Tip #3 – zabezpečení WordPress – Database Prefix

Spousta útoků, které útočník může použít jsou útoky na databázi. Pojďme jim to trochu znepříjemnit.

Útoky pomocí SQL injekce jsou samozřejmě běžné i mimo WordPress. Vzhledem k tomu, že je WordPress velice rozšířený a řada uživatelů zapomíná a nebo vůbec neví o takovéto možnosti, tak nechávají tabulky v původní struktuře s původními názvy.

Defaultně se tabulky do databáze zapisují s prefixem(předponou) wp_ poté vypadají například takto:

Nejsnadnějším způsobem, jak chránit WordPress přes SQL injekcí je právě změna prefixu databáze.

Údaje o prefixu databáze je uložena v souboru wp-config.php

 

Změna prefixu databáze

Před samotnou změnou doporučujeme udělat zálohu aktuální databáze a souboru wp-config.php

Prefix databáze může být jakýkoliv. Např. hudba_, mujWeb_, xyz_ apod.

Změníme tedy prefix databáze v souboru wp-config.php

 

Nyní je potřeba přejmenovat i všechny tabulky v databázi. Můžeme k tomu využít například phpMyAdmin.

Postačí nám jednoduchý SQL dotaz ve tvaru:

Pokud máte v databázi ještě další tabulky (například tabulky, které si vytvoří plugin po instalaci apod), tak je potřeba je přejmenovat stejným způsobem.

V případě, že používáte na úpravu databáze phpMyAdmin, tak ten umí rovnou změnit prefix databáze u všech tabulek viz.:

Úprava tabulek _options a _usermeta

Informace o prefixu jsou ještě zaneseny v tabulkách  _options a _usermeta – pro nás nově v mujBlog_options a mujBlog_usermeta

Vyhledat je můžeme buďto manuálně a nebo SQL dotazem:

a

 

Použití pluginu

Prefix databáze jak v souboru wp-config.php, tak i v databázi můžete snadno změnit pomocí pluginu Brozzme DB Prefixpo po změně můžete plugin odinstalovat, protože jej už nebudete potřebovat.


Přidej komentář :)