Wordpress sitelerine saldırı

Son zamanlarda Wordpess kullanan tüm web sitelerine global anlamda bir saldırı yapılmaktadır.Bu saldırılardan dolayı gerek web sayfalarında sorun olmakla beraber sunucular üzerinde yavaşlamalar yaşanmaktadır bu saldırıların nedeni wordpess üzerinde kullanılan SEO amaçlı tasarlanmış Social media eklentileri ve Witget modülleridir. Bu tür modüller sayfanızı yavaşlatacağı gibi aynı zamanda saldırılarada karşı sizi korumasız bırakmaktadır.

Bu saldırları önlemek için öncelikle kullandığınız sürümü son süreme güncellemeniz ve bazı dizin ve güvenlik ayarlarını mutalaka yapmalısınız.Gerksiz hiç bir modülü kullanmayınız. Wordpess kurumunun kendi yayınladığı ve güvenli olarak işaretlediği modüller dışında modül kullanmayınız. Çünkü içerisinde ne gibi bir kod yapısı olduğunu bilemezsiniz sayfanızda sizdne habersiz link ekleyebilir hatta veritabanınıza erişebilir zarar verbilirler sayfanız üzerinden başka sitelere saldırı dahi gerçekleştirilebilirler.

Aşağıda verdiğimiz yönergeleri mutlaka ugulayınız.

Wordpress Security Plugin kurmalısınız.

http://wordpress.org/plugins/better-wp-security/
http://wordpress.org/plugins/better-.../installation/

Bundan sonra yapılacak dizin ve güvenlik ayarlamaları.

http://codex.wordpress.org/Hardening_WordPress

wp-includes klasörünü güvenli hale getirin.

.htaccess içerisine aşağıdaki kodu yerleştiriniz.

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# BEGIN WordPress

<files wp-config.php>
order allow,deny
deny from all
</files>

wp-config.php içerisine aşağıdaki kodu ekleyiniz varsa değiştiriniz.

define('DISALLOW_FILE_EDIT', true);

Son olarak hiç bir dizine chmod 777 yapmayınız yazılabilir yetki için 755 kullanmanız gerekmektedir.

Bu yamaları yapacak vaktiniz olmaz ise bu süre içerisinde wp-login.php dosyasınız chmod 400 yapınız.

Bu yöntem denendi mi ? Başka sıkıntılar gelmesin wordpress sitelerimizde ?

Bu bilgiler tarafıma host firmam tarafından verildi. ben kendi sitelerimde uyguladım. Gözlemlediğim bir açık gözükmüyor.