Koskoca cross site scripting yazıyor göremediyseniz zaten diyecek pek birşey kalmıyor :)
O güvenlik uzmanı dediğiniz kişileri tanıyoruz merak etmeyin zaten bende script taraması yapyıorum ;)
Sizce oraya her açık konur mu?
Sizi ikna etmek gibi derdim yok buyrun hacklenen WordPress siteleri ortada bir anda artık çıktı hepsi zaten aynı serverde değil mi?
O güvenlik uzmanı dediğiniz kişileri tanıyoruz merak etmeyin zaten bende script taraması yapyıorum ;)
Sizce oraya her açık konur mu?
Sizi ikna etmek gibi derdim yok buyrun hacklenen WordPress siteleri ortada bir anda artık çıktı hepsi zaten aynı serverde değil mi?
Exploit'i incelediniz mi hocam?
XSS yani cross açığının verilen exploitte ne anlama geldiğini anlatıyım o zaman..
Eğer wordpress dosyalarını direk olarak attıysanız kurulum için veritabanına bilgiler girmediyseniz ve siteniz kurulu değilse bu xss aracılığıyla veriler girip kendi serverınızdaki mysql adresi tanımlayıp kendiniz oluşturmuş oluyorsunuz o bilgileri..
Yani başka bir wordpress kurulumunu kendiniz yapmış oluyorsunuz.Hani bu da şöyle bir açıktır..Dosyaları attınız sunucuya..O an bir hacker geldi o kısacık 3 dakikalık zaman diliminde xss i çalıştırdıda sizin wp-config.php nize giriş yaptı da durumu değiştirdi..
Keşke verdiğim linkteki bilgileri görseydiniz..Wordpress hacklenmez demiyorum ama bu exploitin yaptığı şey budur.