WordPress'de Yoruma ve Panele reCAPTCHA Ekleme (Brute Force Önlemi)

'Chan

Uzman üye
1 Nis 2020
1,801
1,458
Shibuya
logo.png






WordPress'de Yorumlara ve Panele reCAPTCHA Ekleme (Brute Force Önlemi)


Güvenlik zafiyetleri oluştuğu kadar, bu güvenlik zafiyetlerine önlem olarak yeni güvenlik yamaları,eklentileri ve güncellemeler yayımlanıyor. WordPress altyapısını kullanan siteler için dork'lar yazılarak brute force işlemleri gerçekleştiriliyor. IP (Internet Protocol Address) adresi engelleme gibi seçenekler olsa da, bu önlemler için özelleştirmeler veya .htaccess dosyalarında düzenleme işlemleri yapılıyor. Eklenti ile yapacağımız bu işlemde WordPress paneline girerken ve yorum yaparken çıkacak olan ReCaptca sistemini aktif edeceğiz.

Ayrıca WordPress kullanıcların genel olarak şikayetlerinin biriside spam yorumlardır. Web site içeriğiniz Türkçe olsa da, yabancı sitelerin adult vs. Yorumları gelmektedir. Yorumlara ekleyeceğimiz ReCaptca ile bot geldiğinde işlem yapamayacak ve bu sayede spam yorumlardan korunacaksınız.




ywJ070.gif





1. Adım: Klasik olarak eklenti yükleme işlemlerini gerçekleştireceğiz.WordPress panelimize giriş yaptıktan sonra sol bölümden Eklentiler >>> Yeni Ekle kısmına geliyoruz. Sağ üst köşede yer alan arama kısmına ''Advanced noCaptcha & invisible Captcha'' Yazıyoruz. Çıkan ilk eklentiyi şimdi kur butonuna bastıktan sonra etkinleştir diyerek etkinleştiriyoruz. Bulamayanlar buradan eklenti sayfasına erişebilir: Tıklayınız.



4TMP33.png





5aE7rL.png





2. Adım: WordPress panelimizde yer alan "ayarlar" alanına "Advanced noCaptcha & invisible captcha" şeklinde bir yazı geliyor, ona tıklıyoruz.



Ok0nJX.png





5aE7rL.png





3. Adım: Yeni bir sayfa açılıyor. Karşımıza reCAPTCHA type, site key, secret key ve Enabled Forms alanı çıkıyor. Sizin de aşağıdaki görselde gördüğünüz gibi site key ve secret key boş. Aşağıda bulunan bağlantıya gidiyoruz.








zbx45x.png





5aE7rL.png





4. Adım: Siteye giriş yaptıktan sonra sol üst köşede yer alan "Yönetici konsolu" yazısına tıklıyoruz.



O20Wcu.png





5aE7rL.png





5. Adım: Karşımıza web site adresimizi yazacağımız 2 boşluk, reCAPTCHA türü seçeceğimiz bir seçenek açılıyor. reCAPTCHA türünü s2 olarak seçiyoruz. Web site adresimizi yazacağımız kısımlara https, http veya www olmadan yazınız. Örneğin aşağıdaki şekilde düz olarak yazınız.




Kod:
[B][COLOR="Yellow"]turkhackteam.org[/COLOR][/B]




AlvHVP.png





5aE7rL.png





6. Adım: Gönder butonuna basınca eklenti için gerekli olan site key ve secret key oluşuyor. Kopyalayarak web sitemize dönerek yapıştırıyoruz. (1.Resim) Daha sonra Forms alanından CAPTCHA'nın nerede gösterileceğini seçiyoruz. Ben; Login Form, Registration form, Lost password form, reset form ve comment form'da göstereceğim bu nedenle yanlarında yer alan kutucuğu işaretliyorum. (2.Resim)



hZjdZW.png





5aE7rL.png





EsQcLH.png





5aE7rL.png





7. Adım: Aşağıdaki resme bakarak gerekli ayarlamaları kendinize göre yapınız. Daha sonra sayfa altında yer alan "Değişiklikleri kaydet" butonuna tıklayın.



FsJdzb.png





5aE7rL.png





İşlem başarılı.



LYetQq.gif
 
Son düzenleme:

Hitsuga

Üye
22 Nis 2016
124
2
logo.png






WordPress'de Yorumlara ve Panele reCAPTCHA Ekleme (Brute Force Önlemi)


Recaptcha yı normal eklemiştim forma ama İngilizce olarak çalışmıştı bende v3 olarak ekledim.
Bu eklenti gerekli mi admin paneli ve yorumlara manuel ekleme imkanımız var mı acaba ?

siteadi.com/xmlrpc.php'yi deaktif etmeyi de unutmayın.

siteydi.com/xmlrpc.php girdiğimde XML-RPC server accepts POST requests only. Yazıyor ne yapmalıyım?​
 

gl0balfox

Üye
9 Tem 2019
228
0
siteydi.com/xmlrpc.php girdiğimde XML-RPC server accepts POST requests only. Yazıyor ne yapmalıyım?

Hitsuga
İşte zaafiyet de orada. Siz istediğiniz kadar ReCaptcha ekleyin, /xmlrpc.php açıksa admin paneliniz üzerinden değil /xmlrpc.php üzerinden brute-force yapılır zaten.

O uyarı, xmlrpc'nin sadece post requesti aldığını söylüyor. Normalde admin paneline girdiğinizde sunucuya GET requesti atarsınız, kullanıcı adı ve şifreyi girip Giriş Yap'a tıkladığınızda da POST requesti atarsınız. /xmlrpc.php sadece kullanıcı adı ve şifrenin özel bir formata sokulduğu POST requesti alır. Yani hacker /xmlrpc.php'ye POST requesti atan bir brute-force yazarsa, ReCaptcha felan görmez, /xmlrpc.php açık olduğu için /wp-login.php'ye bakmaz bile. Bazı Wordpress sitelerinde /xmlrpc.php açık değil, kaldırmanın bir yolu var anladığım kadarıyla.
 
Son düzenleme:

Hitsuga

Üye
22 Nis 2016
124
2
Hitsuga
İşte zaafiyet de orada. Siz istediğiniz kadar ReCaptcha ekleyin, /xmlrpc.php açıksa admin paneliniz üzerinden değil /xmlrpc.php üzerinden brute-force yapılır zaten.

O uyarı, xmlrpc'nin sadece post requesti aldığını söylüyor. Normalde admin paneline girdiğinizde sunucuya GET requesti atarsınız, kullanıcı adı ve şifreyi girip Giriş Yap'a tıkladığınızda da POST requesti atarsınız. /xmlrpc.php sadece kullanıcı adı ve şifrenin özel bir formata sokulduğu POST requesti alır. Yani hacker /xmlrpc.php'ye POST requesti atan bir brute-force yazarsa, ReCaptcha felan görmez, /xmlrpc.php açık olduğu için /wp-login.php'ye bakmaz bile. Bazı Wordpress sitelerinde /xmlrpc.php açık değil, kaldırmanın bir yolu var anladığım kadarıyla.

hocam function.php üzerinden inaktif ettim ama sitede hala
XML-RPC server accepts POST requests only. yazıyor normal mı bu :incele
 

'Chan

Uzman üye
1 Nis 2020
1,801
1,458
Shibuya
siteadi.com/xmlrpc.php'yi deaktif etmeyi de unutmayın.

Ek bilgi verdiğiniz için teşekkürler. :)) Dediğim gibi wp-login.php ve spam yorumlar için ek bir güvenlik önlemi.

Recaptcha yı normal eklemiştim forma ama İngilizce olarak çalışmıştı bende v3 olarak ekledim.
Bu eklenti gerekli mi admin paneli ve yorumlara manuel ekleme imkanımız var mı acaba ?

Elementor'un pro sürümünde vardı galiba sayfalar için ekleme özelliği. Ben yine WordPress sitenizin değerlendirilmesini gönderirken, onu da araştırıp iletirim. :)
 
Son düzenleme:

Hitsuga

Üye
22 Nis 2016
124
2
Elementor'un pro sürümünde vardı galiba sayfalar için ekleme özelliği. Ben yine WordPress sitenizin değerlendirilmesini gönderirken, onu da araştırıp iletirim. :)

Pro kullanıyorum ama form harici hiç denk gelmedi recaptcha mevzu :D pekala beklemedeyim hocam :)
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.