Top 5 sigurnosnih rupa u WordPress instalacijama

Vaša WordPress instalacija može biti sigurna ili nesigurna koliko želite. Saznajte kojih je pet stvari najvažnije kada je u pitanju sigurnost.


Zabrinutosti i pritužbe zbog sigurnosti WordPressa nisu ništa novo.

Ako vam treba CMS i konzultirate se s davateljem usluga koji nije u WordPressu, sigurnost je broj jedan o kojem ćete čuti. Znači li to da bi svi trebali odustati od WordPressa i prebaciti se na statičke generatore web mjesta ili CMS bez glave?

Ne, jer kao i svaka istina u životu, i ova ima mnogo strana.

Je li WordPress vrlo nesiguran?

Pogledajmo neke ogromne web stranice koje su izgrađene na WordPressu:

  • TechCrunch
  • New Yorker
  • BBC America
  • Bloomberg
  • MTV vijesti
  • Blog PlayStation

Dakle, zašto se ove tvrtke – s apsurdno dubokim džepovima i neverovatnom radnom snagom – ne prebacuju s WordPressa? Ako mislite da je odgovor naslijeđeni kod, razmislite ponovo: za ta su imena sigurnost podataka i javna slika beskrajno važniji od jednostavne migracije koja će koštati (procjenjujem) manje od 200 000 USD.

Sigurno njihovi inženjeri znaju što rade i ne vide fundamentalne, nerešive sigurnosne probleme sa WordPressom?

Čak imam i sreću da upravljam WordPress instalacijom koja mjesečno vidi 3,5-4 milijuna posjetitelja. Ukupni broj narušavanja sigurnosti u posljednjih osam godina? Nula!

Dakle. , , je WordPress siguran?

Žao mi je ako izgleda kao da troli, ali evo mog odgovora:

Kažem to jer je, kao i svaka istina u životu, komplicirana. Da bismo došli do legitimnog odgovora, prvo moramo razumjeti da WordPress (ili bilo koji unaprijed ugrađeni CMS) nije poput ormarića koji stalno držite negdje i s njim se bavite..

To je složen dio softvera s mnogim ovisnostima:

  • PHP, što je jezik sa kojim je izgrađen
  • Javno vidljiv stroj koji ugošćuje instalaciju
  • Web poslužitelj koji se koristi za obradu posjetitelja (Apache, Nginx itd.)
  • Baza podataka koja se koristi (MySQL / MariaDB)
  • Teme (paketi PHP, CS i JS datoteka)
  • Dodaci (paketi PHP, CS i JS datoteka)
  • I još mnogo toga, ovisno o tome koliko želite instalirati

Drugim riječima, kršenje sigurnosti na bilo kojem od ovih šavova označit će se kao kršenje WordPressa.

Ako je korijenska lozinka poslužitelja admin123 i ona se ugrozila, je li to WordPress nedostatak sigurnosti?

Ako je verzija PHP imala sigurnosnu ranjivost; ili ako je novi dodatak koji ste kupili i instalirali sadržavao sjajnu sigurnosnu rupu; i tako dalje. Da zaključimo: Podsistem ne radi i to je sigurnosni neuspjeh WordPressa.

Na stranu, nemojte dopustiti da vam se stvori dojam da PHP, MySQL i Apache nisu sigurni. Svaki dio softvera ima ranjivosti, a njihov broj je zapanjujući u slučaju otvorenog koda (jer je svima na raspolaganju da ga pregledaju i analiziraju).

Je li netko rekao “siguran”? ��

Za izvor tih podataka i ostale demoralne statistike, Pogledaj ovo.

Što sve učimo iz ove vježbe je ovo:

Ništa nije sigurno niti nesigurno. Različite korištene komponente tvore karike u lancu, lanac je, naravno, jak koliko i najslabiji. Povijesno, oznaka WordPressa koja nije sigurna bila je kombinacija starih PHP verzija, zajedničkog hostinga i dodavanja dodataka / tema iz nepouzdanih izvora.

U isto vrijeme, neki prilično uobičajeni uvidi čine vašu WordPress instalaciju ranjivom onima koji ih znaju iskoristiti i odlučni su u tome. I o tome se radi u ovom postu. Dakle, bez dodatnih poklonika (i kružnih argumenata), krenimo.

Vrhunske rupe u WordPressu koje hakeri mogu iskoristiti

Prefiks tablice WordPress

Poznata 5-minutna instalacija najbolja je stvar WordPress-a, ali kao i svi čarobnjaci za instaliranje, čini nas lijenima i ostavlja stvari na zadano.

To znači da je zadani prefiks za vaše WordPress tablice wp_, što rezultira nazivima tablica koje svatko može pogoditi:

  • WP korisnici
  • WP-opcije
  • WP-postovi

Sada razmislite o napadu poznatom kao SQL Injection, gdje su zlonamjerni upiti u bazu pametno umetnuti i natjerani da se pokreću unutar WordPressa (imajte na umu – ovo nikako nije WordPress / PHP-ekskluzivni napad).

Iako WordPress ima ugrađene mehanizme za rukovanje tim vrstama napada, nitko ne može jamčiti da se to neće dogoditi.

Dakle, ako nekako, na neki način, napadač uspije pokrenuti upit poput DROP TABLE wp_users; DROP TABLE wp_posts ;, svi vaši računi, profili i postovi bit će izbrisani u trenu bez ikakve šanse za oporavak (osim ako nemate sigurnosnu kopiju, ali čak i tada, dužni ste izgubiti podatke od posljednje sigurnosne kopije ).

Jednostavno mijenjanje prefiksa tijekom instalacije velika je stvar (koja traje) nula napora).

Preporučuje se nešto nasumično poput sdg21g34_ jer su gluposti i teško pogoditi (što je prefiks duži, to je bolje). Najbolji dio je što ovaj prefiks ne mora biti pamtljiv; prefiks je nešto što će WordPress spasiti i više se nikad nećete morati brinuti oko toga (baš kao što se ne brinete zbog zadanog wp_ prefiksa!).

Zadani URL za prijavu

Kako znate da web stranica radi na WordPressu? Jedan od znakova govori i to da vidite stranicu za prijavu u WordPress kada na web mjesto dodate “/wp-login.php”.

Kao primjer uzmimo moju web stranicu (http://ankushthakur.com). Je li to na WordPressu? Pa, nastavite i dodajte dio za prijavu. Ako vam je previše lijeno, evo što se događa:

¯ \ _ (ツ) _ / ¯

WordPress, točno?

Jednom kada se sazna toliko toga, napadač može trljati ruke u lice i početi primjenjivati ​​jezive trikove iz svoje Bag-O’-Doom na abecednoj osnovi. Jadan ja!

Rješenje je promijeniti zadani URL za prijavu i dati ga samo onima kojima vjeruje.

Na primjer, ovo je web mjesto također na WordPressu, ali ako posjetite http://geekflare.com/wp-login.php sve što ćete dobiti je duboko, duboko razočaranje. URL za prijavu je skriven i poznat je samo administratorima ?.

Promjena prijavnog URL-a nije ni raketna znanost. Samo uzmi ovo uključiti.

Čestitamo, Upravo ste dodali još jedan sloj frustrirajuće sigurnosti protiv brutalnih napada.

Verzija PHP-a i web poslužitelja

Već smo razgovarali o tome da je svaki dio softvera ikad napisan (i napisan) prepun pogrešaka koji čekaju da budu iskorišteni.

Isto vrijedi i za PHP.

Čak i ako koristite najnoviju verziju PHP-a, ne možete biti sigurni koje ranjivosti postoje i mogu se otkriti preko noći. Rješenje je sakriti određeno zaglavlje koje šalje vaš web poslužitelj (nikad se nije čulo zaglavlje? ovaj!) kada se preglednik poveže s njim: x-powered-by.

Evo kako izgleda ako provjerite razvojne alate vašeg omiljenog preglednika:

Kao što možemo vidjeti ovdje, web stranica nam govori da se prikazuje na Apache 2.4 i koristi PHP verziju 5.4.16.

To je već tona informacija koje prenosimo bez razloga, pomažući napadaču da smanji izbor alata.

Te (i slične) zaglavlje treba sakriti.

Srećom, to se može brzo učiniti; nažalost, potrebno je sofisticirano tehničko znanje jer ćete trebati zaroniti u utrobu sustava i zabrljati se s važnim datotekama. Stoga je moj savjet zamoliti svog pružatelja usluga hostinga da to učini za vas; ako ne vide može li konzultant to učiniti, to će uvelike ovisiti o domaćinu vaše web lokacije da li njihova postava ima takve mogućnosti ili ne.

Ako to ne uspije, možda je vrijeme da prebacite pružatelje usluga usluge hostinga ili se preselite na VPS i unajmite konzultanta za pitanja sigurnosti i uprave..

Da li je vrijedno toga? Samo vi to možete odlučiti. ��

Oh, i ako želite otkloniti zaglavlja sigurnosti, evo vam rješenja!

Broj pokušaja prijave

Jedan od najstarijih trikova u hakerskom priručniku je tzv Rječnik Napad.

Ideja je da isprobate smiješno velik broj (ako je moguće, milijune) kombinacija za lozinku osim ako jedna od njih ne uspije. Budući da su računala u ovom trenutku točna, ovakva glupa shema je razumna i daje rezultate u razumnom vremenu.

Jedna uobičajena (i izuzetno učinkovita) obrana je dodavanje odgode prije nego što se pokaže pogreška. To primatelja čeka, što znači da će, ako se radi o skripti koju koristi haker, predugo trajati. To je razlog zašto vaše računalo ili omiljena aplikacija malo odbijaju i zatim kažu: “Ups, pogrešna lozinka!”.

U svakom slučaju, poenta je da biste trebali ograničiti broj pokušaja prijave za svoju WordPress stranicu.

Osim određenog broja pokušaja (recimo, pet), račun bi se trebao zaključati i moći će ga se povratiti samo putem e-pošte vlasnika računa.

Srećom, ovo je pravi modni potez ako naiđete na lijepo uključiti.

HTTP u odnosu na HTTPS

SSL certifikat o kojem vas dobavljač vara važniji je nego što mislite.

To nije samo alat za reputaciju u kojem se u pregledniku prikazuje zelena ikona zaključavanja koja kaže “Sigurno”; radije, instaliranje SSL certifikata i prisiljavanje svih URL-ova da rade na “https” dovoljno je samo da vaše web mjesto ne postane otvorena knjiga do kriptičnog pomicanja.

Ako ne razumijete kako se to događa, pročitajte nešto o tome znanom kao napad čovjek-u-sredini.

Drugi način presretanja prometa koji teče s vašeg računala na poslužitelj je njuškanje paketa, što je pasivan oblik prikupljanja podataka i ne trebate uzimati bolove da biste se postavili u sredini.

Za web mjesta koja imaju preko “HTTP-a” osoba koja presreće mrežni promet, lozinke i brojevi kreditnih kartica čine se jasnim, običnim tekstom.

Izvor: comparitech.com

Zastrašujuće? Vrlo!

Ali nakon što instalirate SSL certifikat i svi se URL-ovi pretvore u “https”, ove osjetljive informacije prikazuju se kao blesave koje samo poslužitelj može dešifrirati. Drugim riječima, nemojte znojiti tih nekoliko dolara godišnje. ��

Zaključak

Bit će davanje ovih pet stvari pod nadzorom sigurno osigurati vaše web mjesto?

Ne, uopće. Kao što kaže bezbroj članaka o sigurnosti, nikada niste 100% sigurni, ali veliku je vrstu problema moguće ukloniti razumnim naporom. Možete razmotriti korištenje SUCURI cloud WAF-a za zaštitu web-lokacija holistički.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map