"Vatanını en çok seven, görevini en iyi yapandır."

  • Yeni üyeler Neler Yapmalı, Nasıl Başlamalı? Detaylar için tıklayın
    Rütbeler ve genel görevlendirme konuları hakkında bilgi almak için tıklayın
    Uzmanlık alanları hakkında bildirge için tıklayın
    Güncel forum kuralları için tıklayın
Makale ikonu

Wordpress Hacking : Temel Bilgiler 2021-01-25

indirmek için izniniz yok
Hepinize Merhaba değerli Tz üyeleri! Bu konumuzda wordpress nedir? nasıl kullanılır? sitemi nasıl güvende tutarım? saldırılardan nasıl korunabilirim? neler yapmamız gerekiyor? gibi pek çok sorunun cevabını bulabileceğiniz bir konu olacak. Pek çok başlıktan detaylı olarak inceleyeceğiz. Keyifli okumalar.

Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Öncelikle Wordpress Nedir?

WordPress PHP dili ile yapılmış bir (CMS) içerik yayın sistemidir. WordPress hiç yazılım bilgisi bulunmayan insanların kaliteli ve güvenli site açmasına olanak sağlar. Kurulumu kolaydır. Desteği çok fazladır bir hata alırsanız kolayca destek bulabilirsiniz. Topluluğu çok güçlüdür WordPress için bir çok eklenti bulunur. Güzel görünümlü temalar vardır. Bu nedenler dolayısıyla WordPress çok popülerdir ve kullanımı bir o kadar yaygındır.



Peki CMS Nedir?

CMS dair bir konu paylaşmıştım. Buradan (Tıkla) Okuyabilirsiniz. Şimdi devam edelim.

Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Wordpress Sitemin Güvenliği İçin Neler Yapabilirim?

Evet güvenlik son derece önemlidir. Sitenizin güvenli olabilmesini istiyorsak ilk olarak zaafiyetleri bilmemiz gerek. Sonuç itibariyle gün geçtikçe iyi kötü her şey gelişiyor. Saldırganların saldırı yöntemleri de bu gelişmeler arasında. Neredeyse en çok saldırı alan içerik sistemi Wordpress oldu. Bu yüzden her sistem risk taşıyabiliyor. Ancak WordPress için geliştirilen eklentiler ve alacağınız bir takım önlemler sayesinde sisteminizi korumanız mümkündür. Şimdi başlık başlık inceleyelim.



Admin Panel Yolunu Değiştirin

Lock Down adlı eklenti sayesinde wordpress admin yolunuzu değiştirebilirsiniz. Bu şekilde yapılacak olan klasik brute force yani deneme yanılma yöntemi saldırılarından kurtulabilirsiniz. Ya da herhangi bir sql açığı sayesinde ele geçirilen şifreniz varsa bu şekilde panele girişler engellenebilir.



Warez Tema Kullanmayın

Hoşunuza giden paralı temalar olabilir. Bunu almaya gücünüz yok ise, internette paylaşılmış mı diye arattığınızda bir çok site görebilirsiniz. Unutmayın bu siteler sizin kara kaşınız kara gözünüz için bu temaları paylaşmıyor. İçlerine yerleştirdikleri zararlı yazılımlar sayesinde sisteminize kurduğunuz an kontrolleri altına geçiyor.



Clef Eklentisini Kullanın

Bu eklenti sayesinde sitenizin admin paneline giriş yapılmak istediği zaman giriş ekranının altında bir barcode ekranı belirir. Bu kodu telefonunuza kurduğunuz uygulama ile okutmadığınız sürece panel açılmaz. Bu şekilde panele izinsiz girişleri engelleyebilirsiniz.



Limit Login Attempts Eklentisi Kullanın

Bu eklenti ile, brute force saldırılarını etkisiz hale getirmiş olursunuz. Belirleyeceğiniz adet sayısı sonra kullanıcı adı, şifre kombinasyon denemesinden sonra belli bir süreliğine banlanması saldırıları durduracaktır.



Her Eklentiyi Kurmayın

Kuracağınız eklentileri seçerken dikkatli bir şekilde seçin. Onaylanmış ya da çok yüksek indirme sayılarına ulaşmış eklentileri kullanmanızda yarar vardır. Bilmediğiniz bir eklenti kurduğunuzda o eklentinin dosyalarında bulunan kodlarda bir yazılım açığı olabilir. Bu açıklar sayesinde sisteminize erişim kolaylaşır.



Sisteminizi Güncel Tutun

Eski sürüm wordpress kullanmamaya özen gösterin. Genelde hacklenen ve en çok açık barındıran eski sürümlerdir. En son model olan sürümü sitenize yükleyin. Güncel paylaşımlarda bulunun ve sisteminize özen gösterin. Bu sayede siteniz saldırılardan zarar görmeyebilir.



Şifrenizi Güçlü Yapın

En önemlisi bu. Hem username hem de password kısmını güçlü yapın. Örneğin admin admin değil sitesahibi GüÇLü?ŞiFrEx_X yaparsanız saldırganın ilk denemesinde isim admin olmadığı için direkt olarak pes edecektir. Bunu mutlaka yapın.



Güvenilir Hosting Kullanın

Siteniz tam takır korumalı ve tüm işlemleri yaptınız. Ancak kullanmış olduğunuz hosting güvenilir değilse SSL sertifikanız yoksa bu büyük bir sorun demektir. Hemen güzel bir hosting alın, sitenize SSL sertifikası bağlayarajk http adından kurtulun. Https ' ye geçin. Bu sayede siteniz korunaklı olur, girilen veriler şifrelenerek korunur.



Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Tüm işlemlerimizi yaptık. Sitemiz korunaklı gözüküyor. DDOS saldırılarına karşı cloud bağladık ve tüm zararlı faaliyetlere karşı web sitemiz dayanıklı oldu. Ancak hala birşeyler ters gitmiş olabilir. Bunu anlamak için WpScan aracını kullanacağız. Kali linux, parrot gibi işletim sistemlerinde zaten kurulu halde bunuluyor. Bu yüzden kurduğumuzu varsayarak işlemlerimize başlıyoruz.



WPScan Kurulum Ve Komutları

WPScan kali linux üzerinde gelmektedir fakat diğer dağıtımlarda da bu aracı kullanmanız mümkün.



Ubuntu wpscan kurulumu

Kod:
sudo apt-get install libcurl4-openssl-dev libxml2 libxml2-dev libxslt1-dev ruby-dev build-essential libgmp-dev zlib1g-dev

Debian wpscan kurulumu

Kod:
sudo apt-get install gcc git ruby ruby-dev libcurl4-openssl-dev make zlib1g-dev

Fedora wpscan kurulumu

Kod:
sudo dnf install gcc ruby-devel libxml2 libxml2-devel libxslt libxslt-devel libcurl-devel patch rpm-build



Komutlara gelince aslında kali üzerinde “wpscan –help” komutu ile tüm komut örneklerini görebilirsiniz.

wpscan –url Example Domain –enumerate t [Wordpress eklenti açıklarını taratabilirsiniz.]

wpscan –url Example Domain –enumerate p [Wordpress plugin açıklarını taratabilirsiniz.]

wpscan –url Example Domain –enumerate t [Wordpress tema açıklarını taratabilirsiniz.]

wpscan –url Example Domain –enumerate -u [Wordpress kullanıcı açıklarını taratabilirsiniz.]



Araç kurulduğu zaman böyle gözükecektir.

Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Site hakkında genel bir bilgi almak için:

Kod:
wpscan –url www.siteniz.com


Bu kod ile sitede bulunan WordPress eklentilerini görebilirsiniz.

Kod:
wpscan –url www.siteniz.com –enumerate p


Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Bu kod ile güvenlik açığına sahip eklentileri taratabilirsiniz.

Kod:
wpscan –url www.siteniz.com –enumerate vp


Bu kod ile sitede yetkili olan kişileri görebilirsiniz.

Kod:
wpscan –url www.siteniz.com –enumerate u


Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Bu kod ile sitede kullanılan temayı görebilirsiniz.

Kod:
wpscan –url www.siteniz.com –enumerate t


Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Daha fazla kod ve bilgi için şu kodu girin:

Kod:
wpscan --help


Örnek saldırı kodlarımız;


wpscan --url www.hedefsite.com --wordlist /root/wordlist.txt --username - Seçilen kullanıcı üzerine brute force ( Kaba Kuvvet Saldırısı ) Yapar.


wpscan --url www.hedefsite.com --enumerate u // Hedef sitede admin kullanıcılarını arar. Admin kullanıcılarının kullanıcı adını gösterir, bu sayede brute force ( Kaba Kuvvet Saldırısı ) yapabiliriz.


Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Son İşlemler ve Denemeler


Artık tüm koruma işlemlerimizi gerçekleştirmiş olduk. Üzerinde bir de WpScan aracımız ile arama, tarama ve zaafiyet çalışması gerçekleştirdik. Hala bir sorun yoksa yani sitemiz tertemiz ve güvenli bir durumda gözüküyorsa bu çok iyi. Son işlem olarak kendi sitemize kendimiz saldırmaya çalışalım. Şifre denemeleri yapalım. Siteyi erişime kapatmaya çalışalım. Geriye kalan pek çok saldırıları deneyelim. Sonuç gene temiz çıkacaktır. Çünkü tüm önlemlerimizi almış olduk. Ancak olur da komple genel itibari ile wordpress hacklenirse işte o zaman wordpress kullanan tüm sitelerin başı dertte olacaktır. Bu ihtimal de düşük. Kısacası tüm gerekli işlemlerimizi gerçekleştirmiş olduk.


Bu resim yeniden boyutlandırıldı, tam halini görmek için tıklayınız.



Phishing ve Sosyal Mühendislik Saldırılarına Dikkat

Tüm önlemlerimize rağmen birileri tarafından mailinize yada iletişim içinde olduğunuz hesabınıza gelen sahte linkler, reklam sponsorluk mesajları, program indirin sisteminiz tehlikede, güncelleme yapın, sisteminizde virüs tespit edildi hemen temizleyin vb. tarzında mesajlarada asla inanmayın, kanmayın. Eğer ciddi bir açık olsa idi zaten sitemizi çoktan hacklerler ve zarar verirlerdi. Buradaki asıl amaç sizi kandırmak ve siteniz de dahil olmak üzere pek çok bilginize erişmek, olabildiğince daha çok zarar vermeye çalışmaktır. Bu bizim kendi güvenliğimiz için önemli. Çünkü bu yöntemle hacklenen pek çok site mevcut. Biz dikkat ettiğimiz sürece bir zarar vs. gelmeyecektir. Son olarak sitenizi güncel tutmaya çalışın ve her zaman gelişim odaklı çalışın.


Alıntıdır.
Yazar
1njecti0n
İndirilme
0
İlk Yayınlama
Son Güncelleme
Değerlendirme
0.00 yıldız(lar) 0 rating

1njecti0n kullanıcısının diğer makaleleri;

Üst