Általános WordPress támadások és hogyan állíthatják le őket

Általános WordPress támadások és hogyan állíthatják le őket

A WordPress több mint egy évtizede az egyik vezető tartalomkezelő rendszer (CMS). Az internet legnagyobb blogja, valamint rengeteg kicsi, egyedi webhely működik a WordPress keretén belül szöveges, kép- és videotartalmak közzétételére a világhálón..


A WordPress webhelynek elülső és hátsó felülete is van. A kezelőfelület azt a nézetet biztosítja, amelyet a külső látogatók látnak, amikor betölti a weboldalt. A háttérrendszerhez a webhely adminisztrátorai és közreműködői férhetnek hozzá, akik felelősek a tartalom elkészítéséért, megtervezéséért és közzétételéért.

Mint minden más internetes rendszer, a WordPress a hackelési kísérletek és a számítógépes bűnözés egyéb formáinak célja. Mivel van értelme most többet figyelembe venni 32% az Internet a WordPressen fut. Ebben a cikkben áttekintjük a szoftver leggyakoribb WordPress támadásait, majd javaslatokat teszünk azok ellen történő védekezésre és a webhely biztonságának megőrzésére..

Általános WordPress támadások módszerei

Először nézzük meg a WordPress webhelytulajdonosok által előforduló gyakori támadásokat.

1. SQL befecskendezés

Általános WordPress támadások: SQL befecskendezés

A WordPress CMS platform egy olyan adatbázis rétegre támaszkodik, amely metaadat-információkat és egyéb adminisztratív információkat tárol. Például egy tipikus SQL-alapú WordPress adatbázis felhasználói információkat, tartalmi információkat és helykonfigurációs adatokat tartalmaz.

Ha egy hacker SQL befecskendezési támadást hajt végre, akkor kérési paramétert használ, akár bemeneti mezőn, akár URL-en keresztül, egy testreszabott adatbázis-parancs futtatásához. A „KIVÁLASZTÁS” lekérdezés lehetővé teszi a hacker számára az extra információk megtekintését az adatbázisból, míg az „UPDATE” lekérdezés lehetővé teszi számukra az adatok tényleges megváltoztatását..

2011-ben a Barracuda Networks nevű hálózati biztonsági társaság a következők áldozatává vált: SQL injektálási támadás. A hackerek parancsok sorozatát futtatta a Barracuda teljes webhelyén, és végül egy sérülékeny oldalt találtak, amelyet portálként lehet használni a vállalat elsődleges adatbázisához.

2. Helyek közötti szkriptek

A webhelyek közötti szkriptek támadása, más néven XSS, hasonló az SQL-befecskendezéshez, elfogadja, hogy a weboldal JavaScript elemeit célozza meg az alkalmazás mögött álló adatbázis helyett. A sikeres támadás a külső látogató személyes adatainak veszélyeztetéséhez vezethet.

XSS támadás esetén a hacker JavaScript kódot ad hozzá egy weboldalhoz egy megjegyzésmezőn vagy más szövegbevitelen keresztül, majd ezt a rosszindulatú szkriptet futtatja, amikor más felhasználók meglátogatják az oldalt. A gazember JavaScript általában a csaló webhelyre irányítja a felhasználót, amely megpróbálja ellopni a jelszavukat vagy más azonosító adatokat.

Még az olyan népszerű webhelyek is, mint az eBay, az XSS támadások célpontjai lehetnek. A múltban a hackerek sikeresen bekerültek rosszindulatú kód a termékoldalakra és meggyőzte az ügyfeleket, hogy jelentkezzenek be egy hamis weboldalra.

3. Parancs befecskendezése

A WordPress-hez hasonló platformok három elsődleges rétegen működnek: a webszerveren, az alkalmazáskiszolgálón és az adatbázis-kiszolgálón. De ezeknek a kiszolgálóknak egy speciális operációs rendszerrel, például Microsoft Windows vagy nyílt forráskódú Linux hardverén kell futniuk, és ez egy különálló biztonsági rést jelenthet.

Parancsinjekciós támadással a hacker rosszindulatú információkat ír be egy szövegmezőbe vagy URL-be, hasonlóan az SQL-befecskendezéshez. A különbség az, hogy a kód olyan parancsot tartalmaz, amelyet csak az operációs rendszerek fognak felismerni, például az „ls” parancsot. Ha végrehajtják, akkor megjelenik a gazdaszerveren lévő összes fájl és könyvtár listája.

Bizonyos, internethez csatlakoztatott kamerák különösen érzékenyek a parancs-injektálási támadásokra. A firmware rosszul teheti ki a rendszerkonfigurációt a külső felhasználók számára, ha egy gazember parancsot kiadnak.

4. A fájl beillesztése

Általános WordPress támadások: fájlbeillesztés

Az olyan általános webkódolási nyelvek, mint a PHP és a Java, lehetővé teszik a programozók számára, hogy külső fájlokra és szkriptekre hivatkozzanak a kódjukban. Az „include” parancs az ilyen típusú tevékenység általános neve.

Bizonyos helyzetekben a hackerek manipulálhatják a weboldal URL-jét, hogy veszélyeztessék a kód „tartalmazza” szakaszát, és hozzáférjenek az alkalmazáskiszolgáló más részeire. A WordPress platformon található egyes plug-inek sebezhetőek voltak fájlbeillesztési támadások. Ilyen feltörések esetén a beszivárgó hozzáférhet az elsődleges alkalmazáskiszolgáló összes adatához.

Tippek a védelemhez

Most, hogy tudja, mit kell várnia, íme néhány egyszerű módszer a WordPress biztonságának megerősítésére. Nyilvánvaló, hogy sokkal több módon biztosíthatja webhelyét, mint az alábbiakban említjük, ám ezek viszonylag egyszerű módszerek a kezdéshez, amelyek lenyűgöző hozamot eredményezhetnek a hackerek számára.

1. Használjon biztonságos hostot és tűzfalat

A WordPress platformot akár helyi kiszolgálóról is futtathatja, vagy felhő-tároló környezetben kezelheti. A biztonságos rendszer fenntartása érdekében a hostolt opció részesül előnyben. A piacon található legfontosabb WordPress-házigazdák SSL-titkosítást és egyéb biztonsági védelmet kínálnak.

Általános WordPress támadások: Tűzfal

A tárolt WordPress környezet konfigurálásakor elengedhetetlen egy belső tűzfal engedélyezése, amely megvédi az alkalmazáskiszolgáló és a többi hálózati réteg közötti kapcsolatokat. A tűzfal ellenőrzi az összes réteg közötti kérés érvényességét, hogy megbizonyosodjon arról, hogy csak a jogos kérelmek dolgozhatók fel.

2. Tartsa naprakészen a témákat és a beépülő modulokat

A WordPress közösség tele van harmadik felek fejlesztőivel, akik folyamatosan dolgoznak új témákkal és beépülő modulokkal a CMS platform erejének kiaknázása érdekében. Ezek a kiegészítők lehetnek ingyenesek vagy fizetők is. A plug-ineket és a témákat mindig közvetlenül a WordPress.org webhelyről kell letölteni.

A külső beépülő modulok és témák kockázatosak lehetnek, mivel tartalmazzák az alkalmazáskiszolgálón futtatandó kódot. Csak azoknak a kiegészítőknek bízzanak, amelyek jó hírű forrásból és fejlesztőből származnak. Ezenkívül rendszeresen frissítenie kell a bővítményeket és témákat, mivel a fejlesztők kiadják a biztonsági fejlesztéseket.

Belül WordPress adminisztrációs konzol, a „Frissítések” fül megtalálható az „Irányítópult” menülista legfelső részén.

3. Telepítse a víruskeresőt és a VPN-t

Ha a WordPress-t helyi környezetben futtatja, vagy teljes szerverhozzáféréssel rendelkezik a host szolgáltatón keresztül, akkor bizonyosodnia kell arról, hogy az operációs rendszerén fut-e egy robusztus víruskereső. A WordPress-webhely szkennelésére szolgáló ingyenes eszközök, például a Virus Total, az összes erőforrást ellenőrizni fogják a sérülékenységek felkutatására.

Amikor távoli helyről csatlakozik a WordPress környezethez, mindig virtuális magánhálózati (VPN) klienst kell használnia, amely biztosítja, hogy a helyi számítógép és a szerver közötti minden adatkommunikáció teljesen titkosítva legyen..

4. Lezárás a brutális erőszakos támadások ellen

Az egyik legnépszerűbb és leggyakoribb WordPress támadás úgynevezett brute force támadások formájában valósul meg. Ez nem más, mint egy automatizált program, amelyet a hackerek ellazítanak a „bejárati ajtónál”. Itt ül, és több ezer különféle jelszókombinációt kipróbált, és elég gyakran botlik a jobb oldalon, hogy érdemes legyen.

A jó hír az, hogy egyszerűen meg lehet akadályozni a nagy erőt. A rossz hír az, hogy túl sok webhelytulajdonos nem alkalmazza a javítást. Nézze meg az All in One WP biztonságot és tűzfalat. Ez ingyenes, és lehetővé teszi, hogy a bejelentkezési kísérletekre korlátozza a korlátozást. Például három kísérlet után a plugin egy előre beállított ideig lezárja a webhelyet további bejelentkezésekkel szemben az adott IP-cím alapján. E-mailben értesítést kap arról is, hogy a lezárási funkció aktiválódott.

5. Két tényezős hitelesítés

A webhely biztosításának ez a remek módszer arra a tényre támaszkodik, hogy a hackerek valószínűleg nem lesznek képesek egyidejűleg két eszköz irányítását vállalni. Például egy számítógép ÉS mobiltelefon. A kétfaktoros hitelesítés (2FA) kétlépésesvé teszi a bejelentkezést a webhelyére. Mint általában, rendszeresen jelentkezik be, de ekkor felkérést kap arra, hogy írjon be egy további kódot, amelyet elküld a telefonjára.

Okos, mi? Ez az egy extra lépés exponenciálisan növeli webhelyének biztonságát azáltal, hogy a bejelentkezést különféle lépésekre osztja. Nézd meg ingyenes pluginek listája ez segít a 2FA beállításában. Azok a hackerek, akik arra gondoltak, hogy megpróbálják rendetleníteni az Ön webhelyével, valószínűleg már meggondolják magukat.

Következtetés

Noha nem létezik olyan, mint egy 100% -ban biztonságos webhely, rengeteg lépést megtehet webhelyének védelme érdekében. Egy jó tűzfal használatával, a témák és plug-inek naprakészen tartása és a víruskeresés időszakos futtatása óriási különbséget eredményezhet.

Segíthet úgy gondolni, hogy a webhely biztonsága örök iterációs folyamat. Soha nem szabad arra jutnia, amikor visszalép és úgy gondolja, hogy „teljes”, mert a hackerek és a weboldal védelmezői közötti játék soha nem fog megállni, még hivatalosan szankcionált online játékosok is belekerülnek a online megfigyelés üzlet. A kiberbiztonság és az online adatvédelem fenntartása csak azáltal, hogy tudatában van a legújabb fenyegetésekkel és azok elhárításának módjával..

Kár, hogy a világnak ilyennek kell lennie, de fogadja el, és lépjen tovább. Ha még soha nem csinálta volna még, akkor ideje lenne keressen néhány tiszteletben tartott kiberbiztonsági hírportált. Vagy iratkozzon fel hírlevelükre, vagy legalább rendszeresen látogasson el. Kezdje a Google (vagy a választott keresőmotor) futtatásával a „kiberbiztonsági hírek” kereséssel.

Van kérdése vagy további tippei? Hagy egy megjegyzést, és tudassa velünk.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map