Selamlar.
Bu iki gündür wordpress sitelerinin hacklenmesi ile ilgili birçok konu açılmakta, sizde görüyorsunuzdur.
Boş zamanım mevcutken, ufak bir makale hazırlamak istedim bununla ilgili.
--------------------
Wordpress,
Dünyanın önde gelen hazır blog sistemlerinden bir tanesi olan bu script son yıllarda pluginlerinin geliştirilmesi ile birlikte epey yol aldı. Özellikle yeni nesil Blog yazarlarının önemli bir yüzdesi wordpress tabanlı bir siteye sahip.
Gerek temaları, gerekse eklentileri bakımından wordpress, şu anda en iyi hazır blog scripti diyebiliriz.
Peki, sitenizi oluşturdunuz. Emekleriniz mevcut fakat bir süre sonra sitenizde pat diye siyah şapkalı bir hacker tarafından saldırıya uğradığınızı gördünüz.
İşte şimdi, araştırma zamanı...
~*~
Wordpress siteniz hacklendi ve siz bunun nasıl olduğunu merak ediyorsunuz...
Bunun birçok yolu mevcut;
1) Wordpress Plugin Vulnerabilities(SQL,Rfi,Lfi,Css)
Tanım ;
Wordpress Pluginlerine her gün bir yenisi daha ekleniyor ve malesef bu eklentileri kodlayanlar açık filtrelemede biraz tecrübesiz, biraz yeteneksiz olabiliyor. Bu kulvarda olaya "Bug Researcher" diye tabir ettiğimiz, bug araştırmacıları giriyor ve yeni olan her pluginde açıklar tarıyor.
Önlem ;
Mümkün olduğunca az plugin kullanın ve pluginleri kullanmadan önce arama motorlarından faydalanarak geniş çaplı bir araştırmada bulunun. Önceki günlerde o pluginin açıkları bulunmuş olabilir ve siz bu plugini kurduğunuz an, hacklenebilirsiniz.
2) Wordpress Script Vulnerabilities
Tanım ;
Wordpress'in düzenli olarak sürüm yükseltmesi ve kendini bakıma alması gerekiyor çünkü, wordpress yeni sürümleri yayınlandıktan kısa süre sonra zaafiyetleri bulunabiliyor.
Önlem ;
Wordpress sürümünüzü güncel tutunuz.
3) Theme Vulnerabilities
Tanım ;
Dağıtılan (resmi site haricinde) birçok public tema içine shell saklanıp, tema siteye yüklendiğinde sitenize erişim sağlayabiliyorlar bu şekilde.
Önlem ;
Biraz dikkatli davranın, her güzel görünen temayı sitenize yüklemeden önce iyice bir gözden geçirin, özellikle kodlarını, içerisindeki şifrelenmiş kodları.
ve Dosyalar içinde bir anti virüs taraması yaptırın.
4) Server Security
Tanım ;
Sadece wordpress tabanlı sitelerde değil, tüm siteler için önemli olan bir durumdur sunucu güvenliği. Son günlerde yapılan hackler, sırf sunucu zaafiyeti üzerinden gerçekleşmiştir.
Önlem ;
İşini bilmeyen hosting siteleriyle iş yapmayın. :)
--------------------
*plugin ; eklenti
*bug researcher ; açık arayan
--------------------
Aslında dördüncü maddeyi belirtmek için açmıştım bu konuyu fakat, belirtmişken diğer zaaflarıda belirteyim dedim.
Dikkat ediniz.
Kaynak ; http://ryuzaki.in/?p=141
