Müstehcenlik yoluyla güvenlik hiç güvenlik değil
Güvenlik olarak kabul edilen ve nasıl güvende olmanızdan emin olduğunuz büyük ve karmaşık bir konudur. Ancak, insanlar yanlışlıkla gerçek faydalar için yararlı olmayan görevler yaptıklarında komplikasyonlar daha da kötüleşir. “Güvenlik Tiyatrosu”, güvenliği artıran ancak gerçekten pek çok şey yapmayan uygulamaları karakterize etmek için kullanılan giderek yaygınlaşan bir terim haline geldi. İnsanlar tarafından harcanan her zaman ve enerji ile gerçekten orantılı olmayan özel bir genel WordPress güvenlik önerileri var: WordPress’i çalıştırdığınız gerçeğini gizleyin. Bazı “müstehcenlik yoluyla güvenlik” özelliklerinin bazılarının ortalama WordPress sitesi için değere sahip olmasına rağmen, karmaşıklıkları ile orantılı olmadıklarını düşünüyorum.
Bu makalede, WordPress ile güvenlik hakkında nasıl düşünüleceğiniz, “belirsizlik yoluyla güvenlik”, hangi uygulamaların ihtiyaç duyulduğunu ve sonra hangi basit avantajlara sahip olduklarını tartışacağız. Başlamadan önce bir davet:
WordPress’in güvenliğini gerçekten anlamak ister misiniz? Güvenle WordPress Güvenliği
Mutlak bir uzman olun ve WordPress güvenliğini doğru bir şekilde yaptığınıza dair güven alın.
Tekrar Öğrenin
Bölünelim!WordPress güvenlidir, diğer FUD WordPress güvenlidir.WordPress çalıştırır eklentiler ve temalar hala güvenlidir.FUD, teknoloji topluluğunda genel bir kısaltmadır.Bu “korku, belirsizlik ve şüphe” kısaltmasıdır.Birinin “fud” yu yaydığını söylediğinizde, genellikle korkuyu yaymak için belirli teknolojinin veya fikirlerin kullanımı hakkında belirsizlik veya şüpheler kullandıklarını kastedersiniz.WordPress hakkında biraz bilen insanlar için çok yaygın.Ve tarihin bu yayılma düşüncesinin gerçeğe saygı duyulması gerektiğinin birkaç nedeni vardır.Ancak tarihsel olarak “WordPress” i güvensiz yapan şeylerin çoğu WordPress, çekirdek yazılım değildir.Onlar, yaptıklarının ciddiyetinin farkında olmayan kişiler tarafından iyi bakılmayan ve yazılımları olan eski web siteleridir.
WordPress’in özü, tarih ve vintage gibi güvenli bir araçtır. Bunda bulunan ve geliştirilen güvenlik sorunlarının çoğu şu anda oldukça bulanık ve ezoteriktir. Kötü saldırganlar tarafından rastgele yerlerde kolayca sömürülen şeyler değildir. Bu nedenle, WordPress’in gerektiği gibi otomatik güncellemeler yapmasına izin verirseniz, WordPress’in kendisi hakkında güvenli olmayan endişelenmenize gerek yoktur. WordPress’i çevreleyen ekosistemin çok geniş olduğu söyleniyor. Ve temel araçtaki güvenliğe dikkat çekerken, daha geniş bir ekosistem hala zaman zaman güvenlik hataları yapan birçok tema ve eklenti içeriyor. Bu doğal ve anlaşılabilirdir, ancak güvenlik açığı bazen büyük ve not etmek önemlidir. Ama çoğu yok. Ve bu bile eklentilerinizi ve temalarınızı güncellerseniz çoğu korunabilir. Temel WordPress güvenli. WordPress çalıştırır eklentiler ve temalar hala güvenlidir. Ancak bu, sitenizi daha güvenli hale getirmek için birkaç adım daha atmanız gerekmediği anlamına gelmez. Belirsizlik yoluyla güvenlik nedir? Müstehcenlik yoluyla güvenlik, değerli eşyalarınızı yoğun nüfuslu bir alanda arabanızda bırakmamanızın nedenidir. Belirsizlik yoluyla güvenlik, dünyanın birçok yerinde yaygın bir uygulamadır. Örnek: Güvenlik, arabanızda görülen değerli eşyaları yoğun nüfuslu bir alanda bırakmamanızın nedenidir. Değerli eşyalarınızı bir bavul veya battaniye ile kaplayarak, potansiyel saldırgana arabanıza girmeden ne kadar faydalar elde edebileceklerini belirsizleştirirsiniz.
Ancak teknoloji ile, belirsizlik yoluyla güvenlik genellikle biraz farklıdır.Özellikle burada kastettiğimiz, sitenizin nasıl yapıldığını ve sizi korumak için dosyayı nerede bulmayı bekleyebileceklerini anlayan kişilere güventiğinizde, müstehcenlik yoluyla güvenliktir.Müstehcenlik tekniği ile bir başka genel güvenlik, etiketleyerek “okul çalışması” veya zararsız görünen bir şey olarak görülmek istemeyen belirli dosyaları “güvence altına almak “dır.Gördüğünüz gibi, vergi belgeniz veya seksi fotoğrafınız aslında okul klasörüne/2017/fizik/deneylere girerek güvence altına alınmaz.Aslında, sadece gizliydiler.Bu, onlara güvenlik eklemeye benziyor, ancak aynı şey değil.Yapılan her şey birisinin onu bulması biraz daha zor.Bu, müstehcenlik faydaları ve kaybı yoluyla güvenliğin özüdür.
Arabaya geri dönelim. Değerli eşyalarınızı arabanın gövdesine kilitlemekten daha iyi bırakır. Onlarla görüldüğünde, saldırgan ne alacaklarını biliyor. Onlar görmeden, elde edilmesi artık zor değil, ancak değerli bir şey olarak değerlendirilmeleri daha zor. Ancak, herhangi bir belirsiz koşulda, otomobilin onu gizleyerek kilitli olduğundan emin olarak daha değerli eşyaların güvenliğini artırırsınız. Bu WordPress için benzer. Diyelim ki WordPress’i çalıştırdığınızı bilmek daha zor. Yaygın tavsiye, “WordPress tarafından gururla güçlendirilmiş”, HTML başlık jeneratör meta ve diğer birçok şeyi gizlemeniz gerektiğidir. Bütün bunlar sizi daha güvenli hale getirmelidir. Ancak hiçbiri mecazi kapıyı kilitlemenizi sağlamak için aynı değerli değildir. Güvenlik-yüzeysel, genellikle WordPress, WordPress ekosisteminin etrafında görebileceğiniz bazı güvenlik önerilerini hesaplamak için yukarıda başladım. Bu harika:
“WordPress tarafından gururla güçlendirildi”
Meta jeneratör etiketlerini gizle
WordPress sürümünü gizle
Readme.html’i sil
Giriş sayfasını farklı bir URL’de gizle
WP-Admin klasörünün, WP-Content, vb. Adını değiştirin.
Değerli eşyalarınızı görüşünüze taşımak, saldırganı sitenizin WordPress çalıştırdığını bilmek biraz daha zor hale getirecek ve başka birkaç küçük avantajı olabilir. Ancak hiçbiri genel WordPress sitesinin güvenliğini artırmak için adımlar önerecek kadar iyi değil.
Bu uygulamanın hiçbiri, genel WordPress sitesinin güvenliğini artırmak için adımlar önerecek kadar iyi değildir.Bu adımların her biriyle, kendinizi sadece belirli saldırgan türlerinden korursunuz: saldırı gerçekleştirecek kadar akıllı olan, ancak WordPress sitesini ayırt etmeye ve devralmaya çalışmanın daha güçlü bir yoluna sahip olmayacak kadar aptal olan biri.Bu türdeki en basit tavsiyeyi alalım: WordPress’ten bahsedebilecek tema altbilgisini sildiğinizden emin olun.Güvenlik arenasındaki rakibiniz, ipi bularak saldırıya uğrayacak bir WordPress sitesi bulmak için gerçekten googling yapan biriyse bu yararlı olacaktır.Ancak bu tür saldırganlar dünyada çok fazla olmayacak.
Diğer numaralar sizi biraz daha ileri götürecektir. Örneğin, ReadMe.html dosyasını bulacak kadar akıllı olan saldırganla savaşırsanız, en azından daha sofistike bir seviyeyle uğraşıyorsunuz. Yani zamanınız için biraz daha değerli. Ve giriş URL’nizi taşımak, WordPress ortamındaki saldırganı yavaşlatmak için yeterli olacaktır, böylece uygulamadan gerçekten yararlanabilirsiniz. Tüm bu tavsiyenin özü, saldırganın WordPress’i çalıştırdığınızı bilmemesi gerektiği düşüncesidir, o zaman güvende olacaksınız. Ama sorun şu ki, bunların hiçbiri WordPress’i çalıştırdığınızı öğrenmek için sofistike forvet durdurmuyor. Stil sayfanızda style.css denir ve içinde tema adı metni vardır, WordPress kullandığınız oldukça açıktır. Stil sayfası minifikasyonumuzu yürüttüğümüz ve wpShout’ta birleştiğimiz için, çok yaygın bir stil sunmadık. Ancak hala sitemizdeki stil sayfasında görüntülenen net bir tema adımız var. Eğer bir saldırgansam, WordPress sitesini bulmak için güvendiğim son yöntem budur. (Dinlenme ateşi aramasına rağmen, XML-RPC veya WordPress dışında daha az kullanılan birkaç HTML işaretlemesi de iyi fikirlerdir.)
Müstehcenlik yoluyla güvenlik neden yararlıdır, eğer sitenizin WordPress olduğunu söylemenizi zorlaştırırsanız, sitenizi denemek için bir dizi saldırganın durdurulabileceğiniz doğrudur. Bu makalenin başlığını verdim ve bu güvenliğin belirsiz tekniklerle nasıl kullanılmadığını söylemek için yukarıdaki birçok şeyi yazdım. Ve gerçekten neden yapmaya değer oldukları hakkında ilginç bir hikayesi olmadığını düşünüyorum. Ama birkaç değerleri olduğunu inkar edemem. İş dünyasındaki maliyetleri ve minimum faydalar nedeniyle onları tavsiye etmenin akıllıca olduğunu düşünmüyorum, ancak işe yaramazlar. Sitenizin WordPress olduğunu söylemenizi zorlaştırırsanız, sitenizi denemek için bir dizi saldırganın durdurabileceğiniz doğrudur. Binlerce veya%100’den biri olsun, veri yokken hepsi spekülasyondur. Ve verimiz yok. Ama bence bazı faydalar açık. Sitenin WordPress olduğunu öneren ReadMe.html dosyası için sitenin uzun listesini araştırmak için bir komut dosyası oluşturan bir hacker görebiliyorum ve daha sonra yalnızca dosyayı içeren siteye saldırıyor. Yani bu olursa, sizinkini kaldırmada tartışılmaz bir değer olacaktır. Saldırgan, sitenize (WordPress sitesi olarak) saldırmak için daha fazla çaba göstermeyecektir. Benzer şekilde, saldırganın tüm bu WordPress sitelerini ziyaret etmek ve zorla girmeye çalışmak için {url} /wp-login.php’ye yönlendirmek için bir komut dosyası yazmayı hayal etmek kolaydır.
Giriş sayfanızı örnekler.com/let-me-in——ceace üzerine koyarak gizlerseniz, sitenize girmeye çalışmaları olası değildir. Yani bunlardan bazıları faydalı. Temel olarak, katmanlı güvenlik planları, insanların erişmek istemediğiniz şeylere erişmeye çalışmaları için küçük bir olasılık haline getirilmesini içerir. Yani bu adımlar bazı insanlar için atılmaya değer. Sadece verdikleri frekanstan çok daha değerli olduklarını düşünüyorum. Neden burada net olmayan temel problemler tekniği ile zaman kaybetmek zorunda değilsiniz, müstehcenliğin güvenlik uygulamanızda bir katman olarak mantıklı olabileceğidir, ancak kendisi değerli bir güvenlik uygulaması değildir. Temel olarak, müstehcenlik yoluyla güvenliği takip etmek veya WordPress sitenizin doğru yapılandırılmasını, dosya izninin kilitlenmesini, uygunsuz bir erişim seviyesine sahip eski bir kullanıcı hesabınız olmadığından emin olan önemli ve kullanışlı teknikler arasında seçim yapılır. vb. çok daha önemlidir. Saldırganın son bölümünde, güvenlik önlemleri alarak yavaşlatılabilecek veya durdurulabilecek konuştuk-açıklama yapmadık. Ancak teorik saldırganlarımızın, bir sitenin WordPress’i çalıştırıp çalışmadığını görmek ve topladıkları URL’ler listesindeki tüm sitelere, WordPress sitesi gelişigüzel bir şekilde saldırıp saldırmadığını görmek için her türlü sınavı görmezden gelmesi de mantıklıdır. Dünyadaki WordPress sitelerinin yüzdesi oldukça yüksektir, böylece araştırma kadar akıllı olabilir.
Buradaki temel sorun, müstehcenliğin güvenlik uygulamanızda bir katman olarak mantıklı olabileceğidir, ancak kendisi değerli bir güvenlik uygulaması değildir. Fark, kaynaklara erişmek istemeyen insanlar ve kaynak bulmayı biraz daha zor hale getiren şeyler anlamına gelen şeyler arasında geri çekilebilir. Tanıma göre müstehcenlik yoluyla güvenlik sondur. Ancak özünde, güvenlik bu noktalardan biri ile ilgili değil, itiraf ediyorum, biraz akademik fark. Kelimenin tam anlamıyla, sitenin (veya herhangi bir şeyin) gerçekten güvenli olduğundan emin olmanın bir yolu yoktur. Birkaç farklı koruma adımı içeren bir güvenlik planının çok önemli olmasının nedeni budur. Hedefiniz, herhangi bir WordPress sitesini güvence altına almak için mükemmel bir güvenlik elde etmek değil, en önemlisi olduğunu düşündüğünüz tehdidi azaltmak için harekete geçmektir. Saldırgan sitenize girmenin bir yolunu bulamıyorsa, bunu yapma olasılığının önemli ölçüde düşeceği gerçeğini çürütemem. Aslında, sınırsız. (Farkında olmaya devam edin, ayrıca giriş sayfanızı birkaç noktada bulmakta zorluk çekebilirsiniz …) veya WordPress’i çalıştırdığınızı bilmediğiniz saldırgan, başarılı olmak için daha küçük olacaklarsa, bilinen sistem. Yani, bunları Salı günü işsizlerde yapmak istiyorsanız, yapın. Meta jeneratörünü gizleyin. Giriş URL’nizi taşıyın. WordPress sürümünü gizleyin. Hatta veritabanı önekinizi değiştirin.
