Etiket Arşivi wordpress

WPScan ve Kullanımı Hakkında

WPScan, wordpress için hazırlanmış bir güvenlik açığı tarayıcı yazılımıdır. WordPress tabanlı web siteler bu programla taranıp versiyonlarına göre açıkları tespit edilebilir hatta brute force ile şifresi kırılmaya çalışılabilir. Bu yazı altında WPScan ile tecrübelerimi paylaşacağım. Ben yazılımı Ubuntu 18.04’e kurdum. Kurulumla ilgili netteki yazıları takip ettim ama sorun yaşadım. Son olarak aşağıdaki komut ile programı kurabildim (bu noktada hata çıkarsa eksik bir yazılım söz konusu olabilir, o tespit edilip kurulduktan sonra tekrar denenmelidir).

gem install wpscan

Aşağıdaki komut satırı blabla.com alan adına sahip wordpress tabanlı siteyi öncelikle analiz ediyor. Versiyonunu, temasını, güvenlik açıklarını raporluyor. Daha sonra admin kullanıcı adı için password.txt dosyasında bulunan şifreleri brute force ile deneyerek şifreyi bulmaya çalışmaktadır.

wpscan --url blabla.com --passwords '/home/bla/passwords.txt' --usernames admin

 

(30.04.2019 tarihinden itibaren toplam 42 kez, bugün 1 kez ziyaret edildi. )

WordPress İletişim Formu – Contact Form by WPForms Eklentisi

Bloguma bir iletişim formu eklemek istiyordum bir süredir. Contact Form by WPForms eklentisi ile bunu hallettim. Başka seçenekler var mı açıkçası çok da araştırmadım. Basit güzel bir eklenti diyebilirim. Yükledikten sonra bir form oluşturuyorsunuz. Formu oluşturduktan sonra yeni admin panelinizdeki Sayfalar sekmesinden Yeni Ekle dediğinizde Form seçeneği de beliriyor. Oradan daha önce oluşturduğunuz formu seçiyorsunuz ve işlem tamam. Sonrasında sayfada yerini ayarlamak kalıyor. Bu eklentide sadece iletişim formuyla sınırlı değilsiniz ama birçok özelliği pro sürümünde aktif oluyor. Basit bir iletişim formu için ise ücretsiz versiyonu gayet yeterli.

(30.04.2019 tarihinden itibaren toplam 17 kez, bugün 1 kez ziyaret edildi. )

WordPress E-Mail Gönderme Problemi

Daha önce böyle bir sorun yaşamıyordum ama bir süredir sitemden bana uyarı e-postalarının gelmediğin farkettim. Hosting firmamla bağlantıya geçtim ama her hangi bir problem olmadığını ilettiler ve WP Mail SMTP eklentisini tavsiye ettiler. Ben de bu eklentiyi kullanarak problemi hallettim. Eklentinin kurulumu ile ilgili bilgileri ise şu yazıda paylaştım.

(30.04.2019 tarihinden itibaren toplam 11 kez, bugün 1 kez ziyaret edildi. )

WordPress WP Mail SMTP Eklentisi Gmail Kurulumu

WordPress’te e-mail gönderme problemi yaşadıktan sonra WP Mail SMTP eklentisini kullanmaya karar verdim. İlerde hosting değiştirme durumu olabilir diye Mailer olarak Gmail’i seçtim.

Gmail konfigürasyonunu ayarlarken sizden Client ID, Client Secret ve Gmail’den izin istiyor. Client ID ve Client Secret’ı alabilmek için bağlantıdaki yolu izledim. Artık wordpress’ten Gmail mail sunucusunu kullanarak e-mail gönderebiliyorum.

(30.04.2019 tarihinden itibaren toplam 90 kez, bugün 1 kez ziyaret edildi. )

WordPress Güvenlik Önlemleri

WordPress çok kullanılan ve açık kaynak bir yazılım olduğu için ve wordpress için yapılmış birçok üçüncü parti yazılım ve eklentiler olduğu için tehditlere çok açıktır. Birçok wordpress kullanıcısı bu sebeplerden dolayı sanal saldırılara maruz kalmaktadır. Bunun önüne geçmek aslında biraz zor fakat alınacak tedbirlere saldırı olasılığı en aza indirilebilir. Bu yazıda wordpress kullanırken kendi aldığım önlemleri paylaşıyorum.

  • Öncelikle bilinmesi gereken wordpress’te bulunan güvenlik açıklarını üç sınıfa ayırabiliriz.  En fazla güvenlik açığı bulunandan aza doğru bunlar; Eklentiler, WordPress core dosyaları ve Temalardır.
  • Bu işin olmazsa olmazı sitenizi ve eklentileriniz güncel tutmaktır. Bu sebeple sık aralıklarla sitenizin ve eklentilerinizin güncel olup olmadığını kontrol etmeniz ve güncel değil ise güncellemeniz ilk yapmanız gerekendir.
  • Login sayfanızın url’sini değiştirmeniz de çok önemli. Çünkü en fazla yapılan ataklar Brute Force ataklarıdır ve sizin login sayfanızı hedef almaktadırlar. Böylece login/admin sayfanızın url’sine direkt olarak kimse erişemeyecektir. Bu işlemi ben Protect WP-Admin eklentisiyle kolayca hallettim.
  • Bellki aralıklara Admin Paneli > Kullanıcılar’a girip belirlediğiniz kullanıcıların dışında kullanıcı var mı kontrol etmek gerekiyor. Varsa hemen silinmelidir.
  • Kullanmadığınız temaları kesinlikle silin. Bunların içine kod yerleştirilebiliyor veya açıkları kullanılabiliyor.
  • Kullanmadığınız eklentileri kesinlikle kaldırın. Sitenize arka kapı kullanılarak yapılan girişlerde en çok tema ve eklenti klasörleri kullanılmaktadır.
  • Sitenize en çok müdahale edilen ve backlink eklenen yer temanızın footer.php dosyasıdır. Ara ara bu dosyayı kontrol etmekte yarar var. Bu dosyanın alt kısımlarına sıklıkla backlink eklenmektedir. Görünüm > Tema Düzenleyici > Tema Alt Bölümü (footer.php)
  • FTP’den ara ara dosyalarınızı kontrol etmekte yarar var. Bazı açıklar kullanılarak dosyalarınızın yanına ekstra klasörler açıp içerisine yeni sayfalar ekleyebiliyolar. Böyle klasörler varsa temizlenmelidir.
  • Kullanıcı adınız Admin olmasın ve şifreniz de güçlü bir şifre olsun. Şifrenizi belirli periyotlarla değiştirebilirsiniz.
(30.04.2019 tarihinden itibaren toplam 10 kez, bugün 1 kez ziyaret edildi. )

WordPress: The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later. Hatası

Siteme girmeye çalıştığımda ‘The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later. Additionally, a 503 Service Unavailable error was encountered while trying to use an ErrorDocument to handle the request.’ hatası ile karşılaştım. Uyarıda da söylediği üzere bu hata geçici olabilir o sebeple yaklaşıl bir 5 dakika bekledikten sonra tekrar denemek gerekiyor. Halen erişim sağlayamıyorsanız hosting firmanızdan veya sistem yöneticinizden destek talep etmeniz gerekecektir. Onlar size hatanın kaynağını ve çözüm yolunu bildirecektir.

(30.04.2019 tarihinden itibaren toplam 135 kez, bugün 1 kez ziyaret edildi. )

WordPress cron job error / zamanlanmış görev çalışmıyor

WordPress’te zamanlanmış görevleriniz – ki bu görevleri arka planda cron isimli program çalıştırmaktadır) – çalışması gerektiği halde çalışmıyor veya hata veriyorsa ilk yapmanız gereken şey wp-config.php dosyasına (en altına olabilir) aşağıdaki kodu eklemektir. Bu değişiklikten hemen sonra tekrar denediğinizde zamanlanmış görev çalışacaktır.

define('ALTERNATE_WP_CRON', true);
add this line to wp-config.php

Bu işlemi gerçekleştirdiğiniz halde zamanlanmış görev çalışmıyorsa farklı bir sorunla karşı karşıyasınız demektir. Bu durumda ilk yapmanız gereken hosting firmanızdan veya sistem yönetinizden destek talep etmektir.

(30.04.2019 tarihinden itibaren toplam 111 kez, bugün 1 kez ziyaret edildi. )

WordPress Backup Eklentileri

Daha önce WordPress’te nasıl backup alınacağına ve bu backup’ın nasıl restore edileceğine dair bir yazı yazmıştım. İlgili yazıda BackUpWordPress eklentisini kullanmıştım. Bununla beraber wordpress için birçok backup eklentisi bulunmaktadır. Bu yazıda denediğim WordPress Backup – Restore programları hakkında kısa bilgiler paylaşacağım.

  • BackUpWordPressAslında basit ve kullanışlı bir eklenti. Periyodik olarak otomatik backup alınmasını sağlayabiliyorsunuz. Fakat ben henüz becerebilmiş değilim. Sonuç olarak otomatik olarak çalışma cron ile olacağından dolayı, benim problemim cron ayarları kaynaklı olabilir. Bununla ilgili şu bağlantıdaki ayarları da yaptım ama hala otomatik olarak backup alamıyorum. Manuel olarak ise kolaylıkla veri tabanı ve dosya yedeklerini alabilirsiniz. Otomatik backup’ı da ayarlayabilirsem en kolay ve en kullanışlı backup eklentilerinden birisi diyebilirim. Sorunu halledebilirsem bu eklentiyle yola devam edebilirim. Not: Sorunu hallettim. Çözüme bağlantıdan ulaşabilirsiniz.
  • UpdraftPlusArayüzü ve kullanımı gayet güzel bir eklenti. Veri tabanı ve önemli klasörlerin (plugins, uploads vb.) yedeklerini periyodik olarak alabiliyorsunuz (periyodik backup’ı denemedim). Bu eklentide sevmedim nokta ise bütün dosya yedeklerini (full backup) alamıyorsunuz. Bunun için ayrıca bir eklentileri var fakat bu eklenti tahmin edebileceğiniz üzere ücretli. Bu sebeple bu eklentiden ben vaz geçtim.
  • VaultPress: Tavsiye edilen bir başka eklenti de VaultPress idi. VaultPress ücretli bir uygulama bu sebeple kendisini denemedim. WordPress tabanlı büyük bir siteniz var ve profesyonel bir çözüm arıyorsanız ilgi duyabileceğiniz bir eklenti olabilir ama onun haricinde bu eklentiye gerek yok diyebilirim.
  • BackupBuddyTavsiye edilen bir diğer ücretli eklenti de buydu. Bu sebeple kendisini test edemedim. Backup’ı doğrudan bulut uygulamalarına (Dropbox vs.) gönderebilmenize olanak sağlıyor. Fiyat performans değerlendirmesi yapıp belki değerlendirmek isteyebilirsiniz. Ama çok büyük olmayan siteler için çok da gerekli değil açıkçası.
  • BoldGrid BackupÖncelikle kurduktan sonra admin panelinin birçok yerinde karşıma çıkması canımı sıktı. Böyle şeyleri çok sevmiyorum. Ayrıca birçok özelliği için premium versiyonunu kullanmak gerekiyordu. Bu sebeple çok da tecrübe etmedim.
  • BlogVaultBir diğer ücretli eklenti de BlogVault. Sunucunuza yük olmadan backup alabildiğini söylüyor. Denemedim.
  • BackWPup: Full database ve dosya backup’ı alabileceğiniz ücretsiz bir eklenti. Otomatik backup da alabiliyor. Ben backup alırken cURL error 28: Operation timed out after 15001 milliseconds with 0 bytes received hatası ile karşılaştım. Bu sorunu çözebilir ve eklentiden randıman alabilirsem kullanmayı düşündüğüm bir eklentidir kendisi. Ayrıca sebebini bilmiyorum ama eklentinin menüleri arasında geçişte baya bir yavaş olduğunu da söylemem gerekir.
(30.04.2019 tarihinden itibaren toplam 6 kez, bugün 1 kez ziyaret edildi. )