Acțiune:
De ce actualizați blogul dvs. vulnerabilități WordPress pe care ar trebui să fiți conștient
Am multe lucruri minunate de spus despre WordPress. Este o bucată de software de open source la nivel internațional, care permite oricui să-și deschidă propriul blog sau site-ul. Este suficient de puternică pentru a fi extensibilă de coderi condimentați, dar destul de simplu încât oamenii analfabeți din tehnologie pot beneficia în continuare de aceasta. Avem chiar un mini-ghid pentru a porni site-ul dvs. WordPress propriu Primii pași esențiali atunci când începe un blog Wordpress 10 esențiali primii pași atunci când începe un blog Wordpress După ce a creat destul de câteva blog-uri, mi-ar plăcea să cred că am un sistem bun pentru acei primii pași esențiali și sper că poate fi de folos și pentru dvs. Urmând ... Citiți mai multe .
Cu toate acestea, ca și în cazul tuturor software-urilor legate de Internet, vor exista întotdeauna găuri de securitate care necesită patch-uri. Chiar și atunci când găurile din trecut sunt fixate, noi caracteristici vor introduce în mod inevitabil găuri noi, iar apoi aceste găuri trebuie să fie fixate. Este un proces care nu se termină niciodată, motiv pentru care este atât de important pentru tine actualizați în mod regulat WordPress-ul dvs..
Actualizarea WordPress este cel mai bun mod de a patch-uri cele mai recente vulnerabilități de securitate WordPress. Ce fel de vulnerabilități de securitate? Iată o prezentare generală a celor mai obișnuite pe care le veți întâlni.
1. Contul de administrare implicit
Când instalați pentru prima oară WordPress, se va apela contul de administrator de bază “admin” cu o parolă la fel de simplă. Păstrarea acreditărilor de securitate la setările lor implicite poate fi o vulnerabilitate mare, deoarece hackerii și crackerii vor ști ce sunt setările implicite și, astfel, le vor exploata cu ușurință.
De fapt, aceasta nu este o problemă unică pentru WordPress. Orice vine cu acreditările de acces implicite la nivel de produs 3 Parolele implicite trebuie să se schimbe și de ce 3 parole implicite trebuie să le schimbați și de ce parolele sunt incomode, dar necesare. Mulți oameni tind să evite parolele ori de câte ori este posibil și sunt fericiți să utilizeze setările implicite sau aceeași parolă pentru toate conturile lor. Acest comportament poate face datele dvs. și ... Citește mai mult (cum ar fi autentificările routerului sau codurile de deblocare a telefonului) va avea în mod inerent această vulnerabilitate WordPress. Dar, în timp ce routerele și telefoanele necesită, de obicei, prezența fizică pentru neplăceri, oricine poate să vă hrănească site-ul WordPress atâta timp cât are adresa URL.
Deci, ce puteți face? Cea mai ușoară soluție este să creați un nou cont de administrator pe site-ul dvs. WordPress și să ștergeți implicit “admin” cont. Acest lucru nu lasă nicio previzibilitate în ceea ce privește accesul administratorului.
2. Prefixele prestabilite ale bazei de date
Când WordPress este instalat pentru prima dată, tabelele bazei de date sunt denumite cu un prefix prestabilit wp_. Acest lucru se face astfel încât toate tabelele să rămână organizate în baza dvs. de date în cazul în care lucrați cu alte pachete software din aceeași bază de date. wp_ înseamnă că aceste tabele specifice sunt legate de WordPress.
Dar, aici este captura - dacă un hacker încearcă să se descurce cu site-ul dvs. WordPress, atunci acest bit de predictibilitate îl face automat cu un pas mai aproape de a manipula tabelele dvs. de baze de date. Prin cunoașterea numelor tabelelor bazei dvs. de date, un hacker poate să-l folosească manual până când va avea acces.
Gândește-te în felul acesta. Să presupunem că un hoț vrea să fure ceva de la casa ta, dar casa ta este echipată cu uși speciale care au gauri de cheie ascunse până când apelezi la dreapta “Nume” pentru acea ușă. Dacă hoțul știe că numele ușii tale e “nisipos”, atunci tot ce trebuie să facă este să alegi blocarea, dar dacă hoțul nu știe numele ușii tale, trebuie să-i dai seama mai întâi cumva înainte ca el să poată începe să-l aleagă.
Deci, ce puteți face? Simplu. WordPress vă permite să instalați utilizând un prefix de tabel diferit de prefixul implicit.
3. Fișiere și directoare accesibile
Cu orice site web, numărul de fișiere pe care doriți să le accesați de la utilizatori este cu mult mai mic decât numărul de fișiere care sunt necesare pentru alimentarea acelui site web. Este posibil să aveți o mulțime de fișiere de funcții, fișiere de clasă, fișiere șablon, fișiere de configurare și multe altele - nici una dintre ele nu ar trebui să fie disponibilă publicului. Același lucru este valabil și pentru directoare.
Folosind CHMOD, puteți seta permisiuni pe diverse fișiere și directoare pentru a împiedica accesul nedorit al utilizatorilor la materiale sensibile. Dacă un utilizator avea acces la fișierul dvs. de configurare, de exemplu, el ar putea să manipuleze setările WordPress și să vă spargă site-ul web. WordPress este vulnerabil atunci când fișierele și directoarele site-ului dvs. nu sunt protejate în spatele setărilor de permisiune corespunzătoare.
Deci, ce puteți face? De fapt, am avut de-a face cu această problemă recent, iar soluția nu este prea dificilă. Asigurați-vă că instalarea WordPress este în conformitate cu schema de permisiuni WordPress.
4. Injecții SQL și deturnare
Injecțiile SQL nu sunt unice pentru WordPress; de fapt, ele sunt una dintre formele cele mai comune (și distructive) de atacuri de servere web din lume. Nu sunteți familiarizați cu termenul? Dă-mi introducerea la articol cu injecții SQL Ce este o injecție SQL? [Explicarea MakeUseOf] Ce este o injecție SQL? [MakeUseOf explică] Lumea securității pe Internet este afectată de porturi deschise, backdoors, găuri de securitate, troieni, viermi, vulnerabilități ale firewall-ului și o serie de alte probleme care ne țin pe fiecare în fiecare zi. Pentru utilizatorii privați, ... Citește mai mult o privire rapidă pentru a vă da o înțelegere de bază a problemei.
In esenta, WordPress a avut cateva gauri de securitate SQL injectabile in codul lor de-a lungul anilor. Unele au fost patch-uri în timp ce altele rămân neacoperite sau nedetectate. Dacă un hacker obține acces la unul dintre aceste găuri, el poate injecta un cod malware SQL în baza dvs. de date, care poate fi folosit pentru a fura date sau doar pentru a le șterge cu totul.
Deci, ce puteți face? Ei bine, aici este captura - dacă nu sunteți suficient de bine echipat pentru a ști cum să învingă injecțiile SQL, atunci probabil că nu aveți know-how-ul tehnic pentru a construi o protecție în primul rând. Puteți căuta, probabil, în jur de plug-in-uri WordPress care ar putea adresa găuri potențiale de injecție, dar majoritatea utilizatorilor va trebui pur și simplu să aștepte următorul patch de securitate WordPress.
Plugin-uri recomandate
- WP Security Scan - acest plugin va scana configurarea site-ului dvs. și va căuta vulnerabilități de securitate potențiale. Acesta acoperă tot felul de zone de la permisiuni de fișiere la gauri de bază de date la gestionarea parolei și multe altele.
- WordPress File Monitor Plus - în cazul în care cineva a obținut acces la structura de fișiere a site-ului dvs., acest plugin vă va informa. Monitorizează în mod regulat fișierele și directoarele sistemului dvs. și notează orice discrepanțe.
- WordPress Firewall 2 - acest plugin instalează un perete metaforic în jurul site-ului dvs., scanând toate datele introduse și traficul pentru intenții rău intenționate. Este destul de bun la prevenirea atacurilor precum injecțiile SQL și alte atacuri de baze de date.
- Wordfence - Wordfence este ceva de tip plugin complet de securitate, care include protecție de atac rău intenționat, scanare anti-virus, firewall și multe altele. Cu siguranță merită o încercare.
Concluzie
În timp ce WordPress poate fi atât open source, cât și popular, acest lucru nu înseamnă că nu este lipsit de defectele sale. Vulnerabilitățile WordPress apar din când în când și când unul este fix, altul este de obicei chiar la colț. Cu o monitorizare atentă și pași preventivi, puteți reduce riscul pe care îl întâmpină site-ul dvs. WordPress.