WordPress .htaccess ile Wp-login.php ‘yi Şifreleyelim.

Kategoriler: Güvenlik, Linux, Yazılım, İnternet

Etiketler: , , , , , , , , , ,

 

Tarih: 27 Ağustos 2009 | Yazar:

Yazdır Yazdır | Yorum Gönder | Geri izleme

htacesss-passwd-wp-admin Şu wordpress’in admin hack, Xss hack,  SQL injection hackleri yüzünden bir sürü güncelleme yaptık. Hala da yeni bir güvenlik açığı ortaya çıkabilmekte. WordPress’i yıllardır kullanmaktayım ve bu hack olaylarına karşı herkes gibi bende extra güvenlik önlemleri alıyorum.

Bunlardan bir tanesi wp-admin girişine .htaccess ile extra şifre koymak..!

En kesin ve en güvenli yöntemlerden birtanesi olduğunu söylemek isterim.  WordPress admin hack konusunda nasıl bir açık çıkarsa çıksın yada admin şifrenizi kim çalarsa çalsın .htaccess ile şifreleyeceğimiz wp-login.php dosyasına erişemeyeceklerdir.   Wp-login.php dosyamızı aşağıda anlattığım şekilde .htaccess ile şifrelediğimizde wp-admin girişine gelen isteklerde Apache sunucumuz extra olarak koyduğumuz şifreyi soracaktır.  Öncelikle apache’yi aşmak gerkecek. Ondan sonra wp-admin girişi karşısına gelerek wordpress admin paneline giriş yapılabilir.

Google üzerinden aradığınız zaman .htaccess ile şifreleme hakkında bilgi bulabilirsiniz.  Bu yöntemler işe yaramayacaktır.  Standart .htaccess ile şifreleme WordPress’in .htaccess dosyasına takılacak ve şifrelemeye izin vermeyecektir.

Şimdi anlatacağım yöntemde WordPress’in .htacess dosyasına ekleyeceğimiz kodlar ile şifrelemeyi gerçekleştireceğiz.

Öncelikle hostunuzda public_html , www yada alanadınız.com olan klasörlerimizin bir üst dizinine çıkarak .htpasswd dosyamızı oluşturmamız gerekiyor.

1.  . htpasswd  dosyasını oluşturmak ;

Bu dosyada Apache’nin bize soracağı şifreyi belirteceğiz. Yalnız bu şifreyide güvenli bir dizinde saklamamız gerekmekte.  Benim hostingimde wordpress dosyalarım

/home/teakolik.com/www dizininde sizinkinde farklı olacaktır.  Cpanel yada Plesk ile dosyalarınıza erişerek bir üst dizine yani  /home klasörüne veya  /home/teakolik.com gibi hesap klasörümüze ulaşıyoruz.  Bu klasör içerisine  .htpasswd dosyamızı oluşturacağız. (www içerisine atmıyoruz..!)

teakolik:asasdas324235235sdfasdf

gibi bir user ve şifre belirteceğiz.  Burada dikkat ederseniz şifremiz aslında şifrelenmiş bir şekilde yani bir nevi apache üzerinde de şifreleme yapıyoruz. Direk olarak kullanıcı adından sonra şifreyi yazamayız.  Bir şifre oluşturmak için

http://www.e2.u-net.com/htaccess/make.htm

adresine giriyoruz ve bir user pass belirliyoruz.  Encrypt butonuna bastığımızda bize bir kod üretiyor.  Bu kodu  .htpasswd adıyla bir dosya olarak ftp dosyalarımızın üst dizinimize (/home/teakolik gibi) kayıt ediyoruz.

2.  WordPress .htaccess dosyasını düzenlemek ;

WordPress’in kurulu olduğu dizindeki .htacess dosyamızı açıp içerisine şu kodları yerleştiriyoruz.

ErrorDocument 401 default

AuthUserFile /home/.htpasswd
AuthName "Blog"
AuthType Basic

<Files "wp-login.php">
    require valid-user
</Files>

Bu işlemi yaparken .htaccess içerisindeki diğer kodlara dokunmuyoruz.  Aynen olduğu gibi kalıyorlar ve alt satırlara bu kodu yapıştırıyoruz. Bu kodda dikkat etmeniz gereken  /home/teakolik.com/ dosya yolumuz.  WordPress wp-login dosyasına erişildiğinde .htpasswd üzerinden şifreyi okuyacak ve doğrulayacaktır.  Dosya yolumuzu dikkatle giriyoruz.  1. Adımda belirttiğimiz .htpasswd dosyası neredeyse aynı yolu girmemiz gerekiyor.   Aryıca yine bu kodların altına

<Files "xmlrpc.php">
    require valid-user
</Files>

kodlarını girersek bu kod sayesinde xmlrpc yani wordpress’in pingleme servisinin çalışmaması için gerekli kodlar eğer Genelde, eğer pingback ve trackback kullanmıyorsanız bu dosyayı da güvenliğe almanız ekstra güvenlik önlemi olacaktır.  Eğer yukarıdaki gibi koduda eklersek sistem ping alış-verişi yapmayacak biraz daha güvenli olabilecek. Ben kullanmıyorum.  Eğer wordpress’in pingleme servisini kullanmıyorsanız bu koduda .htacess e ekleyerek sistemin güvenliğini extra olarak artırabilirsiniz. (Düzeltme için Emre Erkan‘a teşekkürlerimi iletirim.)

Örnek .htacess dosyamızın şekli şöyle oldu ;

# BEGIN WordPress
 <IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !-d
 RewriteRule . /index.php [L]
 </IfModule>

 # END WordPress

 ErrorDocument 401 default AuthUserFile /home/.htpasswd # Şifremizin bulunduğu dosya yolunu belirttik AuthName "Blog" AuthType Basic

 <Files "wp-login.php"> require valid-user #Şifreledik </Files>

Dosyamızı kayıt ettik ve işlemler bitti.  Atık WordPress’i biraz daha kafanız rahat bir şekilde kullanabilirsiniz. En azından yeni bir admin XSS açığı çıktığında kafanız rahat olur :) Kolay gelsin..!

Yönetici Notu :
#0
Lütfen yapacağınız yorumlarda kişi ve kurumlara hakaret etmeden, kişilik haklarına zarar vermeden görüşlerinizi bildiriniz. Oluşabilecek zararlarda ve gözden kaçabilecek durumlarda tüm sorumluluk yorumu yapan kişiye aittir. Gizlilik sayfamızda bu bilgiler açıkça belirtilmiştir.
  1. TEAkolik
    Nisan 24th, 2010 16:38
    Cevapla | Alıntı | #1

    Windows server üzerinde .htaccess yoktur. Bunu host firmanızdan isteyebilir yada kodları Win Server üzerine yorumlayarak güvenlik sağlayabilirsiniz.

  2. Serhat
    Mayıs 9th, 2010 11:47
    Cevapla | Alıntı | #2

    Denedim, çalıştı ancak oluşturduğum şifreyi girdikten sonra beni anasayfaya yönlendirdi. Buda .htacces dosyası ile ilgili sanırım ancak nasıl ayarlandığı konusunu bulamadım. Yardımcı olabilirseniz sevinirim. İyi çalışmalar…
    ultraslan939[at]yahoo[dot]com

  3. china handys
    Temmuz 12th, 2010 04:29
    Cevapla | Alıntı | #3

    Bunlardan bir tanesi wp-admin girişine .htaccess ile extra şifre koymak..!

  4. Can Dirgen
    Eylül 15th, 2010 16:34
    Cevapla | Alıntı | #4

    Bu kadar uğraşmak istemeyenler için bir ekleme yapmak istiyorum. cPanel de password protected directory bölümünden bunu yapabilirsiniz.

  5. TEAkolik
    Eylül 15th, 2010 16:54
    Cevapla | Alıntı | #5

    @Can Dirgen; Kurulu olan Wp üzerine Cpanel’den bu işlemi yaptığınızda malesef ki çalışmıyor. Mevcut WordPress’in .htaccess dosyasını açıp editlemeniz gerekiyor. Wp klasörü olmasa başka bir klasör olsaydı bu işlemi Cpanel üzerinden rahatlıkla yapabilirdik.

  6. güncel blog
    Ekim 29th, 2010 16:29
    Cevapla | Alıntı | #6

    tşk paylaşımın için admin

  7. serkan
    Kasım 20th, 2010 13:55
    Cevapla | Alıntı | #7

    Hocam ben kuramadım ya. public_html olan dizine koydum. sora publich html girdim. .httpacces bunun içine verdiğiniz kodları ekledim. wp admine giriş yaparken kullanıcı adı ve pasword istedi şifrelenmiş bilgileri girdim kabul etmedi. sora şifrelenmemiş haliyle girdim yine kabul etmeni ne yapmam gerek. Dönüş yaparsanız cok minnettar kalırım

  8. Akvaryum
    Kasım 21st, 2010 01:13
    Cevapla | Alıntı | #8

    Çok güzel bir konu çok teşekkürler çok işimize yaradı bu şifreleme olayı

  9. Burak
    Kasım 23rd, 2010 04:44
    Cevapla | Alıntı | #9

    teşekkürler yapacam dedim yaptım oldu.

  10. scostar
    Kasım 28th, 2010 00:29
    Cevapla | Alıntı | #10

    bu dediklerini aynen uyguladım abi, wp-login.php ‘ye girince şifre de soruyor. giriyorum fakat girdikten sonra 404 sayfasına yönleniyor blogun. Ne olabilir sorun?

  11. sesli chat
    Şubat 2nd, 2011 15:09
    Cevapla | Alıntı | #11

    Benim merak ettiğim birşey var. Diyelim ki bir sitenin .htaccess i yazılabilir durumda. O siteye zarar verilebiliyor mu? Bunun için önlem almak gerekir mi.

  12. turgay
    Şubat 24th, 2011 07:51
    Cevapla | Alıntı | #12

    Hamza abi dediklerini uyguladım ama wp-admin’e girince şifre istiyor. Şifreyi yazıyorum 404 sayfasına yönleniyor. Sorun ne olabilir :(

  13. TEAkolik
    Şubat 24th, 2011 11:02
    Cevapla | Alıntı | #13

    Sanırım bir yerde hata yapıyorsun. Tekrar baştan dikkatlice yapmanı tavsiye ederim.

  14. turgay
    Şubat 24th, 2011 19:30
    Cevapla | Alıntı | #14

    Kodları aynen yine denedim yine olmadı :/

  15. Era
    Nisan 11th, 2011 19:39
    Cevapla | Alıntı | #15

    Eline saglik kardesim, cok isime yaradi.

Yorum sayfalarımız;

Güvenlik Sorusu;



QR Code Business Card