Video: Top Black Friday & Cyber Monday WordPress Deals 2020 (Marraskuu 2024)
Sisällönhallintaympäristönä WordPress on erittäin suosittu käyttäjien keskuudessa, koska sitä on niin helppo käyttää. Asia on, että se on suosittu kohde myös rikollisille ja hyökkääjille. Jos sinulla on WordPress-sivusto, sinun on suoritettava joitain perusvaiheita sivustosi suojaamiseksi.
DDoS WordPressin kanssa
Vaikka WordPress-sivustosi on aina huolissaan haittaohjelmien tarjoamisesta sivustosi kävijöille tai uudelleenohjaamiseksi kurjaan sivustoon muualla Webissä, et myöskään halua selvittää, että sivustosi on tottunut käynnistää hyökkäyksiä muita sivustoja vastaan. Aikaisemmin tällä viikolla turvallisuusyritys Sucuri kertoi, että yli 162 000 WordPress-sivustoa oli huijattu osallistumaan jaettuun palvelunestohyökkäykseen toista sivustoa vastaan.
Asia on se, että sivustoja ei kaapattu tai tartunnan saanut bottiverkon muodostamiseksi. Hyökkääjät väärinkäyttivät Pingbacksia, joka on WordPressin täysin laillinen ominaisuus, tulvitaan kohdennetulle sivustolle ei-toivottua liikennettä. Yksi WordPress-sivusto käyttää pingbackia ilmoittamaan muille sivustoille, kun viesti linkittää niihin. Sucurin havaitsemassa hyökkäyksessä hyökkääjä huijasi sivustot lähettämään Pingback-pyynnön samaan kohde-URL-osoitteeseen, mikä oli helppo tehdä, koska Pingback on oletuksena käytössä WordPressissä. Kohdennettua sivustoa pommitettiin yhtäkkiä Pingback-pyynnöillä, jotka käytännössä liittyivät DdoS-hyökkäykseen.
Jos käytät WordPressiä, sinun kannattaa harkita Pingbacksin poistamista käytöstä varmistaaksesi, että sivustoasi ei voida käyttää muiden sivustojen hyökkäämiseen. Ominaisuus ilmoittaa sinulle, kun joku muu puhuu sinusta, mikä on mukava egovahvistin, mutta onko syytä pitää sitä väärin? Sucurilla on ehdotuksia, kuinka estää pingbacks-sivuston.
Vuotava WordPress
Dave Lewis, Akamai Technologies -yhtiön vanhempi tietoturvaedustaja, löysi Googlelta yli 111 000 WordPress-sivustoa, joiden tietokannan varmuuskopiot olivat saatavilla Internetistä. Luettelo sisälsi "kaikenlaisia verkkosivustoja riippumattomilta musiikkisivustoilta lääkäritoimistoihin ja jopa joitain hallituksen verkkosivustoja", Lewis kirjoitti CSO-blogissaan. Kaatopaikka sisälsi yksityiskohtaisia tietoja tietokannasta, jota hyökkääjät voivat käyttää muiden hyökkäysten käynnistämiseen, mutta myös mahdollisia tietojesi vuotoja.
Varmuuskopioita ei tietenkään pitäisi olla saatavilla Internetistä. Jos varmuuskopiot ovat käynnissä paikallisesti samassa palvelimessa, johon WordPress on asennettu, Wordfencen tai Sucurin laajennukset voivat estää luvattoman pääsyn, Lewis sanoi.
Vanhentunut WordPress
Tärkein tehtävä WordPress-järjestelmänvalvojille on pysyä ohjelmistopäivitysten edessä paitsi ydinalustalle, mutta jokaiselle sivustolla käyvälle laajennukselle. Vanhentuneet WordPress-versiot ovat jatkuvasti uhattuna, etenkin laajennukset. "Haittaohjelmat hakkerit etsivät aina tapoja tartuttaa tietokoneen käyttäjiä. Mikä parempi tekniikka voi olla kuin vaarantaa olemassa oleva, laillinen verkkosivusto ja horjuttaa sitä siten, että se tarttuu tietokoneen käyttäjiin sakeasti, kun he käyvät siinä", sanoi tietoturvakonsultti. Graham Cluley.
Hyökkääjät voivat hyödyntää tutkimatonta virheitä suorittaakseen SQL-injektio- tai sivustojenvälisiä komentosarjojen hyökkäyksiä. Virheitä voidaan myös hyödyntää tartuttamalla sivusto haittaohjelmilla. Suurimmaksi osaksi nämä ongelmat johtuvat yleensä plugins-ongelmista, ei ydinohjelmistoalustasta, mikä tekee entistä kriittisemmäksi, että plugins päivitetään säännöllisesti.
On tärkeää huomata ero WordPress.com-sivustossa isännöityjen sivustojen ja muilla palvelimilla toimivien WordPress-sivustojen välillä. WordPressin takana oleva tiimi pitää ohjelmiston ajan tasalla WordPress.com-sivustolla, jotta yksittäisten käyttäjien ei tarvitse. Itse ylläpitämät sivustot vaativat sivuston omistajan pysymään päivityksillä ja päivityksillä varmistaakseen, että ohjelmisto pysyy ajan tasalla.
Jos aiot ajaa WordPressiä, pidä hyökkääjien edessä pitämällä sivustosi säännöllisesti päivitettynä.