Video: Instalace pluginů do Wordpressu (Septembra 2024)
Ako platforma na správu obsahu je WordPress medzi používateľmi nesmierne populárna, pretože sa dá ľahko používať. Ide o populárny cieľ pre zločincov a útočníkov. Ak máte webovú stránku WordPress, musíte vykonať niektoré základné kroky na zabezpečenie svojej stránky.
DDoS s WordPress
Aj keď vždy existuje obava, že váš web WordPress môže byť napadnutý tak, aby obslúžil malware svojim návštevníkom alebo ich presmeroval na riskantnú webovú stránku niekde inde na webe, nechcete zistiť, či je váš web zvyknutý. začať útoky proti iným webom. Začiatkom tohto týždňa bezpečnostná spoločnosť Sucuri informovala, že viac ako 162 000 stránok WordPress bolo podvedených na účasti na distribuovanom útoku odmietnutia služby proti inému webu.
Ide o to, že weby neboli unesené alebo infikované, aby vytvorili botnet. Útočníci zneužívali Pingbacks, dokonale legitímnu funkciu vo WordPress, aby zaplavili cieľovú stránku nežiaducou prevádzkou. Pingbacks používa jedna webová stránka WordPress na upozornenie ostatných webov, keď je na ne odkaz. Pri útoku, ktorý pozoroval Sucuri, útočník oklamal webové stránky, aby odoslali požiadavku Pingback na rovnakú cieľovú adresu URL, čo bolo ľahké urobiť, pretože Pingback je v predvolenom nastavení WordPress povolený. Zamerané miesto bolo náhle bombardované požiadavkami Pingback, ktoré sa v podstate pripojili k útoku DdoS.
Ak používate WordPress, mali by ste zvážiť vypnutie Pingbackov, aby ste sa uistili, že vaše stránky nemôžu byť použité na útok na iné stránky. Táto funkcia vás upozorní, keď o vás hovorí niekto iný, čo je pekné ego-booster, ale stojí za to ho udržať zneužívaním? Spoločnosť Sucuri navrhuje, ako na svojom webe blokovať pingbacky.
Poddajný WordPress
Dave Lewis, hlavný bezpečnostný obhajca spoločnosti Akamai Technologies, použil spoločnosť Google na nájdenie viac ako 111 000 stránok WordPress, ktorých zálohy databázy boli prístupné z internetu. Zoznam obsahoval „všetky druhy webových stránok od nezávislých hudobných serverov až po lekárske ordinácie a dokonca aj niektoré vládne webové stránky, “ napísal Lewis na svojom blogu CSO. Tento výpis obsahoval podrobné informácie o databáze, ktoré by útočníci mohli použiť na spustenie ďalších útokov, ale tiež o potenciálnom úniku vašich údajov.
Zálohy by samozrejme nemali byť prístupné z internetu. Ak sú zálohy spustené lokálne na tom istom serveri, na ktorom je nainštalovaný program WordPress, potom môžu pluginy od Wordfence alebo Sucuri blokovať neoprávnený prístup, povedal Lewis.
Zastarané WordPress
Najdôležitejšou úlohou pre správcov WordPress je zostať na vrchole aktualizácií softvéru, nielen pre základnú platformu, ale aj pre každý z doplnkov spustených na webe. Zastarané verzie programu WordPress sú neustále napadané, najmä doplnky. „Škodliví hackeri vždy hľadajú spôsoby, ako infikovať používateľov počítačov, a aká lepšia technika môže byť, ako ohroziť existujúcu legitímnu webovú stránku a podvrhnúť ju takým spôsobom, že pri prenose infikuje používateľov počítačov, keď ich navštívia, “ uviedol bezpečnostný konzultant Graham Cluley.
Útočníci môžu využiť nepripravené chyby na vykonanie SQL injekcie alebo skriptovacích útokov naprieč stránkami. Tieto chyby môžu byť tiež zneužité na infikovanie stránok škodlivým softvérom. Z väčšej časti sú tieto problémy vo všeobecnosti výsledkom problémov s doplnkami, nie so základnou softvérovou platformou, a preto je ešte dôležitejšie, aby boli doplnky pravidelne aktualizované.
Je dôležité si všimnúť rozdiel medzi webovými stránkami hostenými na stránkach WordPress.com a weby WordPress, ktoré fungujú na iných serveroch. Tím, ktorý stojí za WordPress, udržuje softvér na webe WordPress.com aktuálny, takže ho nemusia potrebovať jednotliví používatelia. Webové stránky s vlastným hosťovaním vyžadujú, aby vlastník stránok zostal na vrchole opráv a aktualizácií, aby sa ubezpečil, že softvér zostáva aktuálny.
Ak sa chystáte spustiť program WordPress, pravidelne sledujte útočníkov pred útočníkmi.
