27 Mart 2013 Çarşamba

Wordpress İlk Adım Güvenliği


Wordpress Güvenliği
Merhaba arkadaşlar ,

Biliyoruz ki Wordpress kuran çoğu arkadaşımız hackleniyor. Bu sorunu çözmek aslında zor iş değil. Biliyoruz ki Wordpress'e taşınıyoruz ve şuan kuruluma başladım bir kaç hafta içinde yayında olacak. Bu nedenle uyguladığım bazı şeyleri sizlerle paylaşmak istedim.

Wordpress dünyada en çok kullanılan scriptlerden biri.  Bloglar , kurumsal şirketler ve portallar gibi bir çok site kullanıyor. Wordpress 7 yılı aşkın bir  süre içerisinde sürekli geliştirilen bir scriptdir. Çoğu büyük Wordpress siteleri dahi hacklene biliyor. Bunların kaynağı ya Wordpress'in kendi güvenlik açığı ya da eklentilerden doğan güvenlik açıkları. Şimdi bir kaç adım ile bu sorunları çözelim.

Eğer bir hackerin gözündeyseniz hacker sizin siteniz ile ilgili bilgi toplayacak ve en ufak  bir ayrıntıda siteye dalacaktır.

Saldırgan sitenizin Wordpress olduğunu çok kolay anlar ve daha öncesinde yorulmamak için sizin Wordpress sürümünü öğrenmek isteyecek ve bu sayede işi kolaylaşacak. Wordpress sürümünü öğrenebilmek için sayfanın kaynağına baktığınızda <meta name="generator" content="WordPress 3.5.1" /> gibi bir kod görebilirsiniz yani bu şekilde Wordpress sürümünü öğrenmiş olacak. Bu çok önemli bir açıktır ve yazılmış bir exploit ile admin bilgilerine rahatlıkla ulaşabilir.  Şimdi ise bu açığın nasıl kapatılacağına gelelim. İlk olarak wp-content/themes/temaadı/function.php dosyasını açıp uygun bir yere remove_action (’wp_head’, ’wp_generator’); kodunu ekleyip meta etiketleri arasındaki bilginin görüntülenmesini engellemiş oluruz. Size önerim sürekli güncel tutun ancak yeni güncelleme çıktığı gibi güncelleme yapmayın , güncelleme notlarını okuyun ve 1-2 hafta sonra geçiş yapın.

Saldırgan sade bunları yapmakta kalmaz ve siteyi her hangi bir yazılım ile tarana yapacaktır. Wordpress olduğunu bildiği için sitenizi en uygun Backtrack wpscan tool ile tarayabilir. Çünkü bundan önceki paragrafta sürüm numarasının gözükmesini engelledik ve saldırgan yine işin peşini bırakmayıp Wordpress ile ilgili bilgilere bu program ile rahatlıkla ulaşmak isteyecektir. Bu sorunun çözümünü bilmiyorum ancak güncel sürüm yetecektir diye düşünüyorum.


Saldırgan bu yöntemleri de denedikten sonra yapacağı bir diğer saldırı yöntemi brute force bunun için site yönetici ismine bakmak olacaktır. Sitede ki herhangi bir yazıda ki “root tarafından 22 Temmuz 2012 tarihinde gönderildi” ifadesinden kullanıcı adının root olduğunu bilecek ve saldırısını ona göre şekillendirecektir. Wpscan brute force saldırılarına olabilirlik vermektedir. Saldırgan bunun için sağlam bir wordlist ile bu saldırıyı gerçekleştirebilir. Peki biz bu konuda ne gibi önlemler alabiliriz. Öncelikle bence saldırgan root kullanıcısını wplogin.php den bir deneme yapacaktır. WordPress kullanıcı adını doğru şifreyi yanlış yazdıgınızda
HATA: root kullanıcısı için girmiş olduğunuz parola geçersiz.Parolanızı mı unuttunuz Şeklinde yanılgı verecektir. Gördünüz mü saldırgan için önemli bir bilgi neden Saldırgan diyecektir ki hımm kullanıcı adı doğru parola yanlış o zaman brute force yapabilirim. WordPress in bu gibi yanılgı mesajlarını vermemesi için. Temanın wpcontent/themest/temaismi/function.php dosyasının uygun yerine add_filter(’login_errors’,create_function(’$a’, “return null;”)); kodları eklediğimizde bu gibi yanılgı mesajlarını ekrana yansıtmayacaktır. Bu önlemin ardından en önemli önlem bence şifremizi 12 hani içinde sayı ve rakamların yanında özel karakterlerinin bulunmasıdır. Ardından yapılabilecek bir başka yöntemde wordpress standart www.site.com/login.php yolunu değiştirmek olacaktır. Bu işi yapan programlar var, eklentilerde olabilir. Standart login.php giris.php şekli gibi değiştirerek ve admin paneli şifreleyecek de güvenliği artırabilirsiniz.

Saldırgan örnek buraya değin yolları denedi ve bir şekilde yada toplumsal mühendislik ile bir yol bulup kendini admin panelden içeri attı diyelim. Saldırgan bu noktada bir şekilde shell atıcaktır. Panelden bir kaç shell atma yöntemi var bunlardan bazıları için önlem almak yararımıza olacaktır. Örnek herhangi bir şekilde temayı editleyerek yada eklentiyi editleyerek shell kodlarını oraya atıp shelli çalıştırabilir. Biz bu en yalınç yolu kapatırsak yararımıza olur. Bunun için wpadminthemeeditor.php ve wpadmin/plugin/editor.php php dosyalarının içini boşaltırsak ilgili tema ve eklentiyi editleyip shell atamaz. Peki saldırgan için yollar bitti mi hayır. Ne yapabilir başka  Herhangi bir eklenti yada tema indirir. Tema zip haldedir bunu açar içindeki herhangi bir dosyayı editler yada shellini atar içine yineleme zipler ve zip halinden temayı yada eklentiyi yükler ve kurar. Daha sonra shellin yolunu bulur ve çalıştırır. Buda bir saldırı yöntemi ancak bunun için bir önlem almamız olabilir değil.varsa bir önlem alta post geçebilirsiniz.


Saldırgan bu yöntemleride deneyerek herhangi bir şekilde amacına ulaşamadığını sayalım. Ancak öyle böyle sitenizi ele geçirmek istiyor bunun için serverdaki diğer sitelerde açık arayarak sizin sitenize saldırmaya çalışacaktır. Bunun için eylemsiz bilgi toplama adımında ki who is çekmede sizin ip den sitedeki diğer siteleri bulacaktır. Bu sitelerden herhangi biri ile site bilgilerine ulaşıp shell attığında serverdadır diyebiliriz. Bu noktadan sonra saldırgan deneyeceği ilk nesne serverda root yetkilerine ulaşmak olacaktır.bu noktada tedaya girmiyoruz bir şekilde root olduğu anda sizin yapabileceğiniz pek bir nesne kalmıyor burada ancak sağlam bir host firması ile iş yapmak belkide alınabilecek en iyi önlem. Diyelim ki sağlam bir host firması ile anlaştık yine server daki bir başka site üzerinden shell attı ancak bu kez root olamadı ise, saldırgan bu kez config çekmeye çalışacaktır. Bu noktada sağlam bir hosting firması ile iş yaptıktan sonra alabileceğimiz bazı önlemler var bunlardan bazıları aşağıda listeli halde sunumuştur.


  • Config.php dosyasının chmodunu 400 ücretsiz host için 444 yapın. ( Hile-Makale.org baz alınmıştır ) 
  • Dizindeki dosyaların chmodlarını 644  dizinlerin ise 744 yapmanız gerekir.
  • Htaccess içine aşağıdaki kodları ekliyorsunuz. 
# htaccess dosyanızı koruyun order allow,deny deny from all

# sunucu imzanızı silin ServerSignature Off

# dosya yükleme boyutunu 10mb ile sınırlandır LimitRequestBody 10240000

# wpconfig.php dosyasına erişimi engelle order allow,deny deny from all

# wp-load.php dosyasına erişimi engelle order allow,deny deny from all

# dizin listelemeyi iptal et Options All -Indexes

kodunu eklemelisiniz.

İlk adım bu şekilde yazıyı yazarken çok yoruldum diyebilirim ancak çok uzun oldu elimden geldiğince kısaltarak ve özetleyerek yazdım.

Yer: Silivri, Türkiye