WORDPRESS EN ÜST DÜZEY GÜVENLİK

Standard

Merhaba bir blog siteniz var ve scriptiniz WORDPRESS düşünsenize bir gün yine oturdunuz bilgisayara biraz bloguma bakıyım veya siteme anam tarnim bu ne lanet olasi index atılmış siteme az çok zorunuza gider internet ortamında bir çok defacer vardir ve hepsinin düşündügü tek şey deface deface otur kalk deface ün ün yani bu tıp şeyler için sitenizi hacklerler bulundugunuz hosting veya kulandiğiniz eklentiler sağ olsun…

Gel gelelim güvenlik önlemlerıne web siteniz cpanel ise mutlaka public_html dizinine 750 chmodu veriniz

bir ikincisi wp-load.php de olan wp-config.php adini değiştiriniz ve wp-load.php ye şifreleyiniz üst üste şifrelmeler yapiniz bu çeken insani sıkıcaktır vaz geçmesinde röl oynuyabilir sonra sahte wp-config.php yapınız orada bir kaç şeyleri değiştirin mysql bilgileri yanliş verin ama var olan bir veri tabanini verin örnegin bir başka wordpress kurdugunuz ama kulanmadiginiz veritabani kalsin 2 tane db olsn biraz daha uğraşlitcaktir adami adam sahte db ile ilgilenirken siz bir adım daha öndesiniz bir sonrakı adimda wp-config.php yi wp-admin içinde includes gibi falan bir klasorelra atınız yanında olan dosyalar atiyorum örnegin admin-bar.php gibi bir şey mi onuda admin-left.php gibi bir şey yapın symlink çekilirse fark edilmesin bir dosya wp-config.php dosyanizi şifreleyin üçüncü tedbir olarkata wp-admin/install.php bunu silebilrisiniz dörtüncü adimda temaniz function.php içerisine

add_filter(‘login_errors’,create_function(‘$a’, “return null;”)); eklerseniz wp-login.php de giriş yapilan bir kulanici olsn yanlış gırılırse adam fark eder bunu ama bunu yazarsanız fark etmez örnegin kulanic iadi yok falan filan bunda ise kırmızı boş bir şerit gelir ekrana buda adami biraz daha yavaşlatir

remove_action(‘wp_head’, ‘wp_generator’); wordpress sürüm numarasini gizler örnegin sürümünüz eski ve bunun farkına varilmasin diyorsunuz neden çünkü bazı sürümlerde exploitler bulunur googlede sitenize erilişmesin die örnegin intext:Wordpress 3.5.1 gibi bir şey aratilir belkı sızınde siteniz vardir ? ihtimallar bitmez

ana dizindeki .htaccess gelelim şimdide bir kaç önlem ile biraz dha güvenligi artıralım

# Dizinleri Kpatalım Lamer Önlemi
Options All -Indexes

# Dosya yüklemeyi düşürelim
LimitRequestBody 10240000

# Sunucu imzasını kaldır
ServerSignature Off

# Dosyalarimizi Korumaya alalim

<files .htaccess >
order allow,deny
deny from all
</files>

<files wp-config.php>
order allow,deny
deny from all
</files>

<files wp-load.php>
order allow,deny
deny from all
</files>

# Azda Olsa Bir Seyi Kapatalim

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://siteadresi/gercek-bir-dizin/? [L,R=301]

# WordPress gerçek config yolunuzu girebilirsiniz

<files wp-admin/admin-bar.php>
order allow,deny
deny from all
</files>

# Zararli lanet botlari engeliyelim script çekme engeliyelim

RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
RewriteCond %{HTTP_USER_AGENT} ^Bot mailto:craftbot@yahoo.com [OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download Demon [OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^Express WebPictures [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR]
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR]
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR]
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR]
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Image Stripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Image Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} Indy Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet Ninja [OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC Web Spider [OR]
RewriteCond %{HTTP_USER_AGENT} ^larbin [OR]
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mass Downloader [OR]
RewriteCond %{HTTP_USER_AGENT} ^MIDown tool [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mister PiX [OR]
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR]
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Net Vampire [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline Explorer [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline Navigator [OR]
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^Papa Foto [OR]
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR]
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR]
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR]
RewriteCond %{HTTP_USER_AGENT} ^Teleport Pro [OR]
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web Image Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo IS [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website eXtractor [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website Quester [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR]
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus

şimdi ne yaptık bu .htaccess ‘Te erişimi engeledk yüklemeyi sınırlandık listelemeyi kapattık zararli botlari engeledik

biraz daha ilerliyelim önlem önlemdir şimdi wp-config.php mizi açalim yani asil wp-config.php mizi sahtesini açmaya gerek yok wp-loada girdigimizii açalim ve

/* ram limiti ayarla */
define('WP_MEMORY_LIMIT', '256M');
define('WP_POST_REVISIONS', false);
define('AUTOSAVE_INTERVAL',600); // 10 dakikada bir kaydeder

define( 'DISALLOW_FILE_EDIT', true );

kodlarimizi girelim böyleikle tema & plugin edıtlemeyi devre dışı bıraktık biraz daha önlem web sitenizde asla wp-config.php nize ftp kayıt etmeyiniz tema yüklemeden shel girebilir buda size kötü sonuçlar yol açabilir en son olarakta wp-admin klasorununu .htpasswd ile güvene alalim

AuthType Basic
AuthName "Lamerler Giremez Kiçini Tekleme Çik Dişari"
AuthUserFile /home/numanturle/public_html/wp-admin/.htpasswd
<Limit GET>
require valid-user
</Limit>

 

AuthUserFile kendinize göre düzenleyiniz dizininizi ve .htpasswd bu adrese gidip oluşturabilirsiniz.

WordPress ? BulletProof Security « WordPress Plugins
BulletProof Security adlı bu eklenti sitenizi XSRF, RFI, CRLF, LFI, SQL Injection, Base64 ile şifrelenmiş zararlı yazılımlardan koruyor. Eklentiyi kurduğunuz takdirde script yönünden gelecek saldırıları engelleyebilirsiniz.

Bloga Girmeye Çalışan Bir Kekır Bununla Karşılaşır Naparsa Artık

wordpress-güvenliği_eno7

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s