Algengar WordPress árásir og hvernig á að stöðva þá

Algengar WordPress árásir og hvernig á að stöðva þá

WordPress hefur verið eitt af leiðandi efnisstjórnunarkerfum (CMS) í meira en áratug. Mörg af stærstu bloggum internetsins, svo og fullt af litlum, einstökum síðum, keyra á WordPress ramma til að birta texta, mynd og myndbandaefni á veraldarvefnum.


A WordPress vefsíða er bæði með framhlið og aftan viðmót. Framhliðin veitir útsýni sem utanaðkomandi gestir sjá þegar þeir hlaða vefsíðunni. Hægt er að nálgast bakhliðina af stjórnendum vefsins og þeim sem leggja sitt af mörkum sem bera ábyrgð á gerð, hönnun og útgáfu efnis.

Eins og hvert annað internetkerfi er WordPress skotmark til reiðhestatilrauna og annars konar netbrota. Sem er skynsamlegt að íhuga núna meira en 32% af internetinu keyrir á WordPress. Í þessari grein munum við komast í gegnum algengustu WordPress árásir á hugbúnaðinn og bjóða síðan uppástungur um hvernig hægt er að verjast þeim og halda vefsíðunni þinni öruggri.

Aðferðir við algengar WordPress árásir

Við skulum fyrst líta á algengar árásir sem WordPress vefeigendur gætu lent í.

1. SQL stungulyf

Algengar WordPress árásir: SQL stungulyf

WordPress CMS vettvangurinn reiðir sig á gagnagrunnslag sem geymir upplýsingar um lýsigögn og aðrar stjórnunarupplýsingar. Til dæmis mun dæmigerður SQL-undirstaða WordPress gagnagrunnur innihalda upplýsingar um notendur, upplýsingar um innihald og upplýsingar um stillingar vefsins.

Þegar tölvusnápur framkvæmir SQL sprautuárás, nota þeir beiðni breytu, annað hvort í gegnum innsláttarsvið eða slóð, til að keyra sérsniðna gagnagrunnsskipun. „SELECT“ fyrirspurn gerir tölvusnápur kleift að skoða auka upplýsingar úr gagnagrunninum en „UPDATE“ fyrirspurn gerir þeim kleift að breyta gögnum í raun.

Árið 2011 féll netöryggisfyrirtæki að nafni Barracuda Networks fórnarlamb a SQL sprautuárás. Tölvuþrjótarnir ráku röð skipana yfir alla vefsíðu Barracuda og fundu að lokum viðkvæma síðu sem hægt væri að nota sem gátt að aðal gagnagrunni fyrirtækisins.

2. Handrit yfir vefinn

Handritsárás þvert á síðuna, einnig þekkt sem XSS, er svipuð og SQL innspýting samþykkir að hún miðar á JavaScript þætti á vefsíðu í stað gagnagrunnsins á bak við forritið. Árangursrík árás getur leitt til þess að persónulegar upplýsingar utanaðkomandi gesta eru í hættu.

Með XSS árás bætir tölvusnápur JavaScript kóðanum á vefsíðu í gegnum athugasemdareit eða annan textainnslátt og síðan er það illgjarn handrit keyrt þegar aðrir notendur heimsækja síðuna. Ósvikinn JavaScript mun venjulega beina notendum á sviksamlega vefsíðu sem reynir að stela lykilorði sínu eða öðrum auðkennandi gögnum.

Jafnvel vinsælar vefsíður eins og eBay geta verið skotmark XSS árása. Í the fortíð, tölvusnápur hefur bætt við skaðlegur kóða á vörusíðurnar og sannfærði viðskiptavini um að skrá sig inn á ósvikna vefsíðu.

3. Skipun inndælingar

Pallar eins og WordPress starfa á þremur aðal lögum: vefþjóninn, forritamiðlarinn og gagnagrunnsmiðlarinn. En hver þessara netþjóna er að keyra á vélbúnaði með ákveðnu stýrikerfi, svo sem Microsoft Windows eða opinn Linux, og það táknar sérstakt mögulegt varnarleysissvið.

Með árás á innspýtingu árás mun tölvusnápur slá inn skaðlegar upplýsingar í textareit eða slóð, svipað og SQL sprautun. Munurinn er sá að kóðinn mun innihalda skipun sem aðeins stýrikerfi þekkja, svo sem „ls“ skipunin. Ef það er keyrt birtir þetta lista yfir allar skrár og möppur á hýsingarþjóninum.

Ákveðnar nettengdar myndavélar hafa reynst sérstaklega viðkvæmar fyrir árásum á sprautur. Fastbúnaðar þeirra getur afhjúpað utanaðkomandi notendur óviðeigandi kerfisstillingar þegar ógeðfelld stjórn er gefin út.

4. Skráning innifalin

Algengar WordPress árásir: skráin eru með

Algeng vefkóðunarmál eins og PHP og Java gera forriturum kleift að vísa til ytri skráa og forskriftar innan kóðans. Skipunin „fela í sér“ er samheiti fyrir þessa tegund athafna.

Í vissum tilvikum getur tölvusnápur unnið vefslóð vefsíðu til að skerða „fela“ hluta kóðans og fá aðgang að öðrum hlutum forritamiðlarans. Í ljós hefur komið að viðbætur fyrir WordPress vettvang eru varnarlausar gegn skrá árásir án aðgreiningar. Þegar slík járnsög verða til getur síastinn fengið aðgang að öllum gögnum á aðalforritamiðlaranum.

Ráð til verndar

Nú þegar þú veist hvað þú ert að leita að, hér eru nokkrar einfaldar leiðir til að herða WordPress öryggi þitt. Vitanlega eru margar leiðir til að tryggja síðuna þína en getið er um hér að neðan, en þetta eru tiltölulega einfaldar aðferðir til að byrja með sem geta skilað glæsilegri ávöxtun hjá tölvusnápur.

1. Notaðu öruggan hýsingaraðila og eldvegg

Hægt er að keyra WordPress pallinn frá netþjóni eða stjórna í gegnum skýhýsingarumhverfi. Í þeim tilgangi að viðhalda öruggu kerfi er valkosturinn sem hýst er farfuglaheimili. Helstu gestgjafar WordPress á markaðnum munu bjóða upp á SSL dulkóðun og annars konar öryggisvernd.

Algengar WordPress árásir: Firewall

Þegar þú stillir hýst WordPress umhverfi er mikilvægt að kveikja á innri eldvegg sem verndar tengingar milli netþjóns þíns og annarra netlaga. Eldveggur mun athuga gildi allra beiðna milli laga til að tryggja að einungis sé heimilt að vinna með lögmætar beiðnir.

2. Hafðu þemu og viðbætur uppfærðar

WordPress samfélagið er fullt af verktökum frá þriðja aðila sem eru stöðugt að vinna að nýjum þemum og viðbótum til að nýta kraft CMS vettvangsins. Þessar viðbætur geta annað hvort verið ókeypis eða greiddar. Viðbætur og þemu ætti alltaf að hlaða niður beint af vefsíðu WordPress.org.

Ytri viðbætur og þemu geta verið áhættusöm þar sem þau innihalda kóða sem verða keyrðir á forritamiðlaranum þínum. Treystu aðeins viðbótum sem koma frá álitnum uppruna og verktaki. Að auki ættir þú að uppfæra viðbætur og þemu reglulega þar sem verktaki mun gefa út öryggisbætur.

Innan WordPress stjórnborð, flipann „Uppfærslur“ er að finna efst í valmyndalistanum „Mælaborð“.

3. Settu upp veira skanni og VPN

Ef þú ert að keyra WordPress í nærumhverfi eða hefur fullan aðgang að netþjóni í gegnum hýsingaraðilann þinn, þá þarftu að vera viss um að hafa öflugan vírusskannara í gangi á stýrikerfinu þínu. Ókeypis tæki til að skanna WordPress síðuna þína eins og Virus Total mun athuga öll úrræði til að leita að varnarleysi.

Þegar þú tengist WordPress umhverfi þínu frá afskekktum stað ættirðu alltaf að nota raunverulegur persónulegur netkerfi (VPN) viðskiptavinur, sem mun tryggja að öll gögn samskipti milli tölvu þinnar og þjónsins séu að fullu dulkóðuð.

4. Lokun gegn sprengjuárásum

Ein vinsælasta og algengasta WordPress árásin tekur form svokallaðra skepnaárása. Þetta er ekkert annað en sjálfvirkt forrit sem tölvusnápur gengur laus við „útidyrnar.“ Það situr þar og reyndi þúsundir mismunandi lykilorðssamsetningar og læðist yfir það rétta nógu oft til að það sé þess virði.

Góðu fréttirnar eru þær að það er auðveld leið til að ryðjast undan skepnunni. Slæmu fréttirnar eru þær að of margir eigendur vefsins nota ekki lagfæringuna. Athugaðu allt í einu WP öryggi og eldvegg. Það er ókeypis og gerir þér kleift að setja hörð takmörk á innskráningartilraunir. Til dæmis, eftir þrjár tilraunir, læsir viðbótin vefsvæðið gegn frekari innskráningum af því IP-tölu í tiltekinn tíma. Þú munt einnig fá tilkynningu í tölvupósti um að lokunaraðgerðin hafi verið hrundið af stað.

5. Staðfesting tveggja þátta

Þessi snyrtilega aðferð til að tryggja vefinn þinn reiðir sig á þá staðreynd að tölvusnápur mun líklega ekki geta tekið við stjórn á tveimur tækjum þínum samtímis. Til dæmis tölvu OG farsími. Tvíþátta auðkenning (2FA) breytir því að skrá þig inn á vefsíðuna þína í tveggja þrepa ferli. Eins og venjulega skráirðu þig reglulega inn en þá finnurðu þig beðinn um að slá inn viðbótarkóða sendan í símann þinn.

Snjall, ha? Þetta eina aukaskref eykur öryggi vefsvæðis þíns veldisvíslega með því að skilja innskráningu í mismunandi skref. Athugaðu þetta listi yfir ókeypis viðbætur það mun hjálpa þér að setja upp 2FA. Þeir tölvuþrjótar sem voru að hugsa um að reyna að klúðra vefsvæðinu þínu eru líklega þegar að skipta um skoðun.

Niðurstaða

Þó að það sé ekki til neitt sem heitir 100% örugg vefsíða, þá eru mörg skref sem þú getur tekið til að vernda vefsíðuna þína. Að nota góða eldvegg, halda þemum þínum og viðbætum uppfærðum og keyra vírusskann reglulega getur skipt miklu máli.

Það gæti hjálpað til við að hugsa um öryggi vefsins sem eilíft endurtekningarferli. Það ætti aldrei að koma fram þegar þú stígur til baka og heldur að hann sé „heill“ vegna þess að leikurinn á milli tölvusnápur og varnarmanna vefsíðna mun aldrei hætta, þar sem jafnvel opinberlega refsiverðir leikmenn á netinu komast í neteftirlit viðskipti . Aðeins með því að halda þér fróðum um nýjustu ógnir og hvernig á að hrinda þeim í burtu verður þú að geta haldið netöryggi og persónuvernd á netinu.

Það er slæmt að heimurinn þarf að vera svona en samþykkja hann og halda áfram. Ef þú hefur aldrei gert það áður, væri það nú góður tími til að finna nokkur virt fréttasíður um netöryggi. Annað hvort gerast áskrifandi að fréttabréfi sínu eða fara að minnsta kosti reglulega í heimsóknir. Byrjaðu með því að keyra Google (eða leitarvélar að þínu vali) að „fréttum um netöryggi.“

Ertu með spurningu eða fleiri ráð til að bæta við? Skildu eftir athugasemd og láttu okkur vita.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map