WordPress Güvenlik Önlemleri #2 - Kasım Feke

Merhaba

Faydalı 3 adet wordpress eklentisinden bahsedeceğim, ne işe yaradıklarını da dilim döndüğünce anlatmaya çalışacağım.

Loginizer
Bu eklenti brute force saldırılarına karşı tasarlanmıştır, panele giriş yapılırken 3 defadan fazla kullanıcı adı veya parola yanlış girildiğinde captcha (güvenlik kodu) çıkartarak basit ama etkili güvenlik önlemi almanızı sağlar ayrıca giriş denemelerinin yapıldığı ip adresini, giriş yapılırken neler denendiğini, hangi tarihte saat kaçta yapıldığını ve kaç kere deneme yapıldığını görmenizi sağlar. Eklenti kurulumundan önceki yazımda bahsettiğim için tekrar anlatmayacağım.

 

Resim-1

 

Resim-2

 

Resim-3

 

Resim-4

 

Loginizer’ı yükleyip aktif ettikten sonra sol sidebarda “Loginizer – Brute Force” yolunu izleyerek detaylı bilgi elde edebilirsiniz.
Resim-1’de görüldüğü üzere giriş denemesi yapılan ip, kullanıcı adı olarak ne denendiği, deneme tarihi ve saati gibi bilgilere ulaşabilirsiniz.
Resim-2’de ise kaç kere başarısız girişden sonra atak olarak algılanacağı ve captcha çıkartılacağı, atak yapılan ip adresinden giriş yapılırken ne kadar süre captcha çıkartılacağı gibi ayarları yapabilirsiniz.
Resim-3’deki alandan belirli ip aralığını kara listeye alarak o ip adreslerinden giriş yapılmasını engelleyebilirsiniz.
Resim-4’deki alandan da ip aralığı belirterek sadece o ip adreslerinden giriş yapılmasını sağlayabilirsiniz.

Remove Version Info
Bu eklenti ise önceki yazımda bahsetmiş olduğum wpscan toolu ile site taranırken kurulu olan wordpress sürümünün görünmesini header bilgilerini gizleyerek engellemektedir. WordPress sürümüm öğrenilse ne yapılabilir ki diyebilirsiniz elbette, kısaca şöyle açıklayım; şu an güncel olan wordpress sürümü 4.7.5 , siz sürümü güncellemediniz ve 4.6.1 kullanıyorsunuz diyelim. Eğer saldırganlar tarafından bu durum öğrenilir ise 4.6.1 sürümünde bulunan zafiyetler kullanılarak siteniz hacklenebilir.

Stop User Enumeration
Son eklentimiz de şu işe yarıyor: Yine wpscan toolu ile tarama yapılırken kayıtlı kullanıcıların belirlenmesi işlemini (user enumeration) engelliyor.