Най-добрите оферти за Черен петък / Кибер понеделник за 2022 г Натисни тук 🤑

Топ 6 най-често срещани WordPress Уязвимости (и как да ги поправя)

Написано от

WordPress първоначално беше лансиран като блог платформа, която много по-късно се превърна в цялостното уеб решение, което е днес, за магазини за електронна търговия, блогове, новини и приложения на ниво бизнес. Тази еволюция на WordPress донесе много промени в ядрото му и го направи по -стабилен и сигурен от предишните си версии.

защото WordPress е платформа с отворен код, което означава, че всеки може да допринесе за основните си функции. Тази гъвкавост се възползва и от двете разработчици, разработили теми и приставки и крайния потребител, който ги използва, за да добави функционалност към своите WordPress сайтове.

Тази откритост обаче повдига някои сериозни въпроси относно сигурността на платформата, които не могат да бъдат пренебрегнати.

Това не е недостатък в самата система, а по-скоро в структурата, върху която е изградена и като се има предвид колко важно е това, WordPress екипът по сигурността работи ден и нощ, за да поддържа платформата защитена за своите крайни потребители.

Като казахме, че като краен потребител не можем просто да разчитаме на механизма за защита по подразбиране, тъй като правим много промени, като инсталираме различни плъгини и теми към нашите WordPress уебсайт които могат да създадат вратички, за да бъдат експлоатирани от хакери.

В тази статия ще изследваме различни WordPress уязвимости в сигурността и ще се научите как да ги избягвате и поправяте, за да останат в безопасност!

WordPress Уязвимости и проблеми със сигурността

Ще видим всеки въпрос и неговото решение един по един.

  1. Бърза сила на атаката
  2. SQL Injection
  3. зловреден софтуер
  4. Scripting Cross-Site
  5. DDoS атака
  6. Стар WordPress и PHP версии

1. Брута атака

В мандата на Лайман, Бърза сила на атаката включва множество подход опит и грешка, използващ стотици комбинации за да познаете правилното потребителско име или парола. Това се прави с помощта на мощни алгоритми и речници, които отгатват паролата с помощта на някакъв контекст.

Този вид атака е трудна за изпълнение, но все още е една от популярните атаки, изпълнени WordPress сайтове. По подразбиране, WordPress не блокира потребителя да опитва множество опити за неуспех, които позволяват на човек или бот да изпробва хиляди комбинации в секунда.

Как да предотвратите и да оправите брутални атаки

Избягването на грубата сила е доста просто. Всичко, което трябва да направите, е да създадете силна парола която включва главни букви, малки букви, цифри и специални знаци, тъй като всеки знак има различни ASCII стойности и би било трудно да се отгатне дълга и сложна парола. Избягвайте използването на парола като johnny123 or Whatsmypassword.

Също така, интегрирайте Двуфакторна автентификация, за да удостоверите потребителите, влизащи в сайта ви два пъти. Удостоверяване с два фактора е чудесен плъгин за използване.

2. SQL инжектиране

Един от най-старите хакове в книгата за хакерството в мрежата е инжектиране на SQL заявки да извърши или напълно да унищожи базата данни с помощта на която и да е уеб форма или поле за въвеждане.

След успешното проникване хакерът може да манипулира базата данни на MySQL и евентуално да получи достъп до вашата WordPress администратор или просто променете неговите идентификационни данни за допълнителни щети.

Тази атака обикновено се извършва от любители до посредствени хакери, които най-вече тестват своите хакерски способности.

Как да предотвратите и да поправите SQL инжектирането

С помощта на плъгин можете да идентифицирате дали вашият сайт е станал жертва на SQL Injection или не. Може да използвате WPScan or Sucuri SiteCheck за да проверите това.

Също така, актуализирайте вашия WordPress както и всяка тема или плъгин, който смятате, че може да причини проблеми. Проверете тяхната документация и посетете техните форуми за поддръжка, за да докладвате за такива проблеми, за да могат да развият кръпка.

3. Зловреден софтуер

Зловреден код се инжектира в WordPress чрез заразена тема, остарял плъгин или скрипт. Този код може да извлича данни от вашия сайт, както и да вмъква злонамерено съдържание, което може да остане незабелязано поради дискретния си характер.

Зловредният софтуер може да причини леки до сериозни повреди, ако не се работи навреме. Понякога цялото WordPress сайтът трябва да се инсталира отново, тъй като е засегнал ядрото. Това също може да увеличи разходите за вашия хостинг разход, тъй като голям обем данни се прехвърля или се хоства с вашия сайт.

Как да предотвратите и да поправите зловреден софтуер

Обикновено зловредният софтуер си проправя път чрез заразени приставки и нулеви теми. Препоръчва се да изтегляте теми само от надеждни ресурси, които не съдържат злонамерено съдържание.

Приставките за сигурност като Succuri или WordFence могат да се използват за пълно сканиране и коригиране на зловреден софтуер. В най-лошия сценарий се консултирайте с a WordPress експерт.

4. Изписване на кръстосани сайтове

Един от най-честите атаки is Кръстосан скрипт, известен още като XSS атака. При този тип атака нападателят зарежда злонамерен JavaScript код, който при зареждане от страна на клиента започва да събира данни и евентуално да пренасочва към други злонамерени сайтове, засягащи потребителския опит.

Как да предотвратим и да поправим скриптовете на кръстосани сайтове

За да се избегне този тип атака използва правилна проверка на данните в WordPress сайт. Използвайте дезинфекция на изхода, за да гарантирате, че се въвежда правилния тип данни. Приставки като например Предотвратяване на XSS уязвимост също може да се използва.

5. DDoS атака

Всеки, който е разгледал мрежата или управлява уебсайт, може да се натъкне на скандалната DDoS атака.

Разрешено отказване на услуга (DDoS) е подобрената версия на Denial of Service (DoS), в която се отправя голям обем заявки към уеб сървър, което го прави бавен и в крайна сметка се срива.

DDoS се изпълнява с използване на един източник, докато DDoS е организирана атака, изпълнена чрез множество машини по целия свят. Всяка година милиони долари се губят поради тази прословута атака за уеб сигурност.

Как да предотвратите и да оправите DDoS атаки

DDoS атаките е трудно да се предотврати използването на конвенционални техники. Уеб хостовете играят важна роля в екранирането на вашия WordPress сайт от подобни атаки.

Например доставчикът на облачен хостинг, управляван от Cloudways, управлява сигурността на сървъра и маркира всичко подозрително, преди да може да причини щети на уебсайта на клиента.

остарял WordPress & PHP версии

остарял WordPress версии са по-склонни да бъдат засегнати от заплаха за сигурността. С течение на времето хакерите намират начин да експлоатират ядрото му и в крайна сметка да извършат атаката върху сайтовете, все още използвайки остарели версии.

По същата причина WordPress екип пуска кръпки и по-нови версии с актуализирани механизми за защита. Работещи по-стари версии на PHP може да причини проблеми с несъвместимостта. Като WordPress работи на PHP, той изисква актуализирана версия, за да работи правилно.

Според WordPressофициална статистика, 42.6% на потребителите все още използват различни по-стари версии на WordPress.

wordpress статистика на версиите

Като има предвид само 2.3% of WordPress сайтовете работят на най-новата версия на PHP 7.2.

php статистика на версията

Как да предотвратим и да поправим остарелите WordPress & PHP версии

Този е лесен. Винаги трябва да актуализирате вашия WordPress инсталация до най-новата версия.

Уверете се, че винаги използвате най-новата версия (не забравяйте винаги да правите резервно копие преди надграждане). Що се отнася до надграждането на PHP, след като сте тествали своя WordPress сайт за съвместимост, можете да промените версията на PHP.

Заключителни мисли!

Запознахме се с различни WordPress уязвимости и техните възможни решения. Заслужава да се отбележи, че актуализацията играе съществена роля за запазването на WordPress сигурност непокътнати.

И когато забележите някаква необичайна дейност, вдигнете се на пръсти и започнете да копаете, докато откриете проблема, тъй като тези рискове за сигурността могат да причинят щети в хиляди $$.

Присъединете се към нашия бюлетин

Абонирайте се за нашия седмичен бюлетин и получавайте най-новите новини и тенденции в индустрията

Като щракнете върху „абонирайте се“, вие се съгласявате с нашите условия за ползване и политика за поверителност.