14-11) Dosya değişikliği yönetici uyar bunu Better Wp Security Log panelden göre bilirsiniz

14-12) Bu özellik etkinleştirildiğinde, bir dosya değişikliği algılandığında e-posta gönderilecektir.

14-13) bildirimlerin gideceği E-posta Adresi 

14-14) Include/Exclude List Dosya değişiklinin de  takip edilecek yada takip edilmeyecek dosya eklemek.

14-15) Include/Exclude List Dosyaların listesi.

Dosya değişikliği algılamayı seçip save ederseniz ,şuanda kayıtlı olan dosyaların kontrol edilmesi gerekmekte dosyaları kontrol edilip daha sonra yapılacak olan dosya değişikliklerini bildirecektir.

 

 

Eylül 18, 2012

Better Wp Security Ayarları 3

Better WP Security – Limit Login Attempts

10 – Your login area is not protected from brute force attacks.

10 – Login’de gereğinden fala giriş denemesi yapılırsa bir süreliğine engeller.

  10-a) Giriş denemelerini sınırlarını etkinleştirir

  10-b) Bilgisayar başına giriş sayısı

  10-c) Kullanıcı başına giriş sayısı

  10-d) Yanlış giriş sorguları için hafızada tutulacak süre 

  10-e) Geçici banlanan kullanıcı veya host kaç dakika siteye ulaşamayacağı.

  10-f) Bu kutucuk işaretlesek ban atılan ip’ler Ban user listesine ekler

  10-g) Geçici olarak kaç kere banlandıktan sora kalıcı olarak banlanır.

  10-h) E-posta bildirimi banlana kullanıcı veya host için bildirim gönderir 

  10-l) E-posta adresi

Better WP Security – Hide WordPress Backend

11 – Your WordPress admin area is not hidden

11 – WordPress login adresini gizlemek. (Bu ayarı yapmadan önce Kalıcı Bağlantı ayarlarınızı düzenleyin)

  11-a)  Giriş adreslerini saklamayı etkinleştir.

  11-b) Login URL yönlendir

  11-c) Register URL yönlendir

  11-d) Admin URL yönlendir.

  11-e) Better Wp Security’in sizin için oluşturmuş olduğu kod bu kod sizin yönlendirme kodunuz login register veya admin URL aslında bu koda yönlendirilir. Siz değiştirmezseniz otomatik olarak bu kod kullanılır, aktif ettiniz siteden çıktınız bu kodu bilmiyorsanız siteadınız.com/admin veya siteadınız.com/wp-login çalışmıyacaktır. Yeni login URL’niz buna benzer olacaktır. siteadınız.com/bj031acbceejlvxmgoh6g

Kodu unutursanız yada yönlendirmeyi hatırlamazsanız bu kodu nasıl bulunur derseniz ileri de yazacağım  Better Wp Security hata çözümlerin de anlatacağım.

BETTER WP SECURITY – SERVER TWEAKS

12 -Your .htaccess file is NOT secured.

12 -.Htaccess dosyasını güvenli hale getirir.

  12-a)  ReadMe.html, readme.txt, wp-config.php, install.php, wp-login ve. Htaccess bu dosyalara erişimi engeller. 

  12-b) Dosyaların listelenmesini engeller 

  12-c) Trafik istekleri filtreler 

  12-d)   Şüpheli URL sorguları filtreler

 

Eylül 17, 2012

Better Wp Security Ayarları 1

1-You are not enforcing strong passwords.,

1-  Güçlü parolalar uygulanması ; İşaretledikten sonra ,Aşağıda belirtilen role kadar olan kullanıcılar için güçlü parolalar seçmeye   zorlar.

2- Your WordPress header is showing too much information to users

2- WordPress kullanıcılara daha az bilgi gösterir.

 2-a) WordPress versiyonunu gizler.

2-b) Windows Live Writer veya buna benzer diğer bloglama programları kullanmıyorsanız işaretleyin.

  3-c) RSD (Really Simple Discovery) başlığını kaldırır. Eğer Flickr gibi XML-RPC hizmetleri blogunuza entegre etmiyorsanız o zaman “MSB” fonksiyonu işe yaramaz kapatmanız daha çok güvenlik sağlar. Uyarı: Bu özellik, bazı 3. parti uygulama ve WordPress eklentileri ile çakış’a bilir.

Better Wp Security Ayarları – Dashboard Tweaks

3- Non-administrators can see all updates

3- Yöneticiler dışındakilere güncellemeleri göstermez.

3-a) Tema güncellemelerini yönetici dışındaki üyelere göstermez.

3-b) Eklenti güncellemelerini yönetici dışındaki üyelere göstermez.

3-c) WordPress güncellemelerini yönetici dışındaki üyelere göstermez.

Better WP Security – Change Admin User

4 – The admin user still exists.

4 – Admin kullanıcısını degiştirir.

5 – A user with id 1 still exists.

5 – Admin’in 1 olan kullancı ID’isini degiştirir.

 

Gelen Aramalar:

  • better wp security ayarları
Eylül 10, 2012

Better Wp Security Ayarları

Merhabalar arkadaşlar word pres kullanan bir çok kişinin sorunu wordpress’in açıkları sonucu index atılması ,expolit bulaşması ve hacklenme olayları ki bu iş gerçekten çok can sıkıcı olmakla beraber meşakkatli bir iştir ya sisteminizde ki bütün dosyaları tek tek tarayıp  bilinmeyen kod varmı diye bakacaksınız yada yedekleriniz varsa her şeyi yediden kuracaksınız. Genelde yeniden kurulması daha sağlıklıdır, tabi ki bu sizin bilginize göre değişir. Sizin işinizi kolaylaştıracak  bir güvenlik eklentisi olan Better Wp Security’i anlatmaya çalışacağım eklentinin amacı Wp’nin temel açıklarını kapatmak,düzenli yedek almak, sizden habersiz değişen dosyaları size bildirmek,vb… işimize yarayacak işlevleri mevcut, yazı içinde  eksik yada yanlış yapmış olduğum anlatımlar olursa belirtirseniz ona göre güncelleme yaparım ilk olarak eklentimizi kurup etkinleştiriyoruz.

Ayarları yaparken aynı renk yazılar bir biriyle bağlantılı olan yazılardır, dikkat ediniz.

Her hangi bir soruna karşılık yedek almak istiyorsanız kırmızı  yere tıklayın.(tavsiye dir) yedek almak istemiyorsanız diğer seçeneği işaretleyin.

Okumaya devam et

Gelen Aramalar:

  • mega holdings dolandırıcılığı
  • wp acıkları
  • mega holding dolandırıcılığı
  • wp hack
Ocak 30, 2012

Wp Timthumb Acığı

Bütün blog dünyasını ilgilendiren bu haber çıkalı birkaç gün oldu ancak Türk blogcular ve haber siteleri yeterince bu konuya yer vermediler diye düşünüyorum zira Google’da “timthumb.php açığı” diye arattığımda sadece 1 sonuç görebildim.

 

Timthumb.php dosyası WordPress temalarında ve eklentilerinde çok yaygın olarak kullanılan ve resimleri boyutlandırmaya yarayan çok kullanışlı bir dosya. Zaten bu nedenle bu güvenlik açığı büyük tehdit oluşturuyor. Timthumb.php dosyasındaki bu açığı ortaya çıkaran kişi olan Mark Maunder blogunda bununla ilgili bir yazıya yer vermiş. Mark Maunder’ın yazısından da okuyabileceğiniz gibi bu açığı keşfetmesine blogunun hacklenmesi vesile olmuş. Bütün dosyalarının ve klasörlerinin yazma izinlerini doğru ayarlamasına rağmen hacker’ın nasıl yazma iznine eriştiğine bir anlam verememiş ve araştırmaya başlamış.

Araştırmaları neticesinde temasının içinde bulunan timthumb.php dosyası içindeki şu kodlar dikkatini çekmiş:
$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,
);

Okumaya devam et