Uobičajeni napadi na WordPress i kako ih zaustaviti

Uobičajeni napadi na WordPress i kako ih zaustaviti

WordPress je više od desetljeća jedan od vodećih sustava upravljanja sadržajem (CMS). Mnogi od najvećih internetskih blogova, kao i mnoštvo malih, pojedinačnih web mjesta, pokreću WordPress okvir za objavljivanje tekstualnih, slikovnih i video sadržaja na svjetskom webu.


Web stranica WordPress ima sučelje i napred i sa zadnje strane. Prednji dio pruža pogled koji će vanjski posjetitelji vidjeti kada učitaju web stranicu. Protivnom pristupu mogu pristupiti administratori web mjesta i autori koji su odgovorni za sastavljanje, oblikovanje i objavljivanje sadržaja.

Kao i svaki drugi internetski sustav, WordPress je meta hakiranja pokušaja i drugih oblika cyber kriminala. Što sada ima smisla uzimati u obzir više 32% Interneta pokreće WordPress. U ovom ćemo članku proći kroz neke od najčešćih WordPress napada na softver, a zatim ćemo ponuditi prijedloge za obranu od njih i čuvanje vaše web lokacije.

Metode uobičajenih napada na WordPress

Prvo pogledajmo uobičajene napade na koje vlasnici web mjesta WordPress mogu naići.

1. SQL ubrizgavanje

Uobičajeni napadi na WordPress: SQL ubrizgavanje

WordPress CMS platforma se oslanja na sloj baze podataka koji pohranjuje podatke metapodataka kao i ostale administrativne podatke. Na primjer, tipična WordPress baza podataka temeljena na SQL-u sadržavat će informacije o korisniku, informacije o sadržaju i podatke o konfiguraciji web mjesta.

Kada haker izvrši napad SQL ubrizgavanja, koriste parametar zahtjeva, bilo kroz unosno polje ili URL, kako bi izvršili prilagođenu naredbu baze podataka. Upit “SELECT” omogućit će hakeru da vidi dodatne informacije iz baze podataka, dok će “UPDATE” upit omogućiti zapravo promjenu podataka.

2011. godine tvrtka za zaštitu mreže pod nazivom Barracuda Networks postala je žrtva a SQL injekcijski napad. Hakeri su izvršili niz naredbi na čitavoj web stranici Barracuda i na kraju pronašli ranjivu stranicu koja bi se mogla koristiti kao portal primarnoj bazi podataka tvrtke.

2. Križanje na više stranica

Napad skriptiranja na više stranica, poznat i pod nazivom XSS, sličan je SQL injekciji, prihvaća da cilja JavaScript elemente na web stranici umjesto na bazu podataka iza aplikacije. Uspješan napad može rezultirati ugrožavanjem privatnih podataka vanjskog posjetitelja.

S XSS napadom, haker dodaje JavaScript kôd web mjestu putem polja za komentare ili drugog unosa teksta, a zatim se ta zlonamjerna skripta pokreće kada drugi korisnici posjete stranicu. Nevjerovatni JavaScript obično preusmjerava korisnike na lažnu web stranicu koja će pokušati ukrasti njihovu lozinku ili druge identifikacijske podatke.

Čak i popularne web stranice poput eBaya mogu biti meta XSS napada. U prošlosti su se hakeri uspješno dodavali zlonamjerni kod na stranice proizvoda i uvjerio kupce da se prijave na lažnu web stranicu.

3. ubrizgavanje naredbe

Platforme poput WordPressa djeluju na tri primarna sloja: web poslužitelj, poslužitelj aplikacija i poslužitelj baze podataka. Ali svaki od ovih poslužitelja radi na hardveru s određenim operativnim sustavom, kao što je Microsoft Windows ili Linux otvorenog koda, a to predstavlja zasebno potencijalno područje ranjivosti.

S naredbom ubrizgavanja naredbe, haker će unijeti zlonamjerne informacije u tekstualno polje ili URL, slično kao SQL injekcija. Razlika je u tome što će kod sadržavati naredbu koju će prepoznati samo operativni sustavi, poput naredbe “ls”. Ako se izvrši, prikazat će se popis svih datoteka i mapa na host poslužitelju.

Određene kamere povezane s internetom ustanovile su da su posebno ranjive za komandne injekcijske napade. Njihov firmver može nepravilno izložiti konfiguraciju sustava vanjskim korisnicima kada se izda nevaljana naredba.

4. Uključivanje datoteka

Uobičajeni napadi na WordPress: Uključivanje datoteka

Uobičajeni jezici za web kodiranje poput PHP i Java omogućuju programerima da se pozivaju na vanjske datoteke i skripte unutar svog koda. Naredba “uključi” je generički naziv za ovu vrstu aktivnosti.

U određenim situacijama haker može manipulirati URL-om web stranice kako bi kompromitirao odjeljak koda “uključi” i dobio pristup drugim dijelovima poslužitelja aplikacija. Pokazalo se da su određeni dodaci za WordPress platformu ranjivi napadi uključivanja datoteka. U slučaju takvih hakova infiltracija može dobiti pristup svim podacima na primarnom poslužitelju aplikacija.

Savjeti za zaštitu

Sada kada znate što treba paziti, evo nekoliko jednostavnih načina za pojačavanje sigurnosti WordPressa. Očito je da postoji mnogo više načina za osiguravanje vaše web stranice nego što je spomenuto u nastavku, ali to su relativno jednostavne metode za početak s tim što mogu donijeti dojmljive prinose kod oskudnih hakera.

1. Koristite siguran domaćin i vatrozid

WordPress platforma može se pokrenuti s lokalnog poslužitelja ili upravljati kroz okruženje hostinga u oblaku. U svrhu održavanja sigurnog sustava preferira se opcija s hostom. Najbolji WordPress domaćini na tržištu ponudit će SSL enkripciju i druge oblike sigurnosne zaštite.

Uobičajeni napadi na WordPress: vatrozid

Pri konfiguriranju okruženja s hostom WordPressa kritično je omogućiti interni vatrozid koji će zaštititi veze između vašeg poslužitelja aplikacija i ostalih mrežnih slojeva. Vatrozid će provjeriti valjanost svih zahtjeva između slojeva kako bi se osiguralo da se mogu obraditi samo zakoniti zahtjevi.

2. Ažurirajte teme i dodatke

WordPress zajednica ispunjena je trećim programerima koji stalno rade na novim temama i dodacima kako bi iskoristili snagu CMS platforme. Ti dodaci mogu biti besplatni ili plaćeni. Dodataka i teme uvijek treba preuzimati izravno s web stranice WordPress.org.

Vanjski dodaci i teme mogu biti rizični, jer uključuju kôd koji će se izvoditi na vašem poslužitelju aplikacija. Pouzdajte se samo u dodatke koji dolaze iz uglednog izvora i programera. Osim toga, trebali biste redovito ažurirati dodatke i teme jer će programeri objavljivati ​​sigurnosna poboljšanja.

Unutar Administratorska konzola za WordPress, kartica “Ažuriranja” nalazi se na samom vrhu popisa izbornika “Nadzorna ploča”.

3. Instalirajte skener virusa i VPN

Ako pokrećete WordPress u lokalnom okruženju ili imate potpuni pristup poslužitelju putem vašeg davatelja usluga hostinga, onda morate biti sigurni da imate robustan skener virusa koji radi na vašem operativnom sustavu. Besplatni alati za skeniranje vaše WordPress stranice kao što je Virus Total provjerit će sve resurse i potražiti ranjivosti.

Pri povezivanju sa svojim WordPress okruženjem s udaljene lokacije, uvijek biste trebali koristiti klijent virtualne privatne mreže (VPN) koji će osigurati da su sve podatkovne komunikacije između vašeg lokalnog računala i poslužitelja u potpunosti šifrirane.

4. Lockdown protiv brutalnih napada

Jedan od najpopularnijih napada na WordPress ima oblik takozvanih grubih napada. Ovo je ništa više od automatiziranog programa da se haker izgubi na “ulaznim vratima”. Sjedi tamo i isprobao je tisuće različitih kombinacija zaporki i nailazi na pravu, dovoljno često da bi bilo vrijedno.

Dobra vijest je da postoji jednostavan način foliranja grube sile. Loša vijest je da previše vlasnika web lokacija ne primjenjuje ispravku. Provjerite sigurnosni i vatrozid WP sve u jednom. Besplatno je i omogućava vam postavljanje čvrstog ograničenja u pokušajima prijave. Na primjer, nakon tri pokušaja dodatak blokira web mjesto prema daljnjim prijavama pomoću te IP adrese unaprijed postavljeno vrijeme. Primit ćete i obavijest e-poštom da je aktivirana značajka zaključavanja.

5. Dvofaktorska provjera autentičnosti

Ova sjajna metoda osiguranja vaše web lokacije oslanja se na činjenicu da haker vjerojatno neće moći istovremeno preuzeti kontrolu nad vašim uređajima. Na primjer, računalo I mobitel. Dvofaktorska provjera identiteta (2FA) pretvara prijavu na vaše web mjesto u postupak u dva koraka. Kao i obično, prijavite se na uobičajeni način, ali tada će se od vas zatražiti da unesete dodatni kôd poslan na vaš telefon.

Pametan, ha? Ovaj dodatni korak povećava sigurnost vaše web stranice eksponencijalno razdvajanjem prijave u različite korake. Provjeri ovo popis besplatnih dodataka koji će vam pomoći u postavljanju 2FA. Oni hakeri koji su razmišljali o pokušaju da se pobrkaju s vaše web stranice vjerojatno već razmišljaju.

Zaključak

Iako ne postoji 100% sigurna web stranica, postoji puno koraka koje možete poduzeti kako biste zaštitili svoju web stranicu. Korištenje dobrog vatrozida, ažuriranje tema i dodataka i povremeno pokretanje skeniranja virusa može donijeti ogromnu razliku.

To bi moglo pomoći razmišljanju sigurnosti web stranice kao vječno ponovljeni proces. Nikada ne smije doći trenutak kada se povučete i mislite da je “cjelovit”, jer igra između hakera i branitelja web stranica nikada neće prestati, čak i službeno sankcionirani online igrači upadaju u mrežni nadzor poslovanje . Samo čuvanjem samog sebe o najnovijim prijetnjama i kako ih odbiti, moći ćete održavati cyber-sigurnost i internetsku privatnost.

Šteta što svijet mora biti takav, ali prihvati to i nastavi dalje. Ako to nikad niste učinili, sada bi bio pravi trenutak da pronađete nekoliko cijenjenih vijesti o cyber-sigurnosti. Ili se pretplatite na njihov newsletter ili barem posjetite redovito. Započnite pokretanjem Googlea (ili tražilice po vašem izboru) pretraživanja “vijesti o cyber-sigurnosti”.

Imate pitanje ili više savjeta za dodavanje? Ostavite komentar i javite nam se.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me