Wordpress'teki aciklar.. ve %100 guvenlik??

[Gifted.ib]

Alıntı:

emreba´isimli üyeden Alıntı

hosting'im hatta 5 hosting'imde isimtescil'den. bilgisayarim keylogger olma ihtimali dusuk hatta yok sayilir cunku surekli formatliyorum hemde bu hacker lamer degil google'da aratirsaniz ismini gorursunuz. Ayrica ben Avustralya'dayim ve sadece universite bilgisayarinda admin sifresini giriyorum bu hackerin bu ulkede ve benle ayni uni pc'sini kullanma ihtimali nedir? ayrica uni bilgisayarlari hesap kapaninca sifirlaniyor ve parolalari kaydetmiyor.

Benzer bir olay ünvde başımıza gelmişti.Uyanık bir arkadaş regeditte yaptığı ufak ayarlama ile ünv bilgisayarına keylogger yüklemiş ve bilgisayar sıfırlandığı halde şifreleri tutmayı başarmıştı.Bunu ancak birkaç kişinin maili kırıldıktan sonra anlayabilmiştik.Yani bu tarz olaylar her zaman olabilir.

Sizinki böyle olmuştur diye bir kesinlik olamaz.Ama ihtimalleri değerlendirmekte fayda vardır.Bana göre wordpresste bir açık olmasından,sizin şifrenizi her hangi bir şekilde kaptırmanız daha mantıklıdır.

[emreba]

mynet'in bile acigi varken wordpress'in neden olmasin? ikincisi siteye avustralyadan sadece ben girmisim yani bu adamla ulkede olmam imkansizken nasil ayni bilgisayari kullanmis olabilirim? ama ben onlemimi aldim. Wp-admin klasorunun adini degistirdim ne zaman adminlige ihtiyacim olunca ftp'ye baglanip duzeltiyorum isim bitince tekrar adini baska 1 isim koyuyorum. Extrada 5 - 10 dakikam gidiyor ama siteyi tamamen kaybetmekten iyidir (:

[Gifted.ib]

Alıntı:

emreba´isimli üyeden Alıntı

mynet'in bile acigi varken wordpress'in neden olmasin? ikincisi siteye avustralyadan sadece ben girmisim yani bu adamla ulkede olmam imkansizken nasil ayni bilgisayari kullanmis olabilirim? ama ben onlemimi aldim. Wp-admin klasorunun adini degistirdim ne zaman adminlige ihtiyacim olunca ftp'ye baglanip duzeltiyorum isim bitince tekrar adini baska 1 isim koyuyorum. Extrada 5 - 10 dakikam gidiyor ama siteyi tamamen kaybetmekten iyidir (:

Keylogger eklemek için o bilgisayara oturması gerekmez.Bunu buradan da rahatlıkla başarabilirler.Her neyse aldığınız önlem bana garip geldi.Peki neden ismi mantıklı yapıp,sürekli isim değiştirme zahmetinden kurtulmuyorsunuz?

Örn:Nohack diye bir isim verseniz.Yada sizin için bir anlamı olan bir isim koysanızda sürekli onu kullansanız daha doğru olmaz mı?Eğer site hata veriyor ise bunu düzeltmek için dosyalardaki klasör yolunu değiştirmek gayet kolaydır.

[Gur.Kem]

vBulletin'de admin panelinin yolunu değiştirip , bir de panelden çift giriş sistemi yapınca panel bayağı güvenli oluyordu.Ama bu çift giriş sistemini wpde denememe rağmen olmadı.Umarım birisi yapabilir.

[LaTenT]

Adresini vermen gerekir.

[emreba]

@ Gifted.ib ;

siteadi.com/wp-admin/ uzantisini siteadi.com/nohack/ diye degistirince hata veriyor ve bos sayfa cikiyor bunu denedim (: ama olacak 1 yol varsa soylersen cook sevinirim (:

@ Gur.Kem;
wordpress'tede boyle 1 eklenti var ve calisiyor ama adam 1. admin sifresini ogrenmis ikincisinide ogrenir tam 1 guvenlik degil sadece lameri engellersin (:

@ LaTenT;

www.fulloyunin.com (:

[Gur.Kem]

Eklenti ismini alabilirmiyim ? Mesela joomladaki açıkta bu çift girişli admin paneli olanlar kurtuldu sadece.Wp'de de olursa önlem olur ..

[emreba]

buraya bakabilirsin (:

http://forum.iyinet.com/wordpress/10...tml#post746569

[gf8]

Alıntı:

emreba´isimli üyeden Alıntı

S.a. arkadaslar bugun wp scriptli sitem hacklendi. Aslinda hacklenmedi sadece uyari yazisi yazilmis. " sisteminizde ki acigi kapatin CoZumX" yazilmis. Allah razi olsun kotu 1 hacker degil onun sayesinde acik oldugunu ogrendik ve db'ye hic zarar vermemis. Burda bazi konulari okudum ama herkes wp'de acik felan yok diyor. Peki bu hacker nasil olurda admin paneline girer? sifren kolay, mail adresin hacklenmis, bilgisayarinda trojan var diyenler cikacaktir yani oyle tahmin ediom. Sifremi kimse bilemez cunku 14 haneli sayi, harf ve ozel karakter kullaniyorum, mail adreslerimde oyle ki admin panelindeki adresimi msn olarak felan kullanmam yani kimse bilmiyor, trojan veya keylogger meselesine gelince bilgisayarimda guncelli parali anti-virus kullaniyorum.

siteni hacklediği zannettiğin kişi aslında bir hacker değil )
Dosya yazılımı açıklarından faydalanan ve sadece yazı yazabilen bebelerdir.

Muhtemelen chmod 777 olan dosyalarından yararlanmışlar ve c99 veya r57 gibi Salak salak programlarla girmişlerdir..

demek istediğimi sanırım anladın.? hacker değil onlar Lamer 2/3 aptalca shell script ile hesabınıza upload ederek işlem yapmaya çalişan acizlerdir.

Şimdi sana Çözüm önerilerini Göstericem..

Neden Hack Yemiş olabilirsin ve önlemini nasıl alabilirsin

Yukarıdaki linki dikkatli inceleyip sitene uygula..

Burasınıda Hostcuna yolla makinasına biraz Güvenlik önlemi alsın

[emreba]

@ gf8;

ilgin icin cok tesekkur ederim ama bu yaziyi daha once okumustum ve uyguladimonceki mesajlarda yazdim mi bilmiyorum ama "klasorlerin chmod 755" "phplerin ise 644" onun nerde ne yapacagimi sasirdim admin panelinin adini (wp-admin) uydurup 1 isim koydum ne zaman admin paneline ihtiyacim olsa ftp'den baglanip adini tekrar degistirip tekrar uyduruk 1 isim koyuyorum (: belki boyle cok daha guvenli (: