Top 5 lacune de securitate în instalații WordPress

Instalarea dvs. WordPress poate fi la fel de sigură sau nesigură pe cât doriți. Aflați care sunt cele cinci lucruri cele mai importante atunci când vine vorba de securitate.


Îngrijorările și reclamațiile cu privire la securitatea WordPress nu sunt nimic nou.

Dacă aveți nevoie de un CMS și consultați un furnizor de servicii care nu este în WordPress, securitatea este numărul unu despre care veți auzi. Asta înseamnă că toată lumea ar trebui să renunțe la WordPress și să treacă la generatoare de site-uri statice sau un CMS fără cap?

Nu, pentru că la fel ca orice adevăr din viață, acesta are și multe laturi.

WordPress este foarte nesigur?

Să aruncăm o privire asupra unor site-uri web imense care au fost construite pe WordPress:

  • TechCrunch
  • New Yorkerul
  • BBC America
  • Bloomberg
  • MTV News
  • Blog PlayStation

Așadar, ce face ca aceste companii – cu buzunare absurde adânci și forță de muncă lipsită de minte – să nu se schimbe de la WordPress? Dacă credeți că răspunsul este cod de moștenire, gândiți-vă din nou: pentru aceste nume, securitatea datelor și imaginea publică sunt infinit mai importante decât o simplă migrare care va costa (estimează) mai puțin de 200.000 USD.

Cu siguranță, inginerii lor știu ce fac și nu văd probleme de securitate fundamentale și de nerezolvat cu WordPress?

Chiar și am norocul de a gestiona o instalare WordPress care vede 3,5-4 milioane de vizitatori pe lună. Numărul total de încălcări de securitate din ultimii opt ani? Zero!

Asa de . . . este securizat WordPress?

Îmi pare rău dacă pare că trolling, dar iată răspunsul meu:

O spun pentru că, ca orice adevăr din viață, este complicat. Pentru a ajunge la un răspuns legitim, trebuie mai întâi să înțelegem că WordPress (sau orice CMS preconstruit, pentru asta) nu este ca un dulap în care rămâi undeva în permanență și să fii făcut cu acesta.

Este un software complex cu multe dependențe:

  • PHP, care este limbajul cu care este construit
  • Un aparat vizibil public care găzduiește instalarea
  • Serverul web folosit pentru gestionarea vizitatorilor (Apache, Nginx etc.)
  • Baza de date utilizată (MySQL / MariaDB)
  • Teme (pachete de fișiere PHP, CS și JS)
  • Plugin-uri (pachete de fișiere PHP, CS și JS)
  • Și multe altele, în funcție de cât de mult își propune instalarea

Cu alte cuvinte, o încălcare de securitate la oricare dintre aceste cusături va fi denumită ca o încălcare WordPress.

Dacă parola rădăcină a serverului a fost admin123 și a fost compromisă, este o problemă de securitate WordPress?

Dacă versiunea PHP a avut o vulnerabilitate de securitate; sau dacă noul plugin pe care l-ați achiziționat și instalat conține o gaură de securitate evidentă; si asa mai departe. Pentru a rezuma: un subsistem eșuează și este un eșec de securitate WordPress.

În plus, nu vă lăsați să vă dați impresia că PHP, MySQL și Apache nu sunt sigure. Fiecare software are vulnerabilități, dintre care numărul eșalonează în cazul open-source (pentru că este disponibil pentru toată lumea pentru a vedea și analiza).

A spus cineva „sigur”? ��

Pentru sursa acestor date și alte statistici demoralizante, verifică asta.

Ceea ce învățăm din tot acest exercițiu este acesta:

Nimic nu este sigur sau nesigur de la sine. Diferitele componente folosite care formează legăturile din lanț, lanțul, desigur, fiind la fel de puternice ca cele mai slabe dintre ele. Istoric, eticheta „nu este sigură” a WordPress a fost o combinație de versiuni vechi PHP, găzduire partajată și adăugare de pluginuri / teme din surse de încredere.

În același timp, unele supravegheri destul de comune fac ca instalarea WordPress să fie vulnerabilă celor care știu să le exploateze și sunt determinate. Și despre asta este vorba. Așadar, fără alte detalii (și argumente circulare), să începem.

Cele mai bune lacune WordPress pe care hackerii le pot exploata

Prefixul tabelului WordPress

Celebrul instalare de 5 minute este cel mai bun lucru care se întâmplă cu WordPress, dar la fel ca toți vrăjitorii instalează, ne face leneși și lasă lucrurile implicit.

Aceasta înseamnă că prefixul implicit pentru tabelele dvs. WordPress este wp_, rezultând nume de tabel pe care oricine le poate ghici:

  • Utilizatorii-wp
  • wp-opțiuni
  • wp-posturi

Acum, luați în considerare un atac cunoscut sub numele de SQL Injection, unde interogările de baze de date rău intenționate sunt introduse în mod inteligent și făcute pentru a fi rulate în WordPress (vă rugăm să rețineți – acesta nu este în niciun caz un atac exclusiv WordPress / PHP).

Deși WordPress are mecanisme integrate pentru a gestiona aceste tipuri de atacuri, nimeni nu poate garanta că nu se va întâmpla.

Deci, cumva, într-un fel, atacatorul reușește să ruleze o interogare precum DROP TABLE wp_users; DROP TABLE wp_posts;, toate conturile, profilurile și postările dvs. vor fi șterse într-o clipă fără șanse de recuperare (cu excepția cazului în care aveți o schemă de rezervă în loc, dar chiar și atunci, sunteți obligat să pierdeți date de la ultima copie de rezervă ).

Simpla schimbare a prefixului în timpul instalării este un lucru mare (ceea ce durează efort zero).

Ceva întâmplător, cum ar fi sdg21g34_, este recomandat, deoarece este prost și greu de ghicit (cu cât prefixul este mai lung, cu atât mai bine). Partea cea mai bună este că acest prefix nu trebuie să fie memorabil; prefixul este un lucru pe care WordPress îl va salva și niciodată nu va trebui să vă faceți griji (așa cum nu vă faceți griji pentru prefixul wp_ implicit!).

Adresa URL de conectare implicită

De unde știți că un site web rulează pe WordPress? Unul dintre indicatoarele este că vedeți pagina de conectare WordPress când adăugați „/wp-login.php” pe adresa site-ului.

Ca exemplu, să luăm site-ul meu (http://ankushthakur.com). Este pe WordPress? Ei bine, mergi mai departe și adaugă partea de autentificare. Dacă vă simțiți prea leneși, iată ce se întâmplă:

¯ \ _ (ツ) _ / ¯

WordPress, corect?

Odată ce acest lucru este cunoscut, atacatorul își poate freca mâinile în glee și poate începe să aplice trucuri urâte din Bag-O-Doom pe o bază alfabetică. Săracul de mine!

Soluția este să schimbați adresa URL de conectare implicită și să o oferiți doar persoanelor de încredere.

De exemplu, acest site web este de asemenea pe WordPress, dar dacă accesați http://geekflare.com/wp-login.php tot ce veți obține este o dezamăgire profundă și profundă. Adresa URL de conectare este ascunsă și este cunoscută numai de către administratori ?.

Modificarea adresei URL de autentificare nu este nici o știință rachetă. Doar apuca asta conecteaza.

Felicitări, ai adăugat un alt strat de securitate frustrantă împotriva atacurilor de forță brută.

Versiunea PHP și serverul web

Am discutat deja că fiecare software scris vreodată (și scris) este plin de erori care așteaptă să fie exploatate.

Același lucru este valabil și pentru PHP.

Chiar dacă utilizați cea mai recentă versiune a PHP, nu puteți fi sigur ce vulnerabilități există și s-ar putea să fie descoperit peste noapte. Soluția este să ascundeți un antet anume trimis de serverul dvs. web (nu s-a auzit niciodată despre anteturi? Citit acest!) când un browser se conectează cu acesta: x-powered-by.

Iată cum arată dacă verificați instrumentele dev din browserul preferat:

După cum putem vedea aici, site-ul ne spune că funcționează pe Apache 2.4 și folosește PHP versiunea 5.4.16.

Acum, aceasta este deja o mulțime de informații pe care le transmitem fără niciun motiv, ajutându-l pe atacator să-și restrângă alegerea instrumentelor.

Aceste antete (și similare) trebuie ascunse.

Din fericire, se poate face rapid; din păcate, este nevoie de cunoștințe tehnice sofisticate, deoarece va trebui să vă aruncați în interiorul sistemului și să vă încurcați cu fișiere importante. Prin urmare, sfatul meu este să solicitați furnizorului dvs. de găzduire site-ul dvs. să facă acest lucru pentru dvs.; dacă nu văd dacă un consultant o poate realiza, deși acest lucru va depinde în mare măsură de gazda site-ului dvs., dacă configurarea lor are astfel de posibilități sau nu.

Dacă nu funcționează, ar putea fi momentul să comutați furnizorii de hosting sau să vă mutați la un VPS și să angajați un consultant pentru probleme de securitate și administrare..

Merita? Doar tu poți decide asta. ��

Oh, și dacă doriți să aflați pe anteturile de securitate, iată soluția dvs.!

Numărul de încercări de autentificare

Unul dintre cele mai vechi trucuri din manualul hackerului este așa-numitul Dicționar Attack.

Ideea este că încercați un număr ridicol de mare (milioane, dacă este posibil) de combinații pentru o parolă, dacă nu reușește una dintre ele. Întrucât computerele se descurcă rapid la ceea ce fac, o astfel de schemă nebunească este sensibilă și poate da rezultate într-un timp rezonabil.

O apărare comună (și extrem de eficientă) a fost adăugarea unei întârzieri înainte de a afișa eroarea. Acest lucru face ca destinatarul să aștepte, ceea ce înseamnă că, dacă este un script folosit de un hacker, va dura prea mult până se termină. Acesta este motivul pentru care computerul sau aplicația preferată sări un pic și apoi spune: „Oops, parola greșită!”.

În orice caz, ideea este că ar trebui să limitați numărul de încercări de conectare pentru site-ul dvs. WordPress.

Dincolo de un număr set de încercări (să spunem, cinci), contul ar trebui blocat și ar putea fi recuperat numai prin e-mail-ul titularului contului.

Din fericire, a face acest lucru este un cakewalk dacă întâlnești un frumos conecteaza.

HTTP vs. HTTPS

Certificatul SSL de care v-a plâns vânzătorul este mai important decât vă puteți crede.

Nu este doar un instrument de reputație pentru a afișa o pictogramă verde de blocare în browserul care scrie „Securitate”; mai degrabă, instalarea unui certificat SSL și forțarea tuturor URL-urilor să funcționeze pe „https” este suficient pentru a duce site-ul dvs. de la o carte deschisă la o defilare criptică.

Dacă nu înțelegeți cum se întâmplă acest lucru, vă rugăm să citiți despre ceva cunoscut sub numele de atac de om în mijloc.

O altă modalitate de a intercepta traficul care circulă de pe computer către server este adulmecarea pachetelor, care este o formă pasivă de colectare a datelor și nu este nevoie nici măcar să dureze pentru a se poziționa la mijloc.

Pentru site-urile care trec pe „HTTP” simplu, persoana care interceptează traficul de rețea, parolele și numerele cardului dvs. de credit apar clar, text simplu.

Sursa: comparatitech.com

Infricosator? Foarte!

Dar, după ce instalați un certificat SSL și toate adresele URL devin convertite în „https”, această informație sensibilă apare ca o informație pe care doar serverul o poate decripta. Cu alte cuvinte, nu transpira acei câțiva dolari pe an. ��

Concluzie

Vei primi aceste cinci lucruri sub control sigur site-ul dvs. web?

Nu deloc. După cum spun nenumărate articole de securitate, nu ești niciodată 100% sigur, dar este posibil să elimini o mare categorie de probleme cu eforturi rezonabile. Puteți avea în vedere utilizarea SUCURI cloud WAF pentru a vă proteja site-urile în mod holistic.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map