WordPress + NGINX Güvenliği

Uzun zamandır blog siteme birşeyler karalamıyordum. Bugün ise birkaç haftadır uğraştığım bir konuyu kaleme almak istedim. Öncelikle belirtmek isterim ki ben güvenlik uzmanı değilim; sadece sunucu yönetimini öğrenmek için fiziksel bir sunucu alıp, tüm sitelerimi bu sunucuya taşıyıp & çalıştırıp, bir noktada sunucu yönetimini tek başına öğrenmeye çalışan bir SEO’cuyum 🙂 Dolayısıyla sürçü lisan edersem affola. Hatta şuralara da bi bak Uğur diyebileceğiniz yorumlarınız olursa da muhakkak bekliyorum.

Efendim bundan yaklaşık 1 ay önce sunucuya ciddi saldırılar almaya başladım. Aslında sürekli saldırı alıyorum (4, 5 yıldır) ama bu seferki arkadaş kafaya fena takmışa benziyor ki, sürekli her gün yoklamaktan geri kalmıyor. Sunucuda çalışan sitelerin %95’i wordpress olduğu için muhtemelen kurulu eklentilerin birisinde mevcut bir açıktan faydalanarak kendisine bir backdoor yaratmış olsa gerek. Sunucuda tanımadığım onlarca php dosyaları + wordpress’in çekirdek dosyalarını da değiştirdiğini gözlemledim.

Yazım genel olarak nginx konfigürasyonu ve wordpress güvenliği ile ilgili. Bu süreçte neler yaptım, hergün kapımı çalan bu arkadaşı nasıl durdurdum; biraz bundan bahsetmek istiyorum. Ama öncesinde uğraştığım şeyden bahsedeyim. Sunucuma yerleştirdiği shell, b374k-shell yani http üzerinden file manager, komut ve scriptleri çalıştırma ve hatta SQL sunucusuna kadar erişip, DB’lerinizle misket gibi oynamasını sağlayan bir backdoor yazılımı. Zaten dosya yönetimini yapmaya başladığı an, sunucunuza örümcek ağı gibi çöküp temizlemesi de bir hayli zor olan bir süreçle yüzyüze bırakabiliyor sizi. Eğer sizin de başına geldiyse, bu illetten nasıl kurtuldum, anlatmaya başlıyorum. Sunucum Centos, anlatımım buna göredir.

Devam et “WordPress + NGINX Güvenliği”

Sen Atatürk’sün, Senin Elin Kanar mı?

Klasik bir ilkokul sınıfını alıp harikalar yaratan yeni nesil öğretmen Ahmet Nac, bizi tekrar ilkokul birinci sınıfa götürüyor ve Atatürk’ün hayatını farklı bir bakış açısıyla yeniden anlatıyor. Tarihin en büyük askeri dehalarından sayılan Atatürk’ün asıl…

Digital Age Şubat 2015 Sayısı – SEO Söyleyişi

Digital Age Şubat ayı sayısında, SEO’ya ayrılan bölüm için ufak bir soru cevap gerçekleştirdim. Bununla ilgili söyleyişimiz şu şekilde: 1. Markalar neden SEO’yu seçmeli? Marka, ister e-ticaret yapsın ister yapmasın, online görünürlük marka bilinirliliği açısında…

Sosyal Medya Siteleri için Resim Ölçüleri Rehberi

Bir süredir sosyal medya hesapları için kullanılacak grafikler için ölçek dokümantasyonu arıyorum. Derken hadi kendim yapayım dedim ve bunu da sizlerle paylaşmak istedim: Not: Ölçüler, sitelerde yapılan tasarım revizyonları sonrasında değişebiliyor. Bugün için en güncel…

Scilla

Reggio Callabria’dan arabayla yaklaşık 15-20 dakikalık bir mesefade olan scilla sizleri mükemmel bir manzara ile karşılıyor. Dik bir dağın yamaçlarına, daha doğrusu kayalıkların üzerinde yer alan scilla, tabiatın güzel dokunuşlarını gözler önüne sermekten hiç çekinmiyor….

Vizesiz Ülkeler Rehberi

Farklı ülkeleri gezmek için vizenizin olmasına gerek yok. Gittiğiniz yerde “neleer neleeeer” yapabileceğiniz miktarda parayı vize için harcamanıza hiç gerek yok. Vizesiz gidilen ülkeleri ve bu ülkelerde en güzel anılarınızı nasıl biriktireceğinizi bilirseniz, siz de…