WordPress je izvorno lansiran kao blogerska platforma koja je mnogo kasnije postala cjelovito web rješenje kakvo je danas, za trgovine e-trgovine, blogove, vijesti i aplikacije na razini poduzeća. Ova evolucija WordPressa donijela je mnoge promjene u svojoj jezgri i učinila je stabilnijom i sigurnijom u odnosu na prethodne verzije.


Budući da je WordPress platforma otvorenog koda, što znači da bilo tko može doprinijeti njenim temeljnim funkcionalnostima. Ova fleksibilnost koristila je i programerima koji su razvijali teme i dodatke te krajnjem korisniku koji ih koristi za dodavanje funkcionalnosti na svoje WordPress stranice.

Najčešće ranjivosti WordPress-a (i kako ih popraviti)

Ova otvorenost, međutim, postavlja ozbiljna pitanja u vezi sa sigurnošću platforme koja se ne može zanemariti. To nije mana samog sustava, već struktura koja je izgrađena i imajući u vidu koliko je to važno, WordPress tim za sigurnost radi danju i noću kako bi platforma bila zaštićena za krajnje korisnike.

Rekavši da se kao krajnji korisnik ne možemo jednostavno pouzdati u njegov zadani sigurnosni mehanizam, jer donosimo puno promjena instaliranjem raznih dodataka i tema na naše WordPress web mjesto koje može stvoriti rupe koje hakeri mogu iskoristiti.

U ovom ćemo članku istražiti razne WordPress sigurnosne ranjivosti i naučit će ih kako izbjeći i popraviti ih da ostanu sigurni!

Ranjivosti WordPress-a & Sigurnosni problemi

Vidjet ćemo svako pitanje i njegovo rješenje jedno po jedno.

  1. Brute Force Attack
  2. SQL ubrizgavanje
  3. malware
  4. Križanje na više stranica
  5. DDoS Attack
  6. Stare verzije WordPress-a i PHP-a

1. Brute Force Attack

U Laymanovom terminu, Brute Force Attack uključuje više pokušaja i pogreške pomoću stotina kombinacija da biste pogodili pravo korisničko ime ili lozinku. To se događa pomoću moćnih algoritama i rječnika koji lozinku pogađaju pomoću neke vrste konteksta.

Ovakav napad je teško izvesti, ali i dalje je jedan od popularnih napada izveden na WordPress web stranicama. Prema zadanim postavkama, WordPress ne blokira korisnika u pokušaju višestrukih pokušaja neuspjeha koji omogućavaju čovjeku ili bot pokušati tisuće kombinacija u sekundi.

Kako spriječiti i popraviti brutalne napade

Izbjegavanje brutalne sile prilično je jednostavno. Sve što trebate učiniti je stvoriti jaku lozinku koja uključuje velika slova, mala slova, brojeve i posebne znakove jer svaki znak ima različite ASCII vrijednosti i bilo bi teško pogoditi dugu i složenu lozinku. Izbjegavajte upotrebu lozinke poput johnny123 ili whatsmypassword.

Također integrirajte provjeru autentičnosti s dvije faktore kako biste dva puta provjerili autentičnost korisnika koji se prijavljuju na vašu web lokaciju. Dvostruka provjera autentičnosti odličan je dodatak za korištenje.

2. SQL ubrizgavanje

Jedan od najstarijih hakova u knjizi hakiranja na webu je ubrizgavanje SQL upita izvršiti ili u potpunosti uništiti bazu podataka pomoću bilo kojeg web obrasca ili polja za unos.

Nakon uspješnog upada, haker može manipulirati MySQL bazom podataka i vrlo vjerojatno dobiti pristup vašem WordPress administratoru ili jednostavno promijeniti njegove vjerodajnice za daljnju štetu. Ovaj napad obično izvode amateri osrednji hakeri koji uglavnom testiraju svoje hakerske sposobnosti.

Kako spriječiti i popraviti SQL ubrizgavanje

Pomoću dodatka možete utvrditi je li vaša web lokacija žrtva SQL ubrizgavanja ili ne. Za provjeru možete koristiti WPScan ili Sucuri SiteCheck.

Također, ažurirajte svoj WordPress, kao i bilo koju temu ili dodatak za koji mislite da može uzrokovati probleme. Pregledajte njihovu dokumentaciju i posjetite njihove forume za podršku da biste izvjestili o takvim problemima kako bi mogli razviti zakrpu.

3. Zlonamjerni softver

Zlonamjerni kod ubrizgava se u WordPress preko zaražene teme, zastarjelog dodatka ili skripte. Ovaj kôd može izvući podatke sa vaše web lokacije kao i umetnuti zlonamjeran sadržaj koji zbog svoje diskretne prirode može proći neopaženo..

Zlonamjerni softver može uzrokovati blage do ozbiljne štete ako se s njima ne postupa na vrijeme. Ponekad je potrebno ponovno instalirati cijelo WordPress web mjesto jer je utjecalo na srž. Ovo također može povećati troškove vašeg hostinga jer se velika količina podataka prenosi ili hostujete pomoću svoje web stranice.

Kako spriječiti i riješiti zlonamjerni softver

Zlonamjerni softver obično ulazi putem zaraženih dodataka i null tema. Preporučuje se preuzimanje tema samo iz pouzdanih resursa bez zlonamjernog sadržaja.

Sigurnosni dodaci poput Succuri ili WordFence mogu se koristiti za pokretanje potpunog skeniranja i popravljanje zlonamjernog softvera. U najgorem slučaju obratite se stručnjaku za WordPress.

4. Križanje na više stranica

Jedan od najčešćih napada je Cross-Site Scripting također poznat kao XSS napad. U ovoj vrsti napada napadač učita zlonamjerni JavaScript kôd koji, kada se učita na strani klijenta, počne sakupljati podatke i eventualno preusmjeravati na druga zlonamjerna web mjesta koja utječu na korisničko iskustvo.

Kako spriječiti i popraviti skripta na više mjesta

Da bi se izbjegla ova vrsta napada koristi se ispravna provjera podataka na web mjestu WordPress. Koristite sanitarnu zaštitu da biste osigurali umetanje prave vrste podataka. Dodaci poput Prevent XSS ranjivosti također se mogu koristiti.

5. DDoS Attack

Svi koji su pregledavali mrežu ili upravljaju web mjestom možda su naišli na zloglasni DDoS napad. Distribuirano uskraćivanje usluge (DDoS) je poboljšana verzija uskraćivanja usluge (DoS) u kojoj se veliki broj zahtjeva postavlja na web poslužitelj što ga čini sporim i u konačnici se ruši..

DDoS se izvodi s korištenjem jednog izvora, dok je DDoS organizirani napad izveden s više strojeva širom svijeta. Svake godine milijuni dolara se izgube zbog ovog zloglasnog napada web sigurnosti.

Kako spriječiti i popraviti DDoS napade

DDoS napade je teško spriječiti korištenjem konvencionalnih tehnika. Domaćini web-mjesta igraju važnu ulogu u zaštiti vaše WordPress stranice od takvih napada. Na primjer, pružatelj usluga hostinga u oblaku koji upravlja Cloudways-om upravlja sigurnosti poslužitelja i označava sve sumnjive prije nego što može prouzrokovati štetu na web-lokaciji kupca..

Zastareli WordPress & PHP verzije

Zastarele verzije programa WordPress skloniji su utjecaju sigurnosne prijetnje. S vremenom hakeri pronalaze način da iskoriste njezinu jezgru i na kraju izvedu napad na web mjesta koja još koriste zastarjele verzije.

Iz istog razloga, WordPress tim izdaje zakrpe i novije verzije s ažuriranim sigurnosnim mehanizmima. Trčanje starije verzije PHP-a mogu uzrokovati probleme nespojivosti. Dok se WordPress pokreće na PHP-u, potrebna je ispravna ažurirana verzija.

Prema službenoj statistici WordPressa, 42,6% korisnika i dalje koristi razne starije verzije WordPress-a.

statistika verzije wordpressa

Dok se samo najnovije PHP verzije 7.2 izvode samo 2,3% WordPress web mjesta.

php statistika inačice

Kako spriječiti i popraviti zastarjeli WordPress & PHP verzije

Ovaj je lagan. Uvijek biste trebali ažurirati svoju WordPress instalaciju na najnoviju verziju. Obavezno uvijek koristite najnoviju verziju (ne zaboravite uvijek napraviti sigurnosnu kopiju prije nadogradnje). Što se tiče nadogradnje PHP-a, nakon što ste testirali WordPress web mjesto za kompatibilnost, možete promijeniti verziju PHP-a.

Završne misli!

Upoznali smo se sa različitim ranjištima WordPress-a i njihovim mogućim rješenjima. Vrijedi primijetiti da ažuriranje igra ključnu ulogu u očuvanju sigurnosti WordPressa. A kada primijetite bilo koju neobičnu aktivnost, krenite na prste i počnite kopati sve dok ne nađete problem jer ti sigurnosni rizici mogu prouzročiti štetu u tisućama $.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me