Son zamanlarda çoğu webmasterin muzdarip olduğu bu konu üzerinde bir şeyler yazmak şart oldu diye düşünüyorum. Bir süre önce bunun hakkında detaylı olmayan, bir makale daha yazmıştım fakat yedeklerim gidince kaybolmuştu.
[COLOR=#333333]Ben günümüzdeki olayların hangi zaafiyetten yaşandığını gayet iyi biliyorum fakat, genel bir değinme yapacağım.[/COLOR]
Her neyse, başlayalım.
Öncelikle, yeni [COLOR=#333333]wordpress[/COLOR] kullanan insanlar, çoğu zaman [COLOR=#333333]CHMOD[/COLOR] ayarlarını [COLOR=#333333]777[/COLOR]‘den gizlemeyi unutur. Yenidir, heyecanlıdır, blog açma heveslisidir. Blogunu kurmuş fakat ayarları gözden geçirmeyi unutmuştur. [COLOR=#333333]Hemen ayarlarınızı gözden geçiriniz.[/COLOR]
[COLOR=#333333]CHMOD[/COLOR] Ayarları bu şekilde olmalıdır. Aksi halde siyah şapkalılar [COLOR=#333333]config[/COLOR] bilgilerinizi kolayca okuyup sitenizi kolayca indexleyebilir.
[COLOR=#333333]Bir ikinci durum ise, WordPress plugin[/COLOR]‘lerinde oluşan güvenlik zaafiyetleri. Yeni, hevesli blogcular bol bol plugin yükler bloguna; fakat bilmez ki bu pluginlerde güvenlik açıkları bulunmaktadır, tehlikelidir. WordPress pluginleri çoğu zaman resmi sitesinden değilde hayranları tarafından yazıldığından bu tür güvenlik zaafiyetlerinin oluşması çok normaldir, çünkü yapımcının güvenlik açıklarını kapatma gibi bir derdi yoktur, indirilmesi/satılması ve hit alması gereklidir o eklentinin. En basitinden [COLOR=#333333][COLOR=#333333]şurada[/COLOR] – şurası exploit-db oluyor -[/COLOR] günümüzde ve geçmişte wordpress pluginlerinde bulunan açıkların yayımlanmış hallerini görebilirsiniz. Bunlar yayımlanmış ise, bir de yayımlanmamış olanları düşünün.
[COLOR=#333333]Xss, Csrf ve çoğu zaman SQL Injection[/COLOR]‘den oluşan bu güvenlik zaafiyetlerini engellemek amacı ile – eğer illaki o plugin’i kullanmanız gerekli ise – buradaki makaleyi inceleyebilirsiniz. Ya da bilgili iseniz, [COLOR=#333333]Htmlspecialchar[/COLOR] komutunu kullanarak bu tür açıkların önüne geçebilirsiniz.
Fakat, derseniz ki benim bu plugini kullanmam gerekmiyor, o halde kullanmayın. [COLOR=#333333]Exploit-DB[/COLOR] adlı siteden en güncel wordpress bug’larını takip edebilirsiniz.
[COLOR=#333333]Üçüncü bir durum[/COLOR] olan WordPress tabanına gelelim, bu çok düşük bir ihtimal olsa da böyle bir şey var malesef. En basitinden bir önceki sürüm olan 3.3.1 sürümünde bulunan çeşitli açıkları buradaki adresten inceleyebilirsiniz. Söylediğim gibi bu tür wordpress tabanlı açıklar olabildiğince az fakat kullanmayı bilene çokta tehlikeli olabiliyor. [COLOR=#333333]Bunu önlemenin tek çözümü bir üst sürüme terfi ettirmektir wordpress sürümünüzü.[/COLOR]
[COLOR=#333333]Şu anda aklıma gelmeyen birçok durum sözkonusu, bu makaleyi parçalar halinde olabildiğince genişletmeyi planlıyorum.[/COLOR]
[COLOR=#333333]Gelelim, dördüncü ve son durumumuza.[/COLOR] Yani günümüzde sitelerin hacklenmesinin nedenine.
[COLOR=#333333]Server Güvensizliği.[/COLOR]
Sizde takdir edersiniz ki günümüzde hosting sitelerinin sayısı almış başını gitmekte. Bu konuda işini çok iyi yapan insanlarda tanıyorum, yapmak isteyen insanlar da; Yaptım deyip yapmayan insanlar da.
Server güvensizliği aslında başlı başına hosting şirketinizi değiştirmeniz için bir sebeptir. Son günlerde gündeme gelen hacking olayları tek bir şirketten kaynaklı değil, tek bir şirkete de indirgeyemeyiz bu durumu fakat kim, ne kadar güvenliyim derse desin; [COLOR=#333333]Türkiye’deki hosting şirketi serverlarının %80′i güvensiz.[/COLOR] Siyah şapkalı hackerlar günümüzde yaptığınız wordpress temalarından tutun, tüm bilgilerinizi de Warez‘e düşürebiliyor. Buna engel olabilecek tek olay “disable functions“ta önlem alması değildir hosting şirketi görevlinizin. Günümüzde [COLOR=#333333]bypass[/COLOR] sistemleri o kadar gelişti ki, siz ne kadar alırsanız alın, geçebiliyorlar. Fakat geçilemeyen serverlarda mevcut.
[COLOR=#333333]Kısacası ucuz etin yahnisini yemeyin arkadaşlar[/COLOR], eğer emeklerinizin heba olmasını istemiyor, yaptığınız temaların Warez olarak adlandırılmasını istemiyorsanız (Gerçi sattığınız kişinin hostundan çekerler yine warez olur, problem değil) Türkiye’de adı belli, sanı belli şirketlerden yapın alışverişlerinizi. Hiçbir hosting şirketine de “Güvenliyiz” dediği için gitmeyin, içleri boş çünkü. Kernel sürümlerinden bir haberler…
Dilerseniz hosting şirketleri için de birkaç öneri sunabilirim fakat burada reklam yapmak istemiyorum, e-mail ya da iletişim bölümünden kolaylıkla ulaşabilir, öneri alabilirsiniz.
Görüşmek üzere.
Kaynak ; http://ryuzaki.in/wordpress-sitem-hackleniyor-nedeni-nedir/