6 WordPress Güvenlik Açığı 0

WordPress 6 Eklentisinde daha güvenlik açığı bulundu. Tehlikeli olabilir bu yüzden bu eklentileri kullanıyorsanız eğer hemen kaldırın hatta silin ve kurtulun. 🙂

http://speckyboy.com/wp-content/uploads/2009/09/wpsecurity1.jpg

WordPress Güvenlik Önlemleri adlı yazımı incelerseniz güvenliğinizi dahada arttırmış olursunuz.

Güvenlik açığı olan eklentiler

  1. WordPress Mailing List Plugin Arbitrary File Download
  2. WordPress Pay With Tweet Plugin <= 1.1 Multiple Vulnerabilities
  3. WordPress Comment Rating plugin Multiple Vulnerabilities
  4. WordPress Age Verification Plugin <= 0.4 Open Redirect
  5. WordPress wp-autoyoutube plugin Blind SQL Injection Vulnerability
  6. WordPress Count-per-day plugin Multiple Vulnerabilities

Revolution Slider Güvenlik Açığı Kapatma Yöntemi 1

Merhaba arkadaşlar, Dünyanın en popüler WordPress temaların da revolution slider kullanılıyor. Çünkü temanın bir çok özelliği var ve diğerlerine göre daha iyi bir slider.

Ancak bu eklentinin güzel olduğu kadar kötü de bir açığı var ve bu açık yüzünden bir çok site sahibinin sitesi hacklendi, host üzerinden toplu mail gönderildi, şifreleri değiştirildi vs. vs.

WordPress güvenlik açığını kapatmanın 2 yolu var ama önce açığı tam olarak anlamamız gerekiyor öncelikle açığı inceleyelim daha sonra güvenliğine geçelim.

Revolution Slider Açığı

Revolution slider kurulu olan sitede alttaki bağlantıyı çalıştırmanız yeterli;

http://victim.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Kendi sitenizde bu eklenti varsa deneyebilirsiniz wp-config.php dosyasının indiğini göreceksiniz. Hackerlar bu dosyaya eriştiklerinde ellerinde MySQL bağlantı bilgilerine sahip olurlar.

  • Bununla mysql’e bağlanarak user tablosundan şifrenizi değiştirip panele giriş yaparlar ve oradan dosya yükleyebilirler.
    • Whm/cPanel kullanıcıları için uzak mysql bağlantısı kapalıdır. Ama site.com/phpmyadmin yazıp girebilirler buda ayrıca kötü bir durum.
  • Hackerlar mysql şifresi ile ftp şifresini de denerler. Genelde biz kullanıcılar basit olsun diye hepsine aynı şifreyi veririz ya işte onlar da bunu kullanırlar. 🙂
  • ../” ile ana dizine geçip wp-config.php indirebilen ve biraz bilgisi olan kullanıcı “../../../../etc/” dizinine girer detayını yazmıyorum zararlı olmaması açısından. Eğer sunucu güvenliği yetersiz ise tüm şifrelere kriptolu bir şekilde ulaşabilir ve kriptolulardan kırabildiklerini kırar.

Neyse açığı artık öğrendik ve ne kadar zararlı olduğunu da anladık. Şimdi gelelim bu açığı kapatmaya.

Revolution Slider Açığı Kapatma

Güvenlik açığını kapatma ile ilgili 2 yöntem anlatıcam detaylı incelerseniz sevinirim.

Genel de açık kaynaklı yazılımların açığını güncelleme ile kapatabilirsiniz. Eğer populer bir yazılımsa hızlı bir şekilde güncellemesi gelir ama populer değilse yıllarca o açık sisteminizde durur.

1) Revolution Slider eklentisi de populer bir eklenti ve hızlıca bir güncelleme yayınladı bu açığı kapattı. Sizde eklentinizi güncelleyip bu açıktan kurtulabilirsiniz. Güncelleme yapamam diyorsanız açığı kapatmak için bir eklenti de yayınlandı.

Ama ileride başka bir eklenti veya tekrar revolution slider eklentisinin hatasından dolayı wp-config.php dosyanız indirilebilirse?

2) Altta vermiş olduğum .htaccess kodlarını sitenize ekleyin. WordPresste htaccess yapılandırması yaptıysanız zaten bir .htaccess dosyanız hazırda bulunacaktır. Varolan .htaccess dosyanızı açıp içerisine # ile başlayıp # ile biten alanı ekleyin. Yani varolan dosyanızın “RewriteBase /” satırının altına ekliyorsunuz.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

#buraya odaklanın
RewriteCond %{QUERY_STRING} wp-config.php
RewriteRule .* - [F]
#odaklanma bitsin 🙂

RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Kaynaklar

Bir WordPress güvenlik yazısının daha sonuna geldik inşallah açığı kapatmışsınızdır. Bol huzurlu günler diliyorum 🙂

Ücretsiz Türkçe WordPress Kişisel Blog Teması 0

Merhaba arkadaşlar, Uzun bir sürenin ardından tekrar merhaba. Dün gördüğüm ve çok beğendiğim bir kişisel blog temasını sizlerle paylaşmak istiyorum.

Kendinize kişisel blog açıp güncel yazı girmek istiyorsanız gerçekten çok iyi hazırlanmış bir tema. Eğer kişisel bir sitem olmasaydı kesinlikle kurardım dediğim bir tema.

Sizde inelediğinizde bana hak vericeksiniz 🙂

https://4.bp.blogspot.com/-JoirDGkq3lo/VWdJGmiBkxI/AAAAAAAAb20/3fbvaZkCkrY/s1600/kisisel-blog-temasi-colorlib.jpg

Bu arada yeni wordpress temalar kategorimizi incelemeyi unutmayın.

Tema bir çok dili destekliyor. Diller arasında Türkçe’de var.

Tema Demo / Tema İndir / Dökümantasyon

Most Popular Topics

Editor Picks