WordPress Hide Login Nedir ?
Cmslerden(Hazır içerik yönetim sistemi) en popüleri olan wordpress, normal şartlar altında hackerların en çok hackledeği ve zafiyet aradığı siteler wordpress sitelerdir.
Neden mi ? Çok basit dünyadaki en çok kullanılan cms ,wordpress sitelerdir , en son verilere göre dünyadaki sitelerin %43'ü (2021) WP sitelerdir. Kısacası şuan girdiğimiz her 2 siteden 1'i wordpress olabilir.
Peki bunu niye anlattım hide login nedir ? Hide Login eklentisi ile kendi default olarak bırakılan admin panelimizi gizleyebiliyoruz. Bu da saldırılar için önlem oluyor.
WordPress Default Admin Panel:
Kod:
https://www.site.com/wp-login.com
Bu paneli bildik e noldu diye sorabilirsiniz, ne mi oldu gel anlatacam gel , adam belki buraya uygun panel exploiti bulmuş olabilir veya brute-force saldırısı yapıp sitenin bilgilerini düşürebilir veya da başka bir senaryo adam sunucuya sızdı /etc/passwd dosyasını okudu oradan hangi sitemizin hangi dosyada yer aldığını öğrendi sonra config çekti database sızdı senin username-password bilgilerini buldu ee napcak adam panelden giriş yapacak bir bakacak panel cuuuu xD.
Tabi ki bunlar belli başlı senaryolar bir çok senaryo ortaya çıkabilir.
İşin ciddiyetini kavrayalım neden bu kadar önemli olduğunu anlayalım.
Şimdi hep birlikte Hide Logini kurup panelimizi değiştirelim.
İlk olarak plugins kısmından add new e basıyoruz ve arama çubuğuna hide login yazıp indiriyoruz.
İndikten sonra active etmemiz lazım bir kere basıp aktive ediyoruz.
Daha sonra settings kısmından hide logine basıyoruz ve login url dediği kısım bizim yeni panel girişimiz olacak save diyip çıkıyoruz.
Önce gelin birlikte default panele bakalım
panel cuuu
Şimdi ise değiştirdiğimiz adrese gidelim.
Evet panelimiz burda.
Şimdi demicen mi bana adam wpscan atar oradan bu eklentiyi çalıştırdığını bulur sonra dirb e siteye ve sana özel wordlist oluşturur, hop gardaşım konu daha bitmedi.
Şimdi de sitenin güvenliğini sağlamak için 3-5 bir şey göstericeğim.
1-Sürümü Gizlemek= Şimdi arkadaşlar her Wordpress sitenin sürümünün belli güvenlik açığı olabilir. Biz adam sürümümüzü öğrenmesin diye;
Tema'nın içerisindeki "functions.php" bölümüne aşağıdaki kodu ekliyoruz.
Kod:
remove_action('wp_head', 'wp_generator');
2-Admin Nickini Değiştirmek= Default olarak "Admin" dir genelde kullanıcı adımız bu da tehlikeli olabilir.
Yine Tema Yolundan "header.php" bölümüne <?php satırından sonra yeni bir SQL sorgusu ekliyelim.
Kod:
UPDATE wp_users SET user_login = 'P4$A' WHERE user_login = 'Admin';
3- .htaccess Dosyasını Düzenlemek= .htaccess dosyası kullanıyorsanız aşağıdaki kodla daha güvenli hale getirebilirsiniz.
Kod:
ServerSignature Off[/SIZE][/COLOR][/CENTER]
[COLOR=rgb(255, 255, 255)][SIZE=5][CENTER]LimitRequestBody 10240000
Options All -Indexes
<files .htaccess>
order allow,deny
</files>
<files wp-config.php>
order allow,deny
deny from all
</files>
<files wp-load.php>
order allow,deny
deny from all
</files>
Bitti mi Yok
4-Dosya İzinlerini Varsayılan Değere Çekmek = Klasör izinlerini yeniden yazma izinlerini aşağıdaki verilere göre karşılaştırınız.
Kod:
Ana dizin (public_html)[/SIZE][/COLOR][/CENTER]
[COLOR=rgb(255, 255, 255)][SIZE=5][CENTER]wp-includes:0755
wp-admin:0755
wp-admin/js:0755
wp-admin/index.php:0644
wp-content:0755
wp-content/themes:0755
wp-content/plugins:0755
.htaccess:0644
wp-config.php:0644
5-Eklentileri Gizleyelim: Eklentilerin kendilerine özel açıkları , exploitleri olabiliyor zaten yüksek güvenlikli siteler bu tür açıklardan hackleniyor.
Bunun kapatmamız için wp-content/plugins yoluna bir tane index.html şeklinde boş dosya oluşturun.
Olay bitmiştir.
Bunun kapatmamız için wp-content/plugins yoluna bir tane index.html şeklinde boş dosya oluşturun.
Olay bitmiştir.