5 pagrindinės „WordPress“ diegimo saugos spragos

„WordPress“ diegimas gali būti toks saugus ar nesaugus, kokio norite. Sužinokite, kurie penki dalykai yra svarbiausi kalbant apie saugumą.


Rūpesčiai ir skundai dėl „WordPress“ saugumo nėra nieko naujo.

Jei jums reikia CMS ir pasikonsultuojate su paslaugų teikėju, kuris nesinaudoja „WordPress“, saugumas yra numeris vienas, apie kurį jūs girdėsite. Ar tai reiškia, kad visi turėtų mesti „WordPress“ ir pereiti prie statinių svetainių generatorių ar begalės CMS?

Ne, nes, kaip ir kiekviena gyvenimo tiesa, ši taip pat turi daug pusių.

Ar „WordPress“ yra labai nesaugus?

Pažvelkime į keletą didžiulių svetainių, sukurtų naudojant „WordPress“:

  • „TechCrunch“
  • Niujorkas
  • „BBC America“
  • „Bloomberg“
  • MTV žinios
  • „PlayStation“ tinklaraštis

Taigi, kas verčia šias įmones, turinčias absurdiškai gilias kišenes ir protu nesuvokiamą darbo jėgą, pereiti nuo „WordPress“? Jei manote, kad atsakymas yra senasis kodas, pagalvokite dar kartą: šiems vardams duomenų saugumas ir viešas įvaizdis yra be galo svarbūs nei paprastas perkėlimas, kuris kainuos (aš vertinu) mažiau nei 200 000 USD..

Tikrai jų inžinieriai žino, ką daro, ir nemato esminių neišsprendžiamų „WordPress“ saugumo problemų?

Net man pasisekė valdyti „WordPress“ diegimą, kuris per mėnesį mato 3,5–4 milijonus lankytojų. Ar bendras saugumo pažeidimų skaičius per pastaruosius aštuonerius metus? Nulis!

Taigi. . . yra „WordPress“ saugi?

Apgailestauju, jei atrodo, kad veltui, bet štai mano atsakymas:

Aš sakau taip, nes, kaip ir kiekviena gyvenimo tiesa, ji yra sudėtinga. Norėdami gauti teisėtą atsakymą, pirmiausia turime suprasti, kad „WordPress“ (arba bet kokia iš anksto sukurta CMS) nėra panaši į spintelę, kurią jūs nuolat priklijuojate ir kuri turi būti padaryta su ja..

Tai sudėtinga programinė įranga, turinti daugybę priklausomybių:

  • PHP, kuria kalba sukurta
  • Viešai matoma mašina, kurioje vykdomas diegimas
  • Tinklo serveris, naudojamas lankytojams tvarkyti („Apache“, „Nginx“ ir kt.)
  • Naudojama duomenų bazė (MySQL / MariaDB)
  • Temos (PHP, CS ir JS failų paketai)
  • Papildiniai (PHP, CS ir JS failų paketai)
  • Ir dar daug daugiau, atsižvelgiant į tai, kiek norite įdiegti

Kitaip tariant, bet kurios iš šių siūlių saugos pažeidimas bus vadinamas „WordPress“ pažeidimu.

Jei serverio pagrindinis slaptažodis buvo admin123 ir jam kilo pavojus, ar tai „WordPress“ saugos trūkumas?

Jei PHP versijoje buvo saugos pažeidžiamumas; arba jei naujame įsigytame ir įdiegtame papildinyje buvo akivaizdi saugos anga; ir taip toliau. Apibendrinant: posistemis sugenda, o tai yra „WordPress“ saugos klaida.

Be to, neleiskite, kad susidarytumėte įspūdį, jog PHP, MySQL ir Apache nėra saugūs. Kiekvienas programinės įrangos elementas turi trūkumų, kurių skaičius atvirkštinio šaltinio atveju yra stulbinantis (nes jį gali pamatyti ir analizuoti visi).

Ar kažkas pasakė „saugus“? ��

Dėl šių duomenų šaltinio ir kitos demoralizuojančios statistikos, pažiūrėk.

Ko mes išmokome iš viso šio pratimo, tai yra:

Nieko nėra saugu ar nesaugu. Būtent skirtingi komponentai sudaro grandies grandis, grandinė, žinoma, tokia stipri, kaip ir silpniausia. Istoriškai „nesaugios“ „WordPress“ etiketės buvo senų PHP versijų, bendrojo prieglobos ir papildinių / temų iš nepatikimų šaltinių pridėjimas.

Tuo pačiu metu kai kurie gana įprasti pastebėjimai daro jūsų „WordPress“ diegimą pažeidžiamą tiems, kurie žino, kaip juos naudoti ir yra pasiryžę. Ir apie tai yra šis pranešimas. Taigi, be papildomo (ir aplinkinių argumentų), pradėkime.

Populiariausios „WordPress“ spragos, kurias įsilaužėliai gali išnaudoti

„WordPress“ lentelės priešdėlis

Garsusis 5 minučių diegimas yra geriausias dalykas, nutikęs „WordPress“, tačiau, kaip ir visi diegimo vedliai, jis daro mus tingus ir palieka numatytuosius dalykus.

Tai reiškia, kad numatytasis jūsų „WordPress“ lentelių prefiksas yra wp_, todėl lentelių pavadinimai yra tokie, kuriuos kiekvienas gali atspėti:

  • WP vartotojai
  • wp variantai
  • WP žinutės

Dabar apsvarstykite išpuolį, žinomą kaip „SQL Injection“, kur kenkėjiškos duomenų bazės užklausos yra protingai įterptos ir verčiamos vykdyti „WordPress“ viduje (atkreipkite dėmesį – tai jokiu būdu nėra „WordPress“ / PHP išimtinė ataka).

Nors „WordPress“ turi įmontuotus tokio tipo išpuolių valdymo mechanizmus, niekas negali garantuoti, kad tai neįvyks.

Taigi, jei kažkokiu būdu užpuolikas sugeba vykdyti tokią užklausą kaip DROP TABLE wp_users; DROP TABLE wp_posts; visos jūsų sąskaitos, profiliai ir įrašai bus sunaikinti akimirksniu, nesant galimybės jų atkurti (nebent turite įdiegtą atsarginių kopijų kūrimo schemą, tačiau net ir tada jūs turite prarasti duomenis nuo paskutinės atsarginės kopijos darymo) ).

Tiesiog pakeisti prefiksą įdiegimo metu yra daug (tai užtrunka nulis pastangų).

Rekomenduojama kažkas atsitiktinio, pavyzdžiui, sdg21g34_, nes tai nesąmonė ir sunku atspėti (kuo ilgesnis priešdėlis, tuo geriau). Geriausia yra tai, kad šis priešdėlis neturi būti įsimenamas; prefiksas yra tai, ką „WordPress“ išsaugos, ir jums daugiau niekada nebereikės jaudintis (kaip ir nesijaudinkite dėl numatytojo wp_ prefikso!).

Numatytasis prisijungimo URL

Kaip žinote, kad svetainė veikia „WordPress“? Vienas iš signalinių ženklų yra tas, kad pamatę „WordPress“ prisijungimo puslapį pridėdami „/wp-login.php“ prie svetainės adreso.

Pažvelkime į mano svetainę (http://ankushthakur.com). Ar tai yra „WordPress“? Na, eik į priekį ir pridėk prisijungimo dalį. Jei jaučiatės per daug tingūs, štai kas atsitiks:

¯ \ _ (ツ) _ / ¯

„WordPress“, tiesa?

Kai tai bus žinoma, užpuolikas gali įtrinti rankas į žvilgsnį ir pradėti taikyti nemalonius triukus iš savo „Bag-O’-Doom“ abėcėlės tvarka. Vargšas aš!

Sprendimas yra pakeisti numatytąjį prisijungimo URL ir suteikti jį tik tiems žmonėms, kuriais pasitikima.

Pvz., Ši svetainė taip pat yra „WordPress“, bet jei apsilankysite http://geekflare.com/wp-login.php, viskas, ką gausite, reiškia gilų, gilų nusivylimą. Prisijungimo URL yra paslėptas ir žinomas tik administratoriams ?.

Prisijungimo URL keitimas taip pat nėra raketų mokslas. Tiesiog griebk tai Prijunkite.

Sveikinu, jūs ką tik pridėjote dar vieną žlugdančio saugumo nuo žiaurios jėgos išpuolių sluoksnį.

PHP ir žiniatinklio serverio versija

Mes jau aptarėme, kad kiekvienas kada nors parašytas (ir parašytas) programinės įrangos kūrinys yra kupinas klaidų, laukiančių išnaudojimo.

Tas pats pasakytina ir apie PHP.

Net jei naudojate naujausią PHP versiją, negalite būti tikri, kokie pažeidžiamumai egzistuoja ir gali būti aptikti per naktį. Sprendimas yra paslėpti tam tikrą antraštę, kurią siunčia jūsų interneto serveris (niekada negirdėjote apie antraštes? Skaityti tai!), kai naršyklė prisijungia prie jos: „x-powered-by“.

Štai kaip atrodo, jei patikrinsite mėgstamos naršyklės dev įrankius:

Kaip matome čia, svetainė mums sako, kad ji veikia „Apache 2.4“ ir naudoja PHP 5.4.16 versiją.

Tai jau yra daugybė informacijos, kurią perduodame be jokios priežasties, kad padėtume užpuolikui susiaurinti įrankių pasirinkimą.

Šias (ir panašias) antraštes reikia paslėpti.

Laimei, tai galima padaryti greitai; deja, reikia sudėtingų techninių žinių, nes turėsite pasinerti į sistemos žarnas ir susipainioti su svarbiais failais. Todėl mano patarimas yra paprašyti savo svetainės prieglobos paslaugų teikėjo tai padaryti už jus; jei jie nemato, ar konsultantas gali tai padaryti, tačiau tai daugiausia priklausys nuo jūsų svetainės šeimininko, ar jų sąranka turi tokias galimybes, ar ne.

Jei tai neveikia, gali būti laikas pakeisti prieglobos paslaugų teikėjus arba pereiti prie VPS ir pasamdyti konsultantą saugumo ir administravimo klausimais..

Tai verta? Tik jūs galite tai nuspręsti. ��

O, jei norite išaiškinti saugos antraštes, tai yra jūsų sprendimas!

Bandymų prisijungti skaičius

Vienas seniausių įsilaužėlių vadovo triukų yra vadinamasis Žodyno ataka.

Idėja yra ta, kad jūs bandote juokingai daug (jei įmanoma, milijonus) kombinacijų, jei norite slaptažodžio, nebent vienas iš jų pavyktų. Kadangi kompiuteriai žaibiškai daro tai, ką daro, tokia kvaila schema yra protinga ir gali duoti rezultatų per protingą laiką.

Viena įprasta (ir ypač efektyvi) gynyba buvo delsimo pridėjimas prieš rodant klaidą. Tai priverčia gavėją laukti, o tai reiškia, kad jei tai scenarijus, kurį naudoja įsilaužėlis, tai užtruks per ilgai. Dėl šios priežasties jūsų kompiuteris ar mėgstama programa truputį atšoka ir sako: „Oi, neteisingas slaptažodis!“.

Šiaip ar taip, jūs turėtumėte apriboti prisijungimo bandymų skaičių savo „WordPress“ svetainėje.

Už nustatytą bandymų skaičių (tarkime, penkis) paskyra turėtų būti užrakinta ir ją būtų galima atkurti tik per paskyros savininko el. Paštą.

Laimei, jei tai padarysite, tai yra puikus žingsnis po žingsnio Prijunkite.

HTTP ir HTTPS

SSL sertifikatas, kuriuo jus paslėpė pardavėjas, yra daug svarbesnis, nei jūs galite pamanyti.

Tai nėra tik reputacijos įrankis, kuris rodo žalios spynos piktogramą naršyklėje „Saugus“; užtenka įdiegti SSL sertifikatą ir priversti visus URL veikti „https“, kad jūsų svetainė taptų atvira knyga ir taptų slapta..

Jei nesuprantate, kaip tai nutinka, perskaitykite apie tai, kas vadinama žmogaus vidurio puolimas.

Kitas būdas sulaikyti srautą, srautinį iš jūsų kompiuterio į serverį, yra paketų uostymas, kuris yra pasyvi duomenų rinkimo forma ir kuriam nereikia net labai stengtis atsidurti viduryje..

Tinklalapiuose, kurie veikia per paprastą „HTTP“, asmuo, perimantis tinklo srautą, jūsų slaptažodžiai ir kreditinės kortelės numeriai atrodo aiškūs, aiškūs.

Šaltinis: palygintiitech.com

Baugus? Labai!

Įdiegus SSL sertifikatą ir visi URL bus konvertuoti į „https“, ši jautri informacija pasirodo kaip niūrus, kurį iššifruoti gali tik serveris. Kitaip tariant, nereikia prakaituoti tų kelių dolerių per metus. ��

Išvada

Tai leis jums kontroliuoti šiuos penkis dalykus, kad jūsų svetainė būtų gražiai apsaugota?

Ne, visiškai ne. Kaip rašoma daugybėje straipsnių apie saugumą, jūs niekada nesate 100% saugūs, tačiau pagrįstomis pastangomis įmanoma pašalinti didelę šių problemų klasę. Jei norite holistiniu būdu apsaugoti savo svetaines, galite apsvarstyti galimybę naudoti „SUCURI cloud WAF“.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map