iThemes Security WordPress Tweaks Ayarları
#Windows Live Writer Header: Windows Live Writer kullanıyorsanız bu özelliği atlayın. Kullanmıyorsanuz bu seçeneğide etkinleştirin.
#EditURI Header: Eğer sitenizi Flicker veya benzeri sitelerle entegre ettiyseniz, ozaman bu özelliği etkinleştirmenizde fayda var. Entegrasyon yoksa bu özelliğide atlayın.
#Comment Spam: Botlardan gelen spam yorumları engeller.
#Display Random Version: Eğer bir sorguda wordpress sürümü gösterme zorunluluğu olursa sitenizin wordpress versiyonunu rasgele gösterir.
#File Editor: Eğer bu özelliği etkin hale getirirseniz dosya düzenleme işlemini wordpress üzerinden yapmanız engellenir. Yani, Görünüm >> Düzenleyici seçeneğini admin panelinizden kaldırılır. Bu özelliği etkinleştirdikten sonra dosya düzenleme işlemlerinizi FTP üzerinden ya da diğer yollardan yapmanız gerekecektir.
#XML-RPC: Bu özelliği Disable XMLRPC olarak işaretlemenizde büyük fayda var derim çünkü son zamanlarda en çok kullanılan hack yöntemlerinden birisi de bu. Ben bile kendi sitemde günde onlarca XMLRPC pingback alıyorum. Fakat, özelliği etkinleştirmeniz Jetpack gibi bazı eklentilerinizin çalışmasına engel olabilir. O yüzden karar sizin.
#REST API: Varsayılan olarak REST API sitenizde gizli olduğuna veya gizli kalması gerektiğine inandığınız bilgileri wordpress geliştiricileri erişimine açar.
Mesela
#Login Error Messages: Başarısız bir oturum açma girişimi sonucu kullanıcıya geri bildirim olarak verilen, girdiğiniz şifre hatalı veya kullanıcı adı hatalı gibi neyin hatalı olduğunu spesifik olarak belirten hata mesajlarını engeller.
#Force Unique Nickname: Kullanıcılarınızı daha önce kullanılmamış nickler kullanmaya zorlar.
#Disable Extra User Archives: Eğer bir yazarın sitenizindeki içerik sayısı 0 (sıfır) ise, yazar sayfasını gösterimden kaldırır.
#Protect Against Tabnapping:
Bu özellik de yeni sekmede açılan wordpress linklerine rel=”noopener” etiketi ekleyerek bu güvenlik açığını ortadan kaldırıyor. ( Bu eklemeyi son güncelleme ile wordpress’de getirdi. )
#Login with Email Address or Username: Normalde wordpress kullanıcı girişlerinde (admin girişi de dahil) hem kullanıcı adını hem de kullanıcı mail adresini kullanıcı adı olarak kabul ediyor.
Bu seçenek ile de kullanıcı adı bilgisini sadece mail ile ya da kullanıcı adı ile giriş yapma şeklinde ayarlayabiliyorsunuz.
#Mitigate Attachment File Traversal Attack: WordPress’de var olan bir açıklık sebebi ile herhangi bir kullanıcı ( en düşük seviye de olsa) bir şekilde admin kullanıcısına ait olan düzenleme ve silme gibi ayrıcalıklar elde ederek ortam dosyaları için düzenleme veya silme işlemi yapabiliyor.
Tabi bu silme işlemi sadece ortam dosyaları ile de sınırlı kalmayabiliyor. İşte bu seçeneği etkin hale getirdiğinizde admin olmayıp da admin izninlerine sahip kullanıcıların, wp-config.php gibi hassas dosyalar da dahil olmak üzere WordPress kurulumunuzdaki herhangi bir dosyayı silebilecekleri bir saldırıyı azaltmaya yardımcı oluyor.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
#Windows Live Writer Header: Windows Live Writer kullanıyorsanız bu özelliği atlayın. Kullanmıyorsanuz bu seçeneğide etkinleştirin.
#EditURI Header: Eğer sitenizi Flicker veya benzeri sitelerle entegre ettiyseniz, ozaman bu özelliği etkinleştirmenizde fayda var. Entegrasyon yoksa bu özelliğide atlayın.
#Comment Spam: Botlardan gelen spam yorumları engeller.
#Display Random Version: Eğer bir sorguda wordpress sürümü gösterme zorunluluğu olursa sitenizin wordpress versiyonunu rasgele gösterir.
#File Editor: Eğer bu özelliği etkin hale getirirseniz dosya düzenleme işlemini wordpress üzerinden yapmanız engellenir. Yani, Görünüm >> Düzenleyici seçeneğini admin panelinizden kaldırılır. Bu özelliği etkinleştirdikten sonra dosya düzenleme işlemlerinizi FTP üzerinden ya da diğer yollardan yapmanız gerekecektir.
#XML-RPC: Bu özelliği Disable XMLRPC olarak işaretlemenizde büyük fayda var derim çünkü son zamanlarda en çok kullanılan hack yöntemlerinden birisi de bu. Ben bile kendi sitemde günde onlarca XMLRPC pingback alıyorum. Fakat, özelliği etkinleştirmeniz Jetpack gibi bazı eklentilerinizin çalışmasına engel olabilir. O yüzden karar sizin.
#REST API: Varsayılan olarak REST API sitenizde gizli olduğuna veya gizli kalması gerektiğine inandığınız bilgileri wordpress geliştiricileri erişimine açar.
Mesela
- Yayınlanmış gönderileri veya sayfaları olmayan üyeleriniz için kullanıcı ayrıntılarını içeren sayfaları
- Sitenizde yüklü olan ancak sitenizin herhangi bir yerinde hiç bir indirme linki veya gösterim linklemesi olmayan ortam kütüphanesi içerikleriniz indirebilirmesi ve görüntülenmesi gibi.
#Login Error Messages: Başarısız bir oturum açma girişimi sonucu kullanıcıya geri bildirim olarak verilen, girdiğiniz şifre hatalı veya kullanıcı adı hatalı gibi neyin hatalı olduğunu spesifik olarak belirten hata mesajlarını engeller.
#Force Unique Nickname: Kullanıcılarınızı daha önce kullanılmamış nickler kullanmaya zorlar.
#Disable Extra User Archives: Eğer bir yazarın sitenizindeki içerik sayısı 0 (sıfır) ise, yazar sayfasını gösterimden kaldırır.
#Protect Against Tabnapping:
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
işlemlerini yeni sekmede açılacak şekilde ayarladığınızda link verdiğiniz site bir güvenlik açığı olduğu için sizin gönderdiğini trafiği istediği gibi başka bir yere yönlendirebiliyor.Bu özellik de yeni sekmede açılan wordpress linklerine rel=”noopener” etiketi ekleyerek bu güvenlik açığını ortadan kaldırıyor. ( Bu eklemeyi son güncelleme ile wordpress’de getirdi. )
#Login with Email Address or Username: Normalde wordpress kullanıcı girişlerinde (admin girişi de dahil) hem kullanıcı adını hem de kullanıcı mail adresini kullanıcı adı olarak kabul ediyor.
Bu seçenek ile de kullanıcı adı bilgisini sadece mail ile ya da kullanıcı adı ile giriş yapma şeklinde ayarlayabiliyorsunuz.
#Mitigate Attachment File Traversal Attack: WordPress’de var olan bir açıklık sebebi ile herhangi bir kullanıcı ( en düşük seviye de olsa) bir şekilde admin kullanıcısına ait olan düzenleme ve silme gibi ayrıcalıklar elde ederek ortam dosyaları için düzenleme veya silme işlemi yapabiliyor.
Tabi bu silme işlemi sadece ortam dosyaları ile de sınırlı kalmayabiliyor. İşte bu seçeneği etkin hale getirdiğinizde admin olmayıp da admin izninlerine sahip kullanıcıların, wp-config.php gibi hassas dosyalar da dahil olmak üzere WordPress kurulumunuzdaki herhangi bir dosyayı silebilecekleri bir saldırıyı azaltmaya yardımcı oluyor.