• Anasayfa
  • Nesne
  • Kılavuz
  • WordPress Bilet #30465 10 Yıl Önce Açılmıştı – 2025 Sonunda Çözüme Ulaşılacağı Yıl mı Olacak?

WordPress Bilet #30465 10 Yıl Önce Açılmıştı – 2025 Sonunda Çözüme Ulaşılacağı Yıl mı Olacak?

Yayınlanan: 2025-01-03

Kasım 2014'te, Sergej Mueller adlı bir WordPress geliştiricisi makul görünen bir endişeyi dile getirdi: Kullanıcıların, kullandıkları bir eklentinin resmi depodan kaldırılıp kaldırılmadığını (güvenlik nedeniyle kaldırılmış olsa bile) bilmelerinin hiçbir yolu yoktu. Resmi olarak 30465 numaralı bileti nispeten kısa bir süre sonra kapatıldı, ancak herhangi bir çözüm bulunamadı. Sergej buranın neredeyse on yıl sonra yeniden açılacağını bilmiyordu.

Ve işte buradayız, 2025'in başında bu konuda bir güncelleme yazıyorum.

Neden?

Birkaç nedenden dolayı.

Birincisi, yakın zamanda (tam olarak geçen yılın ekim ayında) meydana gelen bazı eklenti güvenliği olaylarıyla son derece alakalı. Birazdan bunlardan bahsedeceğim. İkincisi, sorunu çözme isteği ve ivmesi ciddi bir ivme kazanıyor; talepteki son etkinlik bir aydan kısa bir süre önce gerçekleşti:

WordPress bileti 30465.

Görünüşe göre Sergej'in sabrı yakında meyvesini verecek gibi görünüyor...

Biletin gelişiminin izini sürerek başlayalım. Daha sonra son haftalarda neler olduğuna geçebiliriz:

10 yıllık #WordPress bileti nihayet 2025'te çözülecek mi? 😲 🐛
Tweetlemek için tıklayın

"Düzelmeyecek"ten WCEU 2023'te sahne almaya kadar 🙅‍♂️

Destek talebi ilk açıldığında birkaç yanıt aldı ancak WordPress baş geliştiricisi Andrew Nacin tarafından oldukça hızlı bir şekilde kapatıldı. Eklentiyi kapattı ve "düzeltmeyecek" olarak işaretleyerek eklenti kaldırma işlemlerinin yalnızca güvenlik sorunları değil, çeşitli nedenlerle gerçekleştiğini açıkladı:

Bundan sonra bir miktar yorum telaşı oldu, ancak daha sonra bu, konuyu yeniden canlandırmaya çalışan birinin yılda bir kez (bazen bundan bile daha az) yaptığı bir yoruma dönüştü.

Daha sonra Mart 2023'te ilginç bir şey oldu. WordPress topluluğunun tanınmış isimlerinden Joost de Valk, bileti resmi olarak yeniden açtı . Onun iddiası, WordPress'in kullanıcılara bir eklentinin korunup korunmadığını söyleme sorumluluğunun olduğuydu.

Ayrıca WordPress.org'un bu bilgiyi platformun kendisinde zaten gösterdiğini, ancak yalnızca 60 günlük bir bekleme süresinden sonra olduğunu belirtti. Onun önerisi, aynı şeffaflığı, kullanıcıların eklentilerini gerçekten yönettikleri WordPress arka ucuna da getirmekti.

Bu, başlıkta yeni bir coşku dalgasının oluşmasına neden oldu. Bilet o kadar popüler oldu ki Patchstack'ın CEO'su ve kurucu ortağı Oliver Sild, WCEU 2023 konuşmasında bundan bahsetti:

Patchstack'tan Oliver, WCEU 2023 konuşmasında WordPress bileti 30465'ten bahsediyor.

Sadece bundan bahsetmekle kalmadı, aynı zamanda sunumuna eklediği özel QR kodunu kullanarak WCEU katılımcılarını konuya yorum bırakmaya teşvik etti. Ayrıca bu fişi, Patchstack'ın ertesi yıl ev sahipliği yapacağı bir yarışma için gecikmeli bir ara sokak olarak da kullandı.

Patchstack'ın Ekim 2024 etkinliği 🪲

Patchstack, Ekim 2024'te Siber Güvenlik Ayı kapsamında bir Bug Bounty etkinliği başlattı. Eğer Oliver'ın WCEU konuşmasında 30465 numaralı biletten bahsetmesi alley-oop olsaydı, o zaman bu etkinliğin sonuçları smaç olurdu.

Etkinliğe katılan güvenlik araştırmacıları, tek bir ayda şaşırtıcı derecede 1.571 geçerli güvenlik açığı raporu keşfettiler. Bunlar sadece küçük sorunlar da değildi; şunlardan bahsediyoruz:

  • Saldırganların kötü amaçlı dosyalar yükleyebildiği 73 durum.
  • Veritabanlarının tamamını tehlikeye atabilecek 67 SQL enjeksiyon güvenlik açığı.
  • Saldırganların ayrıcalıklarını artırmasının 58 yolu.
  • 17 uzaktan kod yürütme güvenlik açığı (evet!)

Sonrasında 1000'e yakın eklenti geçici olarak kapandı. Patchstack bu sorunlarla ilgili olarak eklenti geliştiricileriyle iletişime geçmeye çalıştığında neredeyse %74'üne tamamen ulaşılamadı. Ya iletişim formları bozulmuş, e-postaları geri dönmüş ya da alan adlarının süresi dolmuş.

İşin ilginç yanı, bu savunmasız eklentilerin çoğunun 6-11 yıldır depoda durmasıydı. Bazıları 17 yıl öncesine kadar uzanıyor! Ve evet, bu eklentilere bağlı olarak hala canlı web siteleri var.

Söylemeye gerek yok, tüm bu veriler Oliver'a başlıkta 30465 numaralı bileti tamamlamaya doğru itme gücü sağladı. Bundan memnuniyetle yararlandı ve olayı tartışan resmi Patchstack blog yazısının yayınlanmasından iki hafta önce bazı ayrıntıları yayınladı:

Oliver Sild, WordPress bileti 30465'i tamamlamaya taşımak için güçlü bir örnek oluşturmak amacıyla verileri kullanıyor.

Tartışmadan eyleme 🛠️

Oliver yorumunu eklediğinde başlıktaki etkinlik zaten çığ gibi büyüyordu, bu yüzden bireysel etkisini ölçmek zor. Ancak büyüyen aleve yakıt kattığını varsaymak mantıksız değil. Özellikle diğer kullanıcılar (bunlardan en az biri Patchstack çalışanıdır) onun yorumunu açıkça destekliyor.

Yanıt olarak, WordPress baş geliştiricisi Dion Hulse (@dd32) birkaç noktada bazı tepkiler verdi ancak aynı zamanda uzun zamandır beklenen özelliği uygulayan deneysel bir eklenti oluşturarak büyük bir adım attı:

WordPress bilet numarası 30465 için önerilen kullanıcı arayüzü entegrasyonu.

Uygulama son derece basittir; WordPress.org deposundaki bir eklenti kapatıldığında kullanıcılar net ancak ölçülü bir bildirim görür. Panik yaratan kırmızı uyarılar yok, yalnızca eklentinin durumu hakkında basit bilgiler var.

Birisi Sergej'i bulup ona "anne başardık!" desin.

Neredeyse.

Henüz WordPress çekirdeğinin bir parçası değil ama bitiş çizgisine yaklaştığımızı hissediyorum!

Artık bunun mümkün olduğu gösterildiğine göre, bir sonraki adım nihai uygulamaya karar vermektir. Daha sonra WordPress çekirdeğine entegre edilebilir.

Sırada ne var? 🎯

Bu yazının yazıldığı tarih itibariyle, bu özelliğin WordPress 6.8'e (Dion Hulse'ye göre) eklenmesi düşünülüyor, ancak hala aşılması gereken bazı engeller var. Bunlar şunları içerir:

  • Bildirim zamanlamasının kesinleştirilmesi (muhtemelen 60 günlük sürenin uzatılmasına ilişkin tartışma var).
  • Kapatma nedeni dokümantasyonunun standartlaştırılması.
  • Kullanıcı farkındalığını geliştirici desteği yüküyle dengelemek.
  • Tam konuma karar verme (eklenti örneği ekran görüntüsünde gösterildiği gibi site sağlık ekranı vs doğrudan eklenti üzerinde).

Büyük resim 🌐

WordPress bileti #30465'in evrimi bize WordPress güvenliğinin son on yılda nasıl değiştiğine dair büyüleyici bir şey anlatıyor. Bir zamanlar son durum olarak göz ardı edilen şey, ekosistem büyüdükçe ve güvenlik sorunları çoğaldıkça giderek daha kritik hale geldi.

Buraya gelmemiz on yıl sürse de deneysel eklenti, sonunda güvenlik farkındalığını kullanıcı deneyimiyle dengeleyen bir çözüme yaklaştığımızı gösteriyor. Milyonlarca WordPress kurulumunun güvenlik açığı bulunan eklentilerden potansiyel olarak etkilendiği göz önüne alındığında, bu özelliğin yakın zamanda gelebilmesi mümkün değil.

Gelişmeyi takip etmek istiyorsanız GitHub'daki deneysel eklentiye göz atın veya 30465 numaralı bilete göz atın. Bu, on yıl süren bir konuşmanın somut bir sonuca dönüştüğüne tanık olduğumuz nadir anlardan biri olabilir. 💡

Bu özellik hakkında ne düşünüyorsunuz? Bir WordPress kullanıcısı olarak bir eklentinin kapatıldığının bildirilmesinin size yararlı olacağını düşünüyor musunuz? Yorumlarda bana bildirin. Orada görüşürüz.

Yay! Makalenin sonuna ulaştınız!