Топ 5 лазеек безопасности в установках WordPress

Ваша установка WordPress может быть настолько безопасной или небезопасной, насколько вы хотите. Узнайте, какие пять вещей являются наиболее важными, когда речь идет о безопасности.


Проблемы и жалобы на безопасность WordPress не являются чем-то новым.

Если вам нужна CMS и вы проконсультировались с поставщиком услуг, который не связан с WordPress, безопасность – это номер один, о котором вы услышите. Означает ли это, что все должны отказаться от WordPress и переключиться на генераторы статических сайтов или безголовую CMS??

Нет, потому что, как и всякая правда в жизни, у этой тоже есть много сторон.

WordPress очень небезопасен?

Давайте посмотрим на некоторые огромные сайты, которые были построены на WordPress:

  • TechCrunch
  • Житель Нью-Йорка
  • BBC America
  • Bloomberg
  • MTV News
  • Блог PlayStation

Итак, что же заставляет эти компании – с абсурдно глубокими карманами и ошеломляющей рабочей силой – не переходить с WordPress? Если вы считаете, что ответом является устаревший код, подумайте еще раз: для этих имен безопасность данных и общедоступный образ бесконечно важнее, чем простая миграция, которая обойдется (я оцениваю) менее чем в 200 000 долларов США..

Конечно, их инженеры знают, что они делают, и не видят фундаментальных, неразрешимых проблем безопасности с WordPress.?

Даже мне повезло управлять установкой WordPress, которая посещает 3,5-4 миллиона посетителей в месяц. Общее количество нарушений безопасности за последние восемь лет? Нуль!

Так . , , WordPress безопасен?

Прошу прощения, если это похоже на троллинг, но вот мой ответ:

Я так говорю, потому что, как и всякая правда в жизни, это сложно. Чтобы прийти к законному ответу, мы должны сначала понять, что WordPress (или любая предварительно созданная CMS, в этом отношении) не похожа на шкаф, который вы где-то постоянно держите, и с этим надо покончить.

Это сложная часть программного обеспечения с множеством зависимостей:

  • PHP, язык, на котором он построен
  • Публично видимая машина, на которой размещена установка
  • Веб-сервер, используемый для обработки посетителей (Apache, Nginx и т. Д.)
  • Используемая база данных (MySQL / MariaDB)
  • Темы (связки файлов PHP, CS и JS)
  • Плагины (пакеты PHP, CS и JS файлов)
  • И многое другое, в зависимости от того, сколько ваша установка стремится достичь

Другими словами, нарушение безопасности в любом из этих швов будет рассматриваться как нарушение WordPress..

Если корневым паролем сервера был admin123 и он был взломан, является ли это недостатком безопасности WordPress??

Если версия PHP имела уязвимость безопасности; или если новый плагин, который вы приобрели и установили, содержал явную дыру в безопасности; и так далее. Подводя итог: подсистема дает сбой, и это сбой безопасности WordPress.

Кроме того, пожалуйста, не позволяйте этому создать впечатление, что PHP, MySQL и Apache не защищены. Каждое программное обеспечение имеет уязвимости, количество которых поражает в случае с открытым исходным кодом (потому что это доступно для всех, чтобы увидеть и проанализировать).

Кто-то сказал «безопасный»? ��

Для источника этих данных и другой деморализующей статистики, Проверь это.

Из всего этого упражнения мы узнаем следующее:

Ничто не является безопасным или небезопасным само по себе. Именно используемые компоненты образуют звенья в цепочке, причем цепочка, разумеется, столь же сильна, как и самые слабые из них. Исторически «небезопасный» ярлык WordPress представлял собой сочетание старых версий PHP, общего хостинга и добавления плагинов / тем из ненадежных источников..

В то же время некоторые довольно распространенные упущения делают вашу установку WordPress уязвимой для тех, кто знает, как их использовать и решительно настроен. И это то, о чем этот пост. Так что без дальнейших церемоний (и круговых аргументов), давайте начнем.

Лучшие лазейки в WordPress, которые могут использовать хакеры

Префикс таблицы WordPress

Знаменитая 5-минутная установка – лучшее, что может случиться с WordPress, но, как и все мастера установки, она делает нас ленивыми и оставляет вещи по умолчанию.

Это означает, что префиксом по умолчанию для ваших таблиц WordPress является wp_, что приводит к именам таблиц, которые может угадать каждый:

  • WP-пользователей
  • WP-опция
  • WP-сообщения

Теперь рассмотрим атаку, известную как SQL-инъекция, когда вредоносные запросы к базе данных ловко вставляются и запускаются внутри WordPress (обратите внимание – это ни в коем случае не атака на WordPress / PHP-эксклюзив).

Хотя WordPress имеет встроенные механизмы для обработки подобных атак, никто не может гарантировать, что этого не произойдет..

Так что если каким-то образом злоумышленнику удастся выполнить запрос, такой как DROP TABLE wp_users; DROP TABLE wp_posts; все ваши учетные записи, профили и сообщения будут мгновенно стерты без возможности восстановления (если у вас нет схемы резервного копирования, но даже в этом случае вы неизбежно потеряете данные с момента последнего резервного копирования). ).

Простое изменение префикса во время установки является большой проблемой (которая требует нулевое усилие).

Рекомендуется что-то случайное, например sdg21g34_, потому что это бессмысленно и трудно угадать (чем длиннее префикс, тем лучше). Самое приятное, что этот префикс не должен быть запоминающимся; префикс – это то, что WordPress сохранит, и вам больше никогда не придется беспокоиться об этом (точно так же, как вы не беспокоитесь о префиксе wp_ по умолчанию!).

URL входа по умолчанию

Откуда вы знаете, что сайт работает на WordPress? Одним из главных признаков является то, что вы видите страницу входа в WordPress, когда добавляете «/wp-login.php» в адрес веб-сайта..

В качестве примера давайте возьмем мой веб-сайт (http://ankushthakur.com). Это на WordPress? Что ж, продолжайте и добавьте часть входа. Если вы чувствуете себя слишком ленивым, вот что происходит:

¯ \ _ (ツ) _ / ¯

WordPress, верно?

Как только это станет известно, злоумышленник может в радости потер руки и начать применять мерзкие трюки из своего Бэг-О’-Рока по алфавиту. Бедный меня!

Решение состоит в том, чтобы изменить URL-адрес входа по умолчанию и предоставить его только тем людям, которым доверяют.

Например, этот веб-сайт также работает на WordPress, но если вы посетите http://geekflare.com/wp-login.php, все, что вы получите, это глубокое разочарование. Адрес для входа скрыт и известен только администраторам. ?.

Изменение URL для входа также не является ракетостроением. Просто возьми это плагин.

Поздравляю, Вы только что добавили еще один слой разочаровывающей защиты от атак грубой силы.

Версия PHP и веб-сервера

Мы уже обсуждали, что каждая часть программного обеспечения, когда-либо написанная (и пишущаяся), полна ошибок, ожидающих своей эксплуатации..

То же самое касается PHP.

Даже если вы используете последнюю версию PHP, вы не можете быть уверены, какие уязвимости существуют и могут быть обнаружены в одночасье. Решение состоит в том, чтобы скрыть определенный заголовок, отправленный вашим веб-сервером (никогда не слышал о заголовках? Читать это!) когда к нему подключается браузер: x-powered-by.

Вот как это выглядит, если вы проверите инструменты разработчика вашего любимого браузера:

Как мы видим здесь, веб-сайт сообщает нам, что он работает на Apache 2.4 и использует PHP версии 5.4.16..

Теперь, это уже тонна информации, которую мы передаем без причины, помогая злоумышленнику сузить выбор инструментов.

Эти (и подобные) заголовки должны быть скрыты.

К счастью, это можно сделать быстро; К сожалению, необходимы сложные технические знания, так как вам нужно погрузиться в суть системы и связываться с важными файлами. Поэтому я советую попросить вашего хостинг-провайдера сделать это для вас; если они не видят, сможет ли это сделать консультант, хотя это будет в значительной степени зависеть от хоста вашего веб-сайта, имеют ли его настройки такие возможности или нет.

Если это не работает, возможно, пришло время сменить хостинг-провайдеров или перейти на VPS и нанять консультанта по вопросам безопасности и администрирования..

Стоит ли оно того? Только вы можете решить это. ��

О, и если вы хотите заняться безопасными заголовками, вот ваше решение!

Количество попыток входа

Одним из самых старых приемов в руководстве хакера является так называемая Атака по словарю.

Идея состоит в том, что вы пытаетесь использовать смехотворно большое количество (если возможно, миллионы) комбинаций для пароля, если ни одна из них не удалась. Поскольку компьютеры молниеносны в том, что они делают, такая глупая схема разумна и может дать результаты в разумные сроки..

Одна общая (и чрезвычайно эффективная) защита заключалась в добавлении задержки перед отображением ошибки. Это заставляет получателя ждать, а это означает, что если это скрипт, используемый хакером, его завершение займет слишком много времени. Вот почему ваш компьютер или любимое приложение немного подпрыгивает, а затем говорит: «Ой, неправильный пароль!».

В любом случае, дело в том, что вы должны ограничить количество попыток входа на ваш сайт WordPress..

Помимо установленного количества попыток (скажем, пять), учетная запись должна быть заблокирована и может быть восстановлена ​​только через электронную почту владельца учетной записи.

К счастью, сделать это легко, если вы встретите хороший плагин.

HTTP против HTTPS

Сертификат SSL, которым твой поставщик тешил тебя, важнее, чем ты думаешь.

Это не просто инструмент репутации, показывающий зеленый значок замка в браузере с надписью «Безопасный»; вместо этого достаточно установить SSL-сертификат и заставить все URL-адреса работать по протоколу «https», чтобы ваш веб-сайт превратился из открытой книги в загадочную прокрутку..

Если вы не понимаете, как это происходит, прочитайте о чем-то, известном как атака “человек посередине”.

Другим способом перехвата трафика, передаваемого с вашего компьютера на сервер, является анализ пакетов, который является пассивной формой сбора данных и даже не требует усилий, чтобы позиционировать себя в середине..

Для сайтов, работающих по обычному «HTTP», лицо, перехватывающее сетевой трафик, ваши пароли и номера кредитных карт отображаются в виде простого текста.

Источник: сравнение

Страшно? Очень!

Но как только вы устанавливаете SSL-сертификат и все URL-адреса преобразуются в «https», эта конфиденциальная информация отображается как бред, который может расшифровать только сервер. Другими словами, не переживайте эти несколько долларов в год. ��

Вывод

Будет держать эти пять вещей под контролем, чтобы обеспечить безопасность вашего сайта?

Нет, совсем нет. Как говорится в бесчисленных статьях по безопасности, вы никогда не застрахованы на 100%, но с помощью разумных усилий можно устранить большой класс этих проблем. Вы можете рассмотреть возможность использования облачного WAF SUCURI для комплексной защиты своих сайтов..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map