Geçen bir tema hoşuma gitti boşta duran bir domainime en güncel sürümü ile birlikte kurdum. aradan 3 gün geçmediki, bizim kendilerini white hat iyiniyetli sanan çoluk çocuk hackerlarımız wp yi hacklemişler birde açıklarınızı kapatın demişler. *** açığı bilsem ben sana açık bırakır mıyım madem o kadar iyi niyetlisin açığı açıklar bir mesajda bırak.
Yani wp kullanan herkes her an her şeye hazırlıklı olsun. en son 4 sene önce kurmuştum o zamanda aynısı olmuştu, şimdi de aynısı oldu.
Bu kadar emeğe saygısızlık ancak olur, bir de amacımız hacklemek değil demişler, sayfayı komple silmişler. Ben daha sitelerimi hackleyen tek yabancı görmedim, hepsi türk, iş yapacaksanız adam gibi yapın.
Madem açık var ve iyi niyetlisiniz. bir e-mail atın şurada şurada açık var diye, yoksa sizin iyi niyetli olduğunuza kimse inanmaz.
Fikri olanlar konu altında paylaşırsa sevinirim.
yine wp yine hack
8
●3.261
- 14-11-2013, 19:25:39Öncelikte her eklenti her temayı yüklemeden önce bir göz gezdirmek gerekiyor kodları vs vs shell gömülü temalar bolca mevcut en azından temayı virüstotal jotti gibi sitelerde taratmak faydalı olacaktır hocam.
Dosya izinlerini şu şekilde düzenlerseniz de ayrıca faydası olacaktır.
Ana dizin (root directory) : 755
wp-includes/ : 755
wp-admin/ : 755
wp-admin/js/ : 755
wp-content/ : 755
wp-content/themes/ : 755
wp-content/plugins/ : 755
wp-admin/index.php : 644
.htaccess : 644
wp-config.php : 644 - 14-11-2013, 19:29:13Herseyı wpye yuklemek anlamsız, bu kadar kolay hacklenen sıstem olsa dunyada en cok kullanılan sıstem nıye olsun? Madem wpde acık var nıye sızın sıtenızı hacklesınler de baska buyuk sıtelerı hacklemesınelr?
Temadan olabılır, eklentıden olabılır, hosttan olabılır, herseyden olabılır bu acık. Bu kadar kolay olmamalı senelrın emegıne leke surmek. Yine wp yine hack hıc yakısmamıs. - 14-11-2013, 19:50:25dediğiniz doğru haklısınız ancak, wp nin en eksik yönü açık kaynak olması, bu nedenle mevcut açıklar, ya da açık ihtimalleri herkes tarafından biliniyor, bu işe hevesli herkes tarafından o nedenle hacklenebiliyor olmasını belirtmek istedim. Ancak bir açık kaynak kodlu olmayan sistemi hacklemek herkesin işi değildir diye tahmin ediyorum.
Bende wp site kuracaklara dikkatli olması gerektiğini hatırlatmak istedim. wp nin en büyük açığı açık kaynak kodlu olmasıdır.
Düşünün bir kere siteyi hackleyip
bu şekilde gülücük bırakan kişi kaç yaşında olabilir?
- 14-11-2013, 19:59:33öncelikle geçmiş olsun,hakimi adlı üyeden alıntı: mesajı görüntüle
düzeltmek için şu: http://codex.wordpress.org/FAQ_My_site_was_hacked
güvenlik için şu: http://blog.ausweb.com.au/10-reasons...s-site-hacked/
adreslere bakabilirsin.
siteni kesinlikle güncel tutmalı, sitenin wp olduğunu gizlemelisin. cloudflare kullanmakta iyi bir çözüm
arkadaşa katılırım bu konuda. wp altyapı karmaşasası, temalar v.s. derken hacklenmemek şans eseri oluyor. wp tam olarak bunun çözümlerinide alabilmiş değil. her halukarda birgün herkez wp sitesinin hacklendiğini görecekAlperA. adlı üyeden alıntı: mesajı görüntüle - 14-11-2013, 21:10:51teşekkürler. verdiğin linkleri ayrıntılı şekilde inceledim gerekli işlemleri yaptım. Muhtemelen cross scripting açığıdır diyorum ama, dosya izinleri ile alakalı da olabilir.
İşin ilginç yanı, site bir yıldan fazladır kapalı idi nasıl hemen buldular? eklentilerle de alakalı olabilir diye düşünüyorum? Acaba eklentinin birinde gizli bir kod mu gömülü? Fazla bir eklenti aktif değil. 3 adet kendi yazdığım eklendi var bir adet de dışarıdan yüklenmiş bir eklenti var. - 15-11-2013, 13:45:03hakimi adlı üyeden alıntı: mesajı görüntüle
tüm klasörlerin yazma izinlerini kaldırmazsan hacklenirsin.
aytıca wp-config.php : 644 yerine 400 olmalı. Böylece DB bilgilerini göremez.
bu şekilde gülücük bırakan kişi kaç yaşında olabilir?
