6 populiariausi „WordPress“ pažeidžiamumai (ir kaip juos ištaisyti)

Iš pradžių „WordPress“ buvo paleista kaip internetinių dienoraščių platforma, kuri vėliau tapo visapusišku internetiniu sprendimu, kuris yra šiandien, el. Prekybos parduotuvėms, tinklaraščiams, naujienoms ir įmonės lygio programoms. Ši „WordPress“ raida atnešė daugybę pakeitimų jos branduolyje ir padarė ją stabilesnę bei saugesnę nuo ankstesnių versijų.


Kadangi „WordPress“ yra atvirojo kodo platforma, vadinasi, kiekvienas gali prisidėti prie jos pagrindinių funkcijų. Šis lankstumas buvo naudingas tiek kūrėjams, kurie kūrė temas ir papildinius, tiek galutiniam vartotojui, kuris juos naudoja norėdami pridėti savo „WordPress“ svetainių funkcionalumą..

Dažniausi „WordPress“ pažeidžiamumai (ir kaip juos ištaisyti)

Tačiau šis atvirumas kelia rimtų klausimų dėl platformos saugumo, kurių negalima ignoruoti. Tai nėra pačios sistemos trūkumas, o veikiau jos sukurta struktūra ir atsižvelgiant į tai, kaip svarbu, kad „WordPress“ saugos komanda dirbtų dieną ir naktį, kad platforma būtų saugi savo galutiniams vartotojams.

Turėdami omenyje, kad mes, kaip galutinis vartotojas, negalime paprasčiausiai pasikliauti jo numatytuoju saugos mechanizmu, nes darome daug pakeitimų, įdiegdami įvairius papildinius ir temas savo „WordPress“ svetainėje, kurie gali sukurti spragų, kad įsilaužėliai galėtų jas išnaudoti..

Šiame straipsnyje mes nagrinėsime įvairius „WordPress“ saugos spragos ir išmoks, kaip jų išvengti ir taisyti, kad išliktumėte saugūs!

„WordPress“ pažeidžiamumai & Saugumo problemos

Kiekvieną problemą ir jos sprendimą pamatysime po vieną.

  1. Brutaliųjų pajėgų puolimas
  2. SQL įpurškimas
  3. Kenkėjiška programa
  4. Skirtingų svetainių scenarijų rašymas
  5. „DDoS Attack“
  6. Senosios „WordPress“ ir PHP versijos

1. Brute Force Attack

Laymano kadencijoje, Brutaliųjų pajėgų puolimas apima kelis bandymo ir klaidų metodus, naudojant šimtus kombinacijų, kad būtų galima atspėti tinkamą vartotojo vardą ar slaptažodį. Tai atliekama naudojant galingus algoritmus ir žodynus, kurie atspėja slaptažodį naudojant tam tikrą kontekstą.

Tokį išpuolį sunku įvykdyti, tačiau jis vis dar yra vienas iš populiariausių išpuolių, vykdomų „WordPress“ svetainėse. Pagal numatytuosius nustatymus „WordPress“ neužkerta kelio vartotojui bandyti kelis nesėkmingus bandymus, kurie leidžia žmogui ar robotui išbandyti tūkstančius kombinacijų per sekundę.

Kaip užkirsti kelią ir ištaisyti žiaurius pajėgų išpuolius

Vengti žiaurių pajėgų yra gana paprasta. Viskas, ką jums reikia padaryti, yra sukurti tvirtą slaptažodį, kurį sudaro didžiosios raidės, mažosios raidės, skaičiai ir specialieji simboliai, nes kiekvienas simbolis turi skirtingas ASCII reikšmes ir sunku atspėti ilgą ir sudėtingą slaptažodį. Venkite naudoti slaptažodį, pvz., „Johnny123“ ar „whatsmypassword“.

Be to, integruokite dviejų veiksnių autentifikavimą, kad būtų autentifikuoti du kartus prisijungiantys prie jūsų svetainės vartotojai. Dviejų faktorių autentifikavimas yra puikus papildinys, kurį reikia naudoti.

2. SQL įpurškimas

Vienas seniausių tinklalapių įsilaužimų knygų yra įvesdami SQL užklausas naudoti arba visiškai sunaikinti duomenų bazę naudojant bet kurią žiniatinklio formą ar įvesties lauką.

Sėkmingai įsilaužęs, įsilaužėlis gali manipuliuoti „MySQL“ duomenų baze ir gana tikėtina gauti prieigą prie jūsų „WordPress“ administratoriaus ar tiesiog pakeisti jo kredencialus, kad padarytumėte dar didesnę žalą. Šią ataką dažniausiai vykdo mėgėjai vidutiniams įsilaužėliams, kurie dažniausiai išbando savo įsilaužimo galimybes.

Kaip išvengti ir ištaisyti SQL įpurškimą

Naudodami papildinį galite nustatyti, ar jūsų svetainė buvo SQL injekcijos auka, ar ne. Norėdami tai patikrinti, galite naudoti „WPScan“ arba „Sucuri SiteCheck“.

Taip pat atnaujinkite „WordPress“, taip pat bet kurią temą ar papildinį, kuris, jūsų manymu, gali sukelti problemų. Peržiūrėkite jų dokumentus ir apsilankykite palaikymo forumuose, kad praneštumėte apie tokias problemas, kad jie galėtų sukurti pataisą.

3. Kenkėjiška programa

Kenkėjiškas kodas yra įleidžiamas į „WordPress“ per užkrėstą temą, pasenusį papildinį ar scenarijų. Šis kodas gali išgauti duomenis iš jūsų svetainės, taip pat įterpti kenksmingą turinį, kuris gali būti nepastebėtas dėl jo slapto pobūdžio.

Kenkėjiška programinė įranga gali padaryti nuo nedidelės iki rimtos žalos, jei nebus laiku pašalinta. Kartais visą „WordPress“ svetainę reikia iš naujo įdiegti, nes tai paveikė branduolį. Tai taip pat gali padidinti jūsų prieglobos išlaidas, nes didelis duomenų kiekis yra perduodamas arba priglobiamas naudojant jūsų svetainę.

Kaip išvengti kenkėjiškų programų ir jas ištaisyti

Paprastai kenkėjiška programa pasiekia užkrėstus papildinius ir niekines temas. Temas rekomenduojama atsisiųsti tik iš patikimų šaltinių, kuriuose nėra kenksmingo turinio.

Saugumo papildiniai, tokie kaip „Succuri“ ar „WordFence“, gali būti naudojami norint atlikti visišką nuskaitymą ir ištaisyti kenkėjiškas programas. Blogiausiu atveju pasitarkite su „WordPress“ ekspertu.

4. Skirtingų svetainių scenarijų rašymas

Vienas iš labiausiai paplitusių išpuolių yra Skirtingų svetainių scenarijus taip pat žinomas kaip XSS ataka. Tokio tipo išpuoliuose užpuolikas įkelia kenkėjišką „JavaScript“ kodą, kuris įkeliamas į kliento pusę pradeda rinkti duomenis ir galbūt nukreipti į kitas kenksmingas svetaines, turinčias įtakos vartotojo patirčiai..

Kaip užkirsti kelią ir sutvarkyti scenarijų tarp svetainių sudarymą

Norėdami išvengti šio tipo išpuolių, „WordPress“ svetainėje naudoja tinkamą duomenų patvirtinimą. Norėdami įsitikinti, kad įvedami tinkamo tipo duomenys, naudokite išvesties sanitariją. Taip pat gali būti naudojami tokie papildiniai, kaip „Xvent“ pažeidžiamumas.

5. „DDoS Attack“

Kiekvienas, kuris naršo tinkle ar tvarko svetainę, galėjo susidurti su liūdnai pagarsėjusia DDoS ataka. Paskirstytas paslaugų atsisakymas (DDoS) yra patobulinta „Denial of Service“ (DoS) versija, kurioje į interneto serverį pateikiama daug užklausų, dėl kurių ji lėtėja ir galiausiai sugenda.

DDoS vykdomas naudojant vieną šaltinį, o DDoS yra organizuota ataka, vykdoma per kelias mašinas visame pasaulyje. Kiekvienais metais milijonai dolerių švaistomi dėl šios žinomos žiniatinklio saugos atakos.

Kaip užkirsti kelią DDoS priepuoliams ir juos taisyti

DDoS atakų sunku išvengti naudojant įprastus metodus. Žiniatinklio prieglobos vaidina svarbų vaidmenį apsaugant jūsų „WordPress“ svetainę nuo tokių atakų. Pvz., „Cloudways“ valdomas debesų prieglobos paslaugų teikėjas tvarko serverio apsaugą ir pažymi bet ką įtartiną, prieš tai padarydamas žalą kliento svetainei..

Pasenęs „WordPress“ & PHP versijos

Pasenusios „WordPress“ versijos yra labiau linkę į pavojų saugumui. Laikui bėgant įsilaužėliai rado kelią išnaudoti jo branduolį ir galiausiai įvykdyti išpuolį prieš svetaines, vis dar naudodami pasenusias versijas.

Dėl tos pačios priežasties „WordPress“ komanda išleidžia pataisas ir naujesnes versijas su atnaujintais saugos mechanizmais. Bėgimas senesnės PHP versijos gali sukelti nesuderinamumo problemas. Kadangi „WordPress“ veikia PHP, norint tinkamai veikti, reikia atnaujintos versijos.

Remiantis oficialia „WordPress“ statistika, 42,6% vartotojų vis dar naudoja įvairias senesnes „WordPress“ versijas.

„WordPress“ statistikos duomenys

Kadangi tik 2,3% „WordPress“ svetainių veikia naujausia PHP 7.2 versija.

php versijos statistika

Kaip išvengti pasenusių „WordPress“ programų ir jas pašalinti & PHP versijos

Šis yra lengvas. Visada turėtumėte atnaujinti „WordPress“ diegimą į naujausią versiją. Įsitikinkite, kad visada naudojate naujausią versiją (prieš atnaujindami atminkite, kad visada darykite atsarginę kopiją). Jei norite atnaujinti PHP, išbandę „WordPress“ svetainės suderinamumą, galite pakeisti PHP versiją.

Baigiamosios mintys!

Mes susipažinome su įvairiomis „WordPress“ spragomis ir galimais jų sprendimais. Verta pastebėti, kad atnaujinimas vaidina esminį vaidmenį išlaikant nepažeistą „WordPress“ apsaugą. Pastebėję bet kokią neįprastą veiklą, užlipkite ant kojų pirštų ir pradėkite kasti, kol rasite problemą, nes ši saugumo rizika gali padaryti žalą tūkstančiais USD.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map