Οι καλύτερες προσφορές Black Friday / Cyber ​​Monday για το 2022 Click Here 🤑

Οι κορυφαίες 6 πιο συχνές WordPress Θέματα ευπάθειας (και πώς να τα διορθώσετε)

Γραμμένο από

WordPress ξεκίνησε αρχικά ως πλατφόρμα blogging που πολύ αργότερα έγινε η πλήρης λύση στο διαδίκτυο που είναι σήμερα, για καταστήματα ηλεκτρονικού εμπορίου, blogs, ειδήσεις και εφαρμογές σε επίπεδο επιχείρησης. Αυτή η εξέλιξη του WordPress έφερε πολλές αλλαγές στον πυρήνα του και το έκανε πιο σταθερό και ασφαλές από τις προηγούμενες εκδόσεις του.

Επειδή WordPress είναι μια πλατφόρμα ανοικτού κώδικα που σημαίνει ότι οποιοσδήποτε μπορεί να συνεισφέρει στις βασικές της λειτουργίες. Αυτή η ευελιξία ωφελήθηκε τόσο από την προγραμματιστές που ανέπτυξαν θέματα και τα πρόσθετα και ο τελικός χρήστης που τα χρησιμοποιεί για να προσθέσει λειτουργικότητα σε αυτά WordPress sites.

Αυτό το άνοιγμα, ωστόσο, εγείρει ορισμένα σοβαρά ερωτήματα σχετικά με την ασφάλεια της πλατφόρμας, τα οποία δεν μπορούν να αγνοηθούν.

Αυτό δεν είναι ένα ελάττωμα στο ίδιο το σύστημα, αλλά μάλλον στη δομή πάνω στην οποία είναι χτισμένο και λαμβάνοντας υπόψη πόσο σημαντικό είναι αυτό, WordPress η ομάδα ασφάλειας εργάζεται μέρα και νύχτα για να διατηρήσει την πλατφόρμα ασφαλή για τους τελικούς χρήστες της.

Έχοντας πει ότι ως τελικός χρήστης δεν μπορούμε απλώς να βασιστούμε στον προεπιλεγμένο μηχανισμό ασφαλείας του καθώς κάνουμε πολλές αλλαγές εγκαθιστώντας διάφορους plugins και θέματα για μας WordPress ιστοσελίδα που μπορούν να δημιουργήσουν κενά για να εκμεταλλευτούν οι χάκερ.

Σε αυτό το άρθρο, θα διερευνήσουμε διάφορα WordPress ευπάθειες ασφαλείας και θα μάθουν πώς να αποφύγουν και να τους διορθώσουν για να παραμείνουν ασφαλείς!

WordPress Θέματα ευπάθειας και ασφάλειας

Θα δούμε κάθε ζήτημα και τη λύση του ένα προς ένα.

  1. Βίαιη δύναμη επίθεση
  2. SQL Injection
  3. malware
  4. Scripting μεταξύ ιστοτόπων
  5. Επίθεση DDoS
  6. Παλιά WordPress και τις εκδόσεις PHP

1. Επίθεση Brute Force

Στον όρο Layman, Βίαιη δύναμη επίθεση περιλαμβάνει ένα πολλαπλάσιο Προσέγγιση δοκιμής και σφάλματος χρησιμοποιώντας εκατοντάδες συνδυασμούς για να μαντέψετε το σωστό όνομα χρήστη ή κωδικό πρόσβασης. Αυτό γίνεται χρησιμοποιώντας ισχυρούς αλγόριθμους και λεξικά που μαντεύουν τον κωδικό πρόσβασης χρησιμοποιώντας κάποιου είδους πλαίσιο.

Αυτό το είδος επίθεσης είναι δύσκολο να εκτελεστεί, αλλά εξακολουθεί να είναι μία από τις δημοφιλείς επιθέσεις που εκτελέστηκαν WordPress ιστοσελίδες. Από προεπιλογή, WordPress δεν εμποδίζει τον χρήστη να δοκιμάσει πολλαπλές προσπάθειες αποτυχίας που επιτρέπουν στον άνθρωπο ή το bot να δοκιμάσει χιλιάδες συνδυασμούς ανά δευτερόλεπτο.

Πώς να αποτρέψετε και να διορθώσετε βίαιες επιθέσεις βίας

Η αποφυγή του Brute Force είναι αρκετά απλή. Το μόνο που έχετε να κάνετε είναι να δημιουργήσετε ένα ισχυρός κωδικός πρόσβασης που περιλαμβάνει κεφαλαία, πεζά γράμματα, αριθμούς και ειδικούς χαρακτήρες, καθώς κάθε χαρακτήρας έχει διαφορετικές τιμές ASCII και θα ήταν δύσκολο να μαντέψει κανείς έναν μακρύ και σύνθετο κωδικό πρόσβασης. Αποφύγετε τη χρήση κωδικού πρόσβασης όπως johnny123 or τι είναι η λέξη-κλειδί.

Επίσης, ενσωματώστε τον έλεγχο ταυτότητας δύο παραγόντων για να επαληθεύσετε ότι οι χρήστες πραγματοποιούν δύο φορές σύνδεση στο δικτυακό σας τόπο. Έλεγχος ταυτότητας δύο παραγόντων είναι ένα εξαιρετικό plugin για χρήση.

2. Έγχυση SQL

Ένα από τα παλαιότερα hack στο βιβλίο του web hacking είναι εισάγοντας ερωτήματα SQL να πραγματοποιήσετε ή να καταστρέψετε πλήρως τη βάση δεδομένων χρησιμοποιώντας οποιαδήποτε φόρμα ιστού ή πεδίο εισαγωγής.

Μετά την επιτυχή επέμβαση, ένας χάκερ μπορεί να χειριστεί τη βάση δεδομένων MySQL και πολύ πιθανόν να αποκτήσει πρόσβαση σε σας WordPress διαχειριστή ή απλώς αλλάξτε τα διαπιστευτήριά του για περαιτέρω ζημιά.

Αυτή η επίθεση εκτελείται συνήθως από ερασιτέχνες έως μέτριους χάκερ που δοκιμάζουν κυρίως τις δυνατότητες hacking τους.

Πώς να αποτρέψετε και να διορθώσετε SQL Injection

Χρησιμοποιώντας ένα plugin μπορείτε να προσδιορίσετε αν ο ιστότοπός σας έχει πέσει θύμα SQL Injection ή όχι. Μπορείτε να χρησιμοποιήσετε WPScan or Sucuri SiteCheck για να το ελέγξω.

Επίσης, ενημερώστε το WordPress καθώς και οποιοδήποτε θέμα ή plugin που νομίζετε ότι μπορεί να προκαλέσει προβλήματα. Ελέγξτε την τεκμηρίωσή τους και επισκεφτείτε τα φόρουμ υποστήριξής τους για να αναφέρετε τέτοια θέματα, ώστε να μπορέσουν να αναπτύξουν μια ενημερωμένη έκδοση.

3. Κακόβουλο λογισμικό

Κακόβουλος κώδικας εγχύεται σε WordPress μέσω ενός μολυσμένου θέματος, ξεπερασμένου plugin ή script Αυτός ο κώδικας μπορεί να εξαγάγει δεδομένα από τον ιστότοπό σας, καθώς και να εισαγάγει κακόβουλο περιεχόμενο που ενδέχεται να μην γίνεται αντιληπτό λόγω της διακριτικής του φύσης.

Το κακόβουλο λογισμικό μπορεί να προκαλέσει ήπιες έως σοβαρές βλάβες, αν δεν αντιμετωπιστεί εγκαίρως. Μερικές φορές το σύνολο WordPress ο ιστότοπος πρέπει να επανεγκατασταθεί καθώς έχει επηρεάσει τον πυρήνα. Αυτό μπορεί επίσης να προσθέσει το κόστος για το κόστος φιλοξενίας σας καθώς μεταφέρεται μεγάλο όγκο δεδομένων ή φιλοξενείται χρησιμοποιώντας τον ιστότοπό σας.

Πώς να αποτρέψετε και να διορθώσετε το κακόβουλο λογισμικό

Συνήθως, το κακόβουλο πρόγραμμα κάνει το δρόμο του μέσα από μολυσμένα plugins και null θέματα. Συνιστάται η λήψη των θεμάτων μόνο από αξιόπιστους πόρους χωρίς κακόβουλο περιεχόμενο.

Τα πρόσθετα ασφαλείας όπως το Succuri ή το WordFence μπορούν να χρησιμοποιηθούν για την εκτέλεση πλήρους σάρωσης και επιδιόρθωσης κακόβουλου λογισμικού. Στο χειρότερο σενάριο συμβουλευτείτε το a WordPress ειδικός.

4. Διαδικτυακή συγγραφή ιστοτόπων

Ένα από πιο κοινές επιθέσεις is Cross-Site Scripting επίσης γνωστή ως επίθεση XSS. Σε αυτόν τον τύπο επίθεσης, ο εισβολέας φορτώνει έναν κακόβουλο κώδικα JavaScript ο οποίος όταν φορτώνεται από την πλευρά του πελάτη αρχίζει να συλλέγει δεδομένα και πιθανώς να ανακατευθύνει σε άλλους κακόβουλους ιστότοπους που επηρεάζουν την εμπειρία του χρήστη.

Πώς να αποτρέψετε και να διορθώσετε τη συσχέτιση μεταξύ ιστοτόπων

Για να αποφύγετε αυτό το είδος επίθεσης, χρησιμοποιεί κατάλληλη επικύρωση δεδομένων σε ολόκληρη την περιοχή WordPress ιστοσελίδα. Χρησιμοποιήστε την εξυγίανση εξόδου για να διασφαλίσετε ότι εισάγεται ο σωστός τύπος δεδομένων. Plugins όπως Αποτροπή ευπάθειας XSS μπορεί επίσης να χρησιμοποιηθεί.

5. Attack DDoS

Όποιος έχει περιηγηθεί στο δίκτυο ή διαχειρίζεται έναν ιστότοπο μπορεί να έχει συναντήσει τη διαβόητη επίθεση DDoS.

Κατανεμημένη άρνηση παροχής υπηρεσίας (DDoS) είναι η βελτιωμένη έκδοση της υπηρεσίας Denial of Service (DoS) στην οποία ένας μεγάλος όγκος αιτημάτων γίνεται σε έναν διακομιστή ιστού που καθιστά αργή και τελικά συντρίβει.

Το DDoS εκτελείται χρησιμοποιώντας μία πηγή, ενώ το DDoS είναι μια οργανωμένη επίθεση που εκτελείται μέσω πολλαπλών μηχανών ανά τον κόσμο. Κάθε χρόνο χάνονται εκατομμύρια δολάρια εξαιτίας αυτής της διαβόητης επίθεσης ασφάλειας ιστού.

Πώς να αποτρέψετε και να διορθώσετε επιθέσεις DDoS

Οι επιθέσεις DDoS είναι δύσκολο να αποφευχθούν χρησιμοποιώντας συμβατικές τεχνικές. Οι οικοδεσπότες Ιστού διαδραματίζουν σημαντικό ρόλο στην θωράκιση σας WordPress τοποθεσία από τέτοιες επιθέσεις.

Για παράδειγμα, ο διαχειριζόμενος πάροχος φιλοξενίας cloud της Cloudways διαχειρίζεται την ασφάλεια του διακομιστή και επισημαίνει οτιδήποτε ύποπτο προτού προκληθεί βλάβη στον ιστότοπο του πελάτη.

Απαρχαιωμένος WordPress & PHP εκδόσεις

Απαρχαιωμένος WordPress εκδόσεις είναι πιο επιρρεπείς να επηρεαστούν από μια απειλή ασφάλειας. Με το πέρασμα του χρόνου οι χάκερ βρίσκουν το δρόμο τους να εκμεταλλευτούν τον πυρήνα τους και τελικά να εκτελέσουν την επίθεση στις τοποθεσίες που εξακολουθούν να χρησιμοποιούν ξεπερασμένες εκδόσεις.

Για τον ίδιο λόγο, το WordPress η ομάδα κυκλοφορεί patches και νεότερες εκδόσεις με ενημερωμένους μηχανισμούς ασφαλείας. Τρέξιμο παλαιότερες εκδόσεις της PHP μπορεί να προκαλέσει προβλήματα ασυμβατότητας. Οπως και WordPress τρέχει σε PHP, απαιτεί μια ενημερωμένη έκδοση για να λειτουργήσει σωστά.

Όπως ανά WordPress's επίσημες στατιστικές, 42.6% των χρηστών εξακολουθούν να χρησιμοποιούν διάφορες παλαιότερες εκδόσεις του WordPress.

wordpress στατιστικά έκδοση

Ενώ μόνο 2.3% of WordPress οι ιστότοποι εκτελούνται στην πιο πρόσφατη έκδοση PHP 7.2.

php stats stats

Πώς να αποτρέψετε και να διορθώσετε το παλιό WordPress & PHP εκδόσεις

Αυτό είναι ένα εύκολο. Θα πρέπει πάντα να ενημερώσετε το δικό σας WordPress εγκατάσταση στην πιο πρόσφατη έκδοση.

Βεβαιωθείτε ότι χρησιμοποιείτε πάντα την πιο πρόσφατη έκδοση (θυμηθείτε να κάνετε πάντα ένα αντίγραφο ασφαλείας πριν την αναβάθμιση). Όσο για την αναβάθμιση της PHP, αφού έχετε δοκιμάσει WordPress site για συμβατότητα, μπορείτε να αλλάξετε την έκδοση της PHP.

Τελικές σκέψεις!

Γνωρίσαμε τους διάφορους WordPress τα τρωτά σημεία και τις πιθανές λύσεις τους. Αξίζει να σημειωθεί ότι η επικαιροποίηση διαδραματίζει ουσιαστικό ρόλο στη διατήρηση του WordPress ασφάλεια άθικτος.

Και όταν παρατηρήσετε οποιαδήποτε ασυνήθιστη δραστηριότητα, σηκωθείτε στα δάχτυλα των ποδιών σας και αρχίστε να σκάβετε μέχρι να βρείτε το πρόβλημα, καθώς αυτοί οι κίνδυνοι ασφαλείας μπορούν να προκαλέσουν ζημιές ύψους χιλιάδων $$.

Εγγραφείτε στο newsletter μας

Εγγραφείτε στο εβδομαδιαίο ενημερωτικό δελτίο ενημέρωσης και λάβετε τα τελευταία νέα και τάσεις του κλάδου

Κάνοντας κλικ στην "εγγραφή" συμφωνείτε με το δικό μας όρους χρήσης και την πολιτική απορρήτου.