Konular
Wordpress Genel Bilgi
Yapılan Güvenlik Hataları
Wordpress Güvenliği
Yapılan Güvenlik Hataları
Wordpress Güvenliği
Wordpress Genel Bilgi
Wordpress php dili ile geliştirilmiş bir içerik yönetim (CMS) sistemidir. W3techs verilerine göre en çok kullanılan cms dir. Buraya tıklayarak inceleyebilirsiniz. Kolay kurulumu ve kullanımı olduğu için en çok kullanılan içerik yönetim sistemlerinden biridir. Host servislerinde application bölümünde de bulunur yani bir kaç tık ile bile çok kolay bi şekilde kurulabilir. Wordpress in kendine has temaları ve eklentileri bulunmaktadır.Neredeyse her alanda kullanıldığı için yani blog, magazin, kozmetik, spor, haber hatta e-ticaret gibi alanlarda temaların bulunduğu bu sistem çok geniş alanlara hitap etmektedir. Bu yüzden ve kolay kurulumu olduğu için tercih ediliyor.
Wordpress Kurulumu Hakkında : Tıkla
Wordpress Güvenlik Hataları
Wordfence tarafından yapılan bir 2016 raporuna göre wordpress sitelerin hacklenme yöntemleri aşağıdaki grafikteki gibidir. Bu grafikten şu 3 sonucu çıkarabiliriz.
Kolay ve tahmin edilebilir parolalar kullanmak tehlikelidir. (admin:admin veya admin: password vb.)
Güncel olmayan wordpress sürümlerinde bir exploit olabilir yani açık olabilir ve hacklenebilirsiniz.
Zafiyetli eklenti ve tema kurulumları ve warez tema / eklentiler.
1. sonuçtan başlarsak tahmin ettiğiniz gibi bruteforce programları var bu yazılımlar birden fazla siteye aynı anda şifre deneme yanılma yoluyla giriş yapmayı deniyor ve zayıf parolaları bulduğu zaman biz de girebiliyoruz ve hacklenmeniz kaçınılmaz oluyor. Diğer madde eski sürüm wordpress kullanımı yani örnek olarak veriyorum bir eski sürüm var ve 0day exploiti çıktı yani bir zafiyet örneğin xss. Wordpress bunu fark ettiği zaman bir güncelleme gönderiyor eğer siz bunu güncellemezseniz siz de bu xss açığına maruz kalabilirsiniz bu yüzden her zaman latest versiyon kullanmayı unutmayın.
Buraya tıklayarak örnek inceleyebilirsiniz.Son sonuca bakar olursak warez demek yani lisansı kırılmış olan eklenti, ya da scriptlerdir. Kullandığınız scriptleri kullanmadan önce iyice bi virustotalden geçirin çünkü bu warezlerin içinde shell olabilir yani yine sisteminiz hacklenebilir. Shell siteye bir arka kapı açar ve www-data erişimi (genellikle )verir. Tabi grafikte gördüğünüz gibi en üstte eklentiler yer alıyor size bir örnekten anlatmak istiyorum. Burdaki exploit wordpress sistemlerinde en çok kullanılan (iletişim formları) bir ekleniti ama bir versiyon öncesinde sadece bir versiyon öncesinde çok önemli bir exploit var o da shell yani direk hackleniyorsunuz xss falan değil bunun ciddiyetini anlamalısınız.
Wordpress Güvenliği
Wpscan Wpscan, wordpress sitelerde zafiyet tarama aracıdır. Linux sistemlerinde kullanımından ve genel bir bakış yapacak olursak ;
Kod:
wpscan --help
Kod:
wpscan -e vp --> Zafiyetli Eklentiler
Kod:
wpscan -e ap --> Bütün Eklentiler
Kod:
wpscan -e vt --> Zafiyetli Temalar
Kod:
wpscan -e cb --> Config Yedekleri
Kod:
wpscan -e u --> KullanıcılarSıkılaştırma
Şimdi bazı ek kontroller yapacağız. Bunlar wordpress kurulum öncesi ve sonrası alınabilecek önlemlerdir isterseniz başlayalım buralar önemli dikkat
Wordpress kurulumu yaparken admin, root veya sitenin adı gibi kullanıcı adları seçmemeye özen gösterin çünkü saldırgan ilk olarak bunları deniyecektir ve dediğim gibi şifrelerinizi zor yapmaya özen gösterin en az bir özel karakter, sayılar ve harfler. Bir tavsiye şifrenizin sonunda hep sayı olduğunu biliyorum bu alışkanlıktan vazgeçin a1b2c3d4e5 gibi kullanın sayıları ama tabi bunu da yapmayın saldırganların wordlistinde olabilir.
Özellikle linux sistemlerinde /usr/share/wordlists/rockyou.txt içinde bulunan bir şifre asla seçmeyin. Örneğin bir haber sitesi kurdunuz ve wordpress altyapısıyla çalışıyor yazarlarınıza admin vermenize gerek var mı ? Tabi ki yok sadece yazar yetkisi verin bunlara dikkat edin sistemde bir admin olması kafi dir.
/wp-login.php değiştirebilirsiniz bu bir güvenliktir ama wordlistler yardımıyla bu da bulunabilir yani login yerinize iki aşamalı doğrulama koyabilirsiniz ve bruteforcenin önüne geçmek için bir captcha. Bu eklentiyi kullanarak sisteminizin admin panelinin yerini değiştirebilirsiniz.
Daha önce de bahsettiğim gibi eski wordpress sürümlerini güncel tutmayı unutmayın bu bildirimleri açmak için sunucunuzun kök dizininde bulunan wp-config.php ye şu kodu ekleyebilirsiniz.
Kod:
define( 'WP_AUTO_UPDATE_CORE', true ); https://api.wordpress.org/secret-key/1.1/salt/ burdaki değerlerin wp-config.php ye eklenmesi ek koruma sağlayacaktır. (Cookie)
Wordpress kurulumu yaparken tablo ön eki (prefix) sorulmaktadır eğer siz bunu değiştirmezseniz default olarak wp_ olarak atanacaktır bunu değiştirmenizi öneriyorum. Eğer siz phpmyadmini 3306 portundan yani siteniz.com/phpmyadmin den kullanıyorsanız bu tablo ön eki bir ipucu doğuracaktır. Ve tabi sözü gelmişken böyle web üzerinden de kullanmanız tehlikelidir.
HTTPS (SSL) kullanmaya özen gösterin şimdi diyeceksiniz biliyorum ne alaka niye ssl kullanıyorlar ? Şimdi şöyle siz bir ağa girdiniz örneğin starbucks bu kablosuz ağ şifresizdir. Eğer kötü niyetli biri varsa o kablosuz ağda sniffing yaparak ki genellikle wireshark tercih edilir siz wordpress sitenize girdiğiniz zaman girdiğiniz şfireleri görebilir ama http sitelerde. SSL li olan sitelerden form verilerini göremez.
Dizin listeleme kapatılmalıdır yani /wp-content/plugins bi girdi aa onlar ne eklentileri bunları görmek tahmin ettiğiniz gibi tehlike yaratmaktadır bunun önüne geçmek için sunucunuzun kök dizininde bulunan .htcaccess (göremiyorsanız gizli klasörleri açın) dosyanıza şunu eklemelisiniz.
Kod:
Options All Indexes Sunucu imzası bilgi toplama için kullanılabilir bunu da kapatabilirsiniz yine .htaccess dosyasına şunu ekleyebilirsiniz ;
Kod:
ServerSignature Off Sitenizdeki readme.html gibi dosyalardan versiyon bilgileri alınabilir bu dosyalar değişebilir js gibi dosyalardan da alınabilir kapatmamızda inanın çok fayda var bunun için function.php dosyanıza şu kodu ekleyin. Ve aklıma gelmişken her türlü readme.html dosyanızı sunucudan silin.
Kod:
remove_action(wp_head, wp_generator);Notlar :
Waf kullanılmalıdır
Her dizine 777 chmod izni verilmemelidir.
Robots.txt seo için önemlidir kaldırın demiyorum ama hassas bilgiler vermeyin herkes erişebiliyor.
Paylaşımlı host kullanmayın çünkü sunucuda diğer sitelerde oluyor bir hacker birine girse çaatt sizde gittiniz.
exec shell gibi php komutlarına çok dikkat edin.
Eğer bir upload yeri varsa göz atın shell yiyebilirsiniz ordan sadece resime izin verin zafiyet var mı diye tarayın.
mysql.log u silinmelidir.
Son düzenleme:
