Wordpress Yeni Güvenlik Açığı

Merhaba
Hizmet aldığım sunucu şirketim wordpresste yeni bir açık tespit etmiş ve mail ile bilgilendirmiş bende sizinle paylaşmak istedim


Son zamanlarda Wordpess kullanan tüm hosting hesaplarına ve kendi sunucusunda bu yazılımı kullanan hesaplara global anlamda bir saldırı yapılmaktadır.Bu saldırılardan dolayı gerek web sayfalarında sorun olmakla beraber sunucular üzerinde

yavaşlamalar yaşanmaktadır bu saldırıların nedeni wordpess üzerinde kullanılan SEO amaçlı tasarlanmış Social media eklentileri ve Witget modülleridir bu tür modüller sayfanızı yavaşlatacağı gibi aynı zamanda saldırılarada karşı sizi korumasız bırakmaktadır.

Bu saldırları önlemek için öncelikle kullandığınız sürümü son süreme güncellemeniz ve bazı dizin ve güvenlik ayarlarını mutalaka yapmalısınız.Gerksiz hiç bir modülü kullanmayınız Wordpess kurumunun kendi yayınladığı ve güvenli olarak işaretlediği modüller dışında modül kullanmayınız çünkü içerisinde ne gibi bir kod yapısı olduğunu bilemezsiniz sayfanızda sizde habersiz link ekleyebilir hatta veritabanınıza erişebilir zarar verbilirler sayfanız üzerinden başka sitelere saldırı dahi gerçekleştirilebilirler.

Aşağıda verdiğimiz yönergeleri mutlaka ugulayınız.

Wordpress Security Plugin kurmalısınız.

http://wordpress.org/extend/plugins/better-wp-security/
http://wordpress.org/extend/plugins/better-wp-security/installation/


Bundan sonra yapılacak dizin ve güvenlik ayarlamaları.

http://codex.wordpress.org/Hardening_WordPress

wp-includes klasörünü güvenli hale getirin.

.htaccess içerisine aşağıdaki kodu yerleştiriniz.

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress


order allow,deny
deny from all


wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz.

define('DISALLOW_FILE_EDIT', true);

gereksiz olarak hiç bir dizine chmod 777 yapmayınız.
Bu yamaları yapacak vaktiniz olmaz ise bu süre içerisinde wp-login.php dosyasınız chmod 400 yapınız.

Bende şöyle bir ileti aldım.

Servers under the DDOS attack
We're currently experiencing issues due to a DDoS attack targeting our servers. This is resulting in some of our customers sites being slow or even unavailable. Our admin team currently blocking attack source and server should back online shortly.

This is a global issue and most of the incoming traffic is being directed to the WordPress login page which is why during the attack WordPress logins will be disabled and wp-login.php script will redirect to our error page. We are monitoring the situation and doing everything we can to minimize the downtime as much as possible. You can read more about the problem @ http://blog.cloudflare.com/patching-the-internet-fixing-the-wordpress-br

Please do not submit and tickets about this issue and do not increase our work load as we are fully dedicated in resolving this problem. We thank you for your patience and understanding in the matter

Teşekkürler

Teşekkürler eklenti felan kullanmıyorum allahtan :)

Wordpress kullanmadım hiç ama çok fazla açık ve saldırı olduğunu biliyorum ve duymuştum da

Umarım tamamen güvenli bir hale gelir.