W artykule:
- Gdzie są najsłabsze miejsca w Twojej witrynie WordPress?
- Czego hakerzy chcą od Twojej witryny WordPress?
- 1. Wstrzykiwanie Złośliwych Treści
- 2. Rozprzestrzenianie Wirusów
- 3. Kradzież Danych Osobowych Odwiedzających
- 4. Kradzież prywatnych informacji firmy
- 5. Hostuj strony phishingowe na swoim serwerze
- 6. Hostuj legalne strony z serwera
- 7. Przeciążenie Serwera Www
- 8. Ukradnij Przepustowość Serwera
- 9. Wandalizuj Swoją Stronę
- Wrapping Up
Gdy odkrywamy lepsze sposoby zabezpieczania stron internetowych WordPress, łatwo jest czuć się nieco bardziej zrelaksowanym o całej sprawie … która jest zarówno dobra, jak i zła. To dobrze, ponieważ oznacza to, że ufamy narzędziom i usługom, w które zainwestowaliśmy, aby wzmocnić bezpieczeństwo w WordPress. Jest to jednak złe, gdy błędnie mylimy zaostrzenie bezpieczeństwa z mentalnością “ustaw-to-i-zapomnij-to”.
Mówiąc wprost: hakerzy chcą włamać się do twojej witryny WordPress. To fakt. Jeśli uważasz, że Twoja witryna jest zbyt mała lub nowa, aby przyciągnąć uwagę hakerów, pomyśl jeszcze raz. W każdej minucie każdego dnia dochodzi do dziesiątek tysięcy ataków bezpieczeństwa, a hakerzy nie wykazują żadnych uprzedzeń, jeśli chodzi o rozmiar witryny lub firmy, którą atakują.
Słabe strony obfitują w WordPress niestety i hakerzy są świadomi tego, czym są. Jeśli chcesz stworzyć dobrą obronę wokół swojej witryny WordPress, musisz myśleć jak haker. Określ, jakie są najsłabsze punkty witryny i zastanów się, w jaki sposób mogą je wykorzystać. Tylko wtedy będziesz w stanie prawidłowo odeprzeć ataki.
Gdzie są najsłabsze miejsca w Twojej witrynie WordPress?
Może najstraszniejsza rzecz w tym wszystkim? Wiele razy hakerzy nie szukają Twojej witryny w Internecie (zwłaszcza jeśli jest zupełnie nowa lub mniejsza). Wielu hakerów automatyzuje proces wykrywania luk za pomocą botów. Te boty wykrywają wejście i hakerzy wskakują do środka. Tak naprawdę każda witryna WordPress może stać się ofiarą.
Aby utrzymać hakerów i ich boty na dystans, ważne jest, aby zapoznać się z najczęstszymi słabymi punktami w WordPress.
Hasła
Każde miejsce na zapleczu lub frontendzie witryny WordPress, które wymaga loginu i hasła, jest głównym obszarem do kierowania.
Obejmuje to główny obszar logowania WordPress:
Tablice komentarzy:
konta e-Commerce lub bramki płatności:
Hakerzy wiedzą, że użytkownicy nie zawsze są skłonni do tworzenia unikalnego i silnego hasła dla każdego konta, które mają online (co jest sprzeczne z podstawami bezpieczeństwa haseł 101). Dlatego będzie to jeden z ich pierwszych celów w Twojej witrynie WordPress.
Komentarze
Komentarze nie są tylko obowiązkiem bezpieczeństwa ze względu na element logowania (jeśli w ogóle istnieje). Komentarze mogą być również problematyczne z powodu spamu, dlatego niektórzy ludzie decydują się całkowicie wyłączyć komentarze w WordPress.
Oto przykład z tablicy komentarzy klientów z piekła:
Ten link może nie prowadzić do niczego złośliwego, ale na pewno nie należy do tego komentarza o złych klientach.
Formularz Kontaktowy
Formularze kontaktowe, formularze subskrypcji, formularze płatności–każda część witryny, która prosi użytkowników o podanie swoich danych, jest oczywistym miejscem, do którego hakerzy mogą dotrzeć.
Oczywiście istnieje oczywiste włamanie za kulisami, a następnie chwycić wrażliwe dane wprowadzone do tych pól podejście. Istnieje również sposób, w jaki hakerzy mogą kraść dane, monitorując naciśnięcia klawiszy użytkowników–poprzez włamanie do klawiatur bezprzewodowych lub za pomocą złośliwego oprogramowania zainstalowanego na ich komputerze.
Baza Danych WordPress
Chociaż to wspaniałe, że WordPress uprościł nazewnictwo plików i struktur baz danych we wszystkich witrynach, jest to również poważny problem, ponieważ każdy z nas (w tym hakerzy) wie, że prefiks “wp-” służy do oznaczania prawie wszystkiego. Oznacza to, że Twoja baza danych WordPress jest w pełni narażona i podatna na atak, jeśli to się nie zmieni.
WordPress Core
Czy wiesz, że ponad 73% poprzednich instalacji WordPress zna luki w nich?
Chociaż rdzeń WordPress nie jest twoim obowiązkiem zarządzania, z pewnością Twoim obowiązkiem jest dopilnowanie, aby wszelkie aktualizacje WordPress były natychmiast przetwarzane. Tak sumienny, jak zespół ds. bezpieczeństwa WordPress polega na aktualizowaniu rdzenia, ważne jest, aby Programiści WordPress robili to samo po swojej stronie, aby nie wprowadzać tych niepewności do swoich witryn.
Wtyczki WordPress
Jeszcze bardziej podatne na naruszenia bezpieczeństwa niż rdzeń WordPress są wtyczki. W rzeczywistości wtyczki WordPress stanowią ponad 50% wszystkich ataków bezpieczeństwa na witryny WordPress.
Oczywiście nie powinno to sprawić, że będziesz uważać na korzystanie z wtyczek WordPress; są one istotną częścią pracy, którą wykonujesz w budowaniu interaktywnych i angażujących stron internetowych dla naszych odbiorców. Oznacza to jednak, że musisz zwracać szczególną uwagę na to, co dzieje się z bieżącym zestawem wtyczek, a także mieć oczy i uszy otwarte podczas przeglądania nowych wtyczek dla Twojej witryny.
Zasadniczo istnieją dwa sposoby, w jakie wtyczki WordPress mogą tworzyć lepkie sytuacje dla Ciebie:
- Gdy są aktualizowane przez dewelopera, ale nie dokonujesz aktualizacji w swojej witrynie (lub robisz to w odpowiednim czasie).
- Kiedy nieświadomie dodasz fałszywą wtyczkę WordPress do swojej witryny.
Pamiętaj więc, aby zwrócić na nie szczególną uwagę.
WordPress Themes
To samo dotyczy motywów WordPress, chociaż nie powinieneś się martwić o używanie fałszywego. Dzięki nim jest to po prostu kwestia wydawania aktualizacji od dewelopera w odpowiednim czasie.
Serwer Hosting Www
Niestety, nie wszystkie firmy hostingowe są równe, co często może wpływać na poziom i jakość bezpieczeństwa serwera, który otrzymujesz. Oczywiście, przy wyborze planu hostingowego powinieneś zwracać uwagę na następujące kwestie:
- Zapora i szyfrowanie po stronie serwera
- Serwery WWW Nginx lub Apache
- Oprogramowanie antywirusowe i anty-malware
- Systemy bezpieczeństwa na miejscu
- Dostępność certyfikatów SSL i CDN
Istnieje również ryzyko zanieczyszczenia między witrynami, gdy na serwerze znajduje się wiele domen dzielących tę samą przestrzeń. Jeśli ten scenariusz odnosi się bezpośrednio do twojej witryny, być może będziesz musiał podjąć dodatkowe środki bezpieczeństwa na poziomie serwera.
Czego hakerzy chcą od Twojej witryny WordPress?
Jeśli kiedykolwiek myślałeś, ” Moja strona jest zbyt mała / Nowa / lokalna. Czego hakerzy mogą od niego chcieć?”, czas zmienić melodię. Hakerzy nie chcą tylko okradać wielkie korporacje. Nie. Szukają po prostu wszelkich luk, które mogą wykorzystać.
Następnym razem, gdy pomyślisz: “nie mam nic, czego by chcieli”, rozważ następujące możliwości, z których mogą skorzystać:
1. Wstrzykiwanie Złośliwych Treści
W niektórych przypadkach hakowanie polega po prostu na uzyskaniu złośliwej treści lub kodu na froncie witryny WordPress z nadzieją, że odwiedzający klikną błędne linki. Może się to zdarzyć poprzez spam z komentarzami, przejmowanie wiadomości e-mail witryny i wysyłanie wiadomości spam do obserwujących lub poprzez rzeczywiste przesyłanie treści.
Jako przykład tego ostatniego, spójrz na lukę w wtyczce galerii NextGEN. Dzięki temu hakerzy mieli możliwość aktualizacji PHP witryny, a następnie ataku na witrynę za pomocą wtyczki.
2. Rozprzestrzenianie Wirusów
Innym sposobem, w jaki hakerzy próbują terroryzować odwiedzających, jest używanie witryny WordPress do rozprzestrzeniania wirusów i złośliwego oprogramowania. Mogą to zrobić za pomocą złośliwego kodu, który zapisali w backendzie lub za pomocą plików przesłanych do pobrania z przodu. Kiedy odwiedzający wchodzą w interakcję z nimi, hakerzy kradną informacje o odwiedzających lub używają swoich komputerów do rozprzestrzeniania wirusów na inne strony internetowe.
Naruszenie wtyczki do tworzenia kopii zapasowych BlogVault jest tego dobrym przykładem. Dzięki temu atakowi hakerzy byli w stanie zainfekować witryny WordPress, które miały wtyczkę złośliwym oprogramowaniem.
3. Kradzież Danych Osobowych Odwiedzających
To jest ten, o który Twoi goście są oczywiście najbardziej martwi i ten, którego powinieneś mieć nadzieję, że nigdy się nie wydarzy, ponieważ jest to dość kosztowne. Oczywiście, każde naruszenie bezpieczeństwa jest złe dla biznesu, ale to oznacza również konieczność zrekompensowania odwiedzającym i klientom pieniędzy i prywatności zagrożonej w ataku. Nie wspominając o utracie zaufania do Twojej marki.
Hakerzy mogą uzyskać te informacje na wiele sposobów, a także mogą z nimi zrobić wiele rzeczy. Czasami to dla ich osobistych korzyści pieniężnych, ale czasami to jak włamanie do Ashley Madison, gdzie próbują coś powiedzieć.
4. Kradzież prywatnych informacji firmy
Firmy bardzo ciężko pracują, aby zachować szczegóły na temat swojej firmy-zwłaszcza jeśli chodzi o finanse i dane konta Klienta-w tajemnicy. Dlatego niezwykle ważne jest, aby nie synchronizować tych informacji z odpowiednią witryną biznesową.
Luka Heartbleed jest niedawnym przykładem tego rodzaju ataku i wynika z problemu z OpenSSL – coś stworzonego w celu lepszego Chroń strony internetowe. Zamiast tego, OpenSSL zakończył się przekazywaniem poufnych danych biznesowych hakerom, gdy wysyłali fałszywe żądania do serwerów stron, których to dotyczy.
5. Hostuj strony phishingowe na swoim serwerze
Phishing na stronach internetowych zasadniczo odnosi się do tego, gdy hakerzy tworzą fałszywą stronę w Twojej witrynie WordPress, próbując zebrać informacje od odwiedzających, którzy chcą je podać. Mogą to zrobić, umieszczając formularz kontaktowy na stronie i bezpośrednio zbierając informacje lub mogą przekierować odwiedzających do innej strony internetowej, gdzie te informacje zostaną zniesione.
Czarna lista Google 50 000 stron co tydzień z powodu oszustw phishingowych. Całkiem szalone, prawda?
6. Hostuj legalne strony z serwera
Niektórzy hakerzy mogą poświęcić trochę czasu na zbudowanie legalnych stron w witrynach WordPress w celu poprawy ich SEO. Te strony mówią o własnym przedsiębiorstwie i odsyłają do nich, aby dać ich witrynie większą siłę przebicia w wyszukiwaniu. Mogą też pominąć stronę docelową i zamiast tego zastosować bardziej subtelne podejście do zwiększenia SEO. W tym przypadku użyliby systemu linków zwrotnych z twojej witryny do swojej.
7. Przeciążenie Serwera Www
Kiedy hakerzy przeciążają Twój serwer sieciowy napływem trafień, jest to tak zwany atak rozproszonej odmowy usługi (lub DDoS). Gdy osiągną ten próg, Twoja strona upadnie i wygrywają. Dlaczego mieliby to robić? Co mogą uzyskać, przenosząc Twoją witrynę offline? To może być dla przechwalania się. Może dlatego, że mają osobistą zemstę przeciwko marce stojącej za stroną. Może strona jest tylko jedną z wielu ofiar poważnego, powszechnego ataku. A może zrobili to, by zażądać okupu.
8. Ukradnij Przepustowość Serwera
Mówiłem już wcześniej o tym, jak ludzie mogą świadomie lub nieświadomie ukraść obrazy z twojej witryny WordPress. Jednym ze sposobów, w jaki to się dzieje, jest hotlinking, który skutecznie zamienia Twoją witrynę w hosting dla ruchu innych witryn za pośrednictwem połączonych obrazów.
Istnieją jednak inne sposoby, w jakie hakerzy mogą ukraść zasoby Twojego serwera, aby hostować własne nikczemne działania, takie jak wydobywanie bitcoinów i ataki brute force na inne strony internetowe. Dokładnie tak stało się w przypadku Monero Mining hack, w którym naruszone witryny stały się “niewolnikami” wykorzystywanymi w działalności hakerskiej.
9. Wandalizuj Swoją Stronę
I, oczywiście, jest wandalizm strony internetowej. W przeważającej części hakerzy robią to, aby ustanowić wizytówkę dla siebie, jednocześnie raniąc Twoją markę. Jeden z tych takich defacements stało się duża część WordPress stron internetowych-i nadal się zdarzyć nawet po WordPress issed patch ponieważ użytkownicy nie udało się zaktualizować w czasie.
Wrapping Up
Aby podsumować to pozytywnie, spróbujmy skupić się na tym, co wiemy:
Nie, WordPress nie jest niezwyciężony.
Ale tak, mamy środki do obrony przed intruzami, jeśli wiemy, na co patrzymy.
Dla przypomnienia, oto, co możesz zrobić:
- Regularnie Twórz kopie zapasowe swojej witryny.
- Zabezpiecz swoją witrynę na każdym poziomie: serwer, rdzeń, wtyczki, motywy, a nawet własny komputer i sieć.
- Użyj wtyczki zabezpieczającej.
- Użyj CDN.
- Użyj certyfikatu SSL.
- Zabezpiecz swoje hasła.
I nie zapomnij uruchomić regularne skanowanie luk w zabezpieczeniach, aby upewnić się, że witryna jest wolna od luk w zabezpieczeniach!
Tagi: