İyinet'e Hoşgeldiniz!

Türkiye'nin En Eski Webmaster Forum'una Hemen Kayıt Olun!

Kayıt Ol!

WP güvenlik önlemleri ile ilgili

G

Gazeteci

0
İyinet Üyesi
Katılım
12 Eylül 2010
Mesajlar
778
Reaction score
3
Selam, Arkadaşlar! Aşağıda alıntı olarak yazdığım bilgilere "R10"da rastladım ve bu bilgilerdeki yöntemle ilgili Sizin de fikirlerinizi bilmek isterim. İlginiz için önceden teşekkürler!

hek olayı, uzaktan db i çağırmak ile olur wp-config.php < db bilgileri alındıktan sonra shell yardımı ile sql a bağlanılır YADA uzaktan sql proğramları ile bağlanılıp md5 admin şifresi değiştirilebilir. bunların yapılması çok basittir.

size bir önlem vereyim .htaccess içine ekleyin. geçerli bir uygulamadır.

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

Anlamı ise db yi uzaktan çağırmak isteten (heker) < deny from hatası verdirmek.
Genişletmek için tıkla ...
 
G

Gazeteci

0
İyinet Üyesi
Katılım
12 Eylül 2010
Mesajlar
778
Reaction score
3
Arkadaşlar, konu ile ilgili fikir ve önerilerinizi bekliyorum... :)
 
N

Nightmare17

0
İyinet Üyesi
Katılım
12 Temmuz 2011
Mesajlar
467
Reaction score
5
Db bilgileri nasıl çalınır?
1. Bilgisayarınızdaki bir keylogger ile. Ftp şifrenizi kaptırdıysanız zaten wp-config.php ve .htaccess ulaşılabilir bir şeydir. Hele bir de c-panele şifresini de almışsa sizin yapıp da onun yapamayacağı hiçbir şey olamaz
2. Shell yöntemiyle. Bu yöntemi sadece localhostta uyguladım (diğer türlü zaten yasa dışı). .htaccess dosyası değiştirilebilir.
Ayrıca eğer yanlış hatırlamıyorsam zaten wp-config.php uzaktan çağrılamıyor. .htaccess dosyasına bununla ilgili bir şey eklemek gereksiz.

Sonuç .htacess değiştirilebilir bu nedenle çok da zorlamanın hiçbir anlamı yok.
 
G

Gazeteci

0
İyinet Üyesi
Katılım
12 Eylül 2010
Mesajlar
778
Reaction score
3
Nightmare17' Alıntı:
Db bilgileri nasıl çalınır?
1. Bilgisayarınızdaki bir keylogger ile. Ftp şifrenizi kaptırdıysanız zaten wp-config.php ve .htaccess ulaşılabilir bir şeydir. Hele bir de c-panele şifresini de almışsa sizin yapıp da onun yapamayacağı hiçbir şey olamaz
2. Shell yöntemiyle. Bu yöntemi sadece localhostta uyguladım (diğer türlü zaten yasa dışı). .htaccess dosyası değiştirilebilir.
Ayrıca eğer yanlış hatırlamıyorsam zaten wp-config.php uzaktan çağrılamıyor. .htaccess dosyasına bununla ilgili bir şey eklemek gereksiz.
Sonuç .htacess değiştirilebilir bu nedenle çok da zorlamanın hiçbir anlamı yok.
Genişletmek için tıkla ...

Yorumunuz için tekrar teşekkürler!
 
Cevap yazmak için giriş yap yada kayıt ol.

Türkiye’nin ilk webmaster forum sitesi iyinet.com'da forum üyeleri tarafından yapılan tüm paylaşımlardan; Türk Ceza Kanunu’nun 20. Maddesinin, 5651 Sayılı Kanununun 4. maddesinin 2. fıkrasına göre, paylaşım yapan üyeler sorumludur.

Üst