Top 5 bezpečnostných medzier v inštaláciách WordPress

Inštalácia WordPress môže byť tak bezpečná alebo neistá, ako chcete. Dozviete sa, ktoré päť vecí je z hľadiska bezpečnosti najdôležitejšie.


Obavy a sťažnosti týkajúce sa zabezpečenia WordPress nie sú ničím novým.

Ak potrebujete CMS a narazíte na konzultáciu s poskytovateľom služieb, ktorý nie je súčasťou WordPress, bezpečnosť je číslo jedna, o ktorej budete počuť. Znamená to, že každý by mal upustiť od WordPress a prejsť na statické generátory stránok alebo na bezhlavý CMS?

Nie, pretože rovnako ako každá pravda v živote, aj táto má mnoho strán.

Je WordPress veľmi neistý?

Pozrime sa na niektoré obrovské webové stránky, ktoré boli postavené na WordPress:

  • TechCrunch
  • New Yorker
  • BBC America
  • Bloomberg
  • MTV News
  • Blog PlayStation

Čím teda tieto spoločnosti – s absurdne hlbokými vreckami a neuveriteľnou pracovnou silou – neprechádzajú z WordPress? Ak si myslíte, že odpoveďou je starý kód, zamyslite sa znova: pre tieto mená je bezpečnosť údajov a obraz verejnosti nekonečne dôležitejšie ako jednoduchá migrácia, ktorá bude stáť (odhadujem) menej ako 200 000 dolárov.

Ich inžinieri určite vedia, čo robia, a nevidia žiadne zásadné, neriešiteľné bezpečnostné problémy s WordPress?

Aj ja mám to šťastie, že spravujem inštaláciu programu WordPress, ktorá mesačne navštívi 3,5 až 4 milióny návštevníkov. Celkový počet porušení bezpečnosti za posledných osem rokov? nula!

Takže. , , je WordPress bezpečný?

Je mi ľúto, ak to vyzerá ako trolling, ale je tu moja odpoveď:

Hovorím to preto, lebo je, ako každá pravda v živote, komplikovaná. Aby sme dospeli k legitímnej odpovedi, musíme si najprv uvedomiť, že WordPress (alebo v tomto prípade nejaký preddefinovaný CMS) nie je ako skrinka, ktorú si niekde nalepíte natrvalo a ktorú s tým urobíte..

Je to zložitý softvér s mnohými závislosťami:

  • PHP, čo je jazyk, s ktorým je postavený
  • Verejne viditeľný stroj, ktorý je hostiteľom inštalácie
  • Webový server používaný na spracúvanie návštevníkov (Apache, Nginx atď.)
  • Použitá databáza (MySQL / MariaDB)
  • Témy (zväzky súborov PHP, CS a JS)
  • Doplnky (zväzky súborov PHP, CS a JS)
  • A mnoho ďalších, v závislosti od toho, do akej miery sa vaša inštalácia snaží dosiahnuť

Inými slovami, porušenie bezpečnosti v ktoromkoľvek z týchto spojov sa bude označovať ako porušenie WordPress.

Ak bolo rootovacie heslo servera admin123 a bolo napadnuté, je to chyba zabezpečenia WordPress?

Ak mala verzia PHP chybu zabezpečenia; alebo ak nový doplnok, ktorý ste si zakúpili a nainštalovali, obsahoval do očí bijúcu bezpečnostnú dieru; a tak ďalej. Zhrnutie: Subsystém zlyhá a ide o zlyhanie zabezpečenia WordPress.

Okrem toho vás tiež nenechajte dojem, že PHP, MySQL a Apache nie sú zabezpečené. Každý softvér má slabé miesta, ktorých počet je ohromujúci v prípade open source (pretože je k dispozícii pre všetkých, aby ich mohli vidieť a analyzovať).

Povedal niekto „bezpečné“? ��

Za zdroj týchto údajov a ďalších demoralizačných štatistík, pozri na toto.

Zo všetkého tohto cvičenia sa poučíme:

Nič nie je bezpečné alebo nezabezpečené samo o sebe. Sú to rôzne použité komponenty, ktoré tvoria články v reťazci, reťaz je samozrejme rovnako silná ako ich najslabšia. Historicky bola „nezabezpečená“ značka WordPress kombináciou starých verzií PHP, zdieľaného hostingu a pridávania doplnkov / tém z nedôveryhodných zdrojov..

Súčasne niektoré veľmi bežné prehliadky spôsobia, že vaša inštalácia WordPress je zraniteľná voči tým, ktorí ich vedia využívať a sú odhodlaní. A o tom je tento príspevok. Takže bez ďalších okolkov (a kruhových argumentov) začnime.

Najlepšie medzery WordPress, ktoré môžu hackeri využiť

Predpona tabuľky WordPress

Slávna päťminútová inštalácia je pre WordPress najlepšou vecou, ​​ale rovnako ako všetci sprievodcovia inštaláciou nás robí lenivými a ponecháva veci v predvolenom nastavení..

To znamená, že predvolená predpona pre vaše tabuľky WordPress je wp_, čo vedie k názvom tabuliek, ktoré môže ktokoľvek uhádnuť:

  • WP-užívateľov
  • WP-voľby
  • WP-stĺpiky

Teraz zvážte útok známy ako SQL Injection, kde sa škodlivé databázové dotazy inteligentne vkladajú a spúšťajú vo vnútri WordPress (upozorňujeme – v žiadnom prípade to nie je útok typu WordPress / PHP)..

Aj keď WordPress má zabudované mechanizmy na zvládnutie týchto typov útokov, nikto nemôže zaručiť, že sa tak nestane.

Ak teda nejakým spôsobom útočník dokáže spustiť dotaz, napríklad DROP TABLE wp_users; DROP TABLE wp_posts ;, všetky vaše účty, profily a príspevky budú vymazané v okamihu bez možnosti obnovenia (pokiaľ nemáte zavedenú schému zálohovania, ale aj tak budete musieť stratiť údaje od poslednej zálohy) ).

Jednoduchá zmena predpony počas inštalácie je veľká vec nulové úsilie).

Odporúča sa niečo náhodné ako sdg21g34_, pretože je nezmysel a je ťažké uhádnuť (čím dlhšia je predpona, tým lepšie). Najlepšie na tom je, že táto predpona nemusí byť zapamätateľná; predpona je niečo, čo WordPress uloží a vy sa už nikdy nebudete musieť starať (rovnako ako sa nemusíte starať o predvolenú predponu wp_!).

Predvolená prihlasovacia adresa URL

Ako viete, že na WordPress je spustená webová stránka? Jedným z oznamovacích znakov je, že po pridaní adresy „/wp-login.php“ na adresu webovej stránky sa zobrazí prihlasovacia stránka programu WordPress..

Zoberme si napríklad môj web (http://ankushthakur.com). Je to na WordPress? Pokračujte a pridajte prihlasovaciu časť. Ak sa cítite príliš leniví, stane sa toto:

¯ \ _ (ツ) _ / ¯

WordPress, správne?

Akonáhle je toho veľa známe, útočník si môže trieť ruky v radosti a začať používať škaredé triky zo svojho Bag-O´-Doom na abecednom základe. Chudák ja!

Riešením je zmeniť predvolenú prihlasovaciu adresu URL a poskytnúť ju iba tým dôveryhodným ľuďom.

Napríklad, tento web je tiež na WordPress, ale ak navštívite http://geekflare.com/wp-login.php, všetko, čo získate, je hlboké a hlboké sklamanie. Prihlasovacia adresa URL je skrytá a je známa iba správcom ?.

Zmena prihlasovacej adresy URL nie je ani raketovou vedou. Len to zober zapojiť.

blahoželanie, práve ste pridali ďalšiu vrstvu frustrujúceho zabezpečenia proti útokom hrubou silou.

Verzia PHP a webového servera

Už sme diskutovali o tom, že každý softvér, ktorý bol kedy napísaný (a ktorý sa práve píše), je plný chýb čakajúcich na využitie.

To isté platí pre PHP.

Aj keď používate najnovšiu verziu PHP, nemôžete si byť istí, aké zraniteľné miesta existujú a mohli by sa objaviť cez noc. Riešením je skryť konkrétnu hlavičku odoslanú webovým serverom (nikdy nepočula hlavičky? Prečítané toto!), keď sa k nemu pripojí prehliadač: x-powered-by.

Ako to vyzerá, keď skontrolujete dev nástroje svojho obľúbeného prehliadača:

Ako vidíme tu, web nám hovorí, že beží na Apache 2.4 a používa PHP verziu 5.4.16.

Teraz už je to veľa informácií, o ktorých chodíme bez udania dôvodu, čo útočníkovi pomáha zúžiť výber nástrojov.

Tieto (a podobné) hlavičky musia byť skryté.

Našťastie sa to dá urobiť rýchlo; Bohužiaľ, sú potrebné sofistikované technické znalosti, pretože sa budete musieť ponoriť do vnútorností systému a pokaziť si dôležité súbory. Preto vám odporúčam požiadať svojho poskytovateľa hostingu webových stránok, aby to urobil za vás; ak nevidia, či to konzultant dokáže, aj keď to bude do veľkej miery závisieť od hostiteľa vášho webu, či jeho nastavenie má alebo nemá také možnosti.

Ak to nefunguje, môže nastať čas zmeniť poskytovateľov hostingu alebo sa presťahovať na VPS a najať si konzultanta pre otázky týkajúce sa bezpečnosti a správy.

Stojí to za to? Iba vy sa môžete rozhodnúť. ��

Jo, a ak chcete hlúpy záhlavie zabezpečenia, tu je vaša oprava!

Počet pokusov o prihlásenie

Jedným z najstarších trikov v hackerovej príručke sú tzv Slovník Attack.

Ide o to, že vyskúšate smiešne veľké množstvo kombinácií (pokiaľ je to možné milióny), pokiaľ jedna z nich nebude úspešná. Pretože počítače sú bleskovo rýchle, čo robia, taká hlúpa schéma je rozumná a môže priniesť výsledky v primeranom čase..

Jednou z bežných (a mimoriadne efektívnych) obran je pridanie oneskorenia pred zobrazením chyby. To znamená, že príjemca čaká, čo znamená, že ak ide o skript používaný hackerom, jeho dokončenie bude trvať príliš dlho. To je dôvod, prečo váš počítač alebo obľúbená aplikácia trochu poskakuje a potom hovorí: „Hops, nesprávne heslo!“.

Ide o to, že by ste mali obmedziť počet pokusov o prihlásenie na svoju stránku WordPress.

Okrem stanoveného počtu pokusov (povedzme päť) by sa mal účet uzamknúť a mal by byť obnoviteľný iba prostredníctvom e-mailu majiteľa účtu..

Našťastie, ako to urobiť, je cesta, ak narazíte na pekné zapojiť.

HTTP vs. HTTPS

Certifikát SSL, na ktorý vás váš predajca trápi, je dôležitejší, než si myslíte.

Nie je to iba nástroj na zobrazenie reputácie, ktorý v prehliadači zobrazuje zelenú ikonu zámku označenú ako „Zabezpečené“; Namiesto toho je inštalácia certifikátu SSL a nútenie všetkých adries URL, aby fungovali na „https“, postačujúce na to, aby sa váš web stal otvorenou knihou v kryptickom posune..

Ak nechápete, ako sa to deje, prečítajte si prosím niečo známe ako útok typu človek v strede.

Ďalším spôsobom, ako zachytiť premávku tečúcu z vášho počítača na server, je šnupanie paketov, čo je pasívna forma zhromažďovania údajov a nepotrebuje ani bolesti, aby sa umiestnil v strede..

Na webových stránkach prevádzkovaných prostredníctvom obyčajného protokolu HTTP sa osoba, ktorá zachytáva sieťovú komunikáciu, zobrazuje vaše heslá a čísla kreditných kariet zreteľne a jednoducho..

Zdroj: Comparitech.com

Scary? veľmi!

Keď však nainštalujete certifikát SSL a všetky adresy URL sa skonvertujú na „https“, tieto citlivé informácie sa ukážu ako blbosť, ktorú môže dešifrovať iba server. Inými slovami, nepotite tých pár dolárov ročne. ��

záver

Zabezpečí vaše stránky pekne zabezpečenie týchto piatich vecí?

Nie, vôbec nie. Ako hovorí nespočetné množstvo článkov o bezpečnosti, nikdy nie ste na 100% istí, ale veľkú skupinu týchto problémov je možné odstrániť primeraným úsilím. Môžete zvážiť použitie cloudu SUCURI cloud WAF na holistickú ochranu svojich stránok.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map