Общи WordPress атаки и как да ги спрем

Общи WordPress атаки и как да ги спрем

WordPress е една от водещите системи за управление на съдържанието (CMS) повече от десетилетие. Много от най-големите блогове в интернет, както и множество малки, индивидуални сайтове, работят в рамките на WordPress за публикуване на текстово, изображение и видео съдържание в световната мрежа.


Уебсайтът на WordPress има интерфейс както отпред, така и отзад. Предният край осигурява изгледа, който външните посетители ще видят, когато заредят уеб страницата. Достъпът може да бъде достъпен от администраторите на сайтове и сътрудниците, които отговарят за изготвянето, проектирането и публикуването на съдържание.

Както всяка друга интернет базирана система, WordPress е цел на хакерски опити и други форми на киберпрестъпност. Което има смисъл да се има предвид сега повече от 32% от интернет работи на WordPress. В тази статия ще преминем през някои от най-често срещаните WordPress атаки срещу софтуера и след това ще предложим предложения как да се защитим срещу тях и да запазим уебсайта си сигурен.

Методи на често срещани WordPress атаки

Първо, нека да разгледаме общата атака на собствениците на WordPress сайтове може да се натъкне.

1. SQL инжектиране

Чести WordPress атаки: SQL инжектиране

Платформата WordPress CMS разчита на слой база данни, която съхранява информация за метаданни, както и друга административна информация. Например, типичната база данни на WordPress базирана на SQL ще съдържа информация за потребителя, информация за съдържанието и данни за конфигурация на сайта.

Когато хакер извърши SQL инжекционна атака, те използват параметър на заявка или чрез поле за въвеждане или чрез URL, за да изпълнят команда на персонализирана база данни. Заявка „SELECT“ ще позволи на хакера да види допълнителна информация от базата данни, докато заявката „UPDATE“ ще им позволи действително да променят данните.

През 2011 г. компания за мрежова сигурност, наречена Barracuda Networks, стана жертва на SQL инжектиране атака. Хакерите изпълниха поредица от команди в целия уебсайт на Barracuda и в крайна сметка намериха уязвима страница, която може да се използва като портал към основната база данни на компанията.

2. Сценарий на кръстосан сайт

Скриптографска атака на различни сайтове, известна още като XSS, е подобна на инжектирането на SQL. Приемете, че насочва JavaScript елементите в уебстраницата, вместо към базата данни зад приложението. Успешната атака може да доведе до компрометиране на личната информация на външния посетител.

С XSS атака хакерът добавя JavaScript код към уебсайт чрез поле за коментар или друго въвеждане на текст и след това този злонамерен скрипт се изпълнява, когато други потребители посещават страницата. Измамният JavaScript обикновено пренасочва потребителите към измамен уебсайт, който ще се опита да открадне паролата им или други идентифициращи данни.

Дори популярни уебсайтове като eBay могат да бъдат мишени на XSS атаки. В миналото хакерите успешно са добавяни злонамерен код към страници с продукти и убеди клиентите да влязат в подплатена уеб страница.

3. Инжектиране на команда

Платформи като WordPress работят на три основни слоя: уеб сървъра, сървъра за приложения и сървъра на базата данни. Но всеки от тези сървъри работи на хардуер със специфична операционна система, като Microsoft Windows или Linux с отворен код, и това представлява отделна потенциална зона на уязвимост.

При атака с командна инжекция хакер ще въведе злонамерена информация в текстово поле или URL адрес, подобно на инжекция SQL. Разликата е, че кодът ще съдържа команда, която само операционните системи ще разпознават, като командата „ls“. Ако се изпълни, това ще покаже списък на всички файлове и директории на хост сървъра.

Определени камери, свързани с интернет, са открити като особено уязвими при атаки с командни инжекции. Техният фърмуер може неправилно да изложи системната конфигурация на външни потребители, когато се издаде измамна команда.

4. Включване на файлове

Общи WordPress атаки: Включване на файлове

Общите езици за уеб кодиране като PHP и Java позволяват на програмистите да се позовават на външни файлове и скриптове от своя код. Командата „включва“ е общото име за този тип дейност.

В определени ситуации хакер може да манипулира URL адреса на уебсайта, за да компрометира секцията „включва“ на кода и да получи достъп до други части на сървъра за приложения. Установено е, че някои приставки за платформата WordPress са уязвими срещу включване на файлове атаки. Когато се появят такива хакове, инфилтраторът може да получи достъп до всички данни на основния сървър на приложения.

Съвети за защита

Сега, след като знаете за какво да внимавате, ето няколко лесни начина да втвърдите сигурността си в WordPress. Очевидно има много повече начини за осигуряване на вашия сайт, отколкото са споменати по-долу, но това са сравнително прости методи, за да започнете с това, което може да доведе до впечатляваща възвръщаемост при осуетени хакери.

1. Използвайте защитен хост и защитна стена

Платформата на WordPress може да се стартира от локален сървър или да се управлява чрез облачна хостинг среда. С цел поддържане на защитена система се предпочита хостваната опция. Най-добрите домакини на WordPress на пазара ще предлагат SSL криптиране и други форми на защита.

Общи WordPress атаки: защитна стена

Когато конфигурирате хоствана среда на WordPress, е изключително важно да активирате вътрешна защитна стена, която ще защитава връзките между вашия сървър на приложения и други мрежови слоеве. Защитната стена ще провери валидността на всички заявки между слоевете, за да се гарантира, че могат да се обработват само законни заявки.

2. Поддържайте актуализирани теми и приставки

Обществото на WordPress е изпълнено с разработчици на трети страни, които непрекъснато работят върху нови теми и плъгини, за да използват силата на CMS платформата. Тези добавки могат да бъдат безплатни или платени. Плъгините и темите винаги трябва да се изтеглят директно от уебсайта на WordPress.org.

Външните приставки и теми могат да бъдат рисковани, тъй като те включват код, който ще се изпълнява на вашия сървър на приложения. Доверете се само на добавки, които идват от уважаван източник и разработчик. В допълнение, трябва да актуализирате плъгини и теми редовно, тъй като разработчиците ще пуснат подобрения в сигурността.

В рамките на Административна конзола на WordPress, раздела „Актуализации“ може да бъде намерен в самия връх на списъка с меню „Табло за управление“.

3. Инсталирайте вирусен скенер и VPN

Ако използвате WordPress в локална среда или имате пълен достъп до сървъра чрез вашия хостинг доставчик, тогава трябва да сте сигурни, че имате надежден вирус-скенер, работещ на вашата операционна система. Безплатни инструменти за сканиране на вашия WordPress сайт като Virus Total ще проверят всички ресурси, за да търсят уязвимости.

Когато се свързвате с вашата WordPress среда от отдалечено място, винаги трябва да използвате клиент на виртуална частна мрежа (VPN), което ще гарантира, че всички комуникации за данни между вашия локален компютър и сървъра са напълно криптирани.

4. Заключване срещу брутални атаки

Една от най-популярните и често срещани WordPress атаки придобива формата на така наречените груби атаки. Това не е нищо повече от автоматизирана програма, хакерът се разхлабва при „входната врата“. Той седи там и изпробва хиляди различни комбинации от пароли и се препъва в дясната, достатъчно често, за да си заслужава.

Добрата новина е, че има лесен начин за фолиране на груба сила. Лошата новина е, че твърде много собственици на сайтове не прилагат корекцията. Проверете защитата и защитната стена All in One WP. Това е безплатно и ви позволява да зададете твърд лимит при опитите за влизане. Например, след три опита, плъгинът блокира сайта срещу по-нататъшни влизания чрез този IP адрес за предварително зададен период от време. Ще получите и имейл известие, че функцията за блокиране е задействана.

5. Двуфакторна автентификация

Този прекрасен метод за осигуряване на вашия сайт разчита на факта, че хакерът вероятно няма да може да поеме контрола над две от вашите устройства едновременно. Например компютър И мобилен телефон. Двуфакторна автентификация (2FA) превръща влизането в уебсайта на Вашия уебсайт в процес в две стъпки. Както обикновено, влизате по обичайния начин, но след това ще бъдете подканени да въведете допълнителен код, изпратен на вашия телефон.

Умно, а? Тази допълнителна стъпка повишава сигурността на вашия сайт експоненциално чрез разделяне на входа на различни стъпки. Виж това списък на безплатни плъгини това ще ви помогне да настроите 2FA. Онези хакери, които мислеха да се опитат да се забъркат с вашия сайт, вероятно вече променят мнението си.

заключение

Въпреки че няма такова нещо като 100% защитен уебсайт, има много стъпки, които можете да предприемете, за да защитите вашия уебсайт. Използването на добра защитна стена, актуализирането на вашите теми и плъгини и периодичното изпълнение на сканиране за вируси може да доведе до огромна промяна.

Това може да помогне да се мисли за сигурността на уебсайта като вечен итеративен процес. Никога не трябва да идва момент, когато отстъпите и смятате, че е „завършена“, защото играта между хакери и защитници на уебсайтове никога няма да спре, като дори официално санкционираните онлайн играчи влизат в онлайн наблюдение бизнес . Само като се информирате за най-новите заплахи и как да ги отблъснете, ще можете да поддържате киберсигурност и поверителност онлайн.

Жалко е, че светът трябва да бъде такъв, но го приеми и продължи. Ако никога досега не сте го правили, сега ще е подходящ момент да намерите няколко уважавани новинарски сайтове за киберсигурност. Или се абонирайте за техния бюлетин или поне редовно посещавайте. Започнете, като пуснете Google (или търсачката по ваш избор) търсене на „новини за киберсигурност“.

Имате въпрос или повече съвети за добавяне? Оставете коментар и ни уведомете.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map