Wordpress Sitelerin Hacklenmesi Hakkında Bilinmesi Gerekenler

Merhaba Arkadaşlar

Sıkı bir wordpress bölümü takipçisi olarak sık sık wordpress sitem hacklendi diye konu açılıyor ve bu konularda yorumlara bakıyorum yanlış ve eksik yorumlar geliyor. Haliyle hem yorumu yapan hem de konuyu açan kişi yanlış bilgilerle dolup gidiyor. Öncelikle bir site hackleniyorsa wordpress'ten ziyade altta bahsedeceğim sebepler daha geçerli etkenlerdir.

Sebepler Ne Olabilir

• Kullandığınız Tema'da Zararlı Dosya Yani Shell Dosyası Bulunabilir.
• İllahi sizin sitenizde açık olması gerekmez sizinle aynı server'ı kullanan başka bir sitede açık olsa bile sitenize erişim sağlanabilir
• Brute Force yani Şifre deneme programlarıyla admin panelinize brute force deneyip şifrenizi bulmuş olabilirler
• Kullandığınız ftp programında log tutucu olabilir.
• Bilgisayarınız Trojan Virüsü yerse bilgileriniz karşı tarafa gider.
• Eklentilerden pek hackleneni görmedim ama kullandığınız bir eklenti de açık olabilir.
• Emin olun ki hacklenen wordpress sitelerin çoğu wordpress yazılımında tespit edilen bir açıktan değil sunucudaki başka site üzerinden girilerek hackleniyor
• Sunucu Sahibi Virüs Yemiş Olabilir. Root Bilgilerini Kaptırmıştır Mesela.
• Çok Düşük ihtimalli olsa bile bilgisayarınıza kurduğunuz photoshop cs programı bile olabilir o programdaki kodlama hatası yüzünden oluşan açıkta işini bilen biri bilgisayarınıza sızıp verilerinizi alabilir.
• Daha onlarca yöntem sayabilirim ama düşük ihtimalli onlar o yüzden sayma gereği duymuyorum

Yani sunucunuzda www.site.com var sizin sitenizde www.site1.com iki site aynı sunucu da sitenizi hackleyen kişi www.site.com adresine zararlı dosya sokup sizin sitenizin config bilgilerini okuyarak sitenizi tamamen ele geçirebilir

yorumlara baktığımız zaman wordpress sürümün güncel mi ? , şifrelerini değiştir bu iki seçenek dışında yorum görmüyorum. Anlam veremiyorum arkadaşım bu bilgileri bilmeniz gerek sonuçta burada herkes iyi ya da kötü webmaster ya da webmastercılık oynuyor. defans yapmayı bilmeden atağa geçemezsin.

Peki Önlemleri Yok mudur ? vardır hemen onları da yazayım

• Kullandığınız Temanın bütün php dosyalarını açıp kodlara bir göz atın hiç yoktan shell olsa upload düzeneği olsa hemen anlar kodlara birazcık aşina biri
• Sunucu sahibinizle iletişime geçip symlink konusu hakkında bilgi almasını ve sunucuya siteler arası dizin geçişini kapatmasını isteyin
• Wordpress Admin panelinize captcha koyun brute force programlarını etkisiz kılmak için
• Şifrenizi Mümkünse random karakterlerden oluşturun ve bunu bir deftere kağıda yazın
• Ftp programı olarak filezilla öneririm. Diğerleri yalan
• wp-config.php dosyanızı şifreleyin
• Dosya yazma izinleri yani permission ayarlarını yapın
• Bilgisayarınıza formattan sonra gerekli proları kurun ve c yi fazla alan ile boyutlandırmayın c sürücüsüne deepfreeze kurun
• Çünkü virüsler c sürücüsü için yazılır her zaman sade c sürücüsünde deepfreeze programı aktif olursa hem veri kaybetmezsiniz hem de virüs yeme ihtimaliniz sıfıra yakın olur
• Wordpress.org tarafından sunulan ve bilinen eklentileri tek kullanın

Diğer ihtimaller ile hacklenme oranı düşük olduğundan çözüm yöntemi sunamayacağım. ama lütfen wordpress bölümündeki herkes bu konuyu bir kez okusun ve yanlış yorumlardan kaçınsın. Sürçü lisan ettiysem affola

Kolay Gelsin Arkadaşlar

Özellikle şu premium temaları bedavaya buldum diye sevinip kullanan arkadaşlar, 9 yıllık wp tecrübelerime dayanarak şunu açıkça söyleyebilirim; kullanmayın onları. Emin olun %99.9 u zararlı kod içeriyor. Ben henüz kalan %0.1 i de görmedim bu arada Ben tema yapıp satmıyorum, dikkate almazsanız sizin emeğinize yazık olur er ya da geç.

Arkadaş zahmet edip yazmış bunun altını çizeyim dedim bende, konu için teşekkürler.

Evet bedava premium temaları kullanacaksanız bile iyi bir yazılım bilgisi ve dikkat ile ayıklayıp kullanmanız gerek

Söylediklerinize kısmen de olsa katılıyor ve gerekli gördüğüm düzenlemeleri iletiyorum:
1- Brute Force yani Şifre deneme programlarıyla admin panelinize brute force deneyip şifrenizi bulmuş olabilirler
Düzeltme: Brute Force bir saldırı türüdür ve Türkçe'si "Kaba Kuvvet"'tir, yani sıralı bir şekilde oluşturulmuş bir listeden şifrelerin sırayla alınıp denenmesidir. Bir çok sunucuda önlemi alınmıştır, Wordpress için mevcut mu bilmiyorum ama şu işe yarayan bir kod eklenebilir: "2 dakika içinde 5 kez art arda yanlış şifre girilmişse, istek yapan ip'yi 1 saatliğine banla" gibi.

2- Eklentilerden pek hackleneni görmedim ama kullandığınız bir eklenti de açık olabilir.
Düzeltme: En bilindik "TimThumb" eklentisinde bile açık mevcuttur. http://www.exploit-db.com/wordpress-...-exploitation/
Diğer WP açıkları için şu adresteki ilgili exploitleri inceleyebilirsiniz: http://www.exploit-db.com/webapps/

Ayrıca bir eklentideki açığın henüz keşfedilmemiş ya da yayınlanmamış olması o eklentinin güvenilir olduğunu göstermez.

3- Çok Düşük ihtimalli olsa bile bilgisayarınıza kurduğunuz photoshop cs programı bile olabilir o programdaki kodlama hatası yüzünden oluşan açıkta işini bilen biri bilgisayarınıza sızıp verilerinizi alabilir.

Düzeltme: Koskoca "adobe" firması "Photoshop"u kodlarken hata yapacak da bizim de wp sitelerimiz hacklenecek. Sanırım anlatmak istediğiniz "Photoshop'u cracklı kullananlar'a Trojan bulaşmıştır" Cracklı yazılımlar virüslüdür gibi birşeydi...

4- Wordpress Admin panelinize captcha koyun brute force programlarını etkisiz kılmak için
Düzeltme: Rusların bir sürü decaptcher hizmeti var, brute force için yukarıda söylediğim yöntem en basit şekilde koruma sağlar.

5- Bilgisayarınıza formattan sonra gerekli proları kurun ve c yi fazla alan ile boyutlandırmayın c sürücüsüne deepfreeze kurun
Çünkü virüsler c sürücüsü için yazılır her zaman sade c sürücüsünde deepfreeze programı aktif olursa hem veri kaybetmezsiniz hem de virüs yeme ihtimaliniz sıfıra yakın olur

Düzeltme: Deepfreeze denilen program bir "anti virüs" değildir, sadece bilgisayarı yeniden başlattığınızda "sistem sıfırlaması" yapan bir programdır. örneğin arkadaşı dinlediniz ve C'yi deep freeze ile korudunuz. Peki D için ne yaptınız? "virüs"ler sizin sandığınızdan daha akıllıdırlar ve bir bilgisayar üzerindeki varlıklarını sürekli devam ettirmek isterler. Bu yüzden sisteme mount edilmiş bütün disk sürücülerine (harici disk, dahili disk bölümleri, flash disk, hatta cd ve floppy disk) kendilerini kopyalarlar. (not: virüsler hakkında temel düzeyde daha fazla bilgi için tıklayın: http://tr.wikipedia.org/wiki/Bilgisa...r%C3%BCs%C3%BC )

6- Diğer ihtimaller ile hacklenme oranı düşük olduğundan çözüm yöntemi sunamayacağım. ama lütfen wordpress bölümündeki herkes bu konuyu bir kez okusun ve yanlış yorumlardan kaçınsın.

Düzeltme: "Diğer ihtimaller"den kastınız "henüz bilinmeyen ya da açıklanmamış" ihtimaller ise bu oran sandığınız gibi düşük değil aksine "çok büyük"tür.
Şöyle ki: Yukarıda verdiğim Timthumb örneğini ele alacak olursak bu eklentinin açığının var olduğu bilindiğine göre ilgili eklentiye "yama" yapılarak hacklenme oranı en aza indirgenirken. Henüz keşfedilmemiş (ya da yayınlanmamış) bir yöntemle örneğin akismet eklentisi açığı olduğunda wordpress kullanan sitelerin %99'u hacklenebilir.

Kısacası bu konuları "kulaktan dolma bilgilerle" ben bu işi biliyorum ben önlemimi aldım siz de alın diyemezsiniz...

Eleştirilerin İcin Teşekkürler Dostum

1.Düzeltmene Cevap : Dediğin gibi ip banlama yöntemi ile engellenebilir. Ama bu işlerde ne kadar bilgilisin bilmiyorum ama hack hück işlerine biraz kafa yorduysan bilirsin ki zamanında hmei7 adlı kişi joomla brute force yazarak ve herkes onun peşinden giderek 100 binlerce site hacklendi. Aynısını wordpress içinde yaptılar ona istinaden söyledim.

2.Düzeltmene Cevap : Evet bilinen açıkları var yine joomla ile kıyaslama yapacam joomla modüllerinde ve eklentilerinde bulunan açık sayısına göre wordpress biraz düşük kalıyor. Benim kastettiğim bilinen bazı eklentiler var profesyonel ekipler tarafından yazılan. ki ne kadar profesyonel olsa bile açık olma ihtimali her zaman vardır. Sql olarak değil xss csrf rfi vs bir yöntemi vardır. Dediğin gibi eklenti açığının public edilmemiş olması onu güvenli kılmaz. Ama bu kadar yapıcı ve detaycı isen zaten ister istemez kendini yazılım ve güvenlik işinde bulursun ve daha detaylı önlemler alabilirsin.

3.Düzeltmene Cevabım : Adobe sadece örnekti. Crackli trojandan bahsetmiyorum local ve remote exploitlerin tamamen kendisinden bahsediyorum. Bir çok program local exploitler ve remote exploitler sayesinde bir trojan gibi karşı tarafın bilgisayarına bağlanabiliyorsun

Mesela Koskoca

Adobe Firmasının yazdığı reader programında bulunan bir açık

http://www.1337day.com/exploit/description/20283

http://www.1337day.com/search arama kısmından adobe diye aratarak açıkları görebilirsiniz websitelerinde sadece açık olmaz. elektronik devre akımı olan herşeyin açığını bulabiliyorlar. O yüzden pc'nizdeki programın açığından dolayı bilgisayarınız ele geçirebilir ama bu düşük ihtimaldir söyledim bunu.

4. Düzeltmene Cevabım : Rusların veya başka milletlerin decaptcher hizmeti olabilir. Ama bizim buradaki amacımız senin bilgin benimkinden kötü mevzusu değil senin ip banlama yöntemi ile benim captcha yöntemi bir arada kullanırız brute force veya benzeri saldırıların sistemi ele geçirme şansını azaltır.

5. Düzeltmene Cevabım : Ben de biliyorum virüslerin kendini kopyaladığını ama virüs yazmış olsaydın eğer bilirdin ki virüslerin yüzde 90'ı c sürücüsüne göre yazılır. deepfreeze antivirüs programıdır demedim. Biz burada yüzde yüz güvenlikten hiç bir zaman bahsedemeyiz cünkü biz her zaman defans konumundayız ve saldıran yani heykırlar kafaları farklı calısır her zaman bir yöntem bulurlar. o yüzden o yukarıda ki yazdıklarım sadece hacklenme nedenleri nelerdir. savunma ve defetme yöntemlerini ise gelebilecek sorulara karşın hazırladım. asıl konuyu açmamın sebebi wordpress siteler neden ne şekillerde hacklenebilir.

6. Düzeltmene Cevabım : Diğer bilinmeyen yöntemlerden kastım. Keşfedilmemiş hack açıkları ya da public edilmemiş hack açıkları değil. Mesela sitenizi windows sunucuda barındırıyorsunuz. IIS açığı var ama siz bunun farkına varamadınız IIS Scanner prolarına denk gelirse siteniz bir nebze hacklenme ihtimali olur. Yoksa public edilmemiş hack yönteminin ne kadar zararlar verebileceğini bizde biliyoruz.

Son olarak tanımadığınız kişiler hakkında önyargılı davranıp beni kulaktan dolma bilgilerle olduğumu düşünemez ve suçlayamazsınız.

Benim bu konuyu açmamda hiçbir zorunluluğum yok. Sadece bilinen bir takım yanlışlar var onların düzeltilmesinde katkı sunmak istedim. Adamı sitesi hackleniyor zannediyor ki ya şifresi çalındı ya da kurduğu wordpress'te açık var başka neden aklına gelmiyor çünkü işin detayı hakkında teknik bilgisi yok o arkadaşlara yardımcı olsun diye konuyu başlattım.

Başta belirttiğim gibi olumsuz eleştirilere tamamen açığım sonuçta bilgi paylaşarak büyür ve ek bilgiler geldikçe genişler o yüzden olumsuz yorum ve eleştirilerde hiç zoruma gitmez.

Ama mesajınızın sonunda beni kibirli gösterecek ben bilirim siz dağılın gidin ve bilgimi kulaktan dolma bilgiler diye suçlamanız benim için kabul edilir değildir.

1. Düzeltme cevabına cevap: önerim sadece ip bloklama değildi, tekrar okursan sevinirim, ya da tekrar yazayım: 2 dakika içinde 5 kez yanlış şifre girildiğinde 1 saatliğine ip bloklaması olayı "brute force ataklarına karşı" alınacak olan basit bir önlemdir. Verdiğin joomla örneği "tek bir bilgisayarın brute force saldırısı" yaptığını değil aksine "dağıtık brute force" ya da "bot net ağıyla brute force" saldırısı yapıldığını gösteriyor. Nedir bu dağıtık brute force olayı: 100.000 adet zombi bilgisayardan oluşan botnet ağınız vardır ve "paralel programlama" biliyorsunuzdur her bir zombi bilgisayara belli aralıkları tahsis edersiniz onlar brute force'u parça parça gerçekleştirir. Eğer böyle bir botnet ağının hedefi olduysanız zaten kaçarınız yoktur, siteleriniz zaten elden gitmiştir.

2. düzeltme konusunda hemfikiriz zaten.

3. Düzeltme cevabına cevap: kullandığımız işletim sistemleri de birer yazılımdır, ve bahsettiğiniz olay "yazılımların rootlanması" olayıdır. Madem öyle diyorsunuz o zaman tam sistem güvenliği için hepimiz "redhat linux" satın alıp onu kullanmaya başlayalım. Çünkü piyasadaki en güvenilir işletim sistemi redhat şu sıralar.

4. Düzeltme cevabına cevap: Captcha kodlar brute force ya da diğer saldırıların önüne geçecek türden değildir, daha güvenilir bir yöntem olarak şunu söyleyebilirim: Türkçe 20 tane soru hazırlarsınız ve cevapları veri tabanınızda tanımlarsınız login olurken bu soruları sorar (henüz Türkçe üzerine Doğal Dil İşleme çalışmaları yeterli düzeye ulaşmadığından en güveniliri budur). Doğru cevap gelirse login olur gelmezse olmaz.

5. Düzeltme cevabına cevap: "Virüslerin %90'ı C sürücüsüne göre yazılır" bu iddanızı kanıtlayacak herhangi bir araştırma - akademik makale vb bir yayınla desteklemenizi talep ediyorum, aksi halde gülüp geçeceğim.

6. Düzeltme cevabına cevap: Bilinen açıklara önlem almak yerine korkup bekliyorsanız yapacak bişey yoktur. Bilinen açıklardan korkmaya gerek yoktur, esas konu bilinmeyen açıklardır.

Kulaktan dolma bilgiler konusu: Eğer açtığınız bu başlık sizin görüşlerinize göre "teknik bilgi" kapsamına giriyorsa, benim kişisel görüş olarak bu yazdıklarınıza "kulaktan dolma bilgi" dememde bir sakınca yoktur.

Güzel konu + cevaplarda güzel

Hacklenmelerin büyük bir kısmı ne yazıkki ücretli temaların ücretsiz olarak bilinmeyen kaynaklardan indirilip kurulmasından dolayı insanlar anlamıyor ücretli bir temayı kimse babasının hayrına kırmaz

Cakirtürk Kardeşim dediğim gibi amacımız önlemleri alabileceğimiz derecede almak ve saldırıyı en az zararla atlatabilmek. Güvenlik sorusu güzel soru sayısı arttırılarak daha da güvenlik arttırabilir.

Redhat Linux Konusunda katılıyorum size.

Virüsler konusunda black hat market sitelerinden virüs yazılımcılarıyla iletişime geçerseniz görüşümün desteklendiğini görürsünüz. Çünkü sistem c sürücüsüdür. o yüzden mantıken de olsa virüsün çalışma sistemi c ye göre yazılır.

ben teknik bilgidir demedim sadece bilinen yanlışlara bir kaç düzeltme ve ekleme bir de bilinenin dışnda bilinmeyen yöntemleri belirtmekti.

@FoxTr kardeşim senin mantığınla olursa kimse oyun download işine de girişmez sadece temalar trojanlamak shellemek için dağıtılmaz link kısaltma servislerini dosya uploaddan para kazanmak isteyenlerinde yaptığı bir iştir sizin dediğiniz neden de vardır ama bir neden dışında bir çok faktör var tek nedene bağlamak doğru olmaz