Будинки Securitywatch Тримайте зловмисників подалі від сайту Wordpress

Тримайте зловмисників подалі від сайту Wordpress

Відео: Yoast SEO Tutorial | For Beginners (Set Up With WordPress in 20 Minutes!) (Листопад 2024)

Відео: Yoast SEO Tutorial | For Beginners (Set Up With WordPress in 20 Minutes!) (Листопад 2024)
Anonim

Як платформа управління вмістом, WordPress користується величезною популярністю серед користувачів, тому що він такий простий у використанні. Річ у тому, що це також популярна мішень для злочинців та нападників. Якщо у вас є сайт WordPress, вам потрібно зробити кілька основних кроків для захисту свого сайту.

DDoS з WordPress

Хоча завжди існує стурбованість тим, що ваш веб-сайт WordPress може бути зламаний, щоб подавати зловмисне програмне забезпечення відвідувачам вашого сайту або перенаправляти їх на невдалий сайт в іншому місці в Інтернеті, ви також не хочете дізнатися, що ваш сайт використовується для запускати атаки на інші сайти. На початку цього тижня охоронна фірма Sucuri повідомила, що понад 162 000 WordPress сайтів підманули взяти участь у розповсюдженій атаці відмови у наданні послуг на інший сайт.

Вся справа в тому, що сайти не були викрадені або заражені, щоб утворити ботнет. Зловмисники зловживали Pingbacks, цілком законною функцією WordPress, щоб затопити цільовий сайт небажаним трафіком. Пінгбеки використовуються одним веб-сайтом WordPress для сповіщення інших сайтів, коли публікація пов’язана з ними. В атаці, яку спостерігав Сукурі, зловмисник обманював сайти, надсилаючи запит Pingback на ту саму цільову URL-адресу, що було легко зробити, оскільки Pingback за умовчанням у WordPress увімкнено. Націлений сайт був раптово обстріляний запитами Pingback, які по суті були підключеними до DdoS-атаки.

Якщо ви працюєте з WordPress, вам слід розглянути можливість вимкнення Pingbacks, щоб переконатися, що ваш сайт не може використовуватися для атаки на інші сайти. Ця функція сповіщає вас, коли хтось інший говорить про вас, що є приємним підсилювачем его, але чи варто тримати його навколо, щоб зловживати? Sucuri пропонує пропозиції, як блокувати пінгбеки на своєму сайті.

Leaky WordPress

Дейв Льюїс, старший захисник компанії Akamai Technologies, використовував Google для пошуку понад 111 000 сайтів WordPress, резервні копії баз даних яких були доступні з Інтернету. Список включав "всілякі веб-сайти від незалежних музичних сайтів до лікарських кабінетів і навіть деякі урядові веб-сайти", пише Льюїс у своєму блозі CSO. Дамп містив детальну інформацію про базу даних, яку зловмисники могли використовувати для запуску інших атак, але й потенційну витік ваших даних.

Очевидно, резервні копії не повинні бути доступні з Інтернету. Якщо резервні копії працюють локально на одному сервері, на якому встановлено WordPress, то плагіни Wordfence або Sucuri можуть блокувати несанкціонований доступ, сказав Льюїс.

Застарілий WordPress

Найважливіше завдання для адміністраторів WordPress - залишатися в курсі оновлень програмного забезпечення не тільки для основної платформи, але і для кожного з плагінів, що працюють на сайті. Застарілі версії WordPress постійно атакуються, особливо плагіни. "Зловмисні хакери завжди шукають шляхи зараження користувачів комп'ютерів. Що може бути кращою технікою, ніж компрометувати існуючий, законний веб-сайт і підривати його таким чином, що він підступно заражає користувачів комп'ютерів, коли вони відвідують його", - сказав консультант з питань безпеки Грем Клулі.

Зловмисники можуть використовувати невиправлені недоліки для виконання ін'єкцій SQL або атак міжсайтового сценарію. Недоліки також можуть бути використані для зараження сайту шкідливим програмним забезпеченням. Здебільшого ці проблеми, як правило, є наслідком проблем із плагінами, а не основною програмною платформою, що робить ще більш критичним те, що плагіни регулярно оновлюються.

Важливо відзначити різницю між веб-сайтами, розміщеними на WordPress.com, та WordPress-сайтами, які працюють на інших серверах. Команда, що стоїть за WordPress, постійно оновлює програмне забезпечення на WordPress.com, тому окремим користувачам цього не потрібно. Сайти, що розміщуються на власних веб-сайтах, вимагають від власника веб-сайту залишатися на вершині виправлень та оновлень, щоб переконатися, що програмне забезпечення залишається актуальним.

Якщо ви збираєтеся запускати WordPress, слідкуйте за атакуючими, регулярно оновлюючи ваш сайт.

Тримайте зловмисників подалі від сайту Wordpress