Video: Полное Руководство по WooCommerce! 12 ЧАСОВ ПРАКТИКИ! (November 2024)
WordPress je kot platforma za upravljanje vsebine izjemno priljubljen med uporabniki, saj je tako enostaven za uporabo. Stvar je v tem, da je priljubljena tarča tudi za kriminalce in napadalce. Če imate spletno mesto WordPress, morate narediti nekaj osnovnih korakov, da zagotovite svoje spletno mesto.
DDoS z WordPressom
Čeprav vedno obstaja zaskrbljenost, da je vaše spletno mesto WordPress lahko vdrto tako, da obiskovalcem vaše spletne strani prikaže zlonamerno programsko opremo ali jih preusmeri na dodobra spletno mesto drugje na spletu, tudi ne želite izvedeti, da se vaše spletno mesto uporablja sprožijo napade na druga spletna mesta. V začetku tega tedna je varnostno podjetje Sucuri poročalo, da je bilo več kot 162.000 WordPress spletnih strani naklepano, da sodelujejo v porazdeljenem napadu zaradi zavrnitve storitve na drugo mesto.
Stvar je v tem, da spletna mesta niso bila ugrabljena ali okužena, da bi ustvarila botnet. Napadalci so zlorabili Pingbacks, popolnoma legitimno funkcijo v WordPressu, da je ciljno mesto preplavil z neželenim prometom. Pingbacks uporablja eno spletno mesto WordPress za obveščanje drugih spletnih mest, ko je povezava z njimi objavljena. V napadu, ki ga je opazil Sucuri, je napadalec spletnim mestom nategnil pošiljanje zahteve za Pingback na isti ciljni URL, kar je bilo enostavno storiti, saj je Pingback v WordPressu privzeto omogočen. Ciljno spletno mesto je bilo nenadoma bombardirano s prošnjami Pingback-a, ki so se v bistvu priklonile napadu DdoS.
Če uporabljate WordPress, morate razmisliti o izklopu Pingbacks-a, da se prepričate, da spletnega mesta ne bo mogoče napadati na druga spletna mesta. Funkcija vas obvesti, ko nekdo drug govori o vas, kar je lepo ego-ojačevalnik, vendar je vredno, da bi ga morali obiskati, da bi ga zlorabili? Sucuri ima predloge, kako blokirati pingbake na svojem spletnem mestu.
Pušča WordPress
Dave Lewis, višji varnostni zagovornik pri Akamai Technologies, je z Googlom poiskal več kot 111.000 mest WordPress, katerih varnostne kopije baz podatkov so bile dostopne z interneta. Seznam je vseboval "vse vrste spletnih strani od neodvisnih glasbenih spletnih strani do zdravniških pisarn in celo nekatera vladna spletna mesta, " je Lewis zapisal na svoj blog CSO. Na smetišču so bile podrobne informacije o zbirki podatkov, ki bi jih napadalci lahko uporabili za začetek drugih napadov, pa tudi potencialno puščanje vaših podatkov.
Očitno varnostne kopije ne smejo biti dostopne z interneta. Če se varnostne kopije izvajajo lokalno na istem strežniku, je WordPress nameščen, potem lahko vtičniki Wordfence ali Sucuri blokirajo nepooblaščen dostop, je dejal Lewis.
Zastarela WordPress
Najpomembnejša naloga skrbnikov WordPressa je, da ostanejo na vrhu posodobitve programske opreme, ne samo za osnovno platformo, ampak za vsak vtičnik, ki deluje na spletnem mestu. Zastarele različice WordPressa so nenehno napadene, zlasti vtičniki. "Zlonamerni hekerji vedno iščejo načine za okužbo računalniških uporabnikov in kakšna boljša tehnika je lahko kot ogrožanje obstoječega, zakonitega spletnega mesta in podrejanje na tak način, da srhljivo okuži uporabnike računalnikov, ko ga obiščejo, " je dejal varnostni svetovalec Graham Cluley
Napadalci lahko izkoristijo nepoškodovane napake za izvajanje injekcij SQL ali napadov skriptnega skripta. Napake je mogoče uporabiti tudi za okužbo spletnega mesta z zlonamerno programsko opremo. Ta vprašanja so večinoma posledica težav s vtičniki, ne z osnovno programsko platformo, zato je še bolj kritično, da se vtičniki redno posodabljajo.
Pomembno je upoštevati razliko med spletnimi mesti, ki jih gostite na WordPress.com, in WordPress spletnimi mesti, ki se izvajajo na drugih strežnikih. Ekipa, ki stoji za WordPressom, posodablja programsko opremo na WordPress.com, tako da je posameznim uporabnikom ni treba. Spletna mesta, ki jih gostuje, zahtevajo, da lastnik spletnega mesta ostane na vrhu popravkov in posodobitev, da programska oprema ostane aktualna.
Če boste izvajali WordPress, imejte pred napadalci, tako da redno posodabljate spletno mesto.