İPUCU

Seçenekler

Wordpress EN ÜST DÜZEY GÜVENLİK !

STR-Key - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2012
Nereden:
BÖRTEÇİNE
Mesajlar:
3.185
Konular:
698
Teşekkür (Etti):
262
Teşekkür (Aldı):
964
Ticaret:
(0) %
02-08-2014 21:30
#1
Wordpress EN ÜST DÜZEY GÜVENLİK !
Merhaba bir blog siteniz var ve scriptiniz WORDPRESS düşünsenize bir gün yine oturdunuz bilgisayara biraz bloguma bakıyım veya siteme anam tarnim bu ne lanet olasi index atılmış siteme az çok zorunuza gider internet ortamında bir çok defacer vardir ve hepsinin düşündügü tek şey deface deface otur kalk deface ün ün yani bu tıp şeyler için sitenizi hacklerler bulundugunuz hosting veya kulandiğiniz eklentiler sağ olsun...

Gel gelelim güvenlik önlemlerıne web siteniz cpanel ise mutlaka public_html dizinine 750 chmodu veriniz

bir ikincisi wp-load.php de olan wp-config.php adini değiştiriniz ve wp-load.php ye şifreleyiniz üst üste şifrelmeler yapiniz bu çeken insani sıkıcaktır vaz geçmesinde röl oynuyabilir sonra sahte wp-config.php yapınız orada bir kaç şeyleri değiştirin mysql bilgileri yanliş verin ama var olan bir veri tabanini verin örnegin bir başka wordpress kurdugunuz ama kulanmadiginiz veritabani kalsin 2 tane db olsn biraz daha uğraşlitcaktir adami adam sahte db ile ilgilenirken siz bir adım daha öndesiniz bir sonrakı adimda wp-config.php yi wp-admin içinde includes gibi falan bir klasorelra atınız yanında olan dosyalar atiyorum örnegin admin-bar.php gibi bir şey mi onuda admin-left.php gibi bir şey yapın symlink çekilirse fark edilmesin bir dosya wp-config.php dosyanizi şifreleyin üçüncü tedbir olarkata wp-admin/install.php bunu silebilrisiniz dörtüncü adimda temaniz function.php içerisine

add_filter('login_errors',create_function('$a', "return null;")); eklerseniz wp-login.php de giriş yapilan bir kulanici olsn yanlış gırılırse adam fark eder bunu ama bunu yazarsanız fark etmez örnegin kulanic iadi yok falan filan bunda ise kırmızı boş bir şerit gelir ekrana buda adami biraz daha yavaşlatir

remove_action('wp_head', 'wp_generator'); wordpress sürüm numarasini gizler örnegin sürümünüz eski ve bunun farkına varilmasin diyorsunuz neden çünkü bazı sürümlerde exploitler bulunur googlede sitenize erilişmesin die örnegin intext:Wordpress 3.5.1 gibi bir şey aratilir belkı sızınde siteniz vardir ? ihtimallar bitmez

ana dizindeki .htaccess gelelim şimdide bir kaç önlem ile biraz dha güvenligi artıralım


Kod:
#  Dizinleri Kpatalım Lamer Önlemi
Options All -Indexes

# Dosya yüklemeyi düşürelim
LimitRequestBody 10240000

# Sunucu imzasını kaldır
ServerSignature Off

# Dosyalarimizi Korumaya alalim
 
<files .htaccess >
order allow,deny
deny from all
</files>
 
<files wp-config.php>
order allow,deny
deny from all
</files>
 
<files wp-load.php>
order allow,deny
deny from all
</files>

# Azda Olsa Bir Seyi Kapatalim

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://siteadresi/gercek-bir-dizin/? [L,R=301]

# Wordpress gerçek config yolunuzu girebilirsiniz

<files wp-admin/admin-bar.php>
order allow,deny
deny from all
</files>

# Zararli lanet botlari engeliyelim script çekme engeliyelim

RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
RewriteCond %{HTTP_USER_AGENT} ^Bot mailto:craftbot@yahoo.com [OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download Demon [OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^Express WebPictures [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR]
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR]
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR]
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR]
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Image Stripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Image Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} Indy Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet Ninja [OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC Web Spider [OR]
RewriteCond %{HTTP_USER_AGENT} ^larbin [OR]
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mass Downloader [OR]
RewriteCond %{HTTP_USER_AGENT} ^MIDown tool [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mister PiX [OR]
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR]
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Net Vampire [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline Explorer [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline Navigator [OR]
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^Papa Foto [OR]
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR]
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR]
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR]
RewriteCond %{HTTP_USER_AGENT} ^Teleport Pro [OR]
RewriteCond %{HTTP_USER_AGENT} ^****EYE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web Image Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo IS [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website eXtractor [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website Quester [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR]
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus
şimdi ne yaptık bu .htaccess 'Te erişimi engeledk yüklemeyi sınırlandık listelemeyi kapattık zararli botlari engeledik

biraz daha ilerliyelim önlem önlemdir şimdi wp-config.php mizi açalim yani asil wp-config.php mizi sahtesini açmaya gerek yok wp-loada girdigimizii açalim ve

Kod:
/* ram limiti ayarla */
define('WP_MEMORY_LIMIT', '256M');
define('WP_POST_REVISIONS', false);
define('AUTOSAVE_INTERVAL',600);  // 10 dakikada bir kaydeder

define( 'DISALLOW_FILE_EDIT', true );
kodlarimizi girelim böyleikle tema & plugin edıtlemeyi devre dışı bıraktık biraz daha önlem web sitenizde asla wp-config.php nize ftp kayıt etmeyiniz tema yüklemeden shel girebilir buda size kötü sonuçlar yol açabilir en son olarakta wp-admin klasorununu .htpasswd ile güvene alalim

Kod:
AuthType Basic
AuthName "Lamerler Giremez Kiçini Tekleme Çik Dişari"
AuthUserFile /home/numanturle/public_html/wp-admin/.htpasswd
<Limit GET>
require valid-user
</Limit>
AuthUserFile kendinize göre düzenleyiniz dizininizi ve .htpasswd bu adrese gidip oluşturabilirsiniz.
WordPress ? BulletProof Security « WordPress Plugins

BulletProof Security adlı bu eklenti sitenizi XSRF, RFI, CRLF, LFI, SQL Injection, Base64 ile şifrelenmiş zararlı yazılımlardan koruyor. Eklentiyi kurduğunuz takdirde script yönünden gelecek saldırıları engelleyebilirsiniz.

Bloga Girmeye Çalışan Bir Kekır Bununla Karşılaşır Naparsa Artık


--------------------- Bir Sistemin Nasıl Çalıstıgını Bilmiyorsan o Sisteme giremezsin yada koruyamazsın..
Türk Irkı Sağ Olsun
Tanrı Türkü Korusun
'GÖKBÖRÜ Teşekkür etti.
'GÖKBÖRÜ - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2012
Nereden:
Belirsiz.
Mesajlar:
11.238
Konular:
1663
Teşekkür (Etti):
4495
Teşekkür (Aldı):
5017
Ticaret:
(0) %
02-08-2014 23:30
#2
ellerine sağlık hocam ihtiyacım olan birşey
---------------------


Vatan ne Türkiye'dir Türkler'e, ne Türkistan;
Vatan büyük ve müebbet bir ülkedir: Turan.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı