Merhabalar wordpress güvenliği konusunda son zamanlarda tema dosyalarını direk hedef alan bot saldırılarında ciddi bir atış olmuş durumda. Botlar öncelikle tema isminizi öğrenir, bu bilgiye ulaştıktan sonra standart tema dosyaları olan header.php, footer.php, single.php, functions.php gibi dizinlere saldırmaya başlarlar.
Web sitenizin tema dosyalarına saldırı olup olmadığını kontrol etmek için sitenizin ilk dizininde bulunan error.logs dosyasında görebilirsiniz. Benim error.logs dosyamda yola çıkarak birkaç örnek hazırladım.
Not: Google kırık link algılamaması için error.logs dosyasında urller değiştirilmiştir.
2019-01-13 17:54:07 Error
AH01071: Got error 'PHP message: PHP Fatal error:
Uncaught Error: Call to undefined function get_header() in https://example.com/wp-content/themes/mrtbtn/index.php:1
Stack trace: #0 {main} thrown in https://example.com/wp-content/themes/mrtbtn/index.php on line 1'
2019-01-13 12:53:55 Error
AH01071: Got error 'PHP message: PHP Fatal error:
Uncaught Error: Call to undefined function get_header() in https://example.com/wp-content/themes/mrtbtn/404.php:1
Stack trace: #0 {main} thrown in https://example.com/wp-content/themes/mrtbtn/404.php on line 1'
2019-01-13 12:53:55 Error
AH01071: Got error 'PHP message: PHP Fatal error:
Uncaught Error: Call to undefined function esc_url() in https://example.com/wp-content/themes/mrtbtn/header.php:8
Stack trace: #0 {main} thrown in https://example.com/wp-content/themes/mrtbtn/header.php on line 8'
Bu örnek error.logs dosyasında index.php, 404.php ve header.php dosyaları hedef alınmıştır. Bu güne kadar baktığım log dosyalarında en sık hedef alınan dosyalar bunlar ama aşağıdaki dosyalarında hatrı sayılır bir saldırı potansiyeli var.
/archive.php /wp-includes/rss-functions.php ..various theme template files ..various files in the WP Media Library
Önceden teknik önlemler alınmadığı sürece wordpress çekirdek dosyaları, tema ve eklentilerinize zarar vererek web siteniz kullanılamaz hale gelebilir.
Standart wordpress dosyalarınızı güvenceye almak için çok basit bir yöntem mevcut. Tema dosyalarınızı standart çağırma yöntemleri dışında ABSPATH yöntemi ile çağırırsanız botların tema dizin linkiniz tespit edilse bile otomatik olarak dosyalarınıza erişimini engellemiş olacaksınız.
Starndart wordpress header.php dosyası çağırma yöntemi.
Dosyalarınıza doğrudan erişim izni vermemek için aşağıdaki kodu kullanın
Not: Daha ileri bot engelleme önlemi almak isterseniz Blackhole for Bad Bots eklentisini kullanabilirsiniz.
Her türlü wordpress saldırılarına karşı düzenli olarak web sitenizi yedek almanızı öneriyorum. WordPress Site Yedek Yöntemlerini bu yazımda bulabilirsiniz.