Webboll Security

1.400,00

WordPress, dünyada en çok kullanılan içerik yönetim sistemi olduğu için aynı zamanda en çok saldırıya uğrayan platform olmaya devam ediyor. Standart bir WordPress kurulumu, bilen biri için açık bir davetiyedir. URL değiştirme, iki faktörlü doğrulama; brute force koruması; oturum zaman aşımı; IP kara liste ve beyaz liste yönetimi …

Kategoriler:

Açıklama

Özellikler 1. Özel Giriş URL'leri — Admin ve Üye İçin Ayrı Ayrı WordPress güvenliğindeki en temel ama en çok göz ardı edilen adım giriş sayfasının adresini değiştirmektir. Bir bot veya saldırgan giriş sayfasını bulamazsa orada durmak zorunda kalır. Webboll Security bunu iki bağımsız URL ile yapar. Yönetici girişi için istediğiniz bir yol tanımlarsınız — örneğin `yoursite.com/yonetim-2024` — üye girişi için ise tamamen farklı bir yol. Bu iki URL aynı anda ve bağımsız olarak ayarlanabilir, istenildiğinde değiştirilebilir. `wp-admin` ve `wp-login.php` adresleri tamamen engellenir. Bu URL'lere gelen ziyaretçiler belirlediğiniz bir sayfaya yönlendirilir. Eski giriş URL'lerini bilen biri dahi siteye giriş yapamaz, hata mesajı bile göremez. Bu özellik piyasadaki çoğu eklentide ya hiç yok ya da sadece tek giriş URL'si için çalışıyor. Yönetici ve üye girişini birbirinden bağımsız URL'lerle yönetmek Webboll Security'ye özgü bir yaklaşım.   2. Matematik CAPTCHA — Harici Servise Sıfır Bağımlılık Piyasadaki CAPTCHA çözümlerinin büyük çoğunluğu Google reCAPTCHA veya hCaptcha'ya bağımlıdır. Bu demek oluyor ki her form gönderiminde dış bir sunucuya istek atılıyor, ziyaretçi verisi üçüncü tarafla paylaşılıyor ve o servis erişilemez olduğunda CAPTCHA da çalışmıyor. Webboll Security buna farklı bir yaklaşım getiriyor: harici API kullanmayan, PHP session tabanlı matematik soruları. "7 + 4 = ?" gibi basit aritmetik sorular, botların form doldurma saldırılarını etkili biçimde durduruyor. Soru her form yüklemesinde yenileniyor, cevap tek kullanımlık — aynı cevap ikinci kez kabul edilmiyor. CAPTCHA, yönetici girişi ve üye girişi için ayrı ayrı açılıp kapatılabiliyor. Soru üstündeki açıklama metni de özelleştirilebiliyor. --- 3. İki Faktörlü Doğrulama — SMS ve E-posta, Her İkisi de İki faktörlü doğrulama (2FA), şifre ele geçirilse bile hesabın güvende kalmasını sağlayan en güvenilir koruma katmanıdır. Webboll Security iki yöntem sunuyor: e-posta ve SMS. **E-posta ile 2FA:** Kullanıcı adı ve şifre doğrulandıktan sonra kayıtlı e-posta adresine HTML formatlı, markalı bir doğrulama kodu gönderilir. Kod 10 dakika geçerlidir (bu süre ayarlanabilir). Kullanıcı kodu girdiğinde oturum açılır. **SMS ile 2FA — NetGSM Entegrasyonu:** Bu, Webboll Security'yi global rakiplerinden ayıran en önemli özelliktir. Twilio veya Authy gibi yabancı ve aylık ücretli servislerin aksine, Webboll Security Türkiye'nin lider SMS sağlayıcısı NetGSM ile doğrudan entegre çalışır. Telefon numarası formatı otomatik normalleştirilir — `532 123 45 67`, `05321234567` veya `905321234567` formatlarının hepsi kabul edilir. Önemli bir ayrıntı: yönetici 2FA ve üye 2FA bağımsız olarak yapılandırılabilir. Yöneticiler için SMS zorunlu kılınırken üyeler için e-posta yeterli sayılabilir. Ya da ikisi de devre dışı bırakılabilir. Bu esneklik piyasada nadir rastlanan bir özelliktir. --- 4. Brute Force Koruması Brute force saldırısı, doğru şifreyi bulana kadar yüzlerce farklı kombinasyon deneyen otomatik saldırı yöntemidir. WordPress'in varsayılan davranışı bu denemeleri sınırlamaz. Webboll Security belirli sayıda başarısız girişimin ardından o IP adresini belirlenen süre boyunca kilitler. Varsayılan ayar 5 başarısız deneme sonrası 30 dakika kilitlemedir, her ikisi de ayarlanabilir. Kilit süresinde IP'den gelen istekler giriş sayfasına bile ulaşamaz. Kilitleme gerçekleştiğinde site yöneticisine e-posta bildirimi gönderilir. Engellenen IP'ler yönetim panelinden görüntülenebilir, elle kaldırılabilir. Eklenti, Cloudflare veya reverse proxy arkasında çalışan siteler için de doğru IP adresini tespit eder — `HTTP_CF_CONNECTING_IP`, `HTTP_X_FORWARDED_FOR` ve `REMOTE_ADDR` başlıklarını sırayla kontrol eder. --- 5. IP Kara Liste ve Beyaz Liste Yönetimi Bazı IP adresleri kalıcı olarak engellenmeli, bazıları ise hiçbir zaman kısıtlanmamalıdır. Webboll Security bunu kapsamlı bir IP yönetim arayüzüyle sağlar. Kara listeye eklenen bir IP tüm siteden veya yalnızca giriş sayfasından engellenebilir. Tek IP, CIDR notasyonu (`192.168.1.0/24`) ve wildcard (`192.168.1.*`) formatları desteklenir. Toplu import özelliği ile onlarca IP tek seferde eklenebilir. Her IP kaydına sebep notu eklenebilir. Beyaz listedeki IP'ler brute force sayacından muaf tutulur ve asla engellenmez. Ajans bilgisayarları veya güvenilir ofis ağları için idealdir. Ayrıca her IP adresi için ip-api.com üzerinden coğrafi bilgi ve proxy/VPS tespiti yapılabilir — bu sayede saldırının nereden geldiği anlaşılır. --- 6. Oturum Güvenliği Uzun süre aktif kalan oturumlar, başka biri bilgisayarı kullandığında ciddi güvenlik riski oluşturur. Webboll Security iki mekanizma ile bunu önler. Hareketsizlik zaman aşımı: kullanıcı belirlenen süre boyunca herhangi bir işlem yapmazsa oturum otomatik olarak kapatılır. Süre dakika cinsinden ayarlanabilir. Tek cihaz kısıtlaması: aynı hesap birden fazla cihazda aynı anda aktif olamaz. Yeni bir giriş yapıldığında önceki tüm oturumlar sonlandırılır. --- 7. WordPress Parmak İzi Gizleme BuiltWith, Wappalyzer gibi araçlar ve tarayıcının geliştirici konsolu, sitenizin WordPress kullandığını saniyeler içinde tespit edebilir. Bu bilgi, otomatik saldırı araçları için doğrudan bir hedef haline gelir. Webboll Security bu tespiti zorlaştırmak için yalnızca tema ve eklentilerle çakışmayan güvenli müdahaleler uygular: Script ve CSS URL'lerinden `?ver=6.x` parametresi kaldırılır. WordPress sürüm bilgisini veren `<meta name="generator">` etiketi silinir. wlwmanifest.xml, RSD ve oEmbed discovery linkleri kaldırılır. `X-Pingback`, `X-Powered-By` ve `Link: api.w.org` HTTP başlıkları temizlenir. WordPress cookie isimleri maskelenir — `wordpress_logged_in_xxx` yerine `session_user_xxx` görünür. `/?author=1` adresi üzerinden kullanıcı adı keşfi engellenir. `readme.html`, `license.txt`, `xmlrpc.php` gibi hassas dosyalar 404 döndürür. REST API üzerinden kullanıcı listesi gizlenir. Tüm bu değişiklikler tema veya eklenti işleyişine dokunmaz. Sonradan kurulacak herhangi bir eklenti ya da tema ile uyumlu çalışır. --- 8. Aktivite Günlüğü Sitede ne zaman, kim, nereden giriş yaptı? Kaç başarısız deneme oldu? Hangi IP adresi engellendi? Bu soruların cevabı aktivite günlüğünde. Her giriş, çıkış ve başarısız deneme tarih/saat, IP adresi, tarayıcı bilgisi ve olay türüyle birlikte kayıt altına alınır. Günlük sayfasında olay tipine göre filtreleme yapılabilir. Eski kayıtlar belirli gün aralığı ayarlanarak otomatik temizlenir. --- Kimler İçin? E-ticaret siteleri:** Müşteri hesaplarını, ödeme bilgilerini ve sipariş verilerini korumak için çok katmanlı güvenlik zorunludur. NetGSM SMS 2FA ile üye girişleri ikinci bir doğrulama katmanına kavuşur. Kurumsal ve kurumsal benzeri siteler:** Birden fazla yönetici veya editörün çalıştığı sitelerde IP beyaz listesi ve tek cihaz kısıtlaması kritik güvenlik gereksinimleridir. Ajanslar:** Çok sayıda müşteri sitesi yöneten ajanslar için IP yönetimi ve özel giriş URL'leri standart güvenlik protokolünün parçası olmalıdır. Bireysel geliştiriciler ve blog sahipleri:** Karmaşık yapılandırma gerektirmeden brute force koruması, CAPTCHA ve parmak izi gizleme ile siteyi temel saldırılardan korur.