Top 5 varnostnih vrzeli v WordPress namestitvah

Vaša namestitev WordPress-a je lahko tako varna ali negotova. Preberite, katerih pet stvari je najpomembnejše, ko gre za varnost.


Skrbi in pritožbe glede varnosti WordPressa niso nič novega.

Če potrebujete CMS in se posvetujete s ponudnikom storitev, ki ni v programu WordPress, je varnost številka ena, o kateri boste slišali. Ali to pomeni, da bi morali vsi izpustiti WordPress in preiti na generatorje statičnih spletnih mest ali brezglavo CMS?

Ne, saj tako kot vsaka resnica v življenju, ima tudi ta veliko strani.

Je WordPress zelo negotov?

Oglejmo si nekaj ogromnih spletnih mest, ki so bila zgrajena na WordPressu:

  • TechCrunch
  • New Yorker
  • BBC America
  • Bloomberg
  • Novice MTV-ja
  • Blog za PlayStation

Torej, zaradi česar ta podjetja – z absurdno globokimi žepi in razburljivo delovno silo – ne prehajajo iz WordPressa? Če menite, da je odgovor zastarela koda, premislite še enkrat: za ta imena sta varnost podatkov in javna podoba neskončno pomembnejša od preproste selitve, ki bo stala (ocenjujem) manj kot 200.000 USD.

Zagotovo njihovi inženirji vedo, kaj počnejo, in ne vidijo nobenih temeljnih, nerešljivih varnostnih težav z WordPressom?

Tudi jaz imam srečo, da upravljam z namestitvijo WordPress-a, ki mesečno vidi 3,5-4 milijone obiskovalcev. Skupno število kršitev varnosti v zadnjih osmih letih? Nič!

Torej. . . je WordPress varen?

Žal mi je, če se zdi, kot da troliram, ampak tukaj je moj odgovor:

To pravim, ker je tako kot vsaka resnica v življenju zapletena. Da bi prišli do legitimnega odgovora, moramo najprej razumeti, da WordPress (ali kakršen koli že vgrajen CMS v tem primeru) ni kot omara, v katero se stalno prilepite in se z njo ukvarjate..

To je zapleten del programske opreme z veliko odvisnostmi:

  • PHP, ki je jezik, s katerim je zgrajen
  • Javno viden stroj, ki gosti namestitev
  • Spletni strežnik, ki se uporablja za obdelavo obiskovalcev (Apache, Nginx itd.)
  • Uporabljena baza podatkov (MySQL / MariaDB)
  • Teme (svežnja datotek PHP, CS in JS)
  • Vtičniki (paketi datotek PHP, CS in JS)
  • In še veliko več, odvisno od tega, koliko nameravate doseči

Z drugimi besedami, kršitev varnosti na katerem koli od teh šivov se označi kot kršitev WordPressa.

Če je korensko geslo strežnika bilo admin123 in je ogroženo, ali je to napaka v WordPress varnosti?

Če je imela različica PHP varnostno ranljivost; ali če je novi vtičnik, ki ste ga kupili in namestili, vseboval vrtoglavo varnostno luknjo; in tako naprej. Če povzamem: podsistem ne uspe in je varnostna napaka WordPress.

Poleg tega ne pustite, da vam daje vtis, da PHP, MySQL in Apache niso varni. Vsak del programske opreme ima ranljivosti, njihovo število pa je v primeru odprtokodnega sistema (ker je na voljo vsem, da jih vidijo in analizirajo).

Je kdo rekel “varno”? ��

Za vir teh podatkov in druge demoralizirajoče statistike, Poglej to.

Iz vse te vaje se naučimo:

Nič ni varno ali negotovo samo po sebi. Uporabljeni različni sestavni deli tvorijo vezi v verigi, pri čemer je veriga seveda močna kot najšibkejša. Zgodovinsko gledano je bila oznaka WordPress, ki ni varna, kombinacija starih različic PHP, deljenega gostovanja in dodajanja vtičnikov / tem iz nezaupljivih virov.

Hkrati nekateri precej pogosti vpadi naredijo vašo namestitev WordPress ranljivo za tiste, ki jih znajo izkoristiti in so odločni. In o tem govori ta objava. Torej, brez dodatnih obolenj (in krožnih argumentov), ​​začnimo.

Vrhunske vrzeli v WordPressu, ki jih lahko izkoristijo hekerji

Predpona tabele WordPress

Slavna 5-minutna namestitev je najboljša stvar WordPress-a, a kot vsi čarovniki za namestitev nas tudi leni in stvari pustijo privzeto.

To pomeni, da je privzeta predpona za vaše WordPress tabele wp_, kar pomeni imena tabel, ki jih lahko kdo ugane:

  • wp-uporabniki
  • wp-možnosti
  • wp-objave

Zdaj razmislite o napadu, znanem kot SQL Injection, kjer so zlonamerne poizvedbe baze podatkov pametno vstavljene in narejene, da se izvajajo znotraj WordPressa (upoštevajte, da to nikakor ni napad, ki je izključen za WordPress / PHP).

Čeprav ima WordPress vgrajene mehanizme za ravnanje s tovrstnimi napadi, nihče ne more zagotoviti, da se to ne bo zgodilo.

Če torej nekako, na nek način napadalcu uspe izvesti poizvedbo, kot je DROP TABLE wp_users; DROP TABLE wp_posts ;, vsi vaši računi, profili in objave bodo izbrisani v trenutku, brez možnosti za obnovitev (razen če imate vzpostavljeno varnostno shemo, vendar tudi takrat morate izgubiti podatke od zadnje varnostne kopije ).

Preprosta sprememba predpone med namestitvijo je velika težava (kar traja nič truda).

Priporočljivo je nekaj naključnega tipa, kot je sdg21g34_, ker je to neumnost in težko uganiti (daljši je predpona, tem bolje). Najboljši del tega, da te predpone ni treba zapomniti; predpona je nekaj, kar bo WordPress prihranilo, in o tem vam ne bo nikoli več treba skrbeti (tako kot vas ne skrbi privzeta predpona wp_!).

Privzeti prijavni URL

Kako veste, da na WordPressu deluje spletno mesto? Eden od znakov pripovedovanja je, da vidite stran za prijavo v WordPress, ko na naslov spletnega mesta dodate »/wp-login.php«..

Kot primer vzemimo moje spletno mesto (http://ankushthakur.com). Je na WordPressu? No, pojdite naprej in dodajte del za prijavo. Če se vam zdi preveč leno, se zgodi naslednje:

¯ \ _ (ツ) _ / ¯

WordPress, kajne?

Ko je to veliko znanega, lahko napadalec zamahne z rokami in začne izvajati grde trike iz svoje Bag-O’-Doom po abecednem redu. Ubogi jaz!

Rešitev je, da spremenite privzeti prijavni URL in ga daste samo tistim, ki jim zaupate.

Na primer, to spletno mesto je tudi v WordPress-u, vendar če obiščete http://geekflare.com/wp-login.php, vse, kar boste dobili, je globoko, globoko razočaranje. Prijavni URL je skrit in znan je le skrbnikom ?.

Tudi sprememba prijavnega URL-ja ni raketna znanost. Samo zgrabi to vključiti.

Čestitamo, pravkar ste dodali še en sloj frustrirajoče varnosti pred brutalnimi napadi.

Različica PHP in spletnega strežnika

Že smo razpravljali o tem, da je vsak del programske opreme, ki je bila kdaj napisana (in napisana), polna napak, ki čakajo na izkoriščanje.

Enako velja za PHP.

Tudi če uporabljate najnovejšo različico PHP, ne morete biti prepričani, katere ranljivosti obstajajo in jih lahko odkrijete čez noč. Rešitev je skriti določeno glavo, ki ga pošlje vaš spletni strežnik (nikoli niste slišali za branje glav? to!), ko se brskalnik poveže z njim: x-powered-by.

Takole je videti, če preverite orodja za razvijanje svojega priljubljenega brskalnika:

Kot lahko vidimo tukaj, nam spletno mesto sporoča, da deluje na Apache 2.4 in uporablja PHP različico 5.4.16.

To je že vrsta informacij, ki jo brez razloga prenašamo, in napadalcu pomagajo zožiti izbiro orodij.

Te (in podobne) glave je treba skriti.

Na srečo je to mogoče hitro; na žalost je potrebno izpopolnjeno tehnično znanje, saj se boste morali potopiti v drobovje sistema in se spopadati s pomembnimi datotekami. Zato je moj nasvet prositi ponudnika gostovanja spletnega mesta, da to stori za vas; če ne vidijo, ali lahko to opravi svetovalec, pa bo to odvisno od gostitelja vašega spletnega mesta, ali ima njihova nastavitev take možnosti ali ne.

Če ne deluje, je morda čas, da zamenjate ponudnike gostovanja ali se premaknete na VPS in najamete svetovalca za varnost in administracijo..

Je vredno? Samo vi se lahko odločite za to. ��

Oh, in če se želite odpraviti po varnostnih glavah, je tu vaš popravek!

Število poskusov prijave

Eden najstarejših trikov v hekerskem priročniku je t.i. Slovarski napad.

Ideja je, da za geslo preizkusite smešno veliko število (če je mogoče milijonov) kombinacij, če nobena od njih ne uspe. Ker so računalniki strele, kar počnejo, je tako neumna shema smiselna in lahko v razumnem času prinese rezultate.

Ena pogosta (in izjemno učinkovita) obramba je bila, da dodate zamudo, preden pokažete napako. Zaradi tega bo prejemnik čakal, kar pomeni, da bo trajalo predolgo, če bo šlo za skript, ki ga uporablja heker. Zato vaš računalnik ali najljubša aplikacija malo odskoči in nato reče: “Ups, napačno geslo!”.

Kakor koli že, poanta je, da morate omejiti število poskusov prijave za svoje WordPress spletno mesto.

Poleg določenega števila poskusov (recimo pet) mora biti račun zaklenjen in ga je mogoče izterjati le prek e-pošte imetnika računa.

Na srečo je to, če to naletite lepo vključiti.

HTTP v primerjavi s HTTPS

Potrdilo SSL, s katerim vas je prodajal prodajalec, je pomembnejše, kot si morda mislite.

To ni samo orodje za ugled, ki v brskalniku prikazuje zeleno ikono ključavnice z napisom »Varno«; namesto tega je namestitev SSL certifikata in prisiljevanje vseh URL-jev, da delujejo na “https”, dovolj, da je vaše spletno mesto od odprte knjige do skrivnostnega pomika.

Če ne razumete, kako se to zgodi, preberite nekaj o tem, kot je napad človeka v sredini.

Drug način prestrezanja prometa, ki teče iz vašega računalnika na strežnik, je paketno vohanje, ki je pasivna oblika zbiranja podatkov in vam ni treba vzeti bolečin, da bi se postavili na sredino.

Za spletna mesta, ki vodijo prek navadnega HTTP-ja, se osebi, ki prestreže omrežni promet, vaša gesla in številke kreditnih kartic zdijo jasna, navadna besedila.

Vir: comparitech.com

Strašljivo? Zelo!

Ko pa namestite potrdilo SSL in se vsi URL-ji pretvorijo v “https”, se te občutljive informacije prikažejo kot brezhibne, ki jih lahko samo šifrira strežnik. Z drugimi besedami, nikar ne zaužijte teh nekaj dolarjev na leto. ��

Zaključek

Bo teh pet stvari pod nadzorom lepo zaščitilo vaše spletno mesto?

Ne, sploh ne. Kot piše nešteto člankov o varnosti, nikoli niste 100-odstotno varni, vendar je velik del teh težav mogoče odpraviti z razumnim naporom. Morda boste morda želeli uporabiti SUCURI oblak WAF za zaščito svojih spletnih mest.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map