Bilgi - iÅŸlem, biliÅŸim ve teknoloji üzerine…

Merhaba arkadaşlar yorumları onaylamak için bugün sisteme girdiğimde  WordPress 2.6.3 is available! Please update now. Yazısını gördüm.

Wordpress Türkiye internet sayfasında yapılan açıklamaya göre

WordPress’in yönetim panelinin başlangıç sayfasında gösterdiği beslemeleri çekmek için kullandığı Snoopy sınıfında ortaya çıkan bir açık dolayısıyla,

Çıkartılmış bir güncelleme paketi. Tüm paketi yüklemeniz gerekmiyor. Sadece 2 tane dosyada değişiklik olmuş. Bu iki dosyayı Wordpress-tr sayfasından indirerek sisteminizi güncelleyebilirsiniz. Hadi kolay gelsin.

http://www.wordpress-tr.com

Merhaba arkadaşlar gördüğüm kadarıyla gelen sorular arasında arkadaşlar Sitemap.XML nasıl oluşturulur ? Site haritasını nasıl göndereceğiz diye sormuşlar.

Bende bir yazı yazayımda arkadaÅŸlara yardımcı olayım dedim. Herkezin site haritası olsun herkes Google‘nin nimetlerinden faydalansın istedim.

Öncelike bu yazıyı yazmama sebep olan İşitme kaybı ve ilhami arkadaşlara teşekkür ediyor ve giriş yapıyoruz.

Sitemap Nedir ?

Bir internet sayfasındaki tüm yazıların linklerini bir dosyada toparlayıp Google, MSN, Ask.com yada Yahoo gibi arama motorlarına bu sayfayı göstererek internet sayfanızdaki tüm linkleri Arama motorlarının anlayabileceği bir hale getirmek amacıyla yapılan XML dosyalarıdır diyebilirim.

Ör :

http://www.teakolik.com/sitemap.xml

gibi dir…

Kodlama ÅŸekli ise :

	<url>	<loc>http://www.teakolik.com/</loc>
		<lastmod>2008-10-03T08:03:01+00:00</lastmod>
		<changefreq>daily</changefreq>
		<priority>1.0</priority>
	</url>

gibi dir...

Site haritanızda önemli olan tüm arama motorlarına uygun bir şekilde dizayn edilmesidir. Arama motorları bu sayfada bir hata bulurlarsa site haritanızdaki linkleri malesef ki önbelleğine alamayacaktır.

Düzgün ve güncel bir site haritası ile Arama motorlarında çok daha yukarılara ön sayfalara ve Google ‘de 1. sayfada çıkmanız için büyük bir etken teÅŸgil eder.

Nasıl Site haritası oluşturabiliriz ?

3 şekilde siteharitası oluşturabilirsiniz.

1. Otomatik

2. Online ÅŸekilde

3. Manuel olarak

1. Otomatik olarak sitemap hazırlamak ;

Tabiki herkesin tercihi bu olacaktır. Niye uğraşayım ? Yeni bir yazı yada bağlantı oluşturduğum zaman internet sayfam kendiliğinden otomatik olarak oluştursun

Öncelikle bunun için önemli olan kullandığınız yazılımdır.

Wordpress altyapısına sahip bir internet sayfanız varsa…

Wordpress hemen hemen her blogcunun vazgeçilmez yazılımlarından birisidir. Wordpress kullananlar için bir Plugin yani eklenti hazır var zaten sadece yapmanız gereken bu eklentiyi indirip internet sayfanızda kurmaktır. Bundan sonra eklenti aktif hale geldiği zaman kendisi otomatik olarak bir yazı eklenir eklenmez site haritasını oluşturacak ve yine otomatik olarak Google, MSN, ASK, Yahoo gibi arama motorlarına bilgilendirme mesajı göndererek siteharitanızı sürekli güncel tutacaktır.

Wordpress için Sitemap eklentisini indirin.

Blogger altyapısına sahip bir internet sayfanız varsa …

Blogger kullananlar içinde sitemap oluşturmak için aslında otomatik bir yöntem var.  Blogger kullananlar malesef ki FTP hesapları olmayan kişilerdir. Bir FTP hesabım yok eklenti nasıl kuracağım ? Gibi sorulara hiç gerek yok.

ÖR : http://isitmekaybi.blogspot.com gibi bir Blogger hesabınız varsa internet adresinizi http://isitmekaybi.blogspot.com/atom.xml olarak yazdığınız zaman sizin XML dosyanız otomatik olarak oluÅŸturulmuÅŸ bir ÅŸekilde karşınıza gelecektir.  Yapmanız gereken sadece Google Hesabınızla Google Webmaster Tools dan bir hesap almak ve site haritanız http://isitmekaybi.blogspot.com/atom.xml ‘i Google Sitemap kısmına eklemektir.  Tabi Google Sitemap bölümünde sitenizi doÄŸrulamanızı isteyecektir. Blogger kullanıcıları burada doÄŸrulama yöntemi olarak META TAG seçmek zorundalar. Bu meta tag ‘ı seçip site doÄŸrulama yaptığınızda Google size bir kod verecektir. Yönetim panelinizden META TAG kısmına bu kodu eklemeniz yeterli olacaktır.

Bu tip altyapılara sahip sistemlerde genelde otomatik olarak Sitemap hazırlayabilirsiniz. Yada PHP ASP yazılım bilgisine sahipseniz biraz böyle iyi bir düzeyde olanlar zaten bir script hazırlayarak otomatik hale getirebilirler…

2. Online olarak sitemap hazırlamak ;

Online olarak sitemap hazırlamak derken kastettiğim şey aslında  bir nevi otomatik Sitemap.XML oluşturma servislerinden bahsediyorum. Bu tip online Sitemap.XML hazırlayan servisler sayesinde birkaç dakikada Sitemap dosyanızı hazırlayabilmektesiniz.

Gelişmiş bir ASP yada PHP tecrübesi olmayan arkadaşlar bu yöntem sayesinde internet sayfalarına bir Sitemap hazırlayabilirler. Bu sayede her yeni yazı yazdıkları zaman birkaç saniyede Sitemap dosyalarını oluşturup Google Sitemap yada Yahoo Sitemap sistemlerine gönderebilirler.

ÖR :

Birkaç tane Online Sitemap.XML hazırlayabilen internet sayfası :

www.xml-sitemaps.com
www.sitemapspal.com
www.sitemapbuilder.net
www.netroglycerine.com/sitemap.html
www.neuroticweb.com/recursos/sitemap

3. Manuel olarak sitemap hazırlamak ;

Aslında internet sayfanız için tek tek elle link yazıp XML dosyasıda oluşturabilirsiniz. Fakat çok daha kolay bir şekilde manuel olarak bir site haritası oluşturabilmeniz için sizlere http://gsitecrawler.com/ internet sayfasındaki Bedava bir program ile Sitemap.XML dosyanızı hazırlayabileceğinizi söylemek isterim.

Wordpress gibi bir altyapınız yoksa bir Blogger blogu değilseniz ASP yada PHP onuda heçtim .HTML ile hazırlanmış bir internet sayfası için bile birkaç dakikada Sitemap.XML dosyası hazırlayabilirsiniz. Bu yöntemi ilhami arkadaşım için öneriyorum.

Sisteminiz ne olursa olsun Gsitecrawler programı sayesinde birkaç dakikada sitemap dosyanızı hazırlayabilmektesiniz. Programı bilgisayarınıza kurun ve Program içerisinde internet sayfanızı yeni bir proje olarak kaydedin. Programa START verdiğiniz zaman birkaç adımda internet sayfanıza bağlanacak tüm linkleri hafızasına alacak ve sonra site Sitemap.XML dosyanızı verecektir.  Bu dosyayı FTP nize göndererek Sitemap.XML dosyanızı hazırlamış olacaksınız.

Programı indirmek için tıklayınız.

DiÄŸer ;

Birde şu bağlantıları inceleyebilirsiniz.

http://tr.wikipedia.org/wiki/Site_haritas%C4%B1

http://www.livetr.org/blogger-da-sitemap-kullanimi/

http://ferruh.mavituna.com/google-sitemaps-hmm-oku/
http://ferruh.mavituna.com/asp-de-hizli-string-birlestirme-oku/
http://ferruh.mavituna.com/hayatinizi-rahatlatan-programlar-oku/

http://www.bilgiservisim.com/2007/08/15/wordpress-icin-seo-araclari/

http://www.katodivaihe.com/index.php/writemaps-site-map-tool/

http://gurkanbicer.com/konu/yararli-web-araclari/#more-537

Hadi kolay gelsin…

Merhaba arkadaşlar bugün Fatih Çiroğlu arkadaşımızdan bir mail aldım. Blogumda HERKES kelimesini yanlış kullandığımdan bahsetmiş.

Aslında haklı bunu hemen hemen herkes yanlış yazıyor.

HERKES kelimesi genellikle HERKEZ olarak yanlış yazılır. Doğrusu herkes dir.

Bende 850 makalede bu kelimeyi birkaç kez yanlış yazmışım. Ä°yi güzel de kim düzeltecek bu kadar yazı arasından herkesi ? Bir kolay yolunu düşüneyim derken Twitter’den @fmavituna @hodolomax ve @c1982 ye yazdım. SaÄŸolsunlar onlarında yardımlarıyla  sonunda MYSQL içerisinden bir komut cümleciÄŸi ile herkes yanlış yazılımını herkes olarak düzelttim.

Etkilenen satırlar: 7 (Sorgu 0.0186 san sürdü)

SQL sorgusu:
UPDATE wp_posts SET post_content = replace( post_content, ‘herkez’, ‘herkes’ ) ;

Wordpress sisteminde yazılarımız wp_post tablosu içerisinde post_content içerisine kayıt edilmekte. Aşağıdaki cümleciği SQL sorgusu olarak çalıştırdığımızda. Wordpress içerisinde bir kelimeyi başka bir kelime ile düzeltebilmektesiniz.

Sonuç olarak herkes kelimesi herkes olarak deÄŸiÅŸtirildi. Tüm yazılar içerisindeki yanlış yazılan herkes kelimesini düzeltmiÅŸ olduk. Hadi kolay gelsin…

Merhabalar arkadaşlar. Bugün sizlere geçenlerde bahsettiğim şu ve şuradaki yazılarımın ve araştırmamın sonucu olarak bilgilendirme amaçlı olarak Wordpress üye kaydı açığından bu güvenlik açığı ile sisteminizin nasıl ele geçirebiliceğinden ve korunma yönteminden bahsedeceğim.

Dünkü ÅŸu yazımda az daha Blogumun az daha hackeneceÄŸinden bahsetmiÅŸtim. Malesef ki az daha lamerin birine yem olacaktık ve bütün karizma alt üst…  :)

Wordpress sistemlerinde belirlenen bir açık WordPress 2.6.1 SQL Column Truncation Vulnerability olarak açıklanan bu güvenlik açığı sayesinde 2.6.1 sistemlerin admin şifrelerini birkaç saniye içerisinde ele geçirebiliyorlar.

Problem :

WordPress 2.6.1 SQL Column Truncation Vulnerability sayesinde sistemdeki admin kullanıcısına sahte bir e-mail ile ikinci bir admin kullanıcısı eklenerek ve sonrasında şifrelerin ele geçirilmesi :

http://www.milw0rm.com adresinde yayımlanan şu yöntem sayesinde eğer Wordpress sisteminizde isteyen herkes üye olabiliyorsa yani üye kaydına izin veriyorsanız sisteminiz heran hacklenebilir..!

Yapılışı :

Åžuandan itibaren bu yöntemle sistem hackleyenlere LAMER diye hitap edeceÄŸim.  Lamer = Saldırgan olarak tanımlıyorum…

Lamer ilk önce kurbanın internet sayfasındaki şu linke gidiyor.

kurbanınadresi.com/wp-login.php?action=register

Bu link ile sisteme üye olacağı wp-login sayfamız yani giriş sayfamızdaki kayıt ol linkine gidiyor.

Kullanıcı adı : admin                                                       x

E-mail :  lamerin@e-mail.adresi

Kullanıcı adını admin olarak giriyor ve admin yazdıktan sonra 55 tane boÅŸluk ve bir tane x  yapıyor. Bu sayede sistem Wordpress’inizin  wp-users tablosunda ikinci bir admin kullanıcısı oluÅŸturmakta.  E-mail kısmınada kendi e-mail adresini girmekte.

Sistemdeki bu güvenlik açığı sayesinde sisteminizde 2 tane admin kullanıcısı oluşturulmakta. Normal şartlar altında ikinci admin kullanıcısı yani 2 tane admin useri oluşmaması gerekmekte. Fakat  WordPress 2.6.1 SQL Column Truncation Vulnerability sayesinde saldırgan sisteminize 2. admin kullanıcısını bir tıkla wp-users tablonuza ekliyor. Daha sonra

kurbanınadresi.com/wp-login.php?action=lostpassword

Linkine tıklıyor ve bu linkte Wordpress sisteminizin şifremi unuttum penceresi geliyor. Bu pencereyi hepiniz biliyorsunuzdur. Şifrenizi unuttuğunuzda e-mail adresinizi yada kullanıcı adınızı girerek şifrenizi alabilmektesiniz.

Kurban bu linke kendi e-mail adresini yani

Kullanıcı adı : admin                                                       x

E-mail :  lamerin@e-mail.adresi

Dostlar merhabalar yanlış duymadınız az daha TEAkolik.com adresimi hackliyorlardı. Kendini akıllı sanan bir lamer kalkmış sistemi alt üst edecek…

Bilmiyor ki 7 /24 sistemi kontrol ettiÄŸimi… Åžimdi sizlere dakika dakika neler olduÄŸunu anlatayım…

Sistemimde üyelik zorunlu deÄŸil hepiniz biliyorsunuzdur. Ayrıca Ãœyelik linkini sayfanın en altına sıkıştırdım. Yinede okuyucularım saÄŸolsunlar sürekli üye oluyorlar. Bugün itibariyle toplam 800 den fazla üye sistemimde kayıtlı ve birçoÄŸu saÄŸolsun aktif olarak yorum yapmaktalar. Zaten yorum sayısı olarak 12.985 e kadar yükseldim. Açıkcası diÄŸer blog sahiplerini bilmem ama benim için büyük bir rakam… 788 yazıma toplamda 13.000 e yakın yorum…

Üyelerimi sürekli takip etmekteyim. Özelliklede birisi üye olduğu anda bana otomatik olarak mail gelmekte. Bugünde öğlen saatlerinde birisi üye oldu sistemime maili görünce şöyle bir göz gezdirdim. Fakat ne göreyim..!

Gelen mailde  :

Bilgi - iÅŸlem, biliÅŸim  ve teknoloji üzerine… blogunuz için yeni kullanıcı kaydı:

Kullanıcı adı: admin

E-posta: kabadayi1777@hotmail.com

Nasıl olur diye düşünmeye baÅŸladım ?  Bende zaten “admin” olarak kayıtlı bir kullanıcı var. Wordpress’in varsayılan kullanıcısı peki nasıl olurda Admin olarak üye olunur ?

Bekledim birkaç saniye sonra bir mail daha aldım …

Gelen 2. mailde :

Aşağıdaki site ve kullanıcı adı için parola sıfırlanma isteğinde bulunuldu.

http://www.teakolik.com

Kullanıcı adı: admin

Gördüğüm kadarıyla admin kullanıcısı şifremi unuttum yaptı ve şifreyi ele geçirdi.

Gelen 3. mailde :

Şu kullanıcı için kayıp parola yenisiyle değiştirildi: admin

Yok canım daha neler Wordpress kullanıcılarını kontrol ettim.

Admin sistemde 1. id ye sahip bir kullanıcı zaten ben sistemin güvenliÄŸi için admin kullanıcısının tüm yetkilerini almıştım. Ama sistemde 2 tane admin var…! Nasıl oluyor bu ?

Peki sonra ?

Tabiki lamer arkadaş admin olarak sisteme login oldu ve yönetici yetkisi olmadığını gördü. Fakat vazgeçmedi. Akabinde bir mail daha aldım.  Tabi bu sırada sistemdeki admin kullanıcısını uçurdum.

Gelen 4. mailde :

Kullanıcı adı: TEAkolik

E-posta: karizmatikhacker@hotmail.com

Nasıl olabilir ?  Zaten sistemde 1 tane TEAkolik var 2. si nasıl olabilir ?  Hemen PHPMYADMIN den Wp_users tablosuna gittim. Tabloda gerçektende 2 tane TEAkolik vardı.

PhpMyAdmin

Wp_Users  tablosu :

DATABASE :

ID       USER_LOGIN        USERPASS             USER_NICK_NAME       USER URL                     USER URL
2           TEAkolik       $P$BnQobXXX                 teakolik          teakolik@teakolik.com     http://

USER REGISTER                 USER_ACTIVATION_KEY  user_status    DISPLAYNAME
2006-10-25 20:30:42          activekeyXXXXX                 0               TEAkolik

ID       USER_LOGIN        USERPASS             USER_NICK_NAME       USER URL                            USER URL
850      TEAkolik         $P$BXK6vXX              teakolik-x       karizmatikhacker@hotmail.com     http://

USER REGISTER                 USER_ACTIVATION_KEY  user_status    DISPLAYNAME
2008-09-08 10:49:55      activekeyXXXXXX                    0              TEAkolik

Açıkcası ÅŸaşırdım ki öyle bir ÅŸaşırdım …. Sistemde 2 tane admin olduÄŸu gibi 2 tane TEAkolik oldu.

2. ID de kayıtlı olan tabloda TEAkolik benim kullandığım.   850. ID de kayıtlı olanda bu lamerin yaptığı…

İlk önce bir karakter farkı vardır diye düşündüm ama yoktu. İkiside aynıydı. Peki nasıl olabilir ?

Ben bunlara bakarken bizim lamer…

Gelen 5. mailde :

Aşağıdaki site ve kullanıcı adı için parola sıfırlanma isteğinde bulunuldu.

http://www.teakolik.com

Kullanıcı adı: TEAkolik

Bizim lamer iyi tahmin etmiş. TEAkolik.com da TEAkolik yönetici yetkisine sahiptir. İyi güzel sonra bir güzel şifreyi değiştirdi. Tabiki buna izin veremezdim.

Diğer yönetici yetkisine sahip user ile sistemdeydim zaten TEAkolik kullanıcısının tüm yetkilerini aldım. Lamer çekti gitti..

Gelen 6. mailde :

Şu kullanıcı için kayıp parola yenisiyle değiştirildi: TEAkolik

Az daha tüm sistemi lamerin birinin eline verecektik. Sistemi sürekli takip ettiğim için şükürler olsun ki müdahaleyi tam zamanında hallettim ve hiçbir şekilde zarara uğramadan sistemi korudum.

Gördüğüm kadarıyla yeni üye kaydını kullanarak artık hangi açığı kulllanıyorsa üye olarak bunu yapmaktaydı. Sistemindeki üyeliği kaldırdım ve hiçkimse üye olamaz bir şekilde ayarlardım. Diğer internet sayfalarım TEAkolik.info ve Driveristek.com domainleriminde üye olma işlevlerini devre dışı bıraktım.

Yönetim paneli > Ayarlar > Genel :

İsteyen herkes üye olabilir.   Kutucuğunu kaldırdım.

Son anda yırtmıştım. Gerçi sorun değil sonuçta hergün Databasemin yedeğini alıyorum en fazla birkaç dakika sistemi hackliyebilirdi. Tabi bütün karizma mafiş internet aleminede  hafiften rezil olurdum.

Benim gibi güvenliğe önem veren herkes sürekli yedek alır ve sistemlerini 7/24 kontrol ederler..!

Evet peki sonra ?

İlk yaptığım iş  DB yedeğini almak oldu. Sonrada hemencik bugünün tarihindeki Logları bilgisayarıma kayıt ettim.

Bugün lamerin bağlandığı saatlerde bağlanan linkere baktığımda dikkatimi çeken tek link ..

/wp-admin/admin-ajax.php    690    154 Bytes         7

diÄŸer bir log kayıdında ise…

62         Sep/ 6/08 9:24 PM    /wp-admin/index-extra.php
16         Sep/ 6/08 9:24 PM      /wp-admin/index-extra.php?jax=devnews
16         Sep/ 6/08 9:24 PM      /wp-admin/index-extra.php?jax=incominglinks
16         Sep/ 6/08 9:24 PM      /wp-admin/index-extra.php?jax=planetnews
14         Sep/ 6/08 9:24 PM      /wp-admin/index-extra.php?jax=plugins

88.238.130.XXX - - [08/Sep/2008:04:14:46 -0400] “GET /wp-login.php?action=register HTTP/1.0″ 200 1955 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.238.130.192 - - [08/Sep/2008:04:14:48 -0400] “GET /wp-admin/css/colors-fresh.css?ver=2.6.1 HTTP/1.0″ 200 13843 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.238.130.192 - - [08/Sep/2008:04:14:57 -0400] “POST /wp-login.php?action=register HTTP/1.0″ 200 2112 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.238.130.192 - - [08/Sep/2008:04:15:14 -0400] “GET /wp-login.php?action=lostpassword HTTP/1.0″ 200 1798 “-” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.238.130.192 - - [08/Sep/2008:04:15:56 -0400] “POST /wp-login.php?action=lostpassword HTTP/1.0″ 200 1928 “http://www.teakolik.com/wp-login.php?action=lostpassword” “Mozilla/5.0 (Windows; U; Windows NT 6.0; tr; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16″
88.244.244.10 - - [08/Sep/2008:04:55:59 -0400] “GET /wp-login.php?redirect_to=http%3A%2F%2Fwww.teakolik.com%2Fwp-admin%2Fupload.php%3Fstyle%3Dinline%26tab%3Dbrowse%26post_id%3D636%26_wpnonce%3D21d201a5f5%26ID%3D637%26action%3Dview%26paged HTTP/1.0″ 200 2226 “http://www.teakolik.com/orite-rn-3500-3100-3000-webcam-vista-suruculeri/?cp=all” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)”
78.187.16.172 - - [08/Sep/2008:06:40:05 -0400] “GET /wp-login.php?action=register HTTP/1.0″ 200 1955 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
78.187.16.172 - - [08/Sep/2008:06:40:09 -0400] “GET /wp-admin/css/login.css?ver=2.6.1 HTTP/1.0″ 200 1436 “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”
78.187.16.172 - - [08/Sep/2008:06:40:55 -0400] “POST /wp-login.php?action=register HTTP/1.0″ 302 - “http://www.teakolik.com/wp-login.php?action=register” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)”

Açıkcası bu loglarda hiçbir gariplik göremedim diğer satırlarda da birşey yok. Bu arkadaş bu lamer arkadaş sistemi üye kaydı ile hacklemeye çalıştı. Üyeliği kapatınca çekti gitti. Fakat nasıl oluyorda 2 tane admin kaydı yada 2 tane TEAkolik kaydı olabiliyor ?

Açıkcası merak ettiÄŸim buydu. Zaten yukarıda da söylediÄŸim gibi Database içerisinde de kontrol ettim. Ä°ÅŸin ilginç tarafı üye kaydında bulduÄŸu açık ile sisteme üye olurken kendi e-mailini veriyor ve TEAkolik’in 2. kopyası farklı e-mail ile sisteme üye oluyor. Sonra ÅŸifremi unuttum yaparak ÅŸifremi mi çalacaktı yoksa kendi ÅŸifresini tekrardan mı alacaktı ? Bu gerçektende çok merak ettiÄŸim bir durum..!

SÄ°STEM VE ALTYAPISI :

Wordpress  Sürüm :

2.6.1

Sisteme üyelik açıktı.

Eklentiler :

Adsense-Deluxe      0.8
Akismet     2.1.8
Google XML Sitemaps     3.1.0.1
Clean Options      Beta 0.9.7
WordPress Database Backup     2.2.1
Paged Comments      2.8 (2008-08-19)

CHMOD ayarlarım normal :

WP-upload ve theme dosyalarım hariç 666

Htaccess  :

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
RewriteCond %{THE_REQUEST} \?(ref=.*)?\ HTTP [NC]
RewriteRule .? http://www.teakolik.com%{REQUEST_URI}? [R=301,L]
</IfModule>

Peki nasıl oluyorda bu lamer sistemi az daha hackleyebiliyordu !

NOT: Sisteminizdeki ÃœYE kaydını hemen kaldırın… Hiçkimse üye olamasın..!

Merhaba arkadaÅŸlar ;

Bugün Google‘de dolaşıren rastladım. 404 sayfaları için özel bir sistem geliÅŸtirmiÅŸler. Tabi hemen Wordpress sistemimin 404.php dosyasına kodları ekledim. Birkaç satır kod ile şöyle çalışıyor..

Mesela birisi sisteminizde olmayan bir sayfaya ulaşmaya çalıştığında Google kodları sayesinde kişiye öneriler geliyor.  Örnek vermek gerekirse  www.teakolik.com/hakkinda sayfasına ulaşılmak istenirken yanlışlıkla www.teakolik.com/hakkindaa olarak yazıldığını varsayalım google hemen www.teakolik.com/hakkinda sayfasına mı ulaşmak istediniz ? diye 404 sayfası içerisinde link veriyor.

Bence Blogerlerin kullanması gereken çok iyi bir özellik diyebilirim. Ayrıca CSS kodları vererek 404 sayfanızı istediğiniz gibi themenize uyarlayabilmektesiniz.  Ayrıca 404.php dosyanızın içerisine bir Google arama kutucuğu eklenmekte.

Yalnız şuan deneme aşamasında Google şöyle bir uyarı veriyor.

Åžuradan bilgi alabilirsiniz…

<style type="text/css">
  #goog-wm { }
  #goog-wm h3.closest-match { }
  #goog-wm h3.closest-match a { }
  #goog-wm h3.other-things { }
  #goog-wm ul li { }
  #goog-wm li.search-goog { display: block; }
</style>
<script type="text/javascript">
  var GOOG_FIXURL_LANG = 'tr';
  var GOOG_FIXURL_SITE = 'http://www.teakolik.com/';
</script>
<script type="text/javascript"
    src="http://linkhelp.clients.google.com/tbproxy/lh/wm/fixurl.js"></script>

Merhaba arkadaÅŸlar ;

Wordpress sistemimde yorumları sayfalara bölmek için Paged Comments eklentisi kullanmaktayım. Bu eklenti malesef ki tüm Temaları desteklemiyor. Özelliklede şuan kullandığım tema GlossyBlue 1.4 Nick La ve Driveristek.com web sayfamda kullandığım Artificial Intelligence 1.1 Genkisan temasını malesef ki desteklemiyor.

Madem desteklemiyor ne yapacağız ? Theme yi atacak mıyız ? Tabiki hayır… Ä°ki tema için Paged Comments eklentisine Comments-paged.php dosyası hazırladım. Ä°ki dosyada Gravatar desteklemekte ve ikisinide Türkçe ‘ye çevirdim.  Umarım sizinde iÅŸinize yarar.

GlossyBlue 1.4 için : glossyblue-1-4

Artificial Intelligence 1.1 için : artificialintelligence-11

Bu dosyayı Plugins\pagedcoments\themes\  içerisine atarsanız PAGED COMMENTS eklentiniz Themenize uyumlu olarak çalışacaktır. Eğer ki yok benim  tema farklı bunlardan değil diyorsanız onun içinde bir çözüm var.

Eğer temanız b verdiğim temalardan birisi değilse plugins\pagedcomments\themes\temanızıntamadı\

klasörüne aşağıdaki dosyayı gönderiniz. Çalışacaktır.

Özel temanız için : comments-paged

Merhaba arkadaşlar Wordpress internet sayfasında 2.6.1 sürümü yayınlandı.

Bu sabah yönetim panelime girince WordPress 2.6.1 mevcut! Lütfen şimdi güncelleyin. Yazısını okudum. Wp Türkiye internet sayfasında da Türkçe sürümü çıktığını yazmışlar. Wp-Türkiye ekibinede teşekkürlerimi iletirim.

Wp-Türkiye indirme sayfasından indirebilirsiniz.

Merhaba arkadaÅŸlar ;

Son zamanlarda wordpress ‘in 2.5 sürümünü kullanan birkaç Blogun hacklendiÄŸini gördüm. Malesef ki nasıl hacklendiklerini tam bilmiyorlar. Bir taneside yakın bir arkadaşım. WP yi ben kurmuÅŸtum 2.5 sürümünü 2.6 ya güncellememiÅŸ. Malesef ki bazı aradaÅŸlar sistemlerini güncellemiyor.

Bence en büyük hata aslında bu. Hacklenen sistemi kontrol edemedim sadece hatırladığım kadarıyla sistem de hiç eklenti yok ve CHMOD izinleri normaldi.  Sorun şu ki hackleyenlerin yada hack ettiğini söyleyenlerin birçoğu wp-config.php dosyasını okuyabildiklerini idda ediyorlar.

Wp-config dosyası okunamaz. Okunamaz çünkü Wp-Config bir php dosyasıdır ve PHP dosyaları Ana SERVER makinada yani host aldığınız makinada APACHE tarafından okunur ve Explorer’e yani kullanıcıya HTML olarak çıktı gönderir.  PHP dosyası APACHE de iÅŸlendikten sonra HTML olarak kullanıcıya sunulduÄŸu için hack iÅŸi biraz naÅŸ…  Bu iÅŸin TEORİĞİ…

Fakat pratikte bu dosya okunabiliyor. Nasıl okunabiliyor ? Eğer APACHE kapalı ise o zaman size direkt olarak PHP dosyası gönderilebilir. Yani APACHE kapanırsa o zaman bu dosya okunabilir. Yada CHMOD izinleri bu izinleri WP kuranlar zaten iyi biliyorlar. Özelliklede wp-config.php dosyasını 644 olarak bırakılır. 777  yada 750 olarak bu dosyayı bırakmazsanız sorun olmayacaktır. Zaten 750 veya 777 olarak bıraksanız bile her önüne gelen bu dosyayı okuyamaz.

Anlamadığım ÅŸey ÅŸu… WP-Config dosyasını okuyabilen nasıl okuyabiliyor. EÄŸer apache’yi bir türlü kapatabiliyorsa o zaman HOST firması bunu nasıl fark etmiyor ? Kesinlikle fark edilecek birÅŸeydir. Tamam anladık APACHE ‘yi bir ÅŸekilde kapattı ve hacker Wp-config dosyasını okudu. Sonra APACHE’yi nasıl aktif edecek ? Etmezse WP çalışmaz ki böylelikle Apache açılana kadar sistemi hackleyemez ki ..!

Yada varsayalım ki wp-config ‘i okuyabilen birisi yada birileri var. Fakat bunu yapabiliyorsa o zaman tüm PHP dosyalarını okuyabilir.  Åžu haberde Orhan TOKER abimiz bununla ilgili bir yazı yazmış ve Wp-Config dosyasını nasıl okunamaz hale getireceÄŸimizi anlatmış. Yinede eÄŸer adam PHP okuyabiliyorsa o zaman wp-config.php yi istediÄŸiniz kadar saklayın sistemi %90 ele geçirmiÅŸ demektir.

Eğer birisi yada birileri wp-config dosyasını hack edebiliyorsa o zaman KIYAMET KOPAR dersem yeridir. Ortalıkta bırakın Wordpress Sitesini PHP adına hiçbirşey kalmaz..!

SONUÇ ;

1-   Ortalıkta Wordpress 2.5 sistemlerini hackleyenler var bu kesin.

2-   Bir şekilde Apache kapatılabilir ihtimal olsa bile wp-config bu sayede okunabilir. Fakat sonrası ? Tekrar aktif edip nasıl hackleyecek ?

3-   Birisi veya birileri wp-config’i okuyabiliyor dünyanın sonu geldi…

Selam arkadaşlar Driveristek.com domainimi hazırlıyordumda güzel bir tema buldum. Açıkcası 3 gündür theme dolaşa dolaşa bir hal oldum da diyebilirim

Neyse temayı kendime göre düzenlemeye başladım nede olsa Creative Commons ile lisanslı üst sayfayı (header.php) tasarlarken Wordpress BlueSky teması içerisinde  bazı karmaşık yazılar gördüm.

eval(str_rot13(’shapgvba purpx_s_sbbgre(){vs(!(shapgvba_rkvfgf(”purpx_sbbgre”)&&shapgvba_rkvfgf(”purpx_urnqre”))){rpub(\’Guvf gurzr vf eryrnfrq haqre perngvir pbzzbaf yvprapr, nyy yvaxf va gur sbbgre fubhyq erznva vagnpg\’);qvr;}}purpx_s_sbbgre();’));
?>

Bu ne felan oldum bir an sonradan fark ettim bunlar şifreli yazılar. Daha öncedende böyle bir durumla karşılaşmıştım. Pek nadirdir özelliklede bedava dağıtılan yazılımlar, dizaynlar vb  pek görülen bir durum değildir. Ne hikmetse ROT 13 ile şifreleyip Header.php içerisinde en üste yazmışlar. Merak ettim şunun bir şifresini çözüp bakayım dedim  ?

Şifreyi çözmek için www.Rot13.Com adresine girip metini yapıştırmanız yetiyor. Sonuç olarak .

riny(fge_ebg13(’function check_f_footer(){if(!(function_exists(”check_footer”)&&function_exists(”check_header”))){echo(\’This theme is released under creative commons licence, all links in the footer should remain intact\’);die;}}check_f_footer();’));

Yuh diyesim geldi madem ÅŸifreleyecen adını soyadını yaz onu ÅŸifrele  Creative Commons Lisans yazısıda ÅŸifrelenmez ki canım…

Neyse Şifrelemek veya Şifreli yazıyı görmek için : Rot13.Com