Bežné útoky na WordPress a ako ich zastaviť

Bežné útoky na WordPress a ako ich zastaviť

WordPress je už viac ako desať rokov jedným z popredných systémov na správu obsahu (CMS). Mnohé z najväčších blogov na internete, ako aj veľa malých samostatných stránok, bežia v rámci systému WordPress na publikovanie textového, obrazového a video obsahu na celosvetovom webe..


Webové stránky WordPress majú rozhranie front-end aj back-end. Klientske rozhranie poskytuje názor, že externí návštevníci uvidia, keď načítajú webovú stránku. Na back-end môžu mať prístup správcovia stránok a prispievatelia, ktorí sú zodpovední za tvorbu, navrhovanie a publikovanie obsahu..

Ako každý iný internetový systém, aj WordPress je cieľom pokusov o hackovanie a iných foriem počítačovej kriminality. Čo dáva zmysel uvažovať teraz viac ako 32% internetu beží na WordPress. V tomto článku si preberieme najbežnejšie útoky na softvér WordPress a potom ponúkneme návrhy, ako sa proti nim brániť a zaistiť bezpečnosť svojich webových stránok..

Metódy bežných útokov WordPress

Najprv sa pozrime na spoločný útok, na ktorý by sa mohli vyskytnúť vlastníci stránok WordPress.

1. Vstrekovanie SQL

Bežné útoky na WordPress: SQL Injection

Platforma WordPress CMS sa spolieha na databázovú vrstvu, ktorá ukladá informácie o metadátach a ďalšie administratívne informácie. Napríklad typická databáza WordPress založená na SQL bude obsahovať informácie o používateľovi, informácie o obsahu a údaje o konfigurácii stránok.

Keď hacker vykoná útok na injekciu SQL, použije parameter request, buď prostredníctvom vstupného poľa alebo adresy URL, na spustenie prispôsobeného príkazu databázy. Dotaz „VYBRAŤ“ umožní hackerovi zobraziť ďalšie informácie z databázy, zatiaľ čo dotaz „UPDATE“ im umožní skutočne zmeniť údaje..

V roku 2011 sa spoločnosť pre bezpečnosť sietí s názvom Barracuda Networks stala obeťou SQL injekčný útok. Hackeri spustili celý rad príkazov na celom webe Barracuda a nakoniec našli zraniteľnú stránku, ktorá by sa mohla použiť ako portál do primárnej databázy spoločnosti..

2. Skriptovanie naprieč stránkami

Cross-site skriptovací útok, tiež známy ako XSS, je podobný ako SQL injection, akceptuje, že zacieľuje na prvky JavaScript na webovej stránke namiesto databázy za aplikáciou. Úspešný útok môže viesť k ohrozeniu súkromných informácií externého návštevníka.

Pri útoku XSS hacker pridá kód JavaScript na web pomocou poľa s komentárom alebo iným vstupom textu a potom sa tento škodlivý skript spustí, keď ostatní používatelia navštívia stránku. Nečestný JavaScript obyčajne presmeruje používateľov na podvodnú webovú stránku, ktorá sa pokúsi ukradnúť svoje heslo alebo iné identifikačné údaje.

Aj populárne webové stránky ako eBay môžu byť terčom útokov XSS. V minulosti hackeri úspešne pridali škodlivý kód na produktové stránky a presvedčili zákazníkov, aby sa prihlásili na spoofed webovú stránku.

3. Vstrekovanie príkazov

Platformy ako WordPress fungujú na troch primárnych vrstvách: webový server, aplikačný server a databázový server. Každý z týchto serverov je však spustený na hardvéri so špecifickým operačným systémom, napríklad Microsoft Windows alebo open-source Linux, čo predstavuje samostatnú potenciálnu oblasť zraniteľnosti..

Pri útoku pomocou príkazu vstrekuje hacker do textového poľa alebo adresy URL podobné škodlivé informácie, aké sú napríklad pri vstrekovaní SQL. Rozdiel je v tom, že kód bude obsahovať príkaz, ktorý rozpoznajú iba operačné systémy, napríklad príkaz „ls“. Ak sa spustí, zobrazí sa zoznam všetkých súborov a adresárov na hostiteľskom serveri.

Niektoré kamery pripojené na internet zistili, že sú obzvlášť zraniteľné pri útokoch na injekčné ovládanie. Ich firmvér môže pri vydaní nečestného príkazu nesprávne vystaviť konfiguráciu systému externým používateľom.

4. Zahrnutie súboru

Bežné útoky na WordPress: Zahrnutie súboru

Bežné jazyky na kódovanie webu, ako sú PHP a Java, umožňujú programátorom odkazovať na externé súbory a skripty v rámci svojho kódu. Príkaz „zahrnúť“ je všeobecný názov pre tento typ činnosti.

V určitých situáciách môže hacker manipulovať s webovou adresou URL, aby ohrozil časť kódu „zahrnúť“ a získal prístup k iným častiam aplikačného servera. Zistilo sa, že určité doplnky pre platformu WordPress sú voči nim zraniteľné útoky na začlenenie súborov. Ak dôjde k takýmto prienikom, infiltrátor môže získať prístup ku všetkým údajom na primárnom aplikačnom serveri.

Tipy na ochranu

Teraz, keď viete, čo hľadať, tu je niekoľko jednoduchých spôsobov, ako zvýšiť bezpečnosť vášho WordPress. Je zrejmé, že existuje oveľa viac spôsobov, ako zabezpečiť svoje stránky, ako sú uvedené nižšie, ale toto sú relatívne jednoduché spôsoby, ako začať s tým, že môžu priniesť pôsobivé výnosy hackerom, ktorí sú zmarení..

1. Použite zabezpečeného hostiteľa a bránu firewall

Platforma WordPress môže byť spustená z lokálneho servera alebo spravovaná prostredníctvom cloudového hostingového prostredia. Na účely udržiavania bezpečného systému sa uprednostňuje hostovaná voľba. Špičkoví hostitelia WordPress na trhu ponúknu šifrovanie SSL a ďalšie formy zabezpečenia.

Bežné útoky na WordPress: Firewall

Pri konfigurácii hostovaného prostredia WordPress je dôležité povoliť interný firewall, ktorý bude chrániť spojenia medzi aplikačným serverom a ostatnými sieťovými vrstvami. Firewall skontroluje platnosť všetkých požiadaviek medzi vrstvami, aby zabezpečil, že sa môžu spracovávať iba legitímne žiadosti.

2. Aktualizujte témy a doplnky

Komunita WordPress je plná vývojárov tretích strán, ktorí neustále pracujú na nových témach a doplnkoch, aby využili silu platformy CMS. Tieto doplnky môžu byť bezplatné alebo zaplatené. Doplnky a témy by sa mali vždy sťahovať priamo z webovej stránky WordPress.org.

Externé doplnky a témy môžu byť riskantné, pretože obsahujú kód, ktorý sa spustí na vašom aplikačnom serveri. Dôverujte iba doplnky, ktoré pochádzajú od renomovaného zdroja a vývojára. Okrem toho by ste mali pravidelne aktualizovať doplnky a témy, pretože vývojári vydajú vylepšenia zabezpečenia.

V rámci Správcovská konzola WordPress, karta „Aktualizácie“ sa nachádza v hornej časti zoznamu ponúk „Dashboard“.

3. Nainštalujte antivírusový program a VPN

Ak používate WordPress v lokálnom prostredí alebo máte úplný prístup na server prostredníctvom poskytovateľa hostingu, musíte mať vo svojom operačnom systéme spustený robustný antivírusový program. Bezplatné nástroje na kontrolu vašich stránok WordPress, napríklad Virus Total, skontrolujú všetky zdroje, aby zistili zraniteľné miesta.

Keď sa pripájate k svojmu prostrediu WordPress zo vzdialeného miesta, mali by ste vždy používať klienta virtuálnej súkromnej siete (VPN), ktorý zabezpečí, že všetka dátová komunikácia medzi miestnym počítačom a serverom bude úplne šifrovaná..

4. Blokovanie proti útokom hrubou silou

Jeden z najpopulárnejších a najbežnejších útokov na WordPress má podobu tzv. Útokov hrubou silou. Toto nie je nič viac ako automatizovaný program, ktorý hacker uvoľní pri „predných dverách“. Sedí tam a skúšal tisíce rôznych kombinácií hesiel a zakopnutí cez tú pravú, dosť často, aby to stálo za to.

Dobrou správou je, že existuje jednoduchý spôsob, ako zafixovať hrubú silu. Zlou správou je, že príliš veľa majiteľov stránok opravu neuplatňuje. Pozrite si zabezpečenie a bránu Firewall typu všetko v jednom. Je to zadarmo a umožňuje vám nastaviť pevný limit pre pokusy o prihlásenie. Napríklad po troch pokusoch zásuvný modul uzamkne stránku proti ďalším prihláseniam pomocou tejto adresy IP na vopred nastavenú dobu. Dostanete tiež e-mailové upozornenie, že funkcia blokovania bola spustená.

5. Dvojfaktorové overenie

Táto šikovná metóda zabezpečenia vašich stránok spočíva v skutočnosti, že hacker pravdepodobne nebude schopný prevziať kontrolu nad dvoma vašimi zariadeniami súčasne. Napríklad počítač a mobilný telefón. Dvojfaktorové overenie (2FA) zmení prihlásenie na vaše webové stránky na dvojkrokový proces. Ako obvykle sa pravidelne prihlasujete, ale potom sa zobrazí výzva na zadanie ďalšieho kódu odoslaného do telefónu.

Chytre, hm? Tento ďalší krok zvyšuje bezpečnosť vašej stránky exponenciálne rozdelením prihlásení do rôznych krokov. Skontroluj to zoznam bezplatných doplnkov ktoré vám pomôžu nastaviť 2FA. Tí hackeri, ktorí uvažovali o pokuse o pokec s vašimi stránkami, pravdepodobne už menia názor.

záver

Aj keď neexistuje 100% zabezpečená webová stránka, existuje veľa krokov, ktoré môžete podniknúť na ochranu svojej webovej stránky. Používanie dobrého brány firewall, udržiavanie aktuálnosti tém a doplnkov a pravidelné vykonávanie kontroly vírusov môžu mať obrovský význam.

Môže to pomôcť pomyslieť na bezpečnosť webových stránok ako na večný iteračný proces. Nikdy by nemalo prísť miesto, keď ustúpite a myslíte si, že je „kompletný“, pretože hra medzi hackermi a obrancami webových stránok sa nikdy nezastaví, dokonca ani oficiálne sankcionovaní online hráči sa dostanú do hry. online dohľad podnikania. Zachovať si kybernetickú bezpečnosť a súkromie online iba vtedy, ak budete mať vedomosti o najnovších hrozbách a o tom, ako ich odraziť..

Je príliš zlé, že svet musí byť taký, ale prijmite ho a choďte ďalej. Ak ste to ešte nikdy neurobili, teraz by bolo vhodné nájsť niekoľko uznávaných spravodajských serverov o kybernetickom zabezpečení. Prihláste sa na odber ich bulletinu alebo aspoň pravidelne platte návštevy. Začnite spustením vyhľadávača Google (alebo vyhľadávacieho nástroja podľa vášho výberu) a vyhľadajte „správy o kybernetickej bezpečnosti“.

Máte otázku alebo viac tipov, ktoré môžete pridať? Zanechajte komentár a dajte nám vedieť.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map