İPUCU

Seçenekler

WordPress .htaccess ile Wp-login.php yi Şifreleyelim.

Oğuz~#> - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
07/2009
Nereden:
Bursa
Yaş:
22
Mesajlar:
4.793
Konular:
1495
Teşekkür (Etti):
1877
Teşekkür (Aldı):
2498
Ticaret:
(0) %
17-01-2015 03:58
#1
WordPress .htaccess ile Wp-login.php yi Şifreleyelim.
Şu wordpressin admin hack, Xss hack, SQL injection saldırıları ve zafiyeti yüzünden bir sürü güncelleme yaptık. Yine de yeni bir güvenlik açığı ortaya çıkabilmekte. WordPressi yıllardır kullanmaktayım ve bu hack olaylarına karşı herkes gibi bende extra güvenlik önlemleri alıyorum.
Bunlardan bir tanesi wp-admin girişine .htaccess ile ek bir şifre daha koymak..!

En kesin ve en güvenli yöntemlerden bir tanesi olduğunu söylemek isterim. WordPress admin hack konusunda nasıl bir açık çıkarsa çıksın ya da admin şifrenizi kim çalarsa çalsın .htaccess ile şifreleyeceğimiz wp-login.php dosyasına erişemeyeceklerdir.

Wp-login.php dosyamızı aşağıda anlattığım şekilde .htaccess ile şifrelediğimizde wp-admin girişine gelen isteklerde sunucumuz extra olarak koyduğumuz bu şifreyi soracaktır. Wp-login.php üzerindeki açıklıklar da bu sayede işe yaramayacak ve korunmuş olacağız.

Google üzerinden aradığınız zaman .htaccess ile şifreleme hakkında bilgi bulabilirsiniz. Bu yöntemler işe yaramayacaktır. Standart .htaccess ile şifreleme WordPressin .htaccess dosyasına takılacak ve şifrelemeye izin vermeyecektir.

Şimdi anlatacağım yöntemde WordPressin .htacess dosyasına ekleyeceğimiz kodlar ile şifrelemeyi gerçekleştireceğiz.

Öncelikle hostunuzda Cpanel / Plesk üzerinde public_html , www yada alanadınız.com olan klasörlerimizin bir üst dizinine çıkarak .htpasswd dosyamızı oluşturmamız gerekiyor.

1. . htpasswd dosyasını oluşturmak ;

Bu dosyada sunucunun bize soracağı şifreyi belirteceğiz. Yalnız bu şifreyide güvenli bir dizinde saklamamız gerekmekte. Benim hostingimde wordpress dosyalarım

/home/turkhackteam.org/www dizininin altındadır. Sizinkinde hostunuza göre farklı olabilir. Cpanel yada Plesk ile dosyalarınıza erişerek en üst ya da bir üst dizine yani /home klasörüne veya /home/turkhackteam.org gibi hesap klasörüne ulaşıyoruz. Bu klasör içerisine .htpasswd dosyamızı oluşturacağız. (www içerisine atmıyoruz..! WWW içerisine atarsak güvenlik diye bir şey kalmaz)

Oluşturduğumuz .htpasswd dosyası içerisine kullanıcımızı ve şifreyi tanımlıyoruz.

tht:asasdas324235235sdfasdf

gibi bir user ve şifre belirteceğiz. Burada dikkat ederseniz parolamız aslında şifrelenmiş bir şekilde yani bir nevi server üzerinde de şifreleme yapıyoruz. Direk olarak kullanıcı adından sonra parolamızı yazamayız. Bir şifre oluşturmak için

Create a htaccess password

adresine giriyoruz ve bir user pass belirliyoruz. Encrypt butonuna bastığımızda bize bir kod üretiyor. Oluşturduğu kod yukarıdaki gibi kullanıcı:şifrelenmişparola şeklinde çıkacaktır. Bu kodu .htpasswd adıyla bir dosya olarak ftp dosyalarımızın üst dizinlerde bir yere (/home/tht gibi) kayıt ediyoruz.

2. WordPress .htaccess dosyasını düzenlemek ;

Wordpressin kurulu olduğu dizindeki .htacess dosyamızı açıp içerisine şu kodları yerleştiriyoruz.

Kod:
Error******** 401 default

AuthUserFile /home/.htpasswd
AuthName "Blog"
AuthType Basic

<Files "wp-login.php">
    require valid-user
</Files>
Bu işlemi yaparken .htaccess içerisindeki diğer kodlara dokunmuyoruz. Aynen olduğu gibi kalıyorlar ve alt satırlara boş bir yere bu kodu yapıştırıyoruz. Bu kodda dikkat etmeniz gereken /home/turkhackteam.org/ dosya yolumuz.

Wordpress wp-login dosyasına erişildiğinde .htpasswd üzerinden şifreyi okuyacak ve doğrulayacaktır.

Dosya yolumuzu dikkatle giriyoruz.
AuthUserFile /home/.htpasswd

1. Adımda belirttiğimiz .htpasswd dosyası neredeyse yukarıdaki dosya yolunu aynı şekilde girmemiz gerekiyor. Yoksa çalışmayacaktır. Yukarıda /home/ altında olduğunu gösterdim. Sizde /home/user/ gibi değişiklikler olabilir.

XMLRPC dosyasını dışarıya kapatabiliriz...

Kod:
<Files "xmlrpc.php">
    require valid-user
</Files>
kodlarını girersek bu kod sayesinde xmlrpc yani wordpressin pingleme servisinin çalışmaması sağlanır. Genelde, pingback ve trackback kullanmıyorsanız bu dosyayı da güvenliğe almanız ekstra güvenlik önlemi olacaktır.

Eğer yukarıdaki kodu da eklersek sistem ping alış-verişi yapmayacak biraz daha güvenli olabilecek.

Ben kullanmıyorum

Örnek .htacess dosyamızın şekli şöyle oldu ;
Kod:
# BEGIN WordPress
 <IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !-d
 RewriteRule . /index.php [L]
 </IfModule>

 # END WordPress

Error******** 401 default AuthUserFile /home/.htpasswd
# Şifremizin bulunduğu dosya yolunu yukarıda belirttik

Kod:
AuthName "Blog" AuthType Basic

<Files "wp-login.php"> require valid-user #Şifreledik </Files>
Dosyamızı kayıt ettik ve işlemler bitti. Atık WordPressi biraz daha rahat bir şekilde kullanabilirsiniz. En azından yeni bir admin XSS açığı çıktığında kafanız rahat olur Kolay gelsin..!
theeee Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı