Wordpress ve CMS saldırıları hakkında önemli bilgilendirme!!
Saturday, April 13, 2013

Değerli Müşterilerimiz,

  Sizleri son zamanlarda açığa çıkan ve yayılarak pek çok wordpress ve benzeri blog kullanıcısının etkilendiği ve farkında olmadan etkilenmeye devam ettiği global bir saldırı sıkıntısı hakkında bilgilendirmek isteriz. 

WP sistemlerindeki admin panel erişimlerini kırarak zararlı 3. Parti yazılımlar, malware trojan vb. içerikler yüklenmektedir. Ataklar üzerinde yapılan incelemelerde atakların neredeyse tamamının CMS sistemlerden (wordpress, joomla vb.) kaynaklandığı gözlenmiştir. (Çoğunlukla wordpress) Saldırıların yapısında incelenen ip adreslerinin spoof olması sebebi ile yüklenen zararlı içeriklerin bloklanması engellenebilir durumda tutulması da olası görünmemektedir. 

Siz müşterilerimizin bu ataklardan korunabilmesi ve bu atakların önüne geçilebilmesi için aşağıda hazırladığımız maddeleri gözden geçirmenizi ve mutlaka uygulamanızı tavsiye ederiz;

Ø  Wordpress kurulumunuzu ve tüm yüklü add-on ları güncelleyin ve son sürüme getirin.

Ø  http://wordpress.org/extend/plugins/better-wp-security/ linkinde yer alan Güvenlik eklentilerini mutlaka yükleyiniz.

Ø  Admin şifrenizin mümkünse rastgele yaratılmış olmasına ve rakam, özel karakter, büyük ve küçük harf içermesine dikkat ediniz.

Genel anlamda wordpress kurulumlarınızı daha güvenli bir hale getirebilmeniz için alabileceğiniz diğer önlemlere ilişkin aşağıdaki bilgileri de incelemenizi tavsiye ederiz;

Ø  db_user için DROP komutunu iptal edin. Normal bir Wordpress kurulumunda DROP komutunun bir yetkisi, işlevi bulunmamaktadır.

Ø  README ve Lisans dosyalarını kaldırın. (!) Versiyon hakkında bilgi sağlanabildiği için açığa sebebiyet vermektedir.

Ø  Wp-config.php dosyanızı mevcut dizinden bir üst dizine taşıyarak izin bilgisini 400 olarak değiştirin.

Ø  Mutlaka .htaccess dosyanızın erişilemediğine emin olunuz.

Ø .htaccess içerisine aşağıdaki kodu yerleştiriniz. 

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress

order allow,deny
deny from all
 

       Ø  Wp-admin sayfanıza ulaşıma ip kısıtlaması ekleyiniz.

Ø  wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz. define('DISALLOW_FILE_EDIT', true);

Ø  Gereksiz hiçbir dizin için 777 gibi bir global yazma izni tanımlamayınız.

Ø  Bazı önlemleri ve güvenlik amaçlı eklentiyi (wp-security-scan, wordpress-firewall, ms-user-management, wp-maintenance-mode, ultimate-security-scanner, wordfence gibi) http://wordpress.org/extend/plugins/better-wp-security/ linkinden temin edebilir ve kurabilirsiniz.

 

<< Önceki Sayfa