WordPress Güvenlik için config geliştirme 0

WordPress ana konfigrasyon dosyası olan wp-config.php, bir takım ayarlar ve SQL veritabanına erişim için bazı bilgileri barındırır. Ancak bu bilgiler dosyanın içinde açık ve şifrelenmemiş bir biçimde bulunur. Bu nedenle aşağıdaki adımları mutlaka uygulayın.

http://farm4.static.flickr.com/3610/3666900653_ee1f1f5e8f.jpg?v=0

  • WordPress 2.7 sürümü ile birlikte 4 aşamalı bir güvenlik anahtarı mekanizması sunuyor. Şuraya tıklayarak sizin için oluşturulan restgele güvenlik anahtarlarını, wp-config.php dosyasındaki ilgili yerlere girin. Bu keyler blogunuzun güvenliği için gerekli.
  • Yeni bir wordpress blogu yarattığınızda veritabanınızda saklanan tablolar için otomatik olarak wp_ ön eki yaratılır. Yani tablolarınız ör: wp_posts, wp_settings, wp_comments gibi yaratılır. Bu durum WordPress’in yapısını bilen hackerlar için bulunmaz niğmettir. Bu nedenle bu ön eki tahmin edilmesi güç bir kelimeyle değiştirmekte fayda var. Mesela: $table_prefix = ‘wp4FZd3Y_’; gibi. Bu ön eki daha sonradan hatırlamak gibi bir kaygınız olmasın çünkü bu dahili bir fonksiyon. Bir daha asla işimiz düşmeyecek.
  • Eğer serverınız destekliyorsa admin paneli için SSL şifrelemesini devreye alın mutlaka. Bunun için wp-config dosyanıza şu satırı ekleyin.

Config.php geliştirmek

Yukarıdaki yazıları WordPress Güvenlik Önlemleri adlı konuda bahsetmiştik oradak kopyaladım. Ancak yenilenen birşey varki oda 4 aşamalı güvenlik anahtarı değişti 8 aşamaya kadar çıktı oradaki kodları alıp wp-config.php dosyanıza ekleyin.

8 Aşamalı Api anahtarını almak için tıklayınız.

Alttaki gibi örnek bir kod vericektir;

define('AUTH_KEY',         'uE/hO*.NKkQ{4,[dIC V@h^Yszgdp+TQ%x5>9Kn/`r9c9y7*w/BbdK=Mcy2m5?2H');
define('SECURE_AUTH_KEY',  'Bh&w|}sTmK_0Y)pA{+1>ZZLr:l7JqHx#;mtd$$3 N7e5u5Z)~CRn+&vgh^[uf=`k');
define('LOGGED_IN_KEY',    '||RP-|<8etM%(u4rqoh`!BTrQa8F^W&gkd`?t`/ZgWsJW-D<Amwdgz+^ Q|}QH|#');
define('NONCE_KEY',        'DKzeQAf&42^KqWg%[S_9wOj4Fi9PP_E bTi@+},f-}M_@-FAU~^M_Eb)Sw<v~SN`');
define('AUTH_SALT',        ';J4z&O4#7` SUA0KZZkyQ{|Q]a-3?+4-~pCcq$b(R*Z7M*8Wdm7mmDR(&4|p6LT_');
define('SECURE_AUTH_SALT', '&J}#Q;IU#>rV+_qHANY__-Q*f55<QFg@lQZ0Uhg=2&9_M+K)J<w|R`x^(p>rjq0b');
define('LOGGED_IN_SALT',   '|%Yyo1oY.F*=)0*H9slaSwq?]QrwJq={;d`K?&eri#cPOGI;Xt6;eIxys6T|Hqdk');
define('NONCE_SALT',       '3]fR`kIxh|tl$C{1j}o<ZK|0i4:CoF?FLR^z4&)Tt2{|txSjXCH+(fAM_67ezkt:');

Sayfayı yeniledikçe kodlar değişir…

En Popüler WordPress Slayt Eklentileri 0

Merhaba Arkadaşlar, Bu yazımda sizlere WordPress‘in en çok kullanılan slider eklentilerinden bahsedicem inşallah. Tek satır kod kullanmadan kullanabileceğiniz SEO uyumlu, responsive yani esnek tasarıma ve kolay kullanımlı eklentiler. Aralarında en çok Master Slider’i tavsiye ettiğimi söylemek istiyorum gerçekten diğerlerine göre daha güzel.

Eklentileri en çok indirilene göre ekledim. Sizde buna göre karar verip birini indirebilirsiniz. Gidip paralı revolution slider kullanmayın bi açık çıktı kullanıcılarını hep rahatsız etti böyle ücretsiz eklentileride deneyin gayet başarılılar 🙂

Meta Slider

Meta Slider, WordPress’in en çok indirilen slayt eklentilerinin başında geliyor. Tema içerisinde, Flex Slider 2, Nivo Slider, Responsive Slides ve Coin Slider eklenmiş. Buda slaytın 4 farklı çeşidi ve birbirinden farklı efektleri olduğu anlamına gelir. SEO Optimizasyonunun olduğunu ve responsive olduğunu gördüm açıklama kısmında. Slayt’a video eklenmesi de ekstra güzel olmuş.

https://4.bp.blogspot.com/-s_e3xil6SsE/VW7BIYlPoMI/AAAAAAAAb_Q/vkmB0r2soos/s1600/Meta%2BSlider-rooteto.png

Eklenti Sayfası

Easing Slider

Eklenti kendi özel alanını oluşturup (post_type) yönetim panelinde “Slider” alanı oluşturuyor. WordPress düzenleyici kullanarak ta ekleme özelliği getirmişler ama ben onu pek kullanıcıların kullanıcağını sanmıyorum. Genede güzel özellikleri var sade bir eklenti ama çok populer 🙂

https://3.bp.blogspot.com/-fjt-eu9ZNBE/VW7BGmKiDoI/AAAAAAAAb-8/EDK8_EShyUg/s1600/Easing%2BSlider-rooteto.jpg

Eklenti Sayfası

Responsive WordPress Slider – Soliloquy Lite

Responsive yani esnek tasarım olan bu eklentide dikkatimi çeken tek şey “Soliloquy” Bu ismi çok aradığını düşünmüyorum. Daha kısa, sade ve anlaşılır bir isim bulabilirlermiş. Ama genede populer olmuşlar. Resim yüklerken sürükle bırak yöntemi kullanılması kullanımı kolaylaştırır bence o kısmı iyi düşünmüşler.

https://3.bp.blogspot.com/-9dRz6_F1n2U/VW7BJVXstDI/AAAAAAAAb_k/gA6AglXM8po/s1600/Responsive%2BWordPress%2BSlider%2B-%2BSoliloquy%2BLite-rooteto.jpg

Eklenti Sayfası

Huge-IT Slider

Video ekleme, Widgetlere ekleme gibi önemli özellikler eklenmiş. Gayet kullanışlı ve hoş bir eklenti.

https://1.bp.blogspot.com/-jXkdzWlwHus/VW7BH5QIIKI/AAAAAAAAb_Y/DrxjuD0Z7Wc/s1600/Huge-IT%2BSlider%2B-rooteto.png

Eklenti Sayfası

Cyclone Slider 2

Sıradan kullanıcılar için düşünülmüş ve sadeleştirilen bu eklenti oldukça fazla özelliğe sahip ama 1 ekranda bir çok resim girip, sıralama değiştirebilir ve bir çok ayarı tek sayfadan değiştirebilirsiniz.

https://2.bp.blogspot.com/-BY7_Y4_g4gM/VW7BGUOBmrI/AAAAAAAAb_A/vk1-w7kvp6Q/s1600/Cyclone%2BSlider%2B2-rooteto.jpg

Eklenti Sayfası

Master Slider – Responsive Touch Slider

Belkide aralarında önerebileceğim en iyisi bu. Ama master slider’in bu WordPress versiyonu ücretsiz olanı. Ücretli versiyonu gerçekten çok iyi eğer satın alabilirseni onu kullanmanızı tavsiye ederim. Bu halide güzel ama paralı sürümü gerçekten çok iyi.

https://4.bp.blogspot.com/-Komv6aCGQBY/VW7BIWnbXGI/AAAAAAAAb_U/EHyMz5e7AOU/s1600/Master%2BSlider%2B-%2BResponsive%2BTouch%2BSlider-rooteto.png

Eklenti Sayfası

WOW Slider

Heryerde karşıma çıkan bu eklentinin bir çok değişik efekti var. Çok populer muhtemelen sizde slider arattığınızda hep buna denk geliyorsunuzdur 🙂

https://4.bp.blogspot.com/-vbwAVO1pLlc/VW7BLJRfXDI/AAAAAAAAb_0/Esir7nAjO_k/s1600/WOW%2BSlider-rooteto.jpg

Eklenti Sayfası

Smooth Slider

İçerikleriniz için güzel galeriler oluşturabileceğiniz bir slayt. Örneğin tanıttığınız bir ürünün 10 fotoğrafını ekleyip resimleri ve açıklamalarıyla birlikte sunabilirsiniz kullanıcılarınıza.

https://1.bp.blogspot.com/-LCccCJdNAAQ/VW7BK2jNWwI/AAAAAAAAb_w/x_f7BWoi-mY/s1600/Smooth%2BSlider-rooteto.png

Eklenti Sayfası

Smart Slider 2

https://4.bp.blogspot.com/-K3NaDoUkW_s/VW7BKS8GtsI/AAAAAAAAb_4/JJ1qdHpjr8M/s1600/Smart%2BSlider%2B2-rooteto.png

Eklenti Sayfası

Easy Image Slider

https://1.bp.blogspot.com/-UkA8oQZ7oVY/VW7BGQ5EuvI/AAAAAAAAb-4/H5R6mBbvsXo/s1600/Easy%2BImage%2BSlider-rooteto.png

Eklenti Sayfası

Revolution Slider Güvenlik Açığı Kapatma Yöntemi 1

Merhaba arkadaşlar, Dünyanın en popüler WordPress temaların da revolution slider kullanılıyor. Çünkü temanın bir çok özelliği var ve diğerlerine göre daha iyi bir slider.

Ancak bu eklentinin güzel olduğu kadar kötü de bir açığı var ve bu açık yüzünden bir çok site sahibinin sitesi hacklendi, host üzerinden toplu mail gönderildi, şifreleri değiştirildi vs. vs.

WordPress güvenlik açığını kapatmanın 2 yolu var ama önce açığı tam olarak anlamamız gerekiyor öncelikle açığı inceleyelim daha sonra güvenliğine geçelim.

Revolution Slider Açığı

Revolution slider kurulu olan sitede alttaki bağlantıyı çalıştırmanız yeterli;

http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Kendi sitenizde bu eklenti varsa deneyebilirsiniz wp-config.php dosyasının indiğini göreceksiniz. Hackerlar bu dosyaya eriştiklerinde ellerinde MySQL bağlantı bilgilerine sahip olurlar.

  • Bununla mysql’e bağlanarak user tablosundan şifrenizi değiştirip panele giriş yaparlar ve oradan dosya yükleyebilirler.
    • Whm/cPanel kullanıcıları için uzak mysql bağlantısı kapalıdır. Ama site.com/phpmyadmin yazıp girebilirler buda ayrıca kötü bir durum.
  • Hackerlar mysql şifresi ile ftp şifresini de denerler. Genelde biz kullanıcılar basit olsun diye hepsine aynı şifreyi veririz ya işte onlar da bunu kullanırlar. 🙂
  • ../” ile ana dizine geçip wp-config.php indirebilen ve biraz bilgisi olan kullanıcı “../../../../etc/” dizinine girer detayını yazmıyorum zararlı olmaması açısından. Eğer sunucu güvenliği yetersiz ise tüm şifrelere kriptolu bir şekilde ulaşabilir ve kriptolulardan kırabildiklerini kırar.

Neyse açığı artık öğrendik ve ne kadar zararlı olduğunu da anladık. Şimdi gelelim bu açığı kapatmaya.

Revolution Slider Açığı Kapatma

Güvenlik açığını kapatma ile ilgili 2 yöntem anlatıcam detaylı incelerseniz sevinirim.

Genel de açık kaynaklı yazılımların açığını güncelleme ile kapatabilirsiniz. Eğer populer bir yazılımsa hızlı bir şekilde güncellemesi gelir ama populer değilse yıllarca o açık sisteminizde durur.

1) Revolution Slider eklentisi de populer bir eklenti ve hızlıca bir güncelleme yayınladı bu açığı kapattı. Sizde eklentinizi güncelleyip bu açıktan kurtulabilirsiniz. Güncelleme yapamam diyorsanız açığı kapatmak için bir eklenti de yayınlandı.

Ama ileride başka bir eklenti veya tekrar revolution slider eklentisinin hatasından dolayı wp-config.php dosyanız indirilebilirse?

2) Altta vermiş olduğum .htaccess kodlarını sitenize ekleyin. WordPresste htaccess yapılandırması yaptıysanız zaten bir .htaccess dosyanız hazırda bulunacaktır. Varolan .htaccess dosyanızı açıp içerisine # ile başlayıp # ile biten alanı ekleyin. Yani varolan dosyanızın “RewriteBase /” satırının altına ekliyorsunuz.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

#buraya odaklanın
RewriteCond %{QUERY_STRING} wp-config.php
RewriteRule .* - [F]
#odaklanma bitsin :)

RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Kaynaklar

Bir WordPress güvenlik yazısının daha sonuna geldik inşallah açığı kapatmışsınızdır. Bol huzurlu günler diliyorum 🙂

Most Popular Topics

Editor Picks