Salam dostlar.
Bu dəfə sizə öz təcrübəmdə gördüyüm wordpress i necə təhlükəsiz hala gətirmək olar ? mövzusuna toxunmuşam.Nəzərə alsaq ki istər Azərbaycan istərsə də dünya miqyasında wordpress geniş istifadə olunur. Buyurun gülə gülə oxuyun
Bundan əvvəlki məqaləmi sizinlə paylaşmışdım. Hamı yaxşı bilir ki Azərbaycanca mənbə tapmaq çətindir.
Sizlərə daima belə məqalələr hazırlamaq istəyirəm.
Təbii ki ehtiyac duyularsa
Bunun üçün sadəcə feedback qoyun( yəni komment bildirin).Fikirləriniz mənə maraqlıdır.
Həm də bunun mənə digər məqalələrin yazılmasl üçün həvəs verəcəyini unutmayın
Əgər bu fayllara birbaşa olaraq müraciət etsəniz(yaxud attacker etsə) və serverdə error_reporting=ON (php.ini-də) vəziyyətdədirsə avtomatik information disclosure-dir artıq.
Attacker FULL İnternal Path-i görəcək.Müxtəlif növ attacklarda bu informasiya ona lazım ola bilər.
Ona görə də server tərəfdə adıçəkilən php.ini direktivini OFF etmək lazımdır.
2) Bruteforce cəhdlərinin qarşını almaq üçün Limitlogin attempts plugini qəşəngdir.
3) Comment sistemində SolveMedia antispam plugini əvəz edilməzdir.Comment Spam edən botlara 99% əlvida deyəcək saytınız.
(allow_url_fopen və curl tələb edir)
4) Əgər saytınız/Blogunuz multi-userdirsə Force Strong Passwords adlı plugin istifadə etsəniz lap yerinə düşər.
5) Server üzərində controlunuz varsa o halda lap əla olar WAF vasitəsilə
theme-editor.php
plugin-editor.php
plugin-install.php
readme.html
readme.txt
screenshot.png
WAF səviyyədə blok edəsiniz (.htaccess-lə də mümkündür.)
6) WP özü-özlüyündə kifayət qədər ağır CMS sistemidir.
Performansı qaldırmaq üçün LiteCache plugini istifadə edə bilərsiniz (Çox köməyi dəyir əksər hallarda)
7) Avtomatizə edilmiş vasitələrdən (skanner/flooder) kimi zir zibildən qorunmaq üçün sadə WEB App səviyyədə yazılan antiflood olsa lap əla.
Saytınızı flood edərək down-a aparmaq istəyən adam bir qədər o halda tərləməli olacaq və daha çox güc tətbiq etməli olacaq.
Pis olmazdı robots.txt-də
User-agent: *
Crawl-delay: 259200
Çünki dəfələrlə klientlərdə qarşılaşmışam google botların çox tez-tez crawl etməsi saytın suspendinə gətirib çıxardıb.
Yuxarıda verilən robots.txt kontenti ilə bunun bir qədər qarşısını ala bilərsiniz.(Crawl delayı artırmaqla)
Məndə 1-2 əlavə etmək istərdim.
Wordpress`in demək olar ki bütün versiyalarında site.com/wp-includes/rss-functions.php
FPD var.
Birdə tema upload`ın qarşısı alınmalıdır.
Çünki attacker saytın panelindən içərisində malicious file olan tema upload edə bilər.
Bundan əlavə readme.html faylına da authorization qoymaq məqsədə uyğundur.
Çünki attacker versiyaya ordan baxa bilər və versiya ilə gələn açıqlar ilə sayta zərər verə bilər.
Buyurun dəyməz.
st0rybro və step sizlərə də ayrıca təşəkkürlər
Step, wp da information disclosure qalıb ki? Köhnə versiyalarına şübhəm yoxdu amma pluginləri çıxasaq
core mechanism də info disclosure olmamalıdı axı çünki çox vaxt error lar php nin default error_log faylına atır. Yəqin ki fikrimi çatdıra bildim.
yadımdan çıxıb yazmaq, birdə bu log fayllarına .htaccess ilə birbaşa access kəsmək lazım olacaq. Elə bu səbəbdən.
Vətən Sağ olsun!
Duman salamat qal, Dağ salamat qal..
<?php
/**
* Used to set up and fix common variables and include
* the WordPress procedural and class library.
*
* Allows for some configuration in wp-config.php (see default-constants.php)
*
* @internal This file must be parsable by PHP4.
*
* @package WordPress
*/
/**
* Stores the location of the WordPress directory of functions, classes, and core content.
*
* @since 1.0.0
*/
define( 'WPINC', 'wp-includes' );
// Include files required for initialization.
require( ABSPATH . WPINC . '/load.php' );
require( ABSPATH . WPINC . '/default-constants.php' );
/*
* These can't be directly globalized in version.php. When updating,
* we're including version.php from another install and don't want
* these values to be overridden if already set.
*/
global $wp_version, $wp_db_version, $tinymce_version, $required_php_version, $required_mysql_version;
require( ABSPATH . WPINC . '/version.php' );