Įprasti „WordPress“ išpuoliai ir kaip juos sustabdyti

Įprasti „WordPress“ išpuoliai ir kaip juos sustabdyti

„WordPress“ daugiau nei dešimtmetį buvo viena iš pirmaujančių turinio valdymo sistemų (CMS). Daugybė didžiausių interneto tinklaraščių, taip pat daugybė mažų, individualių svetainių, veikia „WordPress“ sistemoje, norėdami skelbti tekstą, vaizdų ir vaizdo įrašų turinį žiniatinklyje..


„WordPress“ svetainė turi ir priekinę, ir galinę sąsają. Priekinėje dalyje pateikiamas vaizdas, kurį išoriniai lankytojai matys įkeldami tinklalapį. Vietos administratoriai ir pagalbininkai, atsakingi už turinio rengimą, kūrimą ir skelbimą, gali pasiekti foninę versiją..

Kaip ir visos kitos internetinės sistemos, „WordPress“ yra taikinys, skirtas įsilaužimo bandymams ir kitoms elektroninių nusikaltimų formoms. Kuri prasminga dabar svarstyti daugiau nei 32 proc. interneto veikia „WordPress“. Šiame straipsnyje apžvelgsime dažniausiai pasitaikančius „WordPress“ išpuolius prieš programinę įrangą ir pateiksime pasiūlymų, kaip apsisaugoti nuo jų ir apsaugoti svetainę..

Įprasti „WordPress“ išpuolių metodai

Pirmiausia pažvelkime į įprastas „WordPress“ svetainių savininkų atakas.

1. SQL įpurškimas

Įprasti „WordPress“ išpuoliai: SQL įpurškimas

„WordPress CMS“ platforma remiasi duomenų bazės sluoksniu, kuriame saugoma metaduomenų informacija, taip pat kita administracinė informacija. Pvz., Įprastoje SQL pagrindu sukurtoje „WordPress“ duomenų bazėje bus vartotojo informacija, turinio informacija ir svetainės konfigūracijos duomenys.

Kai įsilaužėlis vykdo SQL įpurškimo ataką, jie naudoja užklausos parametrą per įvesties lauką arba URL, kad paleistų tinkintą duomenų bazės komandą. „SELECT“ užklausa įsilaužėliams leis peržiūrėti papildomą informaciją iš duomenų bazės, o „UPDATE“ užklausa leis jiems iš tikrųjų pakeisti duomenis..

2011 m. Tinklo apsaugos bendrovė „Barracuda Networks“ tapo auka SQL injekcijos ataka. Piratai vykdė komandų serijas visoje „Barracuda“ svetainėje ir galiausiai rado pažeidžiamą puslapį, kurį buvo galima naudoti kaip pagrindinės bendrovės duomenų bazės portalą.

2. Skirtingų svetainių scenarijų rašymas

Skirtingų svetainių scenarijų ataka, taip pat žinoma kaip XSS, yra panaši į SQL injekciją. Priima ją nukreipdami į „JavaScript“ elementus tinklalapyje, o ne į duomenų bazę, esančią už programos. Sėkmingas užpuolimas gali pakenkti pašalinio lankytojo asmeninei informacijai.

Su XSS ataka įsilaužėlis prideda „JavaScript“ kodą į svetainę per komentaro lauką ar kitą teksto įvestį, tada tas kenksmingas scenarijus paleidžiamas, kai kiti vartotojai lankosi puslapyje. Nesąžiningi „JavaScript“ paprastai nukreipia vartotojus į apgaulingą svetainę, kurioje bus bandoma pavogti jų slaptažodį ar kitus identifikavimo duomenis.

Net tokios populiarios svetainės kaip „eBay“ gali būti XSS atakų taikiniai. Anksčiau įsilaužėliai sėkmingai papildė kenkėjiškas kodas produktų puslapiuose ir įtikino klientus prisijungti prie apgaulingo tinklalapio.

3. Komandos įpurškimas

Tokios platformos kaip „WordPress“ veikia trimis pagrindiniais sluoksniais: interneto serveriu, programų serveriu ir duomenų bazės serveriu. Bet kiekvienas iš šių serverių veikia aparatūra su konkrečia operacine sistema, pavyzdžiui, „Microsoft Windows“ ar atvirojo kodo „Linux“, ir tai rodo atskirą galimą pažeidžiamumo sritį..

Vykdydamas komandų injekcijos ataką, įsilaužėlis teksto lauke ar URL įves kenkėjišką informaciją, panašią į SQL injekciją. Skirtumas tas, kad kode bus komanda, kurią atpažins tik operacinės sistemos, pavyzdžiui, komanda „ls“. Jei vykdomas, rodomas visų pagrindinio serverio failų ir katalogų sąrašas.

Kai kurios prie interneto prijungtos kameros yra ypač pažeidžiamos komandų injekcijų atakoms. Išduodant nesąžiningą komandą, jų programinė įranga gali netinkamai parodyti sistemos konfigūraciją išoriniams vartotojams.

4. Failo įtraukimas

Dažni „WordPress“ išpuoliai: failų įtraukimas

Įprastos žiniatinklio kodavimo kalbos, tokios kaip PHP ir „Java“, leidžia programuotojams remtis išoriniais failais ir scenarijais iš jų kodo. Komanda „įtraukti“ yra bendras šios rūšies veiklos pavadinimas.

Tam tikrais atvejais įsilaužėlis gali manipuliuoti svetainės URL, kad sugadintų kodo skyrių „įtraukti“ ir gautų prieigą prie kitų programų serverio dalių. Nustatyta, kad tam tikri „WordPress“ platformos papildiniai yra pažeidžiami failų įtraukimo atakos. Kai įvyksta tokie įsilaužimai, infiltratorius gali gauti prieigą prie visų duomenų pagrindiniame programų serveryje.

Apsaugos patarimai

Dabar, kai žinote, ko reikia ieškoti, yra keli paprasti būdai, kaip sustiprinti „WordPress“ saugumą. Akivaizdu, kad yra daug daugiau būdų, kaip apsaugoti savo svetainę, nei paminėta žemiau, tačiau tai yra gana paprasti metodai, kuriuos galite pradėti ir kurie gali duoti įspūdingą pelną įsilaužėlių, kuriems užkirstas kelias.

1. Naudokite saugų pagrindinį kompiuterį ir ugniasienę

„WordPress“ platformą galima paleisti iš vietinio serverio arba valdyti per debesies prieglobos aplinką. Norint išlaikyti saugią sistemą, pirmenybė teikiama priglobtajai parinktiai. Aukščiausi „WordPress“ pagrindiniai kompiuteriai rinkoje pasiūlys SSL šifravimą ir kitas apsaugos formas.

Įprasti „WordPress“ išpuoliai: ugniasienė

Konfigūruodami priglobtą „WordPress“ aplinką, būtina įjungti vidinę užkardą, kuri apsaugotų ryšius tarp jūsų programų serverio ir kitų tinklo sluoksnių. Užkarda patikrins visų užklausų tarp sluoksnių pagrįstumą, kad įsitikintų, jog leidžiama apdoroti tik teisėtas užklausas.

2. Atnaujinkite temas ir papildinius

„WordPress“ bendruomenė užpildyta trečiųjų šalių kūrėjais, kurie nuolatos dirba prie naujų temų ir papildinių, kad panaudotų CMS platformos galią. Šie priedai gali būti nemokami arba mokami. Įskiepiai ir temos visada turėtų būti atsisiųsti tiesiai iš „WordPress.org“ svetainės.

Išoriniai papildiniai ir temos gali būti rizikingi, nes juose yra kodas, kuris bus paleistas jūsų programų serveryje. Pasitikėkite tik tais priedais, kuriuos teikia patikimas šaltinis ir kūrėjas. Be to, turėtumėte reguliariai atnaujinti papildinius ir temas, nes kūrėjai išleis saugos patobulinimus.

Per „WordPress“ administratoriaus pultas, skirtuką „Atnaujinimai“ galite rasti „Dashboard“ meniu sąrašo viršuje.

3. Įdiekite virusų skaitytuvą ir VPN

Jei naudojate „WordPress“ vietinėje aplinkoje arba turite visą prieigą prie serverio per savo prieglobos paslaugų teikėją, tuomet turite būti tikri, kad jūsų operacinėje sistemoje veikia patikimas virusų skaitytuvas. Nemokami „WordPress“ svetainės nuskaitymo įrankiai, tokie kaip „Virus Total“, patikrins visus išteklius, kad būtų galima ieškoti pažeidžiamumų.

Prisijungdami prie savo „WordPress“ aplinkos iš nuotolinės vietos, visada turėtumėte naudoti virtualiojo privataus tinklo (VPN) klientą, kuris užtikrins, kad visi duomenų ryšiai tarp jūsų vietinio kompiuterio ir serverio būtų visiškai užšifruoti..

4. Užsiblokavimas prieš žiaurius pajėgų išpuolius

Vienas iš populiariausių ir dažniausiai pasitaikančių „WordPress“ išpuolių yra vadinamųjų brutaliosios jėgos išpuoliai. Tai yra ne kas kita, kaip automatizuota programa, kurią įsilaužėlis paleidžia prie „priekinių durų“. Jis sėdi ten ir išbandė tūkstančius skirtingų slaptažodžių derinių ir pakankamai dažnai suklupo tinkamą, kad būtų verta.

Geros žinios yra tai, kad yra nesudėtingas būdas sušvelninti žiaurią jėgą. Bloga žinia ta, kad per daug svetainių savininkų netaiko pataisų. Peržiūrėkite „Viskas viename“ WP saugą ir ugniasienę. Tai nemokama ir leidžia nustatyti griežtą bandymo prisijungti limitą. Pvz., Po trijų bandymų įskiepis užfiksuoja svetainę, kad nustatytą laiką nustatytų tam tikras IP adresus pagal tą IP adresą. Taip pat gausite pranešimą el. Paštu, kad įjungta užrakinimo funkcija.

5. Dviejų faktorių autentifikavimas

Šis madingas svetainės apsaugos būdas priklauso nuo to, kad įsilaužėlis greičiausiai negalės valdyti dviejų jūsų įrenginių vienu metu. Pavyzdžiui, kompiuteris IR mobilusis telefonas. Dviejų faktorių autentifikavimas (2FA) prisijungimą prie jūsų svetainės svetainės paverčia dviem etapais. Kaip įprasta, jūs prisijungiate įprastu būdu, bet tada būsite paraginti įvesti papildomą kodą, išsiųstą į jūsų telefoną.

Protingas, ar ne? Šis vienas papildomas žingsnis padidina jūsų svetainės saugumą eksponentiškai, atskirdamas prisijungimą prie skirtingų žingsnių. Patikrink Tai nemokamų papildinių sąrašas tai padės nustatyti 2FA. Tie įsilaužėliai, kurie galvojo bandyti suklaidinti jūsų svetainę, tikriausiai jau keičia savo mintis.

Išvada

Nors nėra tokio dalyko kaip 100% saugi svetainė, yra daugybė priemonių, kurių galite imtis savo svetainei apsaugoti. Naudodami gerą užkardą, nuolat atnaujindami savo temas ir papildinius bei periodiškai vykdydami virusų skenavimą galite padaryti didžiulį skirtumą.

Tai gali padėti susimąstyti apie svetainės saugumą kaip apie amžiną pasikartojantį procesą. Niekada neturėtų kilti taškas, kai atsitrauki ir galvoji, kad jis „baigtas“, nes žaidimas tarp įsilaužėlių ir svetainių gynėjų niekada nesibaigs, net ir oficialiai sankcionuoti internetiniai žaidėjai pateks į internetinis stebėjimas verslas. Tik išlaikydami žinių apie naujausias grėsmes ir kaip jas atstumti, galėsite išlaikyti kibernetinį saugumą ir internetinį privatumą..

Labai blogai, kad pasaulis turi būti toks, tačiau sutik su tuo ir judėk toliau. Jei niekada to nepadarėte anksčiau, dabar būtų tinkamas laikas surasti kelias gerbiamas kibernetinio saugumo naujienų svetaines. Prenumeruokite jų informacinį biuletenį arba bent reguliariai apsilankykite. Pradėkite paleisdami „Google“ (arba jūsų pasirinktą paieškos variklį) ieškodami „kibernetinio saugumo naujienų“.

Turite klausimą ar dar daugiau patarimų? Palikite komentarą ir praneškite mums.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map