WordPress-asennusten viisi tärkeintä tietoturva-aukkoa

WordPress-asennus voi olla niin turvallinen tai epävarma kuin haluat. Opi, mitkä viisi asiaa ovat tärkeimpiä turvallisuuden kannalta.


WordPress-tietoturvaan liittyvät huolet ja valitukset eivät ole mitään uutta.

Jos tarvitset CMS: ää ja otat yhteyttä palveluntarjoajaan, joka ei kuulu WordPressiin, turvallisuus on numero yksi, josta kuulet. Tarkoittaako tämä sitä, että kaikkien pitäisi pudottaa WordPress ja siirtyä staattisiin sivustogeneraattoreihin tai päättömään CMS: ään?

Ei, koska kuten kaikilla elämän totuuksilla, tälläkin on monia puolia.

Onko WordPress erittäin epävarma?

Katsotaanpa joitain valtavia verkkosivustoja, jotka on rakennettu WordPressille:

  • TechCrunch
  • New Yorker
  • BBC America
  • Bloomberg
  • MTV-uutiset
  • PlayStation-blogi

Joten mikä tekee niistä yrityksistä, joissa on järjetöntä syvää taskua ja mielenkiintoista työvoimaa, siirtymästä WordPressistä? Jos luulet vastauksen olevan vanhaa koodia, mieti uudelleen: näille nimille tietoturva ja julkinen imago ovat äärettömän tärkeitä kuin yksinkertainen muutto, joka maksaa (arvioin) alle 200 000 dollaria.

Varmasti heidän insinöörinsä tietävät tekevänsä eikä näe mitään perustavia, ratkaisemattomia tietoturvaongelmia WordPressin kanssa?

Jopa minulla on onni hallita WordPress-asennusta, joka käy 3,5-4 miljoonaa kävijää kuukaudessa. Turvallisuusrikkomusten kokonaismäärä viimeisen kahdeksan vuoden aikana? Nolla!

Joten . . on WordPress suojattu?

Olen pahoillani, jos se näyttää trollalta, mutta tässä on vastaukseni:

Sanon niin, koska kuten jokainen elämän totuus, se on monimutkainen. Jotta voimme saada laillisen vastauksen, meidän on ensin ymmärrettävä, että WordPress (tai mikä tahansa esivalmistettu CMS) ei ole kuin kaappi, jonka kiinnit pysyvästi jonnekin ja tehdään sen kanssa.

Se on monimutkainen ohjelmisto, jolla on monia riippuvuuksia:

  • PHP, joka on kieli, johon se on rakennettu
  • Julkisesti näkyvä kone, joka isännöi asennusta
  • Vierailijoita käsittelevä verkkopalvelin (Apache, Nginx jne.)
  • Käytettävä tietokanta (MySQL / MariaDB)
  • Teemat (niput PHP-, CS- ja JS-tiedostoja)
  • Plugins (niput PHP-, CS- ja JS-tiedostoja)
  • Ja paljon muuta riippuen siitä, kuinka paljon asennuksellasi on tarkoitus suorittaa

Toisin sanoen minkä tahansa näiden saumojen tietoturvaloukkauksia kutsutaan WordPress-rikkomuksiksi.

Jos palvelimen pääsalasana oli admin123 ja se joutui vaaraa, onko se WordPressin tietoturvavirhe?

Jos PHP-versiossa oli suojausheikkous; tai jos ostomasi ja asentamasi uusi laajennus sisälsi räikeän suoja-aukon; ja niin edelleen. Yhteenvetona: Osajärjestelmä epäonnistuu, ja se on WordPress-tietoturvavirhe.

Älä myöskään anna tämän antaa sinulle vaikutelmaa, että PHP, MySQL ja Apache eivät ole turvallisia. Jokaisessa ohjelmistossa on haavoittuvuuksia, joiden lukumäärä on huikea avoimen lähdekoodin tapauksessa (koska se on kaikkien nähtävissä ja analysoitavissa).

Sanoiko joku “turvallista”? ��

Tietolähteelle ja muille demoralisoiville tilastoille, Tsekkaa tämä.

Kaikesta tästä harjoituksesta opimme seuraavaa:

Mikään ei ole itsessään turvallista tai epävarmaa. Ketjun linkit muodostavat eri käytetyt komponentit, ketju on tietysti yhtä vahva kuin heikoin. Historiallisesti WordPressin ”ei turvallinen” tunniste oli yhdistelmä vanhoja PHP-versioita, jaettua hosting-palvelua ja laajennusten / teemojen lisäämistä epäluotettavista lähteistä.

Samaan aikaan eräät melko yleiset valvontatiedot tekevät WordPress-asennuksesta haavoittuvan niille, jotka osaavat käyttää niitä ja ovat päättäneitä. Ja siitä tämä viesti on kyse. Joten aloittakaamme ilman lisäohjeita (ja ympyräväitteitä).

Suosituimmat WordPress-porsaanreiät, joita hakkerit voivat hyödyntää

WordPress-taulukon etuliite

Kuuluisa 5 minuutin asennus on parasta tapahtua WordPressille, mutta kuten kaikki asennusvelhotkin, se tekee meistä laiskoja ja jättää asiat oletuksena.

Tämä tarkoittaa, että WordPress-taulukoidesi oletusetuliite on wp_, mistä seuraa taulukonimet, jotka kuka tahansa voi arvata:

  • WP-käyttäjille
  • WP-optiot
  • wp-virkaa

Mieti nyt hyökkäystä, joka tunnetaan nimellä SQL Injection, missä haitalliset tietokantakyselyt lisätään taitavasti ja saatetaan ajamaan WordPressin sisällä (huomaa – tämä ei suinkaan ole WordPress / PHP-yksinoikeushyökkäys)..

Vaikka WordPressissä on sisäänrakennetut mekanismit käsittelemään tämäntyyppisiä hyökkäyksiä, kukaan ei voi taata, että sitä ei tapahdu.

Joten jos jotenkin, hyökkääjä onnistuu ajamaan kyselyn, kuten DROP TABLE wp_users; DROP TABLE wp_posts ;, kaikki tilisi, profiilisi ja viestit pyyhitään hetkessä ilman mahdollisuutta palautumiseen (ellei sinulla ole varmuuskopiointijärjestelmää, mutta silloinkin olet menettänyt tiedot viimeisestä varmuuskopiosta lähtien ).

Etuliitteen vaihtaminen asennuksen aikana on iso asia (mikä vie nolla vaivaa).

Jotain satunnaista, kuten sdg21g34_, suositellaan, koska se on roskaa ja vaikea arvata (mitä pidempi etuliite, sitä parempi). Parasta on, että tämän etuliitteen ei tarvitse olla mieleenpainuva; etuliite on jotain, jonka WordPress säästää, ja sinun ei tarvitse koskaan huolehtia siitä enää koskaan (aivan kuten et ole huolissasi oletuslauseesta wp_!).

Oletuskirjautumisen URL-osoite

Mistä tiedät, että verkkosivusto toimii WordPressillä? Yksi ilmaisimerkkeistä on, että näet WordPress-kirjautumissivun, kun lisäät ”/wp-login.php” verkkosivuston osoitteeseen.

Otetaan esimerkiksi verkkosivustoni (http://ankushthakur.com). Onko se WordPressissä? No, jatka ja lisää sisäänkirjautumisosa. Jos tunnet olosi liian laiskaksi, tapahtuu seuraavaa:

¯ \ _ (ツ) _ / ¯

WordPress, oikein?

Kun tämä paljon tiedetään, hyökkääjä voi hieroa kätensä iloisesti ja alkaa levittää ikäviä temppuja Bag-O’-Doomistaan ​​aakkosjärjestyksessä. Voi minua!

Ratkaisu on muuttaa oletuskirjautumis-URL-osoite ja antaa se vain niille ihmisille, joihin luotetaan.

Tämä verkkosivusto on esimerkiksi myös WordPressissä, mutta jos vierailet osoitteessa http://geekflare.com/wp-login.php, saat vain syvän, syvän pettymyksen. Sisäänkirjautumisen URL-osoite on piilotettu, ja se on tiedossa vain järjestelmänvalvojille ?.

Sisäänkirjautumis-URL-osoitteen muuttaminen ei ole myöskään rakettitiede. Tartu vain tähän kytkeä.

Onnittelut, lisäsit juuri uuden tason turhauttavaa turvallisuutta raa’ita voimahyökkäyksiä vastaan.

PHP- ja verkkopalvelinversio

Olemme jo keskustelleet siitä, että jokainen ohjelmisto, joka on koskaan kirjoitettu (ja kirjoitetaan), on täynnä virheitä, jotka odottavat hyväksikäyttöä.

Sama koskee PHP: tä.

Vaikka käytät uusinta PHP-versiota, et voi olla varma, mitä haavoittuvuuksia on olemassa, ja ne voidaan löytää yön yli. Ratkaisu on piilottaa tietty palvelimen lähettämä otsikko (et ole koskaan kuullut otsikoista? Lue Tämä!) kun selain muodostaa yhteyden siihen: x-powered-by.

Tässä näyttää miltä näyttää, jos tarkistat suosikkiselaimesi dev-työkalut:

Kuten täällä näemme, verkkosivusto kertoo meille, että se toimii Apache 2.4: ssä ja käyttää PHP-versiota 5.4.16.

Nyt se on jo paljon tietoa, jota kuljemme ilman syytä, ja autamme hyökkääjää kaventamaan työkaluvalikoimaansa.

Nämä (ja vastaavat) otsikot on piilotettava.

Onneksi se voidaan tehdä nopeasti; valitettavasti tarvitaan hienostunutta teknistä tietämystä, koska joudut sukeltamaan järjestelmän sisäpuolelle ja sekoittamaan tärkeitä tiedostoja. Siksi minun neuvoni on pyytää verkkosivustosi palveluntarjoajaa tekemään tämä puolestasi; jos he eivät näe, saako konsultti saada sen aikaan, tosin tämä riippuu suuresti verkkosivustosi isäntästä, onko heidän asennuksessaan sellaisia ​​mahdollisuuksia vai ei.

Jos se ei toimi, saattaa olla aika vaihtaa isännöintipalveluntarjoajia tai siirtyä VPS: ään ja palkata konsultti turvallisuus- ja hallintoon liittyviin huolenaiheisiin..

Onko se sen arvoista? Vain sinä voit päättää siitä. ��

Voi, ja jos haluat selvittää tietoturvaotsikot, tässä on korjauksesi!

Sisäänkirjautumisyritysten lukumäärä

Yksi hakkerin käsikirjan vanhimmista temppuista on ns Sanakirjahyökkäys.

Ajatuksena on, että yrität naurettavan suuren määrän (jos mahdollista) miljoonia yhdistelmiä salasanalle, ellei yksi niistä onnistu. Koska tietokoneet ovat salamannopeita tekemissään tapauksissa, niin typerä järjestelmä on järkevä ja voi tuottaa tuloksia kohtuulliseen aikaan.

Yksi yleinen (ja erittäin tehokas) puolustus on ollut viiveen lisääminen ennen virheen näyttämistä. Tämä saa vastaanottajan odottamaan, mikä tarkoittaa, että jos kyseessä on hakkerin käyttämä skripti, sen loppuun saattaminen vie liian kauan. Tästä syystä tietokoneesi tai suosikkisovelluksesi pomppii vähän ja sanoo sitten “Hups, väärä salasana!”.

Joka tapauksessa, kohta on, että sinun pitäisi rajoittaa kirjautumisyritysten määrää WordPress-sivustollesi.

Asetetun määrän (esimerkiksi viisi) yritystä lukuun ottamatta tilin pitäisi lukita ja sen pitäisi olla palautettavissa vain tilinomistajan sähköpostin kautta.

Onneksi tämän tekeminen on kakkurata, jos törmäät mukavaan kytkeä.

HTTP vs. HTTPS

SSL-varmenne, josta myyjäsi on huijannut sinua, on tärkeämpää kuin luuletkaan.

Se ei ole vain maineväline, joka näyttää vihreän lukon kuvakkeen selaimessa, jonka otsikko on ”Suojattu”; Pikemminkin, että SSL-varmenteen asentaminen ja kaikkien URL-osoitteiden pakottaminen toimimaan https-sivulla on yksin riittävä, jotta verkkosivustosi voidaan avata avoimesta teoksesta salaiseen vieritykseen..

Jos et ymmärrä miten tämä tapahtuu, lue luvussa ns ihminen keskellä-hyökkäys.

Toinen tapa siepata tietokoneeltasi palvelimelle kulkeva liikenne on paketinhaku, joka on passiivinen tiedonkeruun muoto ja jonka ei tarvitse edes tehdä kipuja asettuakseen keskelle.

Verkkoliikennettä sieppavalla henkilöllä, joka hallitsee tavallista HTTP: tä, salasanasi ja luottokorttinumerosi näyttävät selkeiltä, ​​selkeiltä teksteiltä.

Lähde: vertitech.com

Pelottava? Erittäin!

Mutta kun olet asentanut SSL-varmenteen ja kaikki URL-osoitteet muutetaan “https” -rekisteriksi, tämä arkaluontoinen tieto näkyy ahkeranaisena, että vain palvelin voi salata. Toisin sanoen, älä hikoile niitä muutamia dollareita vuodessa. ��

johtopäätös

Suojaa nämä viisi asiaa hallintaan verkkosivustosi hienosti?

Ei, ei ollenkaan. Kuten lukemattomat tietoturvaartikkelit sanovat, et ole koskaan 100-prosenttisesti turvallinen, mutta on mahdollista poistaa suuri joukko näitä ongelmia kohtuullisella vaivalla. Voit harkita SUCURI cloud WAF: n käyttöä verkkosivustojesi kokonaisvaltaiseen suojaamiseen.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map