Πόσο ασφαλής είναι η ιστοσελίδα σας στο WordPress;
Ένα από τα βασικά προβλήματα με την τεχνολογία είναι οι συχνές καθυστερήσεις στην ασφάλεια που βιώνουμε. πολλές πληροφορίες κλέβονται καθημερινά και χρησιμοποιούνται για να κλέψουν περισσότερες πληροφορίες, να στείλουν μηνύματα ανεπιθύμητης αλληλογραφίας, να ανοίξουν πίσω στα συστήματα και μερικές φορές να προκαλέσουν βλάβες στους υπολογιστές μας.
Κανένα από αυτά τα θέματα άγνωστα στο WordPress, ένας καταπληκτικός αριθμός τοποθεσιών έχουν γίνει θύματα δυσάρεστων εγκληματιών που εκμεταλλεύονται την κοινότητα για προσωπική τους απολαβή.
Για να νικήσετε αυτή την απειλή έχουμε βάλει μαζί μια σειρά από καλά εργαλεία και συμβουλές για το πώς να αποφύγετε το επόμενο θύμα. Ή αν είστε άτυχοι για να είστε ήδη θύμα, πώς να αντισταθείτε και να διορθώσετε την εγκατάστασή σας.
Εκτελέστε επιθέσεις
Μπορεί να έχετε ακούσει για αυτό, μπορεί να γνωρίζετε ακόμη και τις λεπτομέρειες, αλλά για όσους δεν έχουν το πρόβλημα εδώ: ένα exploit είναι ένα κομμάτι κακόβουλου κώδικα που διανέμεται για να εκμεταλλευτεί μια αδυναμία στον υπάρχοντα κώδικα.
TimThumb ήταν επιρρεπή σε μια τέτοια επίθεση. μία από τις λειτουργίες της, η οποία επιτρέπει στους χρήστες να φορτώνουν εικόνες από διαφορετικούς ιστότοπους και να έχουν ελεύθερη πρόσβαση σε αυτές, σε αποθηκευμένες εικόνες σε έναν κατάλογο προσωρινής μνήμης, ώστε να μην χρειάζεται να ξαναπεράζουν τα Timthumb. Αυτή η λειτουργία θα μπορούσε να εκμεταλλευτεί ένας χάκερ που ανέβαζε αρχεία στο διακομιστή, επιτρέποντάς τους να έχουν πρόσβαση σε όσους πόρους από την εγκατάσταση του WordPress όπως επιθυμούν.
Ακριβώς το ίδιο πρόβλημα που επηρεάζεται Μεταφόρτωση , ένα plugin που επιτρέπει στους χρήστες να ανεβάζουν αρχεία. Όταν δεν ελέγχθηκε σωστά το plugin επέτρεψε στους χάκερς να έχουν ελεύθερη πρόσβαση στον ιστότοπο φορτώντας δέσμες ενεργειών PHP για να παραχωρούν δικαιώματα πρόσβασης.
Εικόνα συντήρησης μέσω Shutterstock.
Το πρόβλημα σε αυτές τις περιπτώσεις, όπως και στην πλειοψηφία των επιθέσεων εκμετάλλευσης, δεν ήταν το WordPress, αλλά οι ίδιοι οι plugins. Η λύση είναι απλή, διατηρείτε τα plugins σας ενημερωμένα και αναφέρετε τυχόν σφάλματα που αντιμετωπίζετε στους προγραμματιστές για να τους βοηθήσετε να επιδιορθώσουν πιθανά ζητήματα.
Εγχύσεις SQL
Η ίδια η εγκατάσταση WordPress δεν είναι ανοσοποιημένη σε προβλήματα. Ανάλογα με την έκδοση, η ένεση SQL μπορεί να είναι ένας μεγάλος πονοκέφαλος. Μια έγχυση SQL είναι μια διαδικασία με την οποία ένας εισβολέας επιδιώκει να περάσει κώδικα SQL μέσω μιας φόρμας ιστότοπου ή σεναρίου με την ελπίδα ότι ο κώδικας SQL θα αναλύσει "σωστά" και θα ανακτήσει δεδομένα από τη βάση δεδομένων. Αυτά τα δεδομένα μπορεί να είναι διευθύνσεις ηλεκτρονικού ταχυδρομείου, αλλά πιθανότατα θα ήταν ονόματα χρηστών και κωδικοί πρόσβασης που θα έδιναν στη συνέχεια στον χρήστη περισσότερη πρόσβαση για άλλες επιθέσεις.
Ο λόγος για τον οποίο οι επιθέσεις SQL μπορεί να είναι τόσο ενοχλητικές είναι ότι για την καταπολέμησή τους πρέπει να δημιουργήσετε αντίγραφα ασφαλείας της βάσης δεδομένων σας. Κατά προτίμηση τουλάχιστον μία φορά την ημέρα.
Εικόνα συντήρησης μέσω Shutterstock.
Για να αποφύγετε αυτό, μπορείτε να προσπαθήσετε να διασφαλίσετε τα αρχεία σας χρησιμοποιώντας το Apache με έναν κώδικα όπως αυτό στο αρχείο .htaccess:
RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{QUERY_STRING} tag= [NC,OR]RewriteCond %{QUERY_STRING} ftp: [NC,OR]RewriteCond %{QUERY_STRING} http: [NC,OR]RewriteCond %{QUERY_STRING} https: [NC,OR]RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^(.*)$ - [F,L] Αυτό θα αναβάλει έναν ερασιτέχνη, αλλά ένας επαγγελματίας χάκερ θα βρει μια άλλη τρύπα ασφαλείας για να εκμεταλλευτεί. Ευτυχώς, οι περισσότερες επιθέσεις διαπράττονται από αρχάριους ή spammers, χρησιμοποιώντας δέσμες ενεργειών όπως το PHP r57 ή Shell. Η μείωση αυτών των επιθέσεων θα μειώσει σημαντικά την ποσότητα των προβλημάτων που πρέπει να αντιμετωπίσετε.
Προεπιλεγμένος χρήστης
Η μεγαλύτερη τρύπα ασφαλείας σε κάθε σύστημα είναι ο τελικός χρήστης. Δεν έχει σημασία πόσο σύνθετος είναι ένας κωδικός πρόσβασης που δημιουργείτε. Στην πραγματικότητα, όσο πιο σύνθετο είναι ο κωδικός πρόσβασης, τόσο χειρότερο είναι ο κίνδυνος ασφάλειας. γιατί πολύπλοκοι κωδικοί πρόσβασης πρέπει να σωθούν κάπου. Οι χρήστες αποθηκεύουν συχνά κωδικούς πρόσβασης σε αρχεία .txt ή .doc στον υπολογιστή τους και αφήνει το σύστημα ανοιχτό σε επιθέσεις phishing χρησιμοποιώντας αρχεία ιού όπως τα trojans.
Το μόνο ασφαλές μέρος για να αποθηκεύσετε έναν κωδικό πρόσβασης είναι μέσα στο δικό σας κεφάλι.
Ωστόσο, ακόμη και αν αποθηκεύετε μόνο τον κωδικό σας στη δική σας μνήμη, δεν είστε ακόμα ασφαλείς από τις επιθέσεις βίαιης βίας. Μια επίθεση βίαιης δύναμης θα προσπαθήσει απλώς να «μαντέψει» τον κωδικό σας με επαναλαμβανόμενες προσπάθειες σύνδεσης. Μπορεί να ξεκινήσει με 'aaaaaa', προχωρώντας στο 'aaaaab' και ούτω καθεξής μέχρι να φτάσει στο '000000'. Αυτή η διαδικασία δεν περιορίζεται σε έναν μόνο υπολογιστή, συνήθως εκατοντάδες μηχανές που τρέχουν μέσω δυνητικών κωδικών πρόσβασης που αναζητούν πρόσβαση.
Ένας τρόπος για να χειριστείτε τις επιθέσεις βίαιης δύναμης είναι να εγκαταστήσετε έναν περιοριστή σύνδεσης που θα επιτρέψει μόνο λίγες προσπάθειες σύνδεσης πριν μπλοκάρει την πρόσβαση για αυτόν τον χρήστη για περίπου μία ώρα. Αυτό μειώνει τον αριθμό των πιθανοτήτων που πρέπει να εισέλθει ο εισβολέας. Υπάρχουν πολλά πρόσθετα WordPress που μπορούν να σας βοηθήσουν με αυτό: Περιορίστε τις προσπάθειες σύνδεσης , Καλύτερη ασφάλεια WP και Λύση ασφαλείας σύνδεσης .
Τέλος, δώστε προσοχή στα ονόματα χρηστών. Το προεπιλεγμένο όνομα χρήστη για το WordPress είναι 'Admin' και αν το αφήσετε αυτόματα, μειώνετε κατά το ήμισυ το ποσό εργασίας που χρειάζεται να κάνει ο χάκερ για να έχει πρόσβαση στον ιστότοπό σας. Εάν δεν αλλάξατε το όνομα χρήστη σας ενώ εγκαταστήσατε το WordPress το κάνετε τώρα. Απλώς συνδεθείτε στο λογαριασμό σας, δημιουργήστε ένα νέο λογαριασμό με το όνομα χρήστη που θέλετε, δώστε του δικαιώματα διαχειριστή και στη συνέχεια διαγράψτε το λογαριασμό διαχειριστή.
Καθαρισμός εικόνας μέσω Shutterstock.
Αμεση πρόσβαση
Ένα άλλο πρόβλημα που μπορεί να έχουν οι ιστότοποί μας στο WordPress είναι η άμεση πρόσβαση στη σελίδα σύνδεσης, απλοποιώντας τη διαδικασία hacking του ιστότοπού σας.
Ενώ η διασφάλιση των κωδικών πρόσβασης είναι το πιο πιεστικό ζήτημα, ένας κακόβουλος χρήστης δεν θα είναι σε θέση να κάνει χρήση οτιδήποτε έχει κλαπεί αν δεν μπορέσει να βρει τη σελίδα σύνδεσης. Η απλούστερη λύση σε αυτό είναι να χρησιμοποιήσετε ένα plugin όπως Απόκρυψη σύνδεσης για να αποκρύψετε τη θέση της σύνδεσης.
Ορισμένα αρχεία στην εγκατάσταση του WordPress μπορούν επίσης να αποκτήσουν πρόσβαση εάν δεν είναι σωστά ασφαλισμένα. Μπορούμε να ξεκαθαρίσουμε αυτά τα χαλαρά άκρα προσθέτοντας κάποιους περισσότερους κανόνες στο αρχείο μας .htaccess, όπως έτσι:
Options All -IndexesOrder allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Προεπιλεγμένο πρόθεμα
Θα πρέπει να είναι σαφές ότι όσο περισσότερες πληροφορίες δίνουμε στον πιθανό μας χάκερ, τόσο ευκολότερο είναι να πετύχουν.
Το προεπιλεγμένο πρόθεμα πίνακα WordPress είναι 'wp_'. Γιατί θα θέλαμε να τους δώσουμε αυτό; Ας αλλάξουμε αυτό το πρόθεμα σε κάτι πιο δύσκολο να υποθέσουμε, όπως για παράδειγμα 'oijrr58_', θα κάνει τη ζωή τους πολύ πιο δύσκολη και θα αυξήσει τις πιθανότητες ότι ο ιστότοπός σας θα παραμείνει ασφαλής.
Για νέες εγκαταστάσεις, αυτό είναι ένα μη-brainer επειδή το σενάριο εγκατάστασης μας ζητάει ένα πρόθεμα. Για παλαιότερους ιστότοπους έχετε δύο επιλογές, μπορείτε είτε να κάνετε την αλλαγή χειροκίνητα (προσπαθήστε μόνο εάν έχετε πολύ χρόνο και είστε σίγουροι ότι ξέρετε τι κάνετε) ή χρησιμοποιήστε ένα plugin όπως Καλύτερη ασφάλεια WP που θα το φροντίσει για εσάς.
Πολύ αργά…
Ποτέ δεν είναι αργά. Μπορείτε πάντα να καταπολεμήσετε τους χάκερ και να αποτρέψετε τον εαυτό σας από το να γίνει ένα διαρκές θύμα.
Εάν δεν είστε σίγουροι εάν ο ιστότοπός σας έχει μολυνθεί, υπάρχουν εργαλεία που θα σας πουν. Sucuri SiteCheck για παράδειγμα, θα σαρώσει τον ιστότοπό σας και αν έχετε μολυνθεί, θα σας συμβουλέψει σχετικά με τα βήματα που πρέπει να ακολουθήσετε για τη διόρθωση του προβλήματος.
Επικίνδυνη εικόνα μέσω Shutterstock.
Βασικές διορθώσεις
Ακολουθούν ορισμένα βασικά βήματα που πρέπει να ακολουθήσετε:
- Δημιουργία αντιγράφων ασφαλείας του ιστότοπου και της βάσης δεδομένων, hacked ή όχι, δεν θέλετε να χάσετε το περιεχόμενό σας.
- Δημιουργήστε αντίγραφα αντικειμένων που δεν βρίσκονται στη βάση δεδομένων σας, όπως εικόνες.
- Κατεβάστε την τελευταία έκδοση του WordPress.
- Βεβαιωθείτε ότι όλα τα plugins είναι ενημερωμένα, ελέγξτε ποιες εκδόσεις επιλύουν γνωστά προβλήματα.
- Βεβαιωθείτε ότι τα πρότυπα είναι ενημερωμένα, ελέγξτε ποιες εκδόσεις επιλύουν γνωστά προβλήματα.
- Χρησιμοποιήστε έναν υπολογιστή-πελάτη FTP ή cPanel για να διαγράψετε τα πάντα στον κατάλογο WordPress.
- Μεταφορτώστε τα νέα αρχεία που κατεβάσατε.
- Εκτελέστε την αναβάθμιση βάσης δεδομένων.
- Αλλάξτε τον κωδικό πρόσβασής σας, δεν θέλετε να αφήσετε τους χάκερς πίσω.
- Τέλος, ελέγξτε κάθε θέση, διορθώνοντας τυχόν ζημιές που έχουν γίνει.
Καταπολέμηση scripts r57
Το r57 είναι ένα script PHP που δίνει στον εισβολέα ένα ευρύ φάσμα δυνατοτήτων, αν και ο επιτιθέμενος έχει αυτές τις δυνατότητες, αυτές δεν θα λειτουργήσουν μέχρι το κέλυφος να βρίσκεται στον εξυπηρετητή ιστού μας, συνεπώς μπορούμε να το αποτρέψουμε από την εργασία με τις ακόλουθες εντολές:
find /var/www/ -name "*".php -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqΑυτή η εντολή θα ψάξει για τα αρχεία PHP που βρίσκονται στο φάκελο WWW σας, τότε μέσα στα αρχεία που βρέθηκαν θα αναζητήσει οποιαδήποτε αναφορά του r57 στο όνομα αρχείου και τα περιεχόμενα. Στη συνέχεια, θα διαγράψει τα μολυσμένα αρχεία.
find /var/www/ -name "*".txt -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqΑυτός ο κώδικας κάνει το ίδιο, εκτός από τα αρχεία TXT αντί των αρχείων .php.
Σημειώστε ότι αυτοί οι κώδικες είναι για το Linux, μην τους δοκιμάζετε σε Windows ή MacOS και γνωρίζετε ότι είναι δυνητικά πολύ καταστρεπτικοί καθώς θα διαγράψουν αρχεία χωρίς να ζητήσουν άδεια.
Κρυφό κώδικα
Ένα σημαντικό αίτιο ανησυχίας μέσα στα θέματα είναι ο κρυμμένος κώδικας, επειδή ο κακόβουλος κώδικας τείνει να είναι πιο δύσκολο να βρεθεί μέσα στα θέματα. Μπορούν να γίνουν κάθε είδους ζημίες, από την ανακατεύθυνση χρηστών σε άλλους ιστότοπους, στη βύθιση του SEO σας.
Ένα βασικό όπλο για την καταπολέμηση αυτού του είδους προβλήματος είναι Έλεγχος αυθεντικότητας θέματος . Αυτό το plugin δεν θα ελέγχει μόνο τον κώδικα για τις ύποπτες γραμμές, αλλά θα ανιχνεύει στατικούς συνδέσμους και κωδικό κρυμμένο κώδικα σαν τον κώδικα που δημιουργείται στη βάση 64 που είναι δύσκολο να εντοπιστεί από το μάτι.
Με ξεγελάτε μια φορά, ντροπή σε σας ...
Ακριβώς επειδή έχετε πιάσει στο παρελθόν, δεν σημαίνει ότι πρέπει να συνεχίσετε να παίζετε.
Εξετάστε τα εξής:
- Επιτρέψτε μόνο PHP όταν είναι απολύτως απαραίτητο.
- Βεβαιωθείτε ότι ο διακομιστής ιστού δεν επιτρέπει στους υπολογιστές-πελάτες να τροποποιήσουν το αρχείο .htacess.
- Εφαρμόστε ένα τείχος προστασίας που θα περιορίζει την έξοδο αλληλογραφίας στη θύρα 25 μόνο στο αναγνωριστικό του root και του διακομιστή ηλεκτρονικού ταχυδρομείου.
- Παρακολουθήστε τις μεταφορτώσεις στον ιστότοπό σας με μια εφαρμογή όπως Εκτυπωτής ConfigServer eXploit .
Επισκευή εικόνας μέσω Shutterstock.
Τελικά
Η ασφάλεια του WordPress είναι εξίσου σημαντική με την ασφάλεια κάθε τοποθεσίας. Πρέπει να διασφαλίσετε ότι τόσο εσείς όσο και οι χρήστες σας προστατεύεστε από ανεπιθύμητα μηνύματα, κακόβουλα προγράμματα και επιθέσεις ηλεκτρονικού ψαρέματος (phishing) Μην ξεχνάτε όμως ότι η πρώτη γραμμή άμυνας είναι στην πραγματικότητα το λογισμικό προστασίας από ιούς στην επιφάνεια εργασίας σας.
Έχετε αντιμετωπίσει προβλήματα με την ασφάλεια του WordPress; Πώς λύσατε το θέμα; Ενημερώστε μας στα σχόλια.
Γράφτηκε αποκλειστικά για το WDD από την οικογένεια Shock: μια ομάδα επαγγελματιών του web και δημιουργών του WordPress Θέματα Σοκ (Θέματα Wordpress Premium), Γεννήτρια θεμάτων WP (Ένας πολύ καλός δημιουργός θεμάτων wp), και DesignShock seful design sets). (u γραφικά σύνολα σχεδιασμού).