Videó: Best Black Friday Deals & Discounts for WordPress Hosting, Themes & Plugins 2020 - UPTO 90% OFF!!! (November 2024)
Tartalomkezelő platformként a WordPress óriási népszerűségnek örvend a felhasználók körében, mert olyan egyszerűen használható. A helyzet az, hogy népszerű célpontja a bűnözőknek és a támadóknak is. Ha van WordPress-webhely, akkor néhány alapvető lépést meg kell tennie a webhely biztonságossá tétele érdekében.
DDoS a WordPress segítségével
Bár mindig aggodalomra ad okot, hogy a WordPress webhelyét feltörheti, hogy rosszindulatú programokat szolgáltasson fel a webhely látogatói számára, vagy átirányítsa őket egy máshol átfogó webhelyre, de azt sem akarja megtudni, hogy webhelyét szokták-e támadásokat indít más webhelyek ellen. A hét elején a Sucuri biztonsági cég arról számolt be, hogy több mint 162 000 WordPress-webhelyet csaltak be egy másik webhely ellen elosztott szolgáltatásmegtagadási támadásban való részvételre.
A helyzet az, hogy a webhelyeket nem tiltották el vagy fertőzték meg, hogy botnet képezzenek. A támadók visszaéltek a Pingbacks-szel, a WordPress tökéletesen legitim funkciójával, hogy nem kívánt forgalom révén elárasztják a megcélzott helyet. A pingback-eket egy WordPress-webhely használja, hogy értesítse más webhelyeket, ha egy hozzászólás kapcsolódik hozzájuk. A Sucuri által megfigyelt támadás során a támadó becsapta a webhelyeket Pingback kérés küldésére ugyanarra a cél URL-re, amit könnyű megtenni, mivel a Pingback alapértelmezés szerint engedélyezve van a WordPress-ben. A célpontot hirtelen bombázták Pingback kérésekkel, amelyek lényegében DdoS támadáshoz kapcsolódtak.
A WordPress futtatásakor fontolja meg a Pingbacks kikapcsolását, hogy megbizonyosodjon arról, hogy webhelye nem használható-e más webhelyek támadására. Ez a szolgáltatás értesíti Önt, ha valaki más rólad beszél, ami jó ego-erősítő, de érdemes megőrizni? Sucuri javaslatokat tartalmaz a pingbacks blokkolására a webhelyén.
Szivárgó WordPress
Dave Lewis, az Akamai Technologies vezető biztonsági ügyvédje a Google segítségével több mint 111 000 WordPress-webhelyet talált, amelyek adatbázis-biztonsági mentései elérhetők az internetről. A lista "mindenféle webhelyet tartalmazott, független zenei oldalaktól az orvosi rendelőkig, sőt néhány kormányzati weboldalig" - írta Lewis CSO blogjában. A dump részletes információkat tartalmazott az adatbázisról, amelyet a támadók felhasználhattak más támadások indításához, de az adatok esetleges szivárgását is.
A biztonsági mentések nyilvánvalóan nem érhetők el az internetről. Ha a biztonsági mentések helyileg futnak ugyanazon a kiszolgálón, amelyre a WordPress telepítve van, akkor a Wordfence vagy a Sucuri beépülő moduljai blokkolhatják az illetéktelen hozzáférést - mondta Lewis.
Elavult WordPress
A WordPress rendszergazdák számára a legfontosabb feladat az, hogy ne csak a központi platformon, hanem a webhelyen futó minden egyes bővítménynél is mindig a szoftverfrissítések tetején maradjanak. A WordPress elavult verzióit, különösen a pluginokat, folyamatosan támadás alatt állnak. "A rosszindulatú hackerek mindig arra törekszenek, hogy megfertőzzék a számítógép-használókat, és mi lehet jobb technika, mint hogy veszélyeztessék egy meglévő, legitim weboldalt, és oly módon borítsák le, hogy az alaposan megfertőzze a számítógép-használókat, amikor meglátogatják azt." - mondta a biztonsági tanácsadó Graham Cluley.
A támadók kihasználatlan hibákat használhatnak fel SQL injektáláshoz vagy webhelyek közötti parancsfájlok támadásához. A hibákat ki lehet használni a webhely rosszindulatú programokkal való megfertőzéséhez. Ezek a kérdések általában a beépülő modulokkal kapcsolatos problémák, nem pedig az alapvető szoftverplatform következményei, ami még fontosabbá teszi a beépülő modulok rendszeres frissítését.
Fontos megjegyezni a különbséget a WordPress.com webhelyen tárolt webhelyek és a más szerveren futó WordPress webhelyek között. A WordPress mögötti csapat naprakészen tartja a szoftvert a WordPress.com webhelyen, így az egyes felhasználóknak nem kell. Az önmaga által üzemeltetett webhelyek megkövetelik, hogy a webhelytulajdonos maradjon a javítások és frissítések tetején, hogy megbizonyosodjon arról, hogy a szoftver naprakész marad-e.
Ha a WordPress programot futtatja, akkor tartsa fenn a támadók előtt az oldal rendszeres frissítésével.
