WordPress Güvenlik Önlemleri #1

Merhaba

Bu yazımda her wordpress kullanıcısının mutlaka alması gereken tedbirlerden bahsedeceğim.

Robots.txt İfşası

Çoğunlukla yönetim panelleri ve önemli dosyaların yolu google botları tarafından indexlenmesin diye burada belirtilir fakat sitenizi analiz eden kötü niyetli hackerların ilk uğrak yeri genellikle burası olacaktır.

Bu robots.txt dosyası sıradan bir siteye değil, Amerika devlet sitelerinden birisine ait. Görmüş olduğunuz gibi google botları indexlemesin diye abiler yönetim paneli dahil tüm kritik adresleri belirtmişler 🙂 En basitinden bir örnek vermek gerekirse aşağıdaki adreslerden sitede wordpress kurulu olduğu saptanarak wpscan toolu ile yetkili kullanıcılar tespit edilerek yönetim paneline brute force uygulanabilir.

Not: robots.txt ifşası sadece wordpress kurulu olan sitelerde değil her site için geçerlidir.

Wp-config.php Yolunun Değiştirilmesi

Aslında wp-config.php dosyasının yerinin değiştirilmesinin gerekliliği şu yüzden; önceki yazımda bahsettiğim reverse ip yöntemi ile aynı sunucuda barındırılan sitelerden en az bir tanesine sızılması ile shell atıldıktan sonra bizim config çekme olarak adlandırdığımız işlem gerçekleştirilerek diğer sitelerin config dosyalarına ulaşılarak zarar verilmesi eğer yedekleme yapılmadıysa ciddi zaman kaybına sebebiyet veriyor, bu durumu yaşamamanız için config dosyanızı saklamalısınız. İşleme geçelim..

İlk olarak ana dizinde bir klasör oluşturarak wp-config.php dosyasını onun içine atıyoruz (klasör içine klasör açarak da yapabilirsiniz veya wp-includes gibi klasörlerin içinde klasör açarak oraya da atabilirsiniz). Ben örnek olarak göstermek için ana dizinde “ksm” adında bir klasör açtım ve wp-config.php dosyasını onun içine attım.

Bu işlemin ardından “wp-load.php” dosyasını herhangi bir metin editörü ile açarak 34,37,39 ve 42. satırlardaki wp-config.php kısımlarını wp-config.php dosyamızın yeni yolunu belirtmek için düzenlememiz gerekmekte, mesela ben ana dizinde ksm isimli klasör açıp içine attığım için ksm/wp-config.php şeklinde düzenledim.

Bir sonraki yazım mutlaka her wordpressde güvenlik tedbiri olarak kurulu olması gereken eklentiler üzerine olacaktır.