Топ 6 най-често срещани уязвимости в WordPress (и как да ги поправя)

Първоначално WordPress стартира като блог платформа, която много по-късно се превърна в цялостното уеб решение, което е днес, за магазини за електронна търговия, блогове, новини и приложения на корпоративно ниво. Тази еволюция на WordPress донесе много промени в ядрото му и го направи по-стабилен и сигурен от предишните му версии.


Тъй като WordPress е платформа с отворен код, което означава, че всеки може да допринесе за основните си функционалности. Тази гъвкавост се възползва както от разработчиците, разработили теми и плъгини, така и от крайния потребител, който ги използва, за да добави функционалност към техните WordPress сайтове.

Най-често срещаните уязвимости на WordPress (и как да ги поправя)

Тази откритост обаче повдига някои сериозни въпроси относно сигурността на платформата, които не могат да бъдат игнорирани. Това не е недостатък в самата система, а по-скоро в структурата, върху която е изградена и имайки предвид колко важно е това, екипът за сигурност на WordPress работи ден и нощ, за да поддържа платформата защитена за своите крайни потребители.

Като казахме, че като краен потребител не можем просто да разчитаме на механизма му за защита по подразбиране, тъй като правим много промени, като инсталираме различни плъгини и теми на нашия WordPress сайт, които могат да създават вратички, за да бъдат експлоатирани от хакери.

В тази статия ще изследваме различни Уязвимости в защитата на WordPress и ще се научите как да ги избягвате и поправяте, за да останат в безопасност!

Уязвимости на WordPress & Проблеми със сигурността

Ще видим всеки въпрос и неговото решение един по един.

  1. Brute Force Attack
  2. SQL инжектиране
  3. Malware
  4. Изписване на кръстосан сайт
  5. DDoS Attack
  6. Стари версии на WordPress и PHP

1. Брута атака

В мандата на Лайман, Brute Force Attack включва множество опити и грешки, използвайки стотици комбинации, за да отгатнете правилното потребителско име или парола. Това става с помощта на мощни алгоритми и речници, които познават паролата, използвайки някакъв контекст.

Този вид атака е трудна за изпълнение, но все още е една от популярните атаки, изпълнявани на WordPress сайтове. По подразбиране WordPress не блокира потребителя да изпробва множество опити за неуспех, което позволява на човек или бот да изпробва хиляди комбинации в секунда.

Как да предотвратите и да оправите брутални атаки

Избягването на грубата сила е доста просто. Всичко, което трябва да направите е да създадете силна парола, която включва големи букви, малки букви, цифри и специални знаци, тъй като всеки знак има различни ASCII стойности и би било трудно да се познае дълга и сложна парола. Избягвайте използването на парола като johnny123 или Whatsmypassword.

Също така, интегрирайте Двуфакторна автентификация, за да удостоверите потребителите, влизащи в сайта ви два пъти. Двуфакторна автентификация е чудесен плъгин за използване.

2. SQL инжектиране

Един от най-старите хакове в книгата за хакерството в мрежата е инжектиране на SQL заявки да извърши или напълно да унищожи базата данни с помощта на която и да е уеб форма или поле за въвеждане.

След успешно навлизане на хакер, хакерът може да манипулира базата данни на MySQL и евентуално да получи достъп до вашия администратор на WordPress или просто да промени своите идентификационни данни за по-нататъшни щети. Тази атака обикновено се изпълнява от любители на посредствени хакери, които тестват предимно хакерските си възможности.

Как да предотвратите и да поправите SQL инжектирането

С помощта на плъгин можете да идентифицирате дали вашият сайт е станал жертва на SQL инжектиране или не. Можете да използвате WPScan или Sucuri SiteCheck, за да проверите това.

Освен това актуализирайте WordPress, както и всяка тема или плъгин, които смятате, че могат да причинят проблеми. Проверете тяхната документация и посетете техните форуми за поддръжка, за да докладвате за такива проблеми, за да могат да развият кръпка.

3. Зловреден софтуер

Зловреден код се инжектира в WordPress чрез заразена тема, остарял плъгин или скрипт. Този код може да извлича данни от вашия сайт, както и да вмъква злонамерено съдържание, което може да остане незабелязано поради дискретния си характер.

Зловредният софтуер може да причини леки до сериозни повреди, ако не се работи навреме. Понякога целият сайт на WordPress трябва да бъде инсталиран отново, тъй като е засегнал ядрото. Това също може да увеличи разходите за вашия хостинг разход, тъй като голям обем данни се прехвърля или се хоства с вашия сайт.

Как да предотвратите и да поправите зловреден софтуер

Обикновено зловредният софтуер си проправя път чрез заразени приставки и нулеви теми. Препоръчва се да изтегляте теми само от надеждни ресурси, които не съдържат злонамерено съдържание.

Приставки за сигурност като Succuri или WordFence могат да се използват за стартиране на пълно сканиране и коригиране на зловреден софтуер. В най-лошия сценарий се консултирайте с експерта по WordPress.

4. Изписване на кръстосани сайтове

Една от най-често срещаните атаки е Кръстосан скрипт, известен още като XSS атака. При този тип атака нападателят зарежда злонамерен JavaScript код, който, когато се зареди от страна на клиента, започва да събира данни и евентуално пренасочва към други злонамерени сайтове, засягащи потребителското изживяване.

Как да предотвратим и да поправим скриптовете на кръстосани сайтове

За да се избегне този тип атака използва правилна проверка на данните в сайта на WordPress. Използвайте дезинфекция на изхода, за да гарантирате, че се въвежда правилния тип данни. Могат да се използват и приставки като Prevent XSS уязвимост.

5. DDoS Attack

Всеки, който е разгледал мрежата или управлява уебсайт, може да се натъкне на скандалната DDoS атака. Разпределено отказване на услуга (DDoS) е подобрената версия на Denial of Service (DoS), в която се отправя голям обем заявки към уеб сървър, което го прави бавен и в крайна сметка се срива.

DDoS се изпълнява с използване на един източник, докато DDoS е организирана атака, изпълнена чрез множество машини по целия свят. Всяка година милиони долари се губят поради тази прословута атака за уеб сигурност.

Как да предотвратите и да оправите DDoS атаки

DDoS атаките е трудно да се предотврати използването на конвенционални техники. Уеб хостовете играят важна роля в защитата на вашия WordPress сайт от подобни атаки. Например доставчикът на облачен хостинг, управляван от Cloudways, управлява сигурността на сървъра и маркира всичко подозрително, преди да може да причини щети на уебсайта на клиента..

Остарял WordPress & Версии на PHP

Остарели версии на WordPress са по-склонни да бъдат засегнати от заплаха за сигурността. С течение на времето хакерите намират начин да експлоатират ядрото му и в крайна сметка да извършат атаката върху сайтовете, все още използвайки остарели версии.

По същата причина екипът на WordPress пуска кръпки и по-нови версии с актуализирани механизми за защита. Работещи по-стари версии на PHP може да причини проблеми с несъвместимостта. Докато WordPress работи на PHP, той изисква актуализирана версия, за да работи правилно.

Според официалната статистика на WordPress, 42,6% от потребителите все още използват различни по-стари версии на WordPress.

статистика за версия на wordpress

Докато само 2.3% WordPress сайтове работят на най-новата версия на PHP 7.2.

php статистика на версията

Как да предотвратим и поправим остарелия WordPress & Версии на PHP

Този е лесен. Винаги трябва да актуализирате вашата WordPress инсталация до най-новата версия. Уверете се, че винаги използвате най-новата версия (не забравяйте винаги да правите резервно копие преди надстройката). Що се отнася до надграждането на PHP, след като сте тествали вашия WordPress сайт за съвместимост, можете да промените версията на PHP.

Заключителни мисли!

Запознахме се с различни уязвимости на WordPress и техните възможни решения. Заслужава да се отбележи, че актуализацията играе съществена роля за запазването на сигурността на WordPress непокътната. И когато забележите някаква необичайна активност, станете на пръстите на краката и започнете да копаете, докато не откриете проблема, тъй като тези рискове за сигурността могат да причинят щети в хиляди $$.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map