lostyazilim
tr.link

WordPress .htaccess Site Güvenliğini Sağlamak

42 Mesajlar 6.439 Okunma
acebozum
tr.link

Cancaliskan38 Cancaliskan38 Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 06.01.2019
  • Yaş/Cinsiyet 26 / E
  • Meslek Avukat
  • Konum İstanbul Avrupa
  • Ad Soyad C** Ç**
  • Mesajlar 52
  • Beğeniler 33 / 31
  • Ticaret 0, (%0)
Güncel.
 

 

elektronikssl
webimgo

Linuxer Linuxer WMARACI Banlı Kullanıcı
  • Üyelik 29.12.2018
  • Yaş/Cinsiyet 33 / E
  • Meslek Öğrenci
  • Konum İstanbul Anadolu
  • Ad Soyad R** D**
  • Mesajlar 205
  • Beğeniler 94 / 42
  • Ticaret 0, (%0)

Cancaliskan38 adlı üyeden alıntı

Teşekkür ederim. Hocam ne demek istediğinizi anladım gibi wp-config.php dosya izinine 440 yapınız wp-config.php okunamaz o zaman sunucu üzerinden bunun yanında sunucunuza güvenmiyorsanız Cloudflare'ye geçmeniz sizin için yarar sağlar, cloudflare sunucu ip adresini gizleyerek kendi sunucularında barındırabilir cloudflare araştırmanızı tavsiye ederim. Bu arada hiçbir sunucu tam olarak güvenli değildir. Görüşmek üzere..


Hocam şöyle izah edim, örnek olarak hostgator'da ln -s vb. gibi çekme komutları engellidir permisyon hatası verir. Hatta farklı yöntemlerle dosyayı kendi dizinine çekseniz bile okuyamazsınız permisyon hatası verir. Bunu cagefs(cloudlinux) engellemiyor bazı sunucu bazlı işlemler yapılması gerekiyor. Türk firmaları cagefs sistemini sunucuya kurup güvende olduğunu zannediyorlar. Halbuki ln -s /home/okunmakistenenuser/public_html/wp-config.php dosya.txt komutunu(symbolic lnk) kullanarak config bilgilerini dosya.txt 'e aktarıp okuyorlar. (Shell üzerinden okunmasada HEADER, README, FOOTER gibi komutlarla dizine yansıtıp görebiliyorlar yada Cpanel üzeri vs. gibi). Yani demek istediğim ben chmod ayarını 440 yaparsam hiç bir şekilde aktarılamaz yada kopyalanamaz mı ? Kusura bakmayın güvenlik yönüme pek güvenmiyorum onun için bilir kişi görürsem en ince ayrıntısına kadar sorup emin olmak istiyorum.

Bu arada hocam cloudflare bypass ediliyor ip bulunabiliyor ama yetersiz bilgiye sahip olan kişilere karşı kullanışlı bir yöntem.
Cancaliskan38

kişi bu mesajı beğendi.

Cancaliskan38 Cancaliskan38 Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 06.01.2019
  • Yaş/Cinsiyet 26 / E
  • Meslek Avukat
  • Konum İstanbul Avrupa
  • Ad Soyad C** Ç**
  • Mesajlar 52
  • Beğeniler 33 / 31
  • Ticaret 0, (%0)
Önemli değil en alttaki cloudflare bypass hakkında söylediğinize cevap vererek başlayayım cloudflare bypass edilebilir ama normalde böyle bir şey pek kolay değil bypass edilebilmesinin nedeni kişinin cloudflareyi yanlış kurmasıdır ve yapılandırmasıdır. Cloudflare de dns doğru yapılandırırsa bu bypass mümkün olmaz.

Demek istediğinizi başta yanlış anladım ya da anlatmamda sıkıntı olmuş olabilir alfa shell gibi sheller sunucuları rahat geçerek tüm sunucudaki sitelere zarar verebilir %100 güvenlik diye birşey yoktur sadece önlem alıyoruz ln-s komutları veya symlink türk sunucularında işleyebilir bu tabi ki oluyor ama bilgisayar korsanın yeteneğine kalmış bir şeyler diğer husus şuan bir türk sitesi veya sunucu hackleyen kişiler 2 yıl 6 ay kadar hapis cezası ile yargılanıyor.

wp-config.php 440 aldığımızda hiçbir şekilde gözükmez diye bir şey yok bypass edilebilirse gözükebilir ama kolay değil. Hostgator dünya üzerinde dev firmalar Godady,Hostgator bypass edilmesi neredeyse imkansız sunucuları üst seviye güvenlikte ve komutları kısıtlıyorlar türk firmaları sunuculardaki komutları kısıtlamıyor bunda siz haklısınız hocam . Godady ve hostgator tercih ederseniz pek güvenlik sorunu yaşamazsınız.
Linuxer

kişi bu mesajı beğendi.

Linuxer Linuxer WMARACI Banlı Kullanıcı
  • Üyelik 29.12.2018
  • Yaş/Cinsiyet 33 / E
  • Meslek Öğrenci
  • Konum İstanbul Anadolu
  • Ad Soyad R** D**
  • Mesajlar 205
  • Beğeniler 94 / 42
  • Ticaret 0, (%0)
Teşekkürler hocam kolay gelsin.
 

 

wmaraci
wmaraci

serdar01 serdar01 Akıl+Bilim+Eğitim Kullanıcı
  • Üyelik 27.02.2014
  • Yaş/Cinsiyet 39 / E
  • Meslek Eğitim
  • Konum İzmir
  • Ad Soyad S** E**
  • Mesajlar 839
  • Beğeniler 323 / 116
  • Ticaret 0, (%0)
Merhaba.

Güzel bir konu olmuş. Sitemde iThemes Security eklentisini kullanıyorum. Bu eklenti ile verdiğiniz kodlar çakışma yaratır mı?
Bir diğer sorum ise; kendi sitemizin güvenliğini test edebilmemiz bir araç/eklenti var mı ?

Teşekkür ederim.

Cancaliskan38
Cancaliskan38

kişi bu mesajı beğendi.

Cancaliskan38 Cancaliskan38 Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 06.01.2019
  • Yaş/Cinsiyet 26 / E
  • Meslek Avukat
  • Konum İstanbul Avrupa
  • Ad Soyad C** Ç**
  • Mesajlar 52
  • Beğeniler 33 / 31
  • Ticaret 0, (%0)
Merhabalar, hayır sorun olmaz bu kodlar sitedeki diğer eklenti .htaccess ile çakışmaz zaten aynı kodlar yazılıyor. Site güvenliğinizi test etmeniz için linux işletim sistemlerinde golismero,wapiti,sniper,Yuki chan,nikto,nmap,ovasp,netsparker,acunetix gibi programları kullanabilirsiniz eğer bilginiz yoksa özelden PM atın yardımcı olayım.
 

 

serdar01 serdar01 Akıl+Bilim+Eğitim Kullanıcı
  • Üyelik 27.02.2014
  • Yaş/Cinsiyet 39 / E
  • Meslek Eğitim
  • Konum İzmir
  • Ad Soyad S** E**
  • Mesajlar 839
  • Beğeniler 323 / 116
  • Ticaret 0, (%0)
Merhaba.
Size özelden yazdım. Ancak verdiğiniz kodların bir kısmını uygulayabildim sadece. Bunu sebebi ise benim gibi yeterli bilgiye sahip olmayanların,kodları ekleyecekleri yerleri bilmemesi/emin olmaması.

Ekran görüntüsü ile örnek vereyim.
Aşağıdaki görüntü 7.maddeye ait. İki tane kod vermişsiniz. Bu kodların sırasıyla nereye ve nasıl ekleyeceğimden emin olamadım. Aşağıdaki kodu xmlrp.php 'ye ekleyince görseldeki uyarıyı aldım. Bir şeyleri yanlış yaptığım belli..

Verdiğiniz maddelere bir iki cümle ayrıntı eklerseniz çok makbule geçer. :D



Cancaliskan38
Cancaliskan38

kişi bu mesajı beğendi.

Cancaliskan38 Cancaliskan38 Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 06.01.2019
  • Yaş/Cinsiyet 26 / E
  • Meslek Avukat
  • Konum İstanbul Avrupa
  • Ad Soyad C** Ç**
  • Mesajlar 52
  • Beğeniler 33 / 31
  • Ticaret 0, (%0)
Anladım hocam kusura bakmayın gerekli açıklamaları yapmaya çalıştım .xmlrpc.php içerisine eklemiyoruz. Burada paylaştığım bütün kodları public_html (site dizinine) içerisine .htaccess açıp ekliyoruz farklı bir yere ekleme yapmayın lütfen, buradaki 7. maddede xmlrpc.php ye saldırılar yaparak sitenize ddos saldırısı yapabilirler bunu engellemek için 301 yönlendirme veriyoruz. 2 madde de xmlrpc.php dosyasını korumaya alıyoruz dışarıdan saldırılara karşı koruyoruz.
 

 

serdar01 serdar01 Akıl+Bilim+Eğitim Kullanıcı
  • Üyelik 27.02.2014
  • Yaş/Cinsiyet 39 / E
  • Meslek Eğitim
  • Konum İzmir
  • Ad Soyad S** E**
  • Mesajlar 839
  • Beğeniler 323 / 116
  • Ticaret 0, (%0)
Rica ederim ne kusuru. Ben pek bilgili değilim bu konuda. Örneğin 3. madde de "wp.load.php görmelerini engelleyerek burayı da kapatıyoruz." diye okuyunca yazan kodu oraya eklemiştim. :)

Son hali şöyle olacak sanırım:



Sadece 14.madde yok burada. Onu da dediğiniz gibi yaptım.
Ekran görüntülerini buradan paylaşıyorum. Çünkü benim gibi acemi başka arkadaşlara faydası olabilir diye. :)

Cancaliskan38


Mesaja Ek:

Sanırım bir yerde hata yaptım.Siteye girmeye çalışınca şu hatayı aldım.Öncesinde yedek aldığım dosya ile değiştirince düzeldi.

 

 

SENibrahim SENibrahim ibocum Kullanıcı
  • Üyelik 22.12.2017
  • Yaş/Cinsiyet 24 / E
  • Meslek Öğrenci
  • Konum Aydın
  • Ad Soyad İ** Ş**
  • Mesajlar 4598
  • Beğeniler 1727 / 1541
  • Ticaret 15, (%100)

serdar01 adlı üyeden alıntı

Merhaba.

Güzel bir konu olmuş. Sitemde iThemes Security eklentisini kullanıyorum. Bu eklenti ile verdiğiniz kodlar çakışma yaratır mı?
Bir diğer sorum ise; kendi sitemizin güvenliğini test edebilmemiz bir araç/eklenti var mı ?

Teşekkür ederim.

Cancaliskan38


Kullandığınız eklenti aynı ayarları ekliyor hocam eğer eklenti kullanıyorsanız o kodları eklemenize gerek yok.

Test edebilmek için de şunu kullanabilirsiniz;

https://sitecheck.sucuri.net/
 

 

Herkez hata yapabilir, pardon herkes. | ibocum.com
wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al