Etiketler ‘2.6’

Wordpress Hack

Perşembe, Ağustos 14th, 2008

Merhaba arkadaşlar ;

Son zamanlarda wordpress ‘in 2.5 sürümünü kullanan birkaç Blogun hacklendiğini gördüm. Malesef ki nasıl hacklendiklerini tam bilmiyorlar. Bir taneside yakın bir arkadaşım. WP yi ben kurmuştum 2.5 sürümünü 2.6 ya güncellememiş. Malesef ki bazı aradaşlar sistemlerini güncellemiyor.

Bence en büyük hata aslında bu. Hacklenen sistemi kontrol edemedim sadece hatırladığım kadarıyla sistem de hiç eklenti yok ve CHMOD izinleri normaldi.  Sorun şu ki hackleyenlerin yada hack ettiğini söyleyenlerin birçoğu wp-config.php dosyasını okuyabildiklerini idda ediyorlar.

Wp-config dosyası okunamaz. Okunamaz çünkü Wp-Config bir php dosyasıdır ve PHP dosyaları Ana SERVER makinada yani host aldığınız makinada APACHE tarafından okunur ve Explorer’e yani kullanıcıya HTML olarak çıktı gönderir.  PHP dosyası APACHE de işlendikten sonra HTML olarak kullanıcıya sunulduğu için hack işi biraz naş…  Bu işin TEORİĞİ…

Fakat pratikte bu dosya okunabiliyor. Nasıl okunabiliyor ? Eğer APACHE kapalı ise o zaman size direkt olarak PHP dosyası gönderilebilir. Yani APACHE kapanırsa o zaman bu dosya okunabilir. Yada CHMOD izinleri bu izinleri WP kuranlar zaten iyi biliyorlar. Özelliklede wp-config.php dosyasını 644 olarak bırakılır. 777  yada 750 olarak bu dosyayı bırakmazsanız sorun olmayacaktır. Zaten 750 veya 777 olarak bıraksanız bile her önüne gelen bu dosyayı okuyamaz.

Anlamadığım şey şu… WP-Config dosyasını okuyabilen nasıl okuyabiliyor. Eğer apache’yi bir türlü kapatabiliyorsa o zaman HOST firması bunu nasıl fark etmiyor ? Kesinlikle fark edilecek birşeydir. Tamam anladık APACHE ‘yi bir şekilde kapattı ve hacker Wp-config dosyasını okudu. Sonra APACHE’yi nasıl aktif edecek ? Etmezse WP çalışmaz ki böylelikle Apache açılana kadar sistemi hackleyemez ki ..!

Yada varsayalım ki wp-config ‘i okuyabilen birisi yada birileri var. Fakat bunu yapabiliyorsa o zaman tüm PHP dosyalarını okuyabilir.  Şu haberde Orhan TOKER abimiz bununla ilgili bir yazı yazmış ve Wp-Config dosyasını nasıl okunamaz hale getireceğimizi anlatmış. Yinede eğer adam PHP okuyabiliyorsa o zaman wp-config.php yi istediğiniz kadar saklayın sistemi %90 ele geçirmiş demektir.

Eğer birisi yada birileri wp-config dosyasını hack edebiliyorsa o zaman KIYAMET KOPAR dersem yeridir. Ortalıkta bırakın Wordpress Sitesini PHP adına hiçbirşey kalmaz..!

SONUÇ ;

1-   Ortalıkta Wordpress 2.5 sistemlerini hackleyenler var bu kesin.

2-   Bir şekilde Apache kapatılabilir ihtimal olsa bile wp-config bu sayede okunabilir. Fakat sonrası ? Tekrar aktif edip nasıl hackleyecek ?

3-   Birisi veya birileri wp-config’i okuyabiliyor dünyanın sonu geldi…

Etiketler: , , , , , , , , , , ,
Katagoriler: Güncel, Güvenlik, Yazılım, İnternet | 8 Yorum »

Wordpress 2.6 Sürümüne Güncelledim.

Perşembe, Temmuz 17th, 2008

Tekrardan selamlar arkadaşlar.  Wordpress 2.6 sürümüne terfi ettim.  Açıkcası tercihim birkaç gün sonra çekmekti ama birkaç tane 2.5.1 WP sürümünün hacklendiğini duyunca güvenliğimi maximum seviyede tutsam da dahil terfi etmeye karar verdim.

Velhasıl kelam 2.6 ya geçiş yaptım. Öncelikle ingilizce sürümünü kurabilirsiniz. Henüz TR sürümü çıkmadı ama çok fazla bir değişiklik yok. Mevcut Türkçe Dil dosyası yeterli durumda. Sadece yönetim panelindeki birkaç kelimeyi Türkçe’ye çevirememekte. Çevirmesine de gerek yok zaten tahmin edebileceğiniz şeyler..

Yönetim panelinde dikkatimi çeken bir nokta

You have 726 yazı, 3 sayfa, 1 taslak, contained within 14 kategori and 2,136 etiket. You have 12,010 total comments, 11,815 approved, 195 spam and 0 awaiting moderation.

Yazısı burada önceki sürümde kaç tane yorum yapıldığını hesaplamıyordu. Aslında buna ihtiyacım vardı diyebilirim. Statlarımı yazarken yorumları hesaplattırmak zor oluyordu. Şimdi rahat rahat yorum sayısını yazabilmekteyim.

Başlangıç sayfasında dikkatimi çeken diğer bir hususda TURBO butonu..!

Speed up WordPress

Sağ üst taraftaki bu Speed up WordPress butonuna bastığınızda Gears kurulumunu aktif ediyor.

hakan yamanoglu:
Tarih:Temmuz 17th, 2008 - 00:29 Duzenle

bkz. Google Gears (:

Hakan’ın yorumunu daha önceki şu yazımda Google Gears dan bahsetmişti.

Aslında Turbo özelliğini kısaca özetlemek gerekirse Wordpress’in bazı dosyalarını LOCAL de çalıştırarak daha hızlı çalışmasını sağlıyor diyebilirim. Gözle görülür bir artış var tabiki … Yalnız bunu yani Gears’ı  herkes kurarsa sorunyok fakat pek fazla kişinin kuracağını sanmıyorum.  Blog yöneticileri kuracaktır. Günce 3-5 yazı yazanlar için pekde gerek yok gibi düşünüyorum ama yoğun yazı giriyor ve sürekli yorum onaylıyorsanız muhakkak ki kurmanızı isterim.

Ben 50 civarında yorum onaylıyorum ve günde 1-2 bazen 3-4 yazı girmekteyim sanırım bir ara kurup sizlerle paylaşacağım.

Birde YÖNET bölümünde TARTIŞMA sekmesinde avartar fonksiyonunu ayarladığımız kısımda avartarı olmayanlar için ek avartar eklemesi yapılmış. 6 avartar seçeneği sunulmuş Gravatar a üye olmayanlar için 6 farklı avartar seçeneğini kullanabilmektesiniz.

Pluginlerim arasından

WordPress Database Backup

Paged Comments

Google XML Sitemaps

Akismet

Clean Options

Adsense-Deluxe

Herhangi bir sorun çıkartmadı ve yüklemede başarı bir şekilde çalışmakta.

hadi kolay gelsin…!

Etiketler: , , , , , ,
Katagoriler: Güncel, Güvenlik, Haberler, Yazılım, İnternet | 4 Yorum »

Theme : N.Design Studio Türkçe : TEAkolik V.2.8 Altyapı : Wordpress
RSS Yorumlar RSS Giriş