WordPress’a guvenlik dopingi

Posted on May 8, 2008 by Huzeyfe ONAL

WordPress, benim guvenlik cekincelerim yuzunden uzun zaman kullanmamakta israr ettigim fakat aradigim ozellikleri bulabildigim tek blog yazilimi olmasi sonucu bazi riskleri kabul ederek kullanmaya basladigim bir yazilim.

Kabul ettigim riskleri en aza indirme amacli olarak WP’nin cogu bilesenini aktif olarak kullanmiyorum, bunun yaninda olabildigince guncellemeleri takip etmeye calisiyordum. Ama WP’nin sıklıkla cıkan guvenlik acikliklari bir zaman sonrazorlamaya baslayinca sunucu tarafinda cesitli onlemler alma yoluna gittim. Gecenlerde bir arastirmam sirasinda WP’nin guvenligi ile ilgili cikmis eklentilere rastladim. Aralarindan ikisi tam da istedigim isi yapiyordu.

  1. WP guncellemelerini takip edip beni uyaracak ve tek tiklama ile tum sistemi guncelleyecek bir eklenti
  2. WP uzerine kurdugum, ekledigim ek kodlari, bilesenleri guvenlik taramasindan gecirerek raporlama yapacak bir bilesen.

WordPress otomatik guncelleme eklentisi

Asagidaki 8 adimi uygulayarak otomatize guncelleme yapabilen bir WP’e sahip olabilirsiniz. Boylece guncelleme yaparken yedekleme vs gibi islemlerle ugrasmazsiniz.

  1. Backs up the files and makes available a link to download it.
  2. Backs up the database and makes available a link to download it.
  3. Downloads the latest files from http://wordpress.org/latest.zip and unzips it.
  4. Puts the site in maintenance mode.
  5. De-activates all active plugins and remembers it.
  6. Upgrades wordpress files.
  7. Gives you a link that will open in a new window to upgrade installation.
  8. Re-activates the plugins.

Ilgili eklentiyi indirmek icin: http://wordpress.org/extend/plugins/wordpress-automatic-upgrade/

WordPress Guvenlik Taramasi Eklentisi

  • -passwords
  • -file permissions
  • -database security
  • -version hiding
  • -WordPress admin protection/security

-removes WP Generator META tag from core code

Ileriki surumlerde eklenmesi dusunulen maddeler:


*one-click change file/folder permissions
*test for XSS vulnerabilities
*intrusion detection/prevention
*lock out/log incorrect login attempts
*user enumeration protection
*.htaccess verification
*doc links

Ilgili eklentiyi indirmek icin: http://wordpress.org/extend/plugins/wp-security-scan/

Ek kaynaklar:

WordPress ile ilgili cikmis tum guvenlik acikliklari ve detaylari hakkinda bilgi almak icin:

http://blogsecurity.net/wordpress/blogwatch/blogwatch/

WordPress’i daha guvenilir hale getirmek icin yazilmis guncel bir dokuman

http://blogsecurity.net/projects/WordPress_Whitepaper_rev12.pdf

Related posts:

  1. Windows sistemlere guvenlik dopingi!
  2. WordPress 2.6.1 de ciddi guvenlik acigi(!)
  3. FreeBSD 7.2 Güncelleme
  4. Web Application Pentest Eğitimi 26 Haziran 2010
  5. Backtrack 4’e Nessus Kurulumu

This entry was posted in Web Security and tagged , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

5 × four =