Top 5 sekuriteits-skuiwergate in WordPress-installasies

U WordPress-installasie kan so veilig of onseker wees as wat u wil. Leer watter vyf dinge die belangrikste is as dit kom by veiligheid.


Kommer en klagtes oor WordPress-veiligheid is niks nuuts nie.

As u ‘n CMS benodig en toevallig ‘n diensverskaffer raadpleeg wat nie in WordPress is nie, is sekuriteit die nommer een waaroor u sal hoor. Beteken dit dat almal WordPress moet laat val en moet oorskakel na statiese werfgenerators of ‘n koplose CMS?

Nee, want net soos elke waarheid in die lewe, het hierdie een ook baie kante.

Is WordPress baie onseker?

Kom ons kyk na ‘n paar groot webwerwe wat op WordPress gebou is:

  • TechCrunch
  • Die New Yorker
  • BBC Amerika
  • Bloomberg
  • MTV Nuus
  • PlayStation-blog

Dus, wat maak dat hierdie ondernemings – met ‘n absurde diep sak en ‘n slegte arbeidsmag – nie van WordPress oorskakel nie? As u dink dat die antwoord ‘n nalatenskapskode is, dink weer: vir hierdie name is datasekuriteit en openbare beeld oneindig belangriker as ‘n eenvoudige migrasie wat minder as $ 200,000 sal kos (ek skat).

Sekerlik, hul ingenieurs weet wat hulle doen en sien geen fundamentele, onoplosbare veiligheidsprobleme met WordPress nie?

Selfs ek het die geluk om ‘n WordPress-installasie te bestuur wat 3,5-4 miljoen besoekers per maand sien. Die totale aantal veiligheidsoortredings die afgelope agt jaar? zero!

So. . . is WordPress beveilig?

Ek is jammer as dit lyk soos trol, maar hier is my antwoord:

Ek sê dit omdat dit, soos elke waarheid in die lewe, ingewikkeld is. Om by ‘n legitieme antwoord uit te kom, moet ons eers verstaan ​​dat WordPress (of enige voorafgeboude CMS, vir die saak) nie soos ‘n kas is waar u permanent êrens vas is en daarmee klaar is nie..

Dit is ‘n komplekse stuk sagteware met baie afhanklikhede:

  • PHP, wat die taal is waarmee dit gebou is
  • ‘N Openbare sigbare masjien wat die installasie huisves
  • Die webbediener wat gebruik word om besoekers te hanteer (Apache, Nginx, ens.)
  • Die databasis wat gebruik word (MySQL / MariaDB)
  • Temas (bondels PHP-, CS- en JS-lêers)
  • Inprops (bondels PHP-, CS- en JS-lêers)
  • En nog vele meer, afhangende van hoeveel u installasie wil bereik

Met ander woorde, ‘n sekuriteitsbreuk by enige van hierdie nate word ‘n WordPress-oortreding genoem.

As die root-wagwoord van die bediener admin123 is en dit in die gedrang gebring het, is dit WordPress-sekuriteitsfout?

As die PHP-weergawe ‘n beveiligingslek het; of as die nuwe inprop wat u gekoop en geïnstalleer het, ‘n skitterende veiligheidsgat bevat het; en so aan. Om op te som: ‘n Substelsel misluk, en dit is ‘n WordPress-sekuriteitsfout.

As ‘t ware eenkant, moet u dit ook nie die indruk gee dat PHP, MySQL en Apache nie veilig is nie. Elke stukkie sagteware het kwesbaarhede, waarvan die getal verbysterend is in die geval van open source (omdat dit beskikbaar is vir almal om te sien en te ontleed).

Het iemand ‘veilig’ gesê? ��

Vir die bron van hierdie data en ander demoraliserende statistieke, kyk hierna.

Wat ons uit al hierdie oefeninge leer, is:

Niks is op sigself veilig of onseker nie. Dit is die verskillende komponente wat gebruik word om die skakels in die ketting te vorm; die ketting is natuurlik net so sterk soos die swakste daarvan. Histories was die ‘nie veilige’ etiket van WordPress ‘n kombinasie van ou PHP-weergawes, gedeelde hosting en die toevoeging van plugins / temas uit onbetroubare bronne.

Terselfdertyd maak u redelik algemene oorsigte u WordPress-installasie kwesbaar vir diegene wat weet hoe om dit te benut en vasberade is. En dit is waaroor hierdie boodskap gaan. Dus sonder om verder te praat (en omsendbrief argumente), laat ons begin.

Top WordPress skuiwergate wat hackers kan benut

Die WordPress-tabelvoorvoegsel

Die beroemde installasie van vyf minute is die beste ding wat met WordPress gebeur, maar soos alle towenaars, laat ons ons lui en laat dinge by verstek op.

Dit beteken dat die standaardvoorvoegsel vir u WordPress-tabelle wp_ is, wat lei tot tabelname wat almal kan raai:

  • WP-gebruikers
  • WP-opsies
  • WP-poste

Oorweeg nou ‘n aanval wat bekend staan ​​as SQL Injection, waar kwaadwillige databasisvrae slim ingevoeg word en gemaak word om binne WordPress te loop (let wel – dit is geensins ‘n WordPress / PHP-eksklusiewe aanval nie).

Terwyl WordPress ingeboude meganismes het om hierdie soort aanvalle te hanteer, kan niemand waarborg dat dit nie sal gebeur nie.

As die aanvaller op een of ander manier daarin slaag om ‘n navraag soos DROP TABLE wp_users uit te voer; DROP TABEL wp_posts ;, al u rekeninge, profiele en plasings sal binne ‘n oogwink uitgewis word sonder enige kans om te herstel (tensy u ‘n rugsteunskema in plek het, maar selfs dan sal u waarskynlik data verloor sedert die laaste rugsteun ).

Om eenvoudig die voorvoegsel tydens die installasie te verander, is ‘n groot probleem (wat neem nul poging).

Iets lukraak soos sdg21g34_ word aanbeveel, want dit is nonsens en moeilik om te raai (hoe langer die voorvoegsel, hoe beter). Die beste is dat hierdie voorvoegsel nie onvergeetlik hoef te wees nie; die voorvoegsel is iets wat WordPress sal red, en jy hoef nooit weer daaroor te hoef te bekommer nie (net soos jy nie bekommerd is oor die standaard wp_-voorvoegsel nie!).

Die standaard-aanmeld-URL

Hoe weet u dat ‘n webwerf op WordPress loop? Een van die verteltekens is dat u die WordPress-aanmeldbladsy sien wanneer u “/wp-login.php” by die webwerf-adres voeg..

Laat ons as voorbeeld my webwerf (http://ankushthakur.com) neem. Is dit op WordPress? Gaan voort en voeg die aanmelddeel by. As u te lui voel, dan gebeur dit:

¯ \ _ (ツ) _ / ¯

WordPress, reg?

As dit eers bekend is, kan die aanvaller hul hande in die lug vryf en nare truuks uit hul Bag-O’-Doom op alfabetiese basis begin toepas. Arme ek!

Die oplossing is om die standaard-aanmeld-URL te verander en dit slegs aan die mense te gee wat vertrou is.

Byvoorbeeld, hierdie webwerf is ook op WordPress, maar as u http://geekflare.com/wp-login.php besoek, is al die teleurstelling diep en diep. Die aanmeld-URL is versteek en is slegs bekend aan die administrateurs ?.

Die verandering van die aanmeld-URL is ook nie raketwetenskap nie. Gryp dit net aan plugin.

Baie geluk, jy het pas nog ‘n laag frustrerende veiligheid by die aanvalle van brute mag bygevoeg.

Die PHP- en webbedienerweergawe

Ons het reeds bespreek dat elke sagteware wat ooit geskryf is (en geskryf word) vol foute is wat wag om uitgebuit te word.

Dieselfde geld vir PHP.

Selfs al gebruik u die nuutste weergawe van PHP, kan u nie seker wees watter kwesbaarhede bestaan ​​nie en dit kan oornag ontdek word. Die oplossing is om ‘n spesifieke koptekst wat deur u webbediener gestuur is, te verberg (nog nooit van kopskrifte gelees nie) hierdie!) wanneer ‘n blaaier daarmee kontak maak: x-powered-by.

Dit is hoe dit lyk as u die hulpmiddele van u gunsteling blaaier nagaan:

Soos ons hier kan sien, vertel die webwerf dat dit op Apache 2.4 loop en PHP-weergawe 5.4.16 gebruik.

Nou, dit is al ‘n hoop inligting wat ons sonder enige rede deurgaan, wat die aanvaller help om hul keuse van gereedskap te verklein.

Hierdie (en soortgelyke) opskrifte moet weggesteek word.

Gelukkig kan dit vinnig gedoen word; ongelukkig is gesofistikeerde tegniese kennis nodig, aangesien u in die ingewande van die stelsel sal moet duik en met belangrike lêers gemors moet word. Daarom is my raad om u webwerfverskaffer te vra om dit vir u te doen; as hulle nie sien of ‘n konsultant dit kan regkry nie, sal dit grootliks van u webwerf-gasheer afhang of die opstelling daarvan sulke moontlikhede het of nie.

As dit nie werk nie, is dit miskien tyd om gasheerverskaffers oor te skakel of na ‘n VPS te gaan en ‘n konsultant te huur vir veiligheids- en administratiewe probleme.

Is dit die moeite werd? Net u kan dit besluit. ��

O ja, en as jy ‘n sekuriteitskopie wil gebruik, is dit jou oplossing!

Aantal aanmeldpogings

Die sogenaamde een van die oudste truuks in die handboek van die hacker Woordeboekaanval.

Die idee is dat u ‘n belaglike groot aantal (miljoene, indien moontlik) kombinasies vir ‘n wagwoord probeer, tensy een daarvan slaag. Aangesien rekenaars vinnig weerlig as wat hulle doen, is so ‘n dwase skema verstandig en kan dit ‘n redelike tyd lewer.

Een algemene (en uiters effektiewe) verweer was om ‘n vertraging toe te voeg voordat die fout getoon word. Dit laat die ontvanger wag, wat beteken dat as dit ‘n teks is wat deur ‘n hacker gebruik word, dit te lank sal duur om te voltooi. Dit is die rede waarom jou rekenaar of gunsteling-app ‘n bietjie bons en dan sê: “Oeps, die verkeerde wagwoord!”.

Hoe dit ook al sy, die punt is dat u die aantal aanmeldpogings vir u WordPress-webwerf moet beperk.

Behalwe vir ‘n vasgestelde aantal drieë (sê vyf), moet die rekening gesluit word en dit moet slegs deur die rekeninghouer se e-pos verhaalbaar wees.

Gelukkig is dit ‘n kakewalk as u dit aangenaam vind plugin.

HTTP teen HTTPS

Die SSL-sertifikaat waarop u verkoper u gepla het, is belangriker as wat u dink.

Dit is nie net ‘n reputasiehulpmiddel om ‘n groen-slot-ikoon in die blaaier te wys wat “Veilig” is nie; eerder, om ‘n SSL-sertifikaat te laat installeer en om alle URL’s te dwing om op “https” te werk, is alleen genoeg om u webwerf van ‘n oop boek na ‘n kriptiese boekrol te laat neem..

As u nie verstaan ​​hoe dit gebeur nie, lees dan gerus iets bekend as ‘n man-in-die-middel-aanval.

‘N Ander manier om die verkeer wat vanaf u rekenaar na die bediener vloei, te onderskep, is pakketsnuffel, wat ‘n passiewe vorm van data-insameling is en dit nie eens nodig het om homself in die middel te posisioneer nie.

Vir webwerwe wat oor gewone “HTTP” loop, sal die persoon wat die netwerkverkeer onderskep, u wagwoorde en kredietkaartnommers duidelik, duidelike teks voorkom.

Bron: comparitech.com

Skrikwekkend? baie!

Maar sodra u ‘n SSL-sertifikaat geïnstalleer het en al die URL’s omgeskakel is na “https”, verskyn hierdie sensitiewe inligting as gibberish dat slegs die bediener kan dekripteer. Met ander woorde, moenie daardie paar dollar per jaar sweet nie. ��

Afsluiting

Kan hierdie vyf dinge onder beheer kom, kan u u webwerf mooi beveilig?

Nee glad nie. Soos talle veiligheidsartikels sê, is u nooit 100% veilig nie, maar dit is moontlik om ‘n groot klas probleme met redelike moeite uit te skakel. U kan dit oorweeg om SUCURI-wolk WAF te gebruik om u werwe holisties te beskerm.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map