İPUCU

Seçenekler

WordPress Güvenlik Açığı Kapatma

08-02-2018 16:08
#1
BananaHacker - ait Kullanıcı Resmi (Avatar)
Tamamen Forumdan Uzaklaştırıldı
Üyelik tarihi:
01/2016
Nereden:
Defacer City
Mesajlar:
1.145
Teşekkür (Etti):
113
Teşekkür (Aldı):
204
Konular:
91
Ticaret:
(0) %
P sistemlerindeki admin panel erişimlerini kırarak zararlı 3. Parti yazılımlar, malware trojan vb. içerikler yüklenmektedir. Ataklar üzerinde yapılan incelemelerde atakların neredeyse tamamının CMS sistemlerden (wordpress, joomla vb.) kaynaklandığı gözlenmiştir. (Çoğunlukla wordpress) Saldırıların yapısında incelenen ip adreslerinin spoof olması sebebi ile yüklenen zararlı içeriklerin bloklanması engellenebilir durumda tutulması da olası görünmemektedir.

Aşağıda hazırladığımız maddeleri gözden geçirmenizi ve mutlaka uygulamanızı tavsiye ederiz;

WordPress kurulumunuzu ve tüm yüklü add-on ları güncelleyin ve son sürüme getirin.
http://wordpress.org/extend/plugins/better-wp-security/ linkinde yer alan Güvenlik eklentilerini mutlaka yükleyiniz.
Admin şifrenizin mümkünse rastgele yaratılmış olmasına ve rakam, özel karakter, büyük ve küçük harf içermesine dikkat ediniz.
Genel anlamda wordpress kurulumlarınızı daha güvenli bir hale getirebilmeniz için alabileceğiniz diğer önlemlere ilişkin aşağıdaki bilgileri de incelemenizi tavsiye ederiz;

db_user için DROP komutunu iptal edin. Normal bir WordPress kurulumunda DROP komutunun bir yetkisi, işlevi bulunmamaktadır.
README ve Lisans dosyalarını kaldırın. (!) Versiyon hakkında bilgi sağlanabildiği için açığa sebebiyet vermektedir.
Wp-config.php dosyanızı mevcut dizinden bir üst dizine taşıyarak izin bilgisini 400 olarak değiştirin.
Mutlaka .htaccess dosyanızın erişilemediğine emin olunuz.
.htaccess içerisine aşağıdaki kodu yerleştiriniz.
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
# BEGIN WordPress

order allow,deny
deny from all

Wp-admin sayfanıza ulaşıma ip kısıtlaması ekleyiniz.
wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz. define(‘DISALLOW_FILE_EDIT’, true);
Gereksiz hiçbir dizin için 777 gibi bir global yazma izni tanımlamayınız.
Bazı önlemleri ve güvenlik amaçlı eklentiyi (wp-security-scan, wordpress-firewall, ms-user-management, wp-maintenance-mode, ultimate-security-scanner, wordfence gibi) http://wordpress.org/extend/plugins/better-wp-security/ linkinden temin edebilir ve kurabilirsiniz.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı