WordPress ξεκίνησε αρχικά ως πλατφόρμα blogging που πολύ αργότερα έγινε η πλήρης λύση στο διαδίκτυο που είναι σήμερα, για καταστήματα ηλεκτρονικού εμπορίου, blogs, ειδήσεις και εφαρμογές σε επίπεδο επιχείρησης. Αυτή η εξέλιξη του WordPress έφερε πολλές αλλαγές στον πυρήνα της και την έκανε πιο σταθερή και ασφαλή από τις προηγούμενες εκδόσεις της.
Επειδή WordPress είναι μια πλατφόρμα ανοικτού κώδικα που σημαίνει ότι οποιοσδήποτε μπορεί να συνεισφέρει στις βασικές της λειτουργίες. Αυτή η ευελιξία ωφελήθηκε τόσο από την προγραμματιστές που ανέπτυξαν θέματα και τα plugins και ο τελικός χρήστης που τα χρησιμοποιούν για να προσθέσουν λειτουργικότητα στο δικό τους WordPress sites.
Αυτό το άνοιγμα, ωστόσο, εγείρει μερικά σοβαρά ερωτήματα σχετικά με την ασφάλεια της πλατφόρμας που δεν μπορεί να αγνοηθεί. Αυτό δεν είναι ένα ελάττωμα στο ίδιο το σύστημα αλλά μάλλον η δομή στην οποία είναι χτισμένη και εξετάζοντας πόσο σημαντικό είναι αυτό, WordPress η ομάδα ασφάλειας εργάζεται μέρα και νύχτα για να διατηρήσει την πλατφόρμα ασφαλή για τους τελικούς χρήστες της.
Έχοντας πει ότι ως τελικός χρήστης δεν μπορούμε απλά να βασίζεστε στον προεπιλεγμένο μηχανισμό ασφαλείας, καθώς κάνουμε πολλές αλλαγές εγκαθιστώντας διάφορες plugins και θέματα για μας WordPress ιστοσελίδα που μπορούν να δημιουργήσουν κενά για να εκμεταλλευτούν οι χάκερ.
Σε αυτό το άρθρο, θα διερευνήσουμε διάφορα WordPress ευπάθειες ασφαλείας και θα μάθουν πώς να αποφύγουν και να τους διορθώσουν για να παραμείνουν ασφαλείς!
WordPress Θέματα ευπάθειας και ασφάλειας
Θα δούμε κάθε ζήτημα και τη λύση του ένα προς ένα.
- Βίαιη δύναμη επίθεση
- SQL Injection
- malware
- Scripting μεταξύ ιστοτόπων
- Επίθεση DDoS
- Παλιά WordPress και τις εκδόσεις PHP
1. Επίθεση Brute Force
Σύμφωνα με τον Layman, Βίαιη δύναμη επίθεση περιλαμβάνει πολλαπλά δοκιμάστε και σφάλμα χρησιμοποιώντας εκατοντάδες συνδυασμούς για να μαντέψετε το σωστό όνομα χρήστη ή κωδικό πρόσβασης. Αυτό γίνεται χρησιμοποιώντας ισχυρούς αλγόριθμους και λεξικά που υποθέτουν ότι ο κωδικός πρόσβασης χρησιμοποιεί κάποιο είδος πλαισίου.
Αυτό το είδος επίθεσης είναι δύσκολο να εκτελεστεί, αλλά εξακολουθεί να είναι μία από τις δημοφιλείς επιθέσεις που εκτελέστηκαν WordPress ιστοσελίδες. Από προεπιλογή, WordPress δεν εμποδίζει τον χρήστη να δοκιμάσει πολλαπλές προσπάθειες αποτυχίας που επιτρέπουν στον άνθρωπο ή το bot να δοκιμάσει χιλιάδες συνδυασμούς ανά δευτερόλεπτο.
Πώς να αποτρέψετε και να διορθώσετε βίαιες επιθέσεις βίας
Η αποφυγή του Brute Force είναι αρκετά απλή. Το μόνο που έχετε να κάνετε είναι να δημιουργήσετε ένα ισχυρός κωδικός πρόσβασης το οποίο περιλαμβάνει Ανώτατα γράμματα, μικρά γράμματα, αριθμούς και ειδικούς χαρακτήρες, καθώς κάθε χαρακτήρας έχει διαφορετικές τιμές ASCII και θα ήταν δύσκολο να μαντέψει ένα μακρύ και περίπλοκο κωδικό πρόσβασης. Αποφύγετε τη χρήση ενός κωδικού πρόσβασης όπως johnny123 or τι είναι η λέξη-κλειδί.
Επίσης, ενσωματώστε τον έλεγχο ταυτότητας δύο παραγόντων για να επαληθεύσετε ότι οι χρήστες πραγματοποιούν δύο φορές σύνδεση στο δικτυακό σας τόπο. Έλεγχος ταυτότητας δύο παραγόντων είναι ένα εξαιρετικό plugin για χρήση.
2. SQL Injection
Ένα από τα παλαιότερα hack στο βιβλίο του web hacking είναι εισάγοντας ερωτήματα SQL να πραγματοποιήσετε ή να καταστρέψετε πλήρως τη βάση δεδομένων χρησιμοποιώντας οποιαδήποτε φόρμα ιστού ή πεδίο εισαγωγής.
Μετά την επιτυχή επέμβαση, ένας χάκερ μπορεί να χειριστεί τη βάση δεδομένων MySQL και πολύ πιθανόν να αποκτήσει πρόσβαση σε σας WordPress admin ή απλά να αλλάξετε τα διαπιστευτήριά του για περαιτέρω ζημιές. Αυτή η επίθεση εκτελείται συνήθως από ερασιτέχνες έως μέτριους χάκερ που δοκιμάζουν ως επί το πλείστον τις ικανότητές τους για hacking.
Πώς να αποτρέψετε και να διορθώσετε SQL Injection
Χρησιμοποιώντας ένα plugin μπορείτε να προσδιορίσετε αν ο ιστότοπός σας έχει πέσει θύμα SQL Injection ή όχι. Μπορείτε να χρησιμοποιήσετε WPScan or Sucuri SiteCheck για να το ελέγξω.
Επίσης, ενημερώστε το WordPress καθώς και οποιοδήποτε θέμα ή plugin που νομίζετε ότι μπορεί να προκαλέσει προβλήματα. Ελέγξτε την τεκμηρίωσή τους και επισκεφτείτε τα φόρουμ υποστήριξής τους για να αναφέρετε τέτοια θέματα, ώστε να μπορέσουν να αναπτύξουν μια ενημερωμένη έκδοση.
3. Κακόβουλο λογισμικό
Κακόβουλος κώδικας εγχύεται σε WordPress μέσω ενός μολυσμένου θέματος, ξεπερασμένου plugin ή script Αυτός ο κώδικας μπορεί να εξαγάγει δεδομένα από τον ιστότοπό σας, καθώς και να εισαγάγει κακόβουλο περιεχόμενο που ενδέχεται να μην γίνεται αντιληπτό λόγω της διακριτικής του φύσης.
Το κακόβουλο λογισμικό μπορεί να προκαλέσει ήπιες έως σοβαρές βλάβες, αν δεν αντιμετωπιστεί εγκαίρως. Μερικές φορές το σύνολο WordPress ο ιστότοπος πρέπει να επανεγκατασταθεί καθώς έχει επηρεάσει τον πυρήνα. Αυτό μπορεί επίσης να προσθέσει το κόστος για το κόστος φιλοξενίας σας καθώς μεταφέρεται μεγάλο όγκο δεδομένων ή φιλοξενείται χρησιμοποιώντας τον ιστότοπό σας.
Πώς να αποτρέψετε και να διορθώσετε το κακόβουλο λογισμικό
Συνήθως, το κακόβουλο πρόγραμμα κάνει το δρόμο του μέσα από μολυσμένα plugins και null θέματα. Συνιστάται η λήψη των θεμάτων μόνο από αξιόπιστους πόρους χωρίς κακόβουλο περιεχόμενο.
Τα πρόσθετα ασφαλείας όπως το Succuri ή το WordFence μπορούν να χρησιμοποιηθούν για την εκτέλεση πλήρους σάρωσης και επιδιόρθωσης κακόβουλου λογισμικού. Στο χειρότερο σενάριο συμβουλευτείτε το a WordPress ειδικός.
4. Διαδικτυακή συγγραφή ιστοτόπων
Ένα από πιο κοινές επιθέσεις is Cross-Site Scripting επίσης γνωστή ως επίθεση XSS. Σε αυτόν τον τύπο επίθεσης, ο εισβολέας φορτώνει έναν κακόβουλο κώδικα JavaScript ο οποίος όταν φορτώνεται από την πλευρά του πελάτη αρχίζει να συλλέγει δεδομένα και πιθανώς να ανακατευθύνει σε άλλους κακόβουλους ιστότοπους που επηρεάζουν την εμπειρία του χρήστη.
Πώς να αποτρέψετε και να διορθώσετε τη συσχέτιση μεταξύ ιστοτόπων
Για να αποφύγετε αυτό το είδος επίθεσης, χρησιμοποιεί κατάλληλη επικύρωση δεδομένων σε ολόκληρη την περιοχή WordPress ιστοσελίδα. Χρησιμοποιήστε την εξυγίανση εξόδου για να διασφαλίσετε ότι εισάγεται ο σωστός τύπος δεδομένων. Plugins όπως Αποτροπή ευπάθειας XSS μπορεί επίσης να χρησιμοποιηθεί.
5. Attack DDoS
Όποιος έχει περιηγηθεί στο δίκτυο ή διαχειρίζεται έναν ιστότοπο μπορεί να έχει συναντήσει τη διαβόητη επίθεση DDoS. Κατανεμημένη άρνηση παροχής υπηρεσίας (DDoS) είναι η βελτιωμένη έκδοση της υπηρεσίας Denial of Service (DoS) στην οποία ένας μεγάλος όγκος αιτημάτων γίνεται σε έναν διακομιστή ιστού που καθιστά αργή και τελικά συντρίβει.
Το DDoS εκτελείται χρησιμοποιώντας μία πηγή, ενώ το DDoS είναι μια οργανωμένη επίθεση που εκτελείται μέσω πολλαπλών μηχανών ανά τον κόσμο. Κάθε χρόνο χάνονται εκατομμύρια δολάρια εξαιτίας αυτής της διαβόητης επίθεσης ασφάλειας ιστού.
Πώς να αποτρέψετε και να διορθώσετε επιθέσεις DDoS
Οι επιθέσεις DDoS είναι δύσκολο να αποφευχθούν χρησιμοποιώντας συμβατικές τεχνικές. Οι οικοδεσπότες Ιστού διαδραματίζουν σημαντικό ρόλο στην θωράκιση σας WordPress από τέτοιες επιθέσεις. Για παράδειγμα, Τα Cloudways διαχειρίζονται το cloud hosting ο πάροχος διαχειρίζεται την ασφάλεια του διακομιστή και επισημαίνει οτιδήποτε ύποπτο πριν προκληθεί οποιαδήποτε ζημιά στον ιστότοπο του πελάτη.
Απαρχαιωμένος WordPress & PHP εκδόσεις
Απαρχαιωμένος WordPress εκδόσεις είναι πιο επιρρεπείς να επηρεαστούν από μια απειλή ασφάλειας. Με το πέρασμα του χρόνου οι χάκερ βρίσκουν το δρόμο τους να εκμεταλλευτούν τον πυρήνα τους και τελικά να εκτελέσουν την επίθεση στις τοποθεσίες που εξακολουθούν να χρησιμοποιούν ξεπερασμένες εκδόσεις.
Για τον ίδιο λόγο, το WordPress η ομάδα κυκλοφορεί patches και νεότερες εκδόσεις με ενημερωμένους μηχανισμούς ασφαλείας. Τρέξιμο παλαιότερες εκδόσεις της PHP μπορεί να προκαλέσει προβλήματα ασυμβατότητας. Οπως και WordPress τρέχει σε PHP, απαιτεί μια ενημερωμένη έκδοση για να λειτουργήσει σωστά.
Όπως ανά WordPressτα επίσημα στατιστικά στοιχεία, 42.6% των χρηστών εξακολουθούν να χρησιμοποιούν διάφορες παλαιότερες εκδόσεις του WordPress.
Ενώ μόνο 2.3% WordPress οι ιστότοποι εκτελούνται με την πιο πρόσφατη έκδοση PHP 7.2.
Πώς να αποτρέψετε και να διορθώσετε το παλιό WordPress & PHP εκδόσεις
Αυτό είναι ένα εύκολο. Θα πρέπει πάντα να ενημερώσετε το δικό σας WordPress εγκατάσταση στην τελευταία έκδοση. Βεβαιωθείτε ότι χρησιμοποιείτε πάντα την τελευταία έκδοση (μην ξεχνάτε να δημιουργείτε αντίγραφα ασφαλείας πριν από την αναβάθμιση). Όσον αφορά την αναβάθμιση της PHP, μόλις δοκιμαστείτε WordPress site για συμβατότητα, μπορείτε να αλλάξετε την έκδοση της PHP.
Τελικές σκέψεις!
Γνωρίσαμε τους διάφορους WordPress τα τρωτά σημεία και τις πιθανές λύσεις τους. Αξίζει να σημειωθεί ότι η επικαιροποίηση διαδραματίζει ουσιαστικό ρόλο στη διατήρηση του WordPress ασφάλεια. Και όταν παρατηρήσετε κάποια ασυνήθιστη δραστηριότητα, πάρτε τα δάχτυλα των ποδιών σας και αρχίστε να σκάβετε μέχρι να βρείτε το πρόβλημα, καθώς αυτοί οι κίνδυνοι ασφαλείας μπορούν να προκαλέσουν ζημιές σε χιλιάδες $$.
Αφήστε μια απάντηση