Daha önce de "XSS" saldırılarından nasıl korunulacağı ile ilgili yazılar yazmıştım. Fakat şimdi tanıtacağım eklenti wordpress için uyumlu hale getirilmiş. Önceki yazımda da bahsetmiştim ama üzerinde durmamıştım. Şimdi detaylıca inceleyelim. Bloğunuzda kullandığınız eklentilerde XSS açığı olsa bile (bkz: "Pagenavi ve Wp-pager2 eklentilerinde XSS açığı var") Bunları "PHPIDS" ile engelleyip görüntüleyebilirsiniz. Hatta saldırı denemesinde bulunan kişiye uyarı yazısı çıkarıp banlamanız bile mümkün.

"Bu adresten" eklentiyi indirin.

/wp-content/plugins/ dizinine yükleyip eklentiyi aktifleştirin.

Eklentiler bölümüne yeni bir sekme gelecek "WPIDS" o bölüme tıklayın karşınız şöyle bir ekran gelecek.

Ayarlara geçmeden önce şunu belirtmek istiyorum. "PHPIDS" her saldırıyı zararlılık derecesine ve etkisine göre numaralandırmıştır. Altta göreceğiniz "impact" yazıları bu anlama gelmektedir. Yani impact yazısının karşısında olan rakamları, yapılan saldırı sayısı olarak düşünmeyin. "impact" saldırının zararlılık derecesine verilen numaradır. Hangi kodun derecesi nedir diye merak ediyorsanız sitemin "bu bölümünden" istediğiniz kodu seçip "test with PHPIDS" yazan yere tıklayın ve kodun "impact" derecesini öğrenin.

Şimdi sırayla ayarları inceleyelim.

1-Send me an Email to if the total Impact of a Bad Request is equal or bigger than:

1-Eğer toplam saldırıların etkisi 50 den büyükse veya eşitse mail ile bildir.

--------------------------------------

2-Block Bad Request if Impact was bigger than:

2-Eğer saldırının etkisi belirtilen sayıdan büyükse zararlı sorgulamaları blokla.

--------------------------------------

3-Block Bad Request IPs aswell , If yes how long in days:

3-Zararlı sorgulama yapanların IP adreslerini blokla. Eğer işaretlerseniz ne kadar süre banlı kalacak.

--------------------------------------

4-Show Latest Bad Requests

4-Yapılan son saldırılarıdan kaç tanesi listelensin.

--------------------------------------

"Last Blocked Bad Requests:" yazan yerde ise son bloklanan saldırıların listesini görebilirsiniz.

Eklentinin nasıl çalıştığını görmek isterseniz alttaki adrese girip deneme yapabilirsiniz.

CODE:

1. http://www.eno7.org/?p=1+union+select+null,concat,null+from+wp_users where id=1/*

Eğer sitenize yapılan son saldırıları sidebar'ınızda görüntülemek isterseniz. Alttaki kodları sidebar'ınıza yapıştırın.

CODE:

1. <?php

2. echo ("<li id=wpids><h2>Son Saldırılar:</h2><ul>");

3. $attackfields = array("GET","POST","REQUEST","SERVER REQUEST_URI","SERVER USER_AGENT","SERVER REFERER","COOKIE");

4. $records = $wpdb->get_results("SELECT `attacked`, `ip`, `tag`, `value` FROM $GLOBALS[table_prefix]ids_intrusions ORDER BY id DESC LIMIT

6. 10",ARRAY_A);

7. foreach ($records as $record)

8. {

9. echo ("<li title=\"".htmlspecialchars($record['value'])."\"><strong><a href=\"http://www.ip2location.com/$record[ip]\">".ereg_replace("[^[:digit:].]", "",

11. $record[ip])."</a></strong><br />");

12. if ($record['tag']=='')

13. {

14. echo($attackfields[$record['attacked']]."=".htmlspecialchars(substr($record['value'],0,20)."...")."</li>");

15. }else

16. {

17. echo($record['tag']."=".htmlspecialchars(substr($record['value'],0,20)."...")."</li>");

18. }

19. }

20. echo ("</ul></li>");?>

Dipnot: Bu eklenti "php5" ile çalışır eğer "php4" kullanıyorsanız "Parse Error" hatası alabilirsiniz. Ayrıca bloğunuza yeni bir yazı eklemeye çalıştığınızda bunu da saldırı gibi anlayıp engelleyebilir. Şu anda bu genel bir problem, eklentinin sonraki versiyonlarında bu eylemi whitelist'e alacaklar eğer bu sorunla karşılaşırsanız yeni yazı ekleyeceğiniz zaman eklentiyi devre dışı bırakmalısınız.

Dipnot'da belirttiğim gibi bu eklenti php4'de çalışmıyor php5 olması lazım wordpress için. Önce bende de "Parse Error" hatasını verdi ama daha sonra ".htaccess" dosyama alttaki kodları ekleyerek sorunu çözdüm.

CODE:

1. AddHandler x-httpd-php5 .php

2. AddHandler x-httpd-php .php4

Eklentiyi üstteki gibi kurduktan sonra, sitenize yazı eklerken bunu bir saldırı zannedip engellediyse alttaki yöntemi deneyebilirsiniz.

Eklenti bende hata vermişti yeni yazı eklerken bu girişimi saldırı olarak algılayıp engelliyordu ve sidebarda sitemize yapılan saldırılardan başka "referrer", "user agent" gibi diğer bilgileri de gösteriyordu. Sitemin sidebar'ına bakarsanız sadece yapılan saldırıları gösteriyor ve siteye yazı eklerken artık bu girişimi engellemiyor.

Öncelikle alttaki değişiklik yaptığım "phpids" eklentisini indirin.

Eklentiyi İndir

Eklentiyi aktifleştirdikten sonra eklentiler bölümünden WPIDS yazan yere gelin ve orada 60 yazan yeri "1" yapın ve "save settings" diyerek ayarları kaydedin.

Eğer sidebar'ınızda benimkisi gibi sadece yapılan saldırıları görüntülemek istiyorsanız alttaki kodları sıdebar'ınıza yapıştırın.

CODE:

1. <h2>Son Saldırılar:</h2>

2. <?php

3. echo ("");

4. $attackfields = array("DETECT");

5. $records = $wpdb->get_results("SELECT `attacked`, `ip`, `page` FROM $GLOBALS[table_prefix]ids_intrusions ORDER BY id DESC LIMIT 10",ARRAY_A);

6. foreach ($records as $record)

7. {

8. echo ("<li title=\"".htmlspecialchars($record['page'])."\"><strong><a target= _blank href=\"http://www.ip2location.com/$record[ip]\">".ereg_replace("[^[:digit:].]", "", $record[ip])."</a></strong><br />");

9. if ($record['']=='')

10. {

11. echo($attackfields[$record['attacked']]."=".htmlspecialchars(substr($record['page'],0,15)."...")."</li>");

12. }else

13. {

14. echo($record['']."=".htmlspecialchars(substr($record['value'],0,20)."...")."</li>");

15. }

16. }

17. echo ("");?>

Eğer yine istediğiniz gibi olmadıysa bu sefer üstte değişiklik yaptığım "phpids" eklentisinin içindeki "wp-ids.php" dosyasını bir metin belgesiyle açın ve 94. satırdaki

CODE:

1. $request = array ($_SERVER['REQUEST_URI']);

yazan yeri

CODE:

1. $request = array ($_GET);

ile değiştirin.

Eklentinin resmi sitesinde filtre kütüphanesine yeni zararlı kodlar eklenerek sürekli güncelleniyor. Eğer eklentinizin filtre kütüphanesini güncel tutmak isterseniz eklentinin sitesine gidip "default_filter.xml" adındaki dosyayı indirerek, eski "default_filter.xml" dosyanızla değiştirmek. Bu dosya sitenizde bu bölümde bulunuyor "/wp-content/wp-ids/IDS/default_filter.xml"

Güncel "default_filter.xml" dosyası genelde "bu adreste" oluyor, aynı zamanda "ana sayfadan da" ulaşmak mümkün. Siteye girip "default_filter.xml" dosyasına farklı kaydet diyip indirebilirsiniz.

Bloğunuza Yorum Formlarından Yapılacak Olan Saldırılarıda Engellemek İsteyebilirsiniz.

Size tanıtacağım eklenti sadece zararlı kodları pasifize etmekle kalmıyor, bilinen tüm XSS kodlarını zararsız hale getiriyor. Sitenize her türlü yapılacak XSS saldırılarına karşı tam güvenlik almanızı sağlıyor. Aslında wordpress’de bu konuda filtreleme sağlıyor fakat bu bizi daha iyi bir güvenlik almamamız için bir neden olamaz. Bu eklenti tam ve eksiksiz bir koruma sağlayacak. Şimdi KSES (wordpress’in default filtrelemesi) ile bu eklentiyi yani “HTML Purified” karşılaştıralım. Detaylı karşılaştırmaya buradan da bakabilirsiniz. Comparison

HTML Purifier John Godley tarafından wordpress’e uyumlu hale getirildi

Kurulum

1. Buradan eklentiyi indirin
2. Zip’den çıkarın
3. Html-purified eklentisini /wp-content/plugins klasörüne yükleyin
4. Eklenti yönetimine gidip eklentiyi aktive edin
5. Tercihler/HTML Purified sayfasından ayarlarını düzenleyebilirsiniz.

Kaynak: eno7.org | eno7.org

__________________________