חמש פרצות האבטחה המובילות בהתקנות וורדפרס

התקנת וורדפרס שלך יכולה להיות בטוחה או חסרת ביטחון כמו שאתה רוצה. למד אילו חמישה דברים הם החשובים ביותר בכל הקשור לאבטחה.


דאגות ותלונות לגבי אבטחת וורדפרס אינן דבר חדש.

אם אתה זקוק ל- CMS ובמקרה להתייעץ עם ספק שירות שאינו נמצא בוורדפרס, האבטחה היא הדבר הראשון שתשמע עליו. האם זה אומר שכולם צריכים להפיל את וורדפרס ולעבור למחוללי אתרים סטטיים או CMS נטול ראש?

לא, מכיוון שכמו כל אמת בחיים, גם לזה יש צדדים רבים.

האם וורדפרס מאוד לא בטוחה?

בואו נסתכל על כמה אתרי ענק שנבנו על WordPress:

  • TechCrunch
  • הניו יורקר
  • BBC America
  • בלומברג
  • חדשות MTV
  • בלוג פלייסטיישן

אז מה גורם לחברות הללו – עם כיסים עמוקים בצורה אבסורדית וכוח עבודה סוער – לא לעבור מ- WordPress? אם אתה חושב שהתשובה היא קוד מדור קודם, חשוב שוב: עבור שמות אלה, אבטחת המידע ותמונת הציבור חשובים לאין שיעור מאשר הגירה פשוטה שתעלה (אני מעריך) פחות מ- 200,000 $.

בטח המהנדסים שלהם יודעים מה הם עושים ואינם רואים בעיות אבטחה מהותיות ובלתי פתירות עם וורדפרס?

אפילו יש לי את המזל הטוב לנהל התקנת וורדפרס שרואה 3.5-4 מיליון מבקרים בחודש. המספר הכולל של הפרות אבטחה בשמונה השנים האחרונות? אפס!

לכן . . . הוא WordPress מאובטח?

אני מצטער אם זה נראה כמו trolling, אבל הנה התשובה שלי:

אני אומר זאת מכיוון שכמו כל אמת בחיים, זה מסובך. כדי להגיע לתשובה לגיטימית, עלינו להבין תחילה כי וורדפרס (או כל CMS שנבנה מראש, לצורך העניין) אינה כמו ארון שאתה תוקע איפשהו לצמיתות ותסיים איתו.

זוהי פיסת תוכנה מורכבת עם הרבה תלות:

  • PHP, שפה שהיא בנויה איתה
  • מכונה גלויה לעין המארחת את ההתקנה
  • שרת האינטרנט שימש לטיפול במבקרים (Apache, Nginx וכו ‘)
  • בסיס הנתונים הנמצא בשימוש (MySQL / MariaDB)
  • ערכות נושא (חבילות קבצי PHP, CS ו- JS)
  • תוספים (צרורות קבצי PHP, CS ו- JS)
  • ועוד רבים, תלוי בכמה שההתקנה שואפת להשיג

במילים אחרות, הפרת אבטחה בכל אחד מהתפרים הללו תקרא הפרה של וורדפרס.

אם סיסמת השורש של השרת הייתה admin123 והיא נפגעה, האם זה פגם באבטחה של WordPress?

אם לגירסת PHP הייתה פגיעות אבטחה; או אם התוסף החדש שרכשת והתקנת הכיל חור אבטחה בוהק; וכן הלאה. לסיכום: תת-מערכת נכשלת והיא תקלה באבטחה של וורדפרס.

במאמר מוסגר, אנא אל תתנו לזה ליצור רושם ש- PHP, MySQL ו- Apache אינם מאובטחים. לכל פיסת תוכנה יש פגיעויות שהספירה שלהן מדהימה במקרה של קוד פתוח (מכיוון שהיא זמינה לכולם לראות ולנתח).

האם מישהו אמר “מאובטח”? ��

למקור נתונים אלה וסטטיסטיקות דמוראליות אחרות, בדוק את זה.

מה שלומדים מכל התרגיל הזה הוא זה:

שום דבר לא בטוח או לא בטוח בפני עצמו. המרכיבים השונים המשמשים הם שיוצרים את הקישורים בשרשרת, כמובן שהשרשרת היא חזקה כמו החלשה שבהם. מבחינה היסטורית, התווית “לא מאובטחת” של וורדפרס הייתה שילוב של גרסאות PHP ישנות, אירוח משותף והוספת תוספים / ערכות נושא ממקורות לא מהימנים..

יחד עם זאת, כמה פיקוחים די שכיחים הופכים את התקנת וורדפרס שלך לפגיעה בפני מי שיודע לנצל אותם ונחושים. ועל זה פוסט זה. אז בלי להתווכח (ויכוחים מעגליים), הבה נתחיל.

פרצות וורדפרס מובילות שהאקרים יכולים לנצל

קידומת הטבלה של וורדפרס

ההתקנה המפורסמת של חמש דקות היא הדבר הטוב ביותר שקורה לוורדפרס, אך כמו כל אשפי ההתקנה, זה גורם לנו להתעצל ומשאיר את הדברים כברירת מחדל..

פירוש הדבר שקידומת ברירת המחדל לטבלאות וורדפרס שלך היא wp_, וכתוצאה מכך שמות טבלאות שכל אחד יכול לנחש:

  • משתמשי wp
  • אפשרויות wp
  • wp-posts

כעת, קחו בחשבון התקפה המכונה הזרקת SQL, בה מוכנסים בצורה חכמה שאילתות מסד נתונים זדוניות ומופיעות לרוץ בתוך וורדפרס (שימו לב – אין זה בשום אופן התקפה בלעדית לוורדפרס / PHP).

בעוד שלוורדפרס יש מנגנונים מובנים לטיפול בהתקפות מסוג זה, איש אינו יכול להבטיח שזה לא יקרה.

אז אם איכשהו, איכשהו, התוקף מצליח להריץ שאילתה כמו DROP TABLE wp_users; DROP TABLE wp_posts ;, כל החשבונות, הפרופילים והפוסטים שלך יימחקו ברגע ללא שום סיכוי להתאוששות (אלא אם כן קיימת ערכת גיבוי, אבל גם אז אתה מאבד נתונים מאז הגיבוי האחרון ).

כל שעליך לעשות הוא לשנות את הקידומת במהלך ההתקנה זה עניין גדול (שלוקח אפס מאמץ).

מומלץ להשתמש באקראי כמו sdg21g34_ מכיוון שזה שטויות וקשה לנחש (ככל שהקידומת ארוכה יותר, כך ייטב). החלק הטוב ביותר הוא שלא צריך לזכור קידומת זו; הקידומת היא דבר בוורדפרס תחסוך, ולעולם לא תצטרך לדאוג לגבי זה שוב (ממש כמו שלא תדאג בקידומת wp_ ברירת המחדל!).

כתובת ברירת המחדל של כניסה

איך אתה יודע שאתר פועל בוורדפרס? אחד הסימנים המגולמיים הוא שאתה רואה את דף הכניסה של וורדפרס כשאתה מוסיף “/wp-login.php” לכתובת האתר.

כדוגמה, ניקח את האתר שלי (http://ankushthakur.com). האם זה ב- WordPress? ובכן, קדימה להוסיף את חלק ההתחברות. אם אתה מרגיש עצלן מדי, הנה מה שקורה:

¯ \ _ (ツ) _ / ¯

וורדפרס, נכון?

לאחר שידוע כל כך הרבה, התוקף יכול לשפשף את ידיהם בשמחה ולהתחיל ליישם טריקים מגעילים מתוך ה- Bag-O’-Doom שלהם על בסיס אלפביתי. מסכן שכמוני!

הפיתרון הוא לשנות את כתובת ברירת המחדל של הכניסה ולהעניק אותה רק לאנשים האמינים.

לדוגמה, אתר זה נמצא גם ב- WordPress, אך אם אתה מבקר ב http://geekflare.com/wp-login.php כל מה שתקבל הוא אכזבה עמוקה ועמוקה. כתובת האתר להתחברות מוסתרת והיא ידועה רק למנהלים ?.

גם שינוי כתובת האתר להתחברות אינו מדע טילים. פשוט תפוס את זה חיבור.

מזל טוב, הוספת רק שכבה נוספת של ביטחון מתסכל מפני פיגועי כוח סוערים.

גרסת ה- PHP ושרת האינטרנט

כבר דנו בכך שכל פיסת תוכנה שנכתבה אי פעם (ונכתבת) מלאה בבאגים הממתינים לניצול.

כך גם ב- PHP.

גם אם אתה משתמש בגרסה האחרונה של PHP, אינך יכול להיות בטוח אילו פגיעויות קיימות ועלולות להתגלות בין לילה. הפיתרון הוא להסתיר כותרת מסוימת שנשלחה על ידי שרת האינטרנט שלך (מעולם לא שמעתי על כותרות? קרא זה!) כאשר דפדפן מתחבר אליו: x-powered by.

כך נראה אם ​​תבדוק את כלי ההתפתחות של הדפדפן המועדף עליך:

כפי שאנחנו יכולים לראות כאן, האתר אומר לנו שהוא פועל ב- Apache 2.4 ומשתמש ב- PHP בגרסה 5.4.16.

עכשיו זה כבר המון מידע שאנחנו עוברים ללא סיבה, ועוזרים לתוקף לצמצם את בחירת הכלים שלהם.

צריך להסתיר כותרות (ודומות) אלה.

למרבה המזל, ניתן לעשות זאת במהירות; למרבה הצער, יש צורך בידע טכני מתוחכם מכיוון שתצטרכו לצלול לתוך מעי המערכת ולבלגן עם קבצים חשובים. לכן העצה שלי היא לבקש מספק האירוח שלכם לעשות זאת בשבילכם; אם הוא לא רואה אם ​​יועץ יכול לעשות זאת, אם כי הדבר תלוי במידה רבה במארח האתר שלך אם להתקנתם יש אפשרויות כאלה או לא.

אם זה לא עובד, ייתכן שהגיע הזמן להחליף ספקי אירוח או לעבור ל- VPS ולהעסיק יועץ מטעמי אבטחה ומינהל..

האם זה שווה את זה? רק אתה יכול להחליט על זה. ��

אה, ואם אתה רוצה לטפל בכותרות אבטחה, הנה התיקון שלך!

מספר ניסיונות הכניסה

אחד הטריקים העתיקים בספרו של ההאקר הוא מה שמכונה התקפת מילון.

הרעיון הוא שתנסו מספר גדול עד כדי גיחוך (מיליונים, אם אפשר) של שילובים עבור סיסמא אלא אם כן אחד מהם יצליח. מכיוון שמחשבים מהירים בברק במה שהם עושים, סכמה טיפשית כזו היא הגיונית ויכולה להניב תוצאות בזמן סביר.

אחת ההגנות הנפוצות (והיעילות ביותר) הייתה להוסיף עיכוב לפני הצגת השגיאה. זה גורם לנמען להמתין, כלומר אם זה תסריט המועסק על ידי האקר, ייקח זמן רב מדי לסיום. זו הסיבה לכך שהמחשב או האפליקציה המועדפת עליך מקפצים מעט ואז אומרים “אופס, הסיסמה הלא נכונה!”.

בכל אופן, העניין הוא שאתה צריך להגביל את מספר ניסיונות הכניסה לאתר וורדפרס שלך.

מעבר למספר מוגדר של ניסיונות (נניח, חמש), החשבון צריך להינעל ויש לשחזר אותו רק באמצעות הדוא”ל של בעל החשבון..

למרבה המזל, לעשות את זה זה cakewalk אם אתה נתקל נחמד חיבור.

HTTP לעומת HTTPS

אישור ה- SSL שהמוכר שלך הדביק עליו חשוב יותר ממה שאתה עשוי לחשוב.

זה לא רק כלי מוניטין להציג אייקון נעילה ירוקה בדפדפן שאומר “מאובטח”; במקום זאת, התקנת אישור SSL ואילוץ כל כתובות האתרים לעבוד על “https” זה מספיק לבד כדי לגרום לאתר שלך להיות ספר פתוח למגילה קריפטית..

אם אינך מבין כיצד זה קורה, אנא קרא על משהו המכונה א התקפה של איש באמצע.

דרך נוספת ליירט את התנועה הזורמת מהמחשב שלך לשרת היא הרחרת מנות, שהיא צורה פסיבית של איסוף נתונים ואפילו לא צריכה להתאמץ כדי למקם את עצמה באמצע.

באתרים העוברים על “HTTP” רגיל, האדם שמיירט את תעבורת הרשת, הסיסמאות ומספרי כרטיסי האשראי שלך מופיעים בטקסט רגיל וברור.

מקור: comparitech.com

מפחיד? מאוד!

אך לאחר התקנת אישור SSL וכל כתובות האתרים מומרות ל” https “, מידע רגיש זה מופיע כג’יבריש שרק השרת יכול לפענח. במילים אחרות, אל תזיעו את הדולרים המעטים האלה בשנה. ��

סיכום

תקבלו את חמשת הדברים הללו תחת שליטה מאבטחים את האתר שלכם בצורה יפה?

בכלל לא. כמו שאומרים אין ספור מאמרי אבטחה, אתה אף פעם לא מאובטח במאת האחוזים, אך ניתן לחסל מעמד גדול של בעיות אלה במאמץ סביר. אתה יכול לשקול להשתמש ב- SUCURI ענן WAF כדי להגן על האתרים שלך בצורה הוליסטית.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map