Levinud WordPressi rünnakud ja nende peatamine

Levinud WordPressi rünnakud ja nende peatamine

WordPress on olnud enam kui kümme aastat üks juhtivaid sisuhaldussüsteeme (CMS). Paljud Interneti suurimad ajaveebid ja ka paljud väikesed üksikud saidid töötavad WordPressi raamistikus, et avaldada veebis teksti, pilti ja videosisu.


WordPressi veebisaidil on nii esi- kui ka tagaliides. Esiosa pakub vaadet, mida väliskülastajad veebisaidi laadimisel näevad. Tagapõhjale pääsevad juurde saidi administraatorid ja kaastöötajad, kes vastutavad sisu koostamise, kujundamise ja avaldamise eest.

Nagu iga teine ​​Interneti-põhine süsteem, on ka WordPress häkkimiskatsete ja muude küberkuritegevuse vormide sihtmärk. Mis on mõttekas kaaluda nüüd rohkem kui 32% Interneti osa töötab WordPressis. Selles artiklis tutvume mõne kõige tavalisema tarkvara WordPressi rünnakuga ja pakume seejärel välja soovitused, kuidas nende vastu kaitsta ja oma veebisaiti turvalisena hoida..

Levinud WordPressi rünnakute meetodid

Kõigepealt vaatame, millised WordPressi saitide omanikud võivad sattuda.

1. SQL-i süstimine

Tavalised WordPressi rünnakud: SQL-i süstimine

WordPress CMS-i platvorm tugineb andmebaasikihile, mis salvestab metaandmete teavet ja muud administratiivset teavet. Näiteks sisaldab tüüpiline SQL-i põhine WordPressi andmebaas kasutajateavet, sisu teavet ja saidi konfiguratsiooni andmeid.

Kui häkker viib läbi SQL-i süstimisrünnaku, kasutavad nad kohandatud andmebaasi käsu käivitamiseks päringuparameetrit kas sisendvälja või URL-i kaudu. Päring „VALI” võimaldab häkkeril andmebaasist täiendavat teavet vaadata, samal ajal kui „UPDATE” päring võimaldab neil andmeid tegelikult muuta..

2011. aastal langes võrguturbeettevõte nimega Barracuda Networks SQL-i süstimisrünnak. Häkkerid tegid terve Barracuda veebisaidi rea käske ja leidsid lõpuks haavatava lehe, mida sai kasutada ettevõtte esmase andmebaasi portaalina.

2. Saidideülene skriptimine

Saidideülene skriptimisrünnak, tuntud ka kui XSS, sarnaneb SQL-i süstimisega. Vastuvõtmine sihib veebilehe JavaScripti elemente, mitte rakenduse taga olevat andmebaasi. Eduka rünnaku korral võidakse väliskülastaja privaatset teavet kahjustada.

XSS-rünnaku korral lisab häkker veebisaidile JavaScripti koodi kommentaarivälja või muu tekstisisestuse kaudu ja seejärel käivitatakse see pahatahtlik skript, kui teised kasutajad seda lehte külastavad. Petturlik JavaScript suunab kasutajad tavaliselt petlikule veebisaidile, mis üritab varastada nende parooli või muid tuvastavaid andmeid.

Isegi sellised populaarsed veebisaidid nagu eBay võivad olla XSS-rünnakute sihtmärgid. Varem on häkkerid edukalt lisanud pahatahtlik kood tootelehtedele ja veenda kliente sisse logima võltsitud veebilehele.

3. Käskluse süstimine

WordPressi sarnased platvormid töötavad kolmel peamisel kihil: veebiserveril, rakendusserveril ja andmebaasiserveril. Kuid kõik need serverid töötavad riistvaraga, millel on konkreetne opsüsteem, näiteks Microsoft Windows või avatud lähtekoodiga Linux, ja see tähistab eraldi potentsiaalset haavatavuse piirkonda.

Käsklusrünnaku korral sisestab häkker pahatahtliku teabe tekstiväljale või URL-i, sarnaselt SQL-i süstimisega. Erinevus seisneb selles, et kood sisaldab käsku, mida ainult operatsioonisüsteemid tunnevad ära, näiteks käsk ls. Kui see käivitatakse, kuvatakse see serveris olevate failide ja kataloogide loend.

Teatud Interneti-ühendusega kaamerad on osutunud käsuründe rünnakute jaoks eriti haavatavaks. Nende püsivara võib petturitest käskude väljaandmisel süsteemi konfiguratsiooni välistele kasutajatele valesti paljastada.

4. Faili kaasamine

Tavalised WordPressi rünnakud: failide kaasamine

Tavalised veebikodeerimise keeled, näiteks PHP ja Java, võimaldavad programmeerijatel viidata välistele failidele ja skriptidele oma koodi piires. Käsk „sisaldama“ on seda tüüpi tegevuse üldnimi.

Teatud olukordades saab häkker manipuleerida veebisaidi URL-iga, et ohustada koodi jaotist „sisaldada“ ja pääseda juurde rakendusserveri muudele osadele. On leitud, et teatavad WordPressi platvormi pistikprogrammid on haavatavad failide kaasamise rünnakud. Selliste häkkimiste korral pääseb sissetungijale juurdepääs primaarse rakendusserveri kõigile andmetele.

Nõuanded kaitseks

Nüüd, kui teate, mida peaksite otsima, on siin mõned lihtsad viisid oma WordPressi turvalisuse tugevdamiseks. Ilmselt on teie saidi turvamiseks palju rohkem võimalusi, kui allpool mainitakse, kuid need on alustuseks suhteliselt lihtsad meetodid, mis võivad häkkeritest hävitatud muljetavaldavat tulu anda..

1. Kasutage turvalist masinat ja tulemüüri

WordPressi platvormi saab käivitada kas kohalikust serverist või hallata pilve hostimiskeskkonna kaudu. Turvalise süsteemi säilitamiseks eelistatakse hostitud valikut. Parimad WordPressi hostid turul pakuvad SSL-krüptimist ja muid turvakaitse vorme.

Tavalised WordPressi rünnakud: tulemüür

Hostitud WordPressi keskkonna konfigureerimisel on ülioluline lubada sisemine tulemüür, mis kaitseb ühendusi teie rakendusserveri ja muude võrgukihtide vahel. Tulemüür kontrollib kõigi kihtidevaheliste taotluste õigsust tagamaks, et ainult seaduslike taotluste töötlemine on lubatud.

2. Hoidke teemasid ja pistikprogramme värskendatud

WordPressi kogukond on täis kolmandate osapoolte arendajaid, kes töötavad pidevalt uute teemade ja pistikprogrammide kallal, et kasutada CMS-i platvormi jõudu. Need lisandmoodulid võivad olla tasuta või tasulised. Pistikprogrammid ja teemad tuleks alati alla laadida otse veebisaidilt WordPress.org.

Välised pistikprogrammid ja teemad võivad olla riskantsed, kuna need sisaldavad teie rakendusserveril töötavat koodi. Usaldage ainult neid lisandmooduleid, mis pärinevad usaldusväärselt allikalt ja arendajalt. Lisaks peaksite regulaarselt värskendama pistikprogramme ja teemasid, kuna arendajad vabastavad turbeparandused.

Programmi piires WordPressi halduskonsool, vahekaardi “Uuendused” leiate menüüloendi “Armatuurlaud” ülaosast.

3. Installige viirusekontroll ja VPN

Kui kasutate WordPressit kohalikus keskkonnas või kui teil on serveri poole täielik juurdepääs oma hostiteenuse pakkuja kaudu, peate olema kindel, et teie opsüsteemis töötab kindel viirusekontroll. Tasuta tööriistad teie WordPressi saidi skannimiseks, näiteks Virus Total, kontrollivad kõiki ressursse haavatavuste otsimiseks.

Kaugasukohas oma WordPressi keskkonnaga ühenduse loomisel peaksite alati kasutama virtuaalse privaatvõrgu (VPN) klienti, mis tagab, et kogu kohaliku arvuti ja serveri vaheline andmeside on täielikult krüptitud..

4. Lukk julma jõu rünnakute vastu

Üks populaarsemaid ja levinumaid WordPressi rünnakuid toimub niinimetatud julma jõu rünnakute vormis. See pole midagi muud kui automatiseeritud programm, mille häkker „esiukse“ alt lahti laseb. See istub seal ja proovis tuhandeid erinevaid paroolikombinatsioone ja komistab üle õige õige sageli, et see väärt oleks.

Hea uudis on see, et julma jõu vähendamiseks on lihtne viis. Halb uudis on see, et liiga paljud saidiomanikud ei rakenda parandust. Tutvuge teenuse All in One WP turvalisuse ja tulemüüriga. See on tasuta ja võimaldab teil sisselogimiskatsetele range limiidi seada. Näiteks lukustab pistikprogramm pärast kolme katset selle IP-aadressi abil saidi eelmääratud aja jooksul saidi madalamale. Samuti saate meilisõnumi, et lukustusfunktsioon on sisse lülitatud.

5. Kahefaktoriline autentimine

See saidi turvamiseks mõeldud vahva meetod põhineb tõsiasjal, et häkker ei suuda tõenäoliselt kahte teie seadet üheaegselt kontrollida. Näiteks arvuti JA mobiiltelefon. Kahefaktoriline autentimine (2FA) muudab teie veebisaidi sisselogimise kaheastmeliseks protsessiks. Nagu tavaliselt, logite sisse tavapärasel viisil, kuid siis palutakse teil sisestada oma telefoni täiendav kood.

Nutikas, ah? See üks täiendav samm suurendab teie saidi turvalisust hüppeliselt, eraldades sisselogimise eri sammudeks. Kontrollige seda tasuta pluginate loetelu mis aitab teil 2FA seadistada. Need häkkerid, kes mõtlesid teie saidiga jama proovida, muudavad tõenäoliselt juba oma meelt.

Järeldus

Kuigi pole olemas sellist asja nagu 100% turvaline veebisait, on teie veebisaidi kaitsmiseks palju samme. Hea tulemüüri kasutamine, teemade ja pistikprogrammide ajakohasena hoidmine ning viirusekontrolli perioodiline käitamine võivad teha tohutu vahe.

See võib aidata mõelda veebisaidi turvalisusele kui igavesele iteratiivsele protsessile. Kunagi ei tohiks tulla punkti, kui astuda tagasi ja mõelda, et see on „täielik”, sest häkkerite ja veebisaitide kaitsjate vaheline mäng ei lõpe kunagi, isegi ametlikult sanktsioneeritud võrgumängijad satuvad veebijärelevalve äri. Küberturvalisust ja veebipõhist privaatsust saate säilitada vaid hoides end kursis viimaste ohtudega ja kuidas neid tõrjuda..

Liiga halb peab olema, et maailm on selline, kuid aktsepteerige seda ja liikuge edasi. Kui te pole seda kunagi varem teinud, oleks nüüd hea aeg leida paar lugupeetud küberturbe uudiste saiti. Mõlemad tellige nende uudiskiri või vähemalt külastage regulaarselt. Alustage Google’i (või teie valitud otsingumootori) otsimisega „küberturvalisuse uudised“.

Kas teil on küsimus või veel näpunäiteid? Jäta kommentaar ja anna meile teada.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map