Teknoloji

WordPress tablo önekini değiştirmek hiç bir işe yaramıyor!

Birkaç yıl öncesine kadar, WordPress tablo önekini veritabanınızda değiştirmek, WordPress web sitenizin saldırganlara karşı korunmasına yardımcı olduğu fikri popülerdi.

WordPress tablo önekinizi değiştirmek risklidir ve sitenizin güvenliğini artırmak için kesinlikle hiçbir işe yaramaz. Bugünki konuda, orijinal fikrin arkasında ne olduğunu ve neden bunu yapmamanız gerektiğini açıklayacağım.

Neden WordPress tablo önekinizi değiştirmelisiniz?

SQL saldırısı olarak adlandırılan ve saldırganın bir uygulamada bir WordPress eklentisi gibi bir güvenlik açığını kullanarak veritabanınıza erişmesini sağlayan belirli bir saldırı türü vardır. SQL enjeksiyonu kullanarak, bir saldırgan temelde kendi WordPress web sitenizin sahip olduğu veritabanınıza aynı erişim düzeyini elde eder.

Sadelik uğruna SQL enjeksiyonunu aşırı derecede basitleştiriyorum.

Burada kavranacak önemli bir kavram, bir saldırganın veritabanınıza erişmeyi başarması durumunda, WordPress sitenizin yaptığı her şeye erişebilmesidir. Genellikle herhangi bir SQL komutunu çalıştırabilir ve çıktıyı görebilirler.

Bir fikir birkaç yıl önce popüler hale geldi: Şöyle bir saldırgan SQL enjeksiyon yoluyla veritabanınıza erişebiliyorsa, tablolarınızı bazı benzersiz öneklere yeniden adlandırarak verilerinize erişmelerini engelleyebilirsiniz.

Bu fikir popüler ve genel olarak kabul edildiğinde, WordPress için çeşitli güvenlik ürünleri veritabanı tablolarınızı yeniden adlandırmanıza yardımcı olma özelliği sunmaya başladı.

Öyleydi. Fikir genel olarak kabul edildi ve güvenlik sağlayıcıları bu özelliği sunduğundan, genel olarak gerçek kabul edildi.

WordPress veritabanı tablo önekinizi değiştirmenin neden güvenliği iyileştirecek hiçbir şey yapmıyor?

Size hırsızlığı önlemenin en iyi yolunun evinizdeki tüm ışıkları söndürmek olduğunu söylersem ne olur? Böylelikle bir hırsız evinize girsede, evinizdeki eşyaların nerede olduğunu göremeyecek ve hiç bir şey çalamayacaktır.

Hırsızın bir el feneri getirebileceği veya ışıkları açabileceği ihtimalini hiç hesaba katmıyoruz değil mi. 🙂

WordPress veritabanı tablosu önekini yeniden adlandırmaya gelince, tam olarak aynı kavramdır. Saldırgan SQL veritabanını kullanarak veritabanınıza eriştiğinde, evinizin içindedirler. Veritabanı tablolarınızı benzersiz bir önek kullanarak yeniden adlandırırsanız, evinizdeki ışıkları söndürmüş olursunuz.

Yani bir saldırganın ilk yaptığı şey nedir? Bunu yaparlar:

SELECT DISTINCT SUBSTRING(`TABLE_NAME` FROM 1 FOR ( LENGTH(`TABLE_NAME`)-8 ) ) FROM information_schema.TABLES WHERE `TABLE_NAME` LIKE ‘%postmeta’;

Bu sorgunun çıktısının ne olduğuna bakalım:

Yukarıdaki sorgu basitçe veritabanına, WordPress tablo önekinin postmeta tablosu için ne olarak kullanıldığını soruyor. Yani Işıkları yakıyor.

Herhangi bir bot, saldırı komut dosyası veya manüel saldırı, sqlmap gibi bir araç kullanarak, varsayılan tablo önekini almadan önce her zaman yukarıdaki gibi bir sorguyu çalıştıracaktır.

Güvenlik nedenleriyle WordPress tablo önekinizi değiştirmek, saldırganlar için bir SQL enjeksiyon saldırısını “biraz daha zor” yapmaz. Tablolarınızın varsayılan bir öneki olduğunu varsaymadan önce yukarıdaki sorguyu çalıştırırlar.

Bunun güvenliği artırdığını ileri sürmek, hırsızların hırsızlığa bir fener getirmeyeceğini varsaymak gibidir. Bir an için hırsızlık metaforuyla uğraştığımızda, tablo önekini yeniden adlandırmak için WordPress eklentileriyle karşılaştığımız durum, sizi güvende tutmanıza yardımcı olmak için evinizdeki ışıkları söndürmeyeye yarayan farklı ürünler satan güvenlik sağlayıcıları gibidir. Bu çok saçma.

Neden WordPress veritabanı tablonuzun öneki riskli değişiyor?

WordPress’te tablo önekini değiştirdiğinizde, genellikle işi yapmak için bir WordPress güvenlik eklentisi kullanırsınız. Maalesef güvenlik eklentisi, değişiklik gerçekleştikçe yürütülmelidir. Bu, yürütme sırasında, tablonuzun yarısının bir önekine sahip olduğu ve diğer yarısının da başka bir öneki olduğu anlamına gelir. Herhangi bir nedenle yürütme durursa, yedeklerden geri yüklemeniz gereken bozuk bir web sitesiyle ortada kalırsınız.

Bu değişikliği yapan herhangi bir eklentinin, wp-config.php dosyanızı başarıyla değiştirmesi de gerekir. Bu dosya, değişikliklerin başarısız olmasına neden olabilecek belirli koşullar altında yazılabilir olmayabilir.

Bu makale için hazırlanırken, test sunucularından birinde bir güvenlik eklentisi kullanarak WordPress tablo önekini değiştirmeyi denedim. Bazı sebeplerden dolayı wp-config.php dosyasını değiştirdi ancak veritabanı tablosu isimlerini değiştiremedi. Sorun, veritabanı kullanıcısının doğru izinlere sahip olmadığı olabilirdi.

Sonuç olarak, yönetici sayfamı yenilediğimde, yeni bir WordPress’i ilk yüklediğinizde gördüğünüz “Hoş Geldiniz” sayfasıyla karşılaştım. Sitem kaybolacaktı.

WordPress Veritabanı Tablosu Önekini Değiştirme, “Güvenlik Tiyatrosu” dur.

WordPress tablo önekini değiştirmek, sektörde “güvenlik tiyatrosu” olarak adlandırdığımız şeydir. Diğer bir deyişle, kendinizi daha güvenli hissetmenizi sağlayan, ancak sizi daha güvenli hale getirecek hiçbir şey yapmayan yoğun bir iştir. Sadece risk ve karmaşıklık ekler.

Bunu açıklayan başka bir serin sondaj deyimimiz var: ” Belirsizlik yoluyla güvenlik. ” Bunun anlamı, bir saldırganın bulması gerekenleri zorlaştırarak kendinizi korumaya çalıştığınızdır. Güvenlik sektöründe bu, anlamsız bir alıştırma olarak kabul edilmektedir.

Saldırılara karşı sizi daha güvenli hale getiren şeyler WordPress Güvenlik Duvarı, Wordfence ile ücretsiz olarak gelir. Bu aslında bir saldırganın veritabanınıza erişebilmesi için SQL enjeksiyon saldırılarını engeller.

Wordfence güvenlik duvarı, SQL enjeksiyon saldırılarını engellemek için kurallar içerir. Hatta SQL’i bir veritabanının yaptığı gibi anlayan sofistike bir SQL ayrıştırma motoru içerir. Gelen SQL’i gördüğümüzde, niyetin kötü niyetli olup olmadığını belirlemek için akıllıca ayrıştırıyoruz. Bir SQL enjeksiyon saldırısı ise, onu engelleriz. Bir site kullanıcısı veya yöneticisinin bir blog yayını yayınlamak gibi güvenli bir şey yaptığını tespit edersek, izin veririz.

Umarım bu, WordPress topluluğunda eski nedenlerden dolayı yanlış anlaşılmalara ışık tutmuştur. Hepimizin güvenliğini sağlayan gerçek güvenlik önlemlerini uygulamaya odaklanmamıza yardımcı olması için lütfen bunu daha geniş bir toplulukla paylaşın.

Makalemizi Emojiler İle Değerlendirin.
  • Fascinated
  • Happy
  • Sad
  • Angry
  • Bored
  • Afraid
Daha Fazla Göster

SafakB

WebLobi.net kurucusu ve aynı zamanda yazarıyım 18 yaşındayım bilişim okumaktayım.

Önerilen Yazılar

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Close