P sistemlerindeki admin panel erişimlerini kırarak zararlı 3. Parti yazılımlar, malware trojan vb. içerikler yüklenmektedir. Ataklar üzerinde yapılan incelemelerde atakların neredeyse tamamının CMS sistemlerden (wordpress, joomla vb.) kaynaklandığı gözlenmiştir. (Çoğunlukla wordpress) Saldırıların yapısında incelenen ip adreslerinin spoof olması sebebi ile yüklenen zararlı içeriklerin bloklanması engellenebilir durumda tutulması da olası görünmemektedir.
Aşağıda hazırladığımız maddeleri gözden geçirmenizi ve mutlaka uygulamanızı tavsiye ederiz;
WordPress kurulumunuzu ve tüm yüklü add-on ları güncelleyin ve son sürüme getirin.
http://wordpress.org/extend/plugins/better-wp-security/ linkinde yer alan Güvenlik eklentilerini mutlaka yükleyiniz.
Admin şifrenizin mümkünse rastgele yaratılmış olmasına ve rakam, özel karakter, büyük ve küçük harf içermesine dikkat ediniz.
Genel anlamda wordpress kurulumlarınızı daha güvenli bir hale getirebilmeniz için alabileceğiniz diğer önlemlere ilişkin aşağıdaki bilgileri de incelemenizi tavsiye ederiz;
db_user için DROP komutunu iptal edin. Normal bir WordPress kurulumunda DROP komutunun bir yetkisi, işlevi bulunmamaktadır.
README ve Lisans dosyalarını kaldırın. (!) Versiyon hakkında bilgi sağlanabildiği için açığa sebebiyet vermektedir.
Wp-config.php dosyanızı mevcut dizinden bir üst dizine taşıyarak izin bilgisini 400 olarak değiştirin.
Mutlaka .htaccess dosyanızın erişilemediğine emin olunuz.
.htaccess içerisine aşağıdaki kodu yerleştiriniz.
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ [F,L]
RewriteRule !^wp-includes/ [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php [F,L]
RewriteRule ^wp-includes/theme-compat/ [F,L]
# BEGIN WordPress
order allow,deny
deny from all
Wp-admin sayfanıza ulaşıma ip kısıtlaması ekleyiniz.
wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz. define(DISALLOW_FILE_EDIT, true);
Gereksiz hiçbir dizin için 777 gibi bir global yazma izni tanımlamayınız.
Bazı önlemleri ve güvenlik amaçlı eklentiyi (wp-security-scan, wordpress-firewall, ms-user-management, wp-maintenance-mode, ultimate-security-scanner, wordfence gibi) http://wordpress.org/extend/plugins/better-wp-security/ linkinden temin edebilir ve kurabilirsiniz.
Aşağıda hazırladığımız maddeleri gözden geçirmenizi ve mutlaka uygulamanızı tavsiye ederiz;
WordPress kurulumunuzu ve tüm yüklü add-on ları güncelleyin ve son sürüme getirin.
http://wordpress.org/extend/plugins/better-wp-security/ linkinde yer alan Güvenlik eklentilerini mutlaka yükleyiniz.
Admin şifrenizin mümkünse rastgele yaratılmış olmasına ve rakam, özel karakter, büyük ve küçük harf içermesine dikkat ediniz.
Genel anlamda wordpress kurulumlarınızı daha güvenli bir hale getirebilmeniz için alabileceğiniz diğer önlemlere ilişkin aşağıdaki bilgileri de incelemenizi tavsiye ederiz;
db_user için DROP komutunu iptal edin. Normal bir WordPress kurulumunda DROP komutunun bir yetkisi, işlevi bulunmamaktadır.
README ve Lisans dosyalarını kaldırın. (!) Versiyon hakkında bilgi sağlanabildiği için açığa sebebiyet vermektedir.
Wp-config.php dosyanızı mevcut dizinden bir üst dizine taşıyarak izin bilgisini 400 olarak değiştirin.
Mutlaka .htaccess dosyanızın erişilemediğine emin olunuz.
.htaccess içerisine aşağıdaki kodu yerleştiriniz.
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ [F,L]
RewriteRule !^wp-includes/ [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php [F,L]
RewriteRule ^wp-includes/theme-compat/ [F,L]
# BEGIN WordPress
order allow,deny
deny from all
Wp-admin sayfanıza ulaşıma ip kısıtlaması ekleyiniz.
wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz. define(DISALLOW_FILE_EDIT, true);
Gereksiz hiçbir dizin için 777 gibi bir global yazma izni tanımlamayınız.
Bazı önlemleri ve güvenlik amaçlı eklentiyi (wp-security-scan, wordpress-firewall, ms-user-management, wp-maintenance-mode, ultimate-security-scanner, wordfence gibi) http://wordpress.org/extend/plugins/better-wp-security/ linkinden temin edebilir ve kurabilirsiniz.
