Video: 18 Best WordPress Plugins and 5 Bonus Tools We Use on All Sites (Oktober 2024)
Som en innholdsstyringsplattform er WordPress enormt populært blant brukere fordi det er så enkelt å bruke. Saken er at det også er et populært mål for kriminelle og angripere. Hvis du har et WordPress-nettsted, må du ta noen grunnleggende trinn for å sikre nettstedet ditt.
DDoS med WordPress
Selv om det alltid er bekymring for at WordPress-nettstedet ditt kan bli hacket for å tjene skadelig programvare til besøkende, eller omdirigere dem til et dodgy nettsted andre steder på nettet, vil du heller ikke finne ut at nettstedet ditt blir brukt til starte angrep mot andre nettsteder. Tidligere denne uken rapporterte sikkerhetsfirmaet Sucuri at mer enn 162 000 WordPress-nettsteder hadde blitt lurt til å delta i et distribuert angrepsangrep mot et annet nettsted.
Saken er at nettstedene ikke ble kapret eller infisert for å danne et botnet. Angriperne misbrukte Pingbacks, en helt legitim funksjon i WordPress, for å oversvømme det målrettede nettstedet med uønsket trafikk. Pingbacks brukes av ett WordPress-nettsted for å varsle andre nettsteder når et innlegg er koblet til dem. I angrepet som ble observert av Sucuri, lurte angriperen nettstedene til å sende en Pingback-forespørsel til den samme måladressen, noe som var enkelt å gjøre siden Pingback er aktivert som standard i WordPress. Det målrettede nettstedet ble plutselig bombardert med Pingback-forespørsler, som i hovedsak monterte seg på et DdoS-angrep.
Hvis du kjører WordPress, bør du vurdere å slå av Pingbacks for å sikre at nettstedet ditt ikke kan brukes til å angripe andre nettsteder. Funksjonen varsler deg når noen andre snakker om deg, som er en fin ego-booster, men er det verdt å holde det rundt for å bli misbrukt? Sucuri har forslag til hvordan du kan blokkere pingbacks på nettstedet.
Lekkende WordPress
Dave Lewis, en senior sikkerhetsadvokat med Akamai Technologies, brukte Google til å finne over 111 000 WordPress-nettsteder med databasebackupe som var tilgjengelige fra Internett. Listen inkluderte "alle slags nettsteder fra uavhengige musikknettsteder til legekontorer og til og med noen myndigheter, " skrev Lewis på sin CSO-blogg. Dumpen inneholdt detaljert informasjon om databasen, som angripere kan bruke til å starte andre angrep, men også en potensiell lekkasje av dataene dine.
Det er klart, sikkerhetskopier bør ikke være tilgjengelige fra Internett. Hvis sikkerhetskopier kjører lokalt på den samme serveren som WordPress er installert på, kan plugins fra Wordfence eller Sucuri blokkere uautorisert tilgang, sa Lewis.
Utdatert WordPress
Den viktigste oppgaven for WordPress-administratorer er å holde seg oppdatert på programvareoppdateringer, ikke bare for kjerneplattformen, men for hver plugin som kjører på nettstedet. Utdaterte versjoner av WordPress er under angrep hele tiden, spesielt plugins. "Ondsinnede hackere leter alltid etter måter å infisere databrukere på, og hvilken bedre teknikk kan det være enn å kompromittere et eksisterende, legitimt nettsted og undergrave det på en slik måte at det smittende smitter databrukere når de besøker det, " sa sikkerhetskonsulent. Graham Cluley.
Angripere kan utnytte upålitelige feil for å utføre SQL-injeksjon eller script-angrep på tvers av nettsteder. Manglene kan også utnyttes for å infisere nettstedet med skadelig programvare. For det meste er disse problemene vanligvis et resultat av problemer med plugins, ikke kjerneprogramvareplattformen, noe som gjør det enda mer kritisk at plugins regelmessig blir oppdatert.
Det er viktig å merke seg forskjellen mellom nettsteder som er vert på WordPress.com og WordPress-nettsteder som kjører på andre servere. Teamet bak WordPress holder programvaren oppdatert på WordPress.com, slik at enkeltbrukere ikke trenger å gjøre det. Selvhostede nettsteder krever at eieren av nettstedet holder seg oppdatert om oppdateringer og oppdateringer for å sikre at programvaren forblir aktuell.
Hvis du skal kjøre WordPress, hold foran angriperne ved å holde nettstedet ditt oppdatert regelmessig.
