WordPress Güvenlik Önlemleri #1 - Kasım Feke

Merhaba

Bu yazımda her wordpress kullanıcısının mutlaka alması gereken tedbirlerden bahsedeceğim.

Robots.txt İfşası
Çoğunlukla yönetici panelleri ve önemli dosyaların yolu google botları tarafından indexlenmesin diye burada belirtilir fakat sitenizi analiz eden kötü niyetli hackerların ilk uğrak yeri genellikle burası olacaktır.

 

Bu robots.txt dosyası sıradan bir siteye değil, Amerika devlet sitelerinden birisine ait. Görmüş olduğunuz gibi google botları indexlemesin diye abiler yönetici paneli dahil tüm kritik adresleri belirtmişler :) En basitinden bir örnek vermek gerekirse aşağıdaki adreslerden sitede wordpress kurulu olduğu saptanarak wpscan toolu ile yetkili kullanıcılar tespit edilerek yönetici paneline brute force uygulanabilir.
Not: Robots.txt ifşası sadece wordpress kurulu olan sitelerde değil her site için geçerlidir.

Yönetim paneli yolu değiştirme
Bilmiş olduğunuz gibi wordpress kurulan sitelerde default olarak yönetici paneline /wp-login.php veya /wp-admin/ ile erişilir. Sitenizi inceleyen bir hackerın ikinci uğrak yeri de yönetici paneli olacaktır, eğer bu default gelen yönetici panelinin adresi değiştirilmez ise hacker refleks olarak bu iki adrese girmeyi denediğinde veya sayfa kaynağını inceleyerek wordpress kurulu olduğunu anladığında bu iki adrese erişim sağlar ise yukarıda anlattığım yöntemler ve daha fazlasını uygulayarak root olmaya çalışacaktır. Bunun için panel yolunun değiştirilmesi gerekmekte ve bu iş için geliştirilmiş “Lockdown Wp Admin” isimli bir eklenti mevcut. Kurulumu yapmaya başlayalım..

 

Sol sidebar’da bulunan “Eklentiler” sekmesine girdikten sonra üst tarafta bulunan “Yeni Ekle” butonuna tıklıyoruz. Ardından sağ tarafta bulunan “Eklentilerde ara” kısmında “Lockdown wp admin”i aratıyoruz ve ilgili eklentinin yanındaki “Hemen yükle” butonundan eklentinin yüklenmesini başlatıyoruz, yüklenme bittikten sonra “Etkinleştir” diyerek eklentiyi aktif hâle getiriyoruz.

 

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Daha sonra yine sol sidebarda bulunan Lockdown WP sekmesine girerek yukarı resimdeki adımları izlemeniz gerekiyor. (Yes, please hide WP Admin from the user when they aren’t logged in yazısının yanında bulunan kutucuk mutlaka tikli olmak zorundadır)

Wp-config.php’yi Taşıma
Aslında wp-config.php dosyasının yerinin değiştirilmesinin gerekliliği şu yüzden; önceki yazımda bahsettiğim reverse ip yöntemi ile aynı sunucuda barındırılan sitelerden en az bir tanesine sızılması ile shell sokulduktan sonra bizim config çekme olarak adlandırdığımız işlem gerçekleştirilerek diğer sitelerin config dosyalarına ulaşılarak zarar verilmesi eğer yedekleme yapılmadıysa ciddi zaman kaybına sebebiyet veriyor, bu durumu yaşamamanız için config dosyanızı saklamalısınız. İşleme geçelim..

 

İlk olarak ana dizinde bir klasör oluşturarak wp-config.php dosyasını onun içine atıyoruz (klasör içine klasör açarak da yapabilirsiniz veya wp-includes gibi klasörlerin içinde klasör açarak oraya da atabilirsiniz). Ben örnek olarak göstermek için ana dizinde “ksm” adında bir klasör açtım ve wp-config.php dosyasını onun içine attım.

 

Bu işlemin ardından “wp-load.php” dosyasını herhangi bir metin editörü ile açarak 34,37,39 ve 42. satırlardaki wp-config.php kısımlarını wp-config.php dosyamızın yeni yolunu belirtmek için düzenlememiz gerekmekte, mesela ben ana dizinde ksm isimli klasör açıp içine attığım için ksm/wp-config.php şeklinde düzenledim.
Bir sonraki yazım mutlaka her wordpressde güvenlik tedbiri olarak kurulu olması gereken eklentiler üzerine olacaktır.
Önleminizi alın, güvende kalın :)