5 проблем безопасности и уязвимостей WordPress, о которых вы должны зн?.

– и, что неудивительно, самая взламываемая. В 2018 году успешно взломанных составляли сайты , что составляло около на веб-сайты в минуту.

Если вы используете , эти данные могут побудить вас рассмотреть альтернативу. Имеет смысл поставить под сомнение безопасность любой веб-службы – взлом тратит время, энергию и деньги. Это вредит вашему бизнесу и репутации в Интернете. Это подрывает доверие ваших пользователей. И, в худшем случае, это подвергает опасности пострадавших.

Невозможно количественно оценить количество угроз, с которыми любой веб-сайт может сталкиваться изо дня в день. Однако есть несколько конкретных вопросов, которые требуют особого внимания со стороны пользователей .

В этой статье мы рассмотрим 5 проблем безопасности , которые вам необходимо знать, чтобы защитить свой сайт . Для каждой проблемы я объясню, что в первую очередь делает уязвимым для этих проблем, а также как их предотвратить, чтобы вы могли чувствовать себя в безопасности, используя в качестве своей CMS.

Проблемы безопасности , о которых нужно знать

1. Несанкционированный вход
2. Вредоносное ПО
3. Инъекции в базу данных
4. Межсайтовый скриптинг
5. Атаки отказа в обслуживании

Несанкционированный вход

Несанкционированный вход в систему обычно выполняется «грубой силой». При входе в систему методом перебора злоумышленник использует бота, чтобы быстро угадать миллиарды потенциальных комбинаций имени пользователя и пароля. Если им повезет, они в конечном итоге угадают правильные учетные данные и получат доступ к защищенной информации.

Этот процесс – зрелище (и это несколько пугает):

Почему сайты уязвимы

Есть две основные причины, по которым эти атаки успешно происходят на сайтах . Во-первых, страницу входа в бэкэнд по умолчанию для любого сайта легко найти. Просто возьмите основной URL-адрес сайта, добавьте в конец «/ wp-admin» или «/wp-login.php», и вы на месте. Если URL-адрес страницы входа остается неизменным, злоумышленники легко найдут эту страницу и попытаются выполнить вход методом грубой силы.

Но в случае несанкционированного входа в систему ответственность также ложится на пользователя . Соединив имя пользователя по умолчанию «admin» с простым общим паролем, у злоумышленников нет проблем с доступом к серверной части уязвимого сайта .

Что ты можешь сделать

Самая простая и эффективная защита от взлома методом грубой силы – это которые хакерам сложно угадать, даже с использованием технологий, которые выглядят как что-то из Матрицы. В предупреждениях о слабых, предсказуемых паролях нет ничего нового, но многие до сих пор не понимают этого. Просто прочтите список и плачьте.

Позвольте мне показать вам, почему добавление небольшого количества сложности к вашим учетным данным является удивительно эффективным. В таблице ниже показано приблизительное время, необходимое алгоритму случайного перебора пароля для подбора пароля со скоростью около миллиарда в секунду, в зависимости от длины пароля и использования символов нижнего регистра (LC), символов верхнего регистра (UC), специальные символы (SC) и цифры.

Как показано, использование пароля с комбинацией типов символов и / или длины сделает попытку раскрытия грубой силы практически невозможной.

Хорошо, вы уверены, что надежные пароли действительно что-то делают. Но разве придумывать и запоминать все эти пароли сложно? Что ж, хорошо, что существуют. Эти удобные приложения сделают за вас все создание, запоминание и хранение.

Помимо надежных паролей, вы можете предпринять дополнительные меры для предотвращения нежелательных записей:

• требует, чтобы пользователи подтвердили свой логин на отдельном устройстве.
• Подумайте о том, чтобы избавиться от учетной записи с именем пользователя «admin» (первое, что догадаются хакеры) и создать новую учетную запись администратора с секретным именем пользователя.
• Несколько авторитетных плагинов могут ограничивать попытки входа в систему и добавлять капчи, чтобы пресекать атаки грубой силы в зародыше. Для получения дополнительной информации см. Наш Контрольный список безопасности .

Имейте в виду, что метод грубой силы применим везде, где требуется пароль, поэтому обязательно укрепите свои логины для любой информации, защищенной паролем. И не повторяйте их на страницах входа в систему и не оставляйте их лицевой стороной вверх на стикерах!

Вредоносное ПО

Вредоносное ПО – это широкий термин, включающий любое вредоносное ПО (отсюда «вредоносное ПО»). Хакеры могут размещать вредоносные файлы среди законных файлов веб-сайтов или внедрять код в существующие файлы для кражи с веб-сайтов и их посетителей, попытки несанкционированного входа через файлы «бэкдор» или посеять общий хаос.

Почему сайты уязвимы

Вредоносное ПО обычно проникает на сайты через неавторизованные и устаревшие темы и плагины. Хакеры пользуются проблемами безопасности в плагинах и темах, имитируют существующие или даже создают совершенно новые дополнения с единственной целью – разместить вредоносный код на вашем сайте.

Что ты можешь сделать

Во-первых, тщательно проверяйте каждый плагин и тему, которые вы устанавливаете на свой сайт . .com перечисляет полезную статистику для всех плагинов в , как в примере ниже:

Выбирайте либо авторитетные бесплатные варианты, либо платные варианты, которые выполняют желаемую функцию. Эти плагины, вероятно, будут лучше поддерживаться и будут более безопасными, чем непроверенные плагины (держитесь подальше от них).

Те же правила применимы и к темам: не используйте только те темы , которые выглядят хорошо. Применяйте к своему сайту только темы, соответствующие стандартам для кода. Используйте чтобы проверить, безопасна ли тема для использования, вставив URL-адрес живой демонстрации темы в панель, и проверьте некоторые из тем .

Затем не забудьте обновить плагины, темы и ядро ​​ (файлы, которые запускают базовые функции ). Устаревшая функция с уязвимостями безопасности представляет собой прекрасную возможность для злоумышленников. Обратитесь к нашему руководству по обновлению ваших плагинов и инструкциям по обновлению .

Наряду с обновлениями мы рекомендуем удалить все плагины, которые вы не используете, и оставить только те, которые вам нужны. Каждый плагин, установленный на вашем сайте, увеличивает вероятность злонамеренного входа, поэтому, вероятно, лучше всего удалить тот случайный плагин классного виджета, который вы установили 3 года назад, но никогда не использовали.

Наконец, проводите регулярное сканирование безопасности, чтобы найти любые потенциальные вредоносные программы, скрывающиеся на вашем веб-сайте . Плагины здесь на самом деле ваши друзья: существует множество надежных плагинов безопасности, которые могут сканировать на наличие вредоносных программ и исправлять поврежденные файлы. Например, включает сканирование на вредоносные программы и другие функции для предотвращения большинства других проблем из этого списка. Вы также можете увидеть больше опций в нашем списке рекомендуемых сканеров безопасности WP.

-инъекции

С помощью -инъекции хакер получает возможность напрямую просматривать и изменять базу данных веб-сайта. – это язык программирования, используемый сайтами для управления базами данных, отсюда и название.

Поскольку веб-сайт – это, по сути, просто информация, извлеченная из базы данных и красиво отображаемая в вашем браузере, последствия такого рода атак мрачны. Злоумышленники могут использовать -инъекции для создания новых учетных записей на серверной части веб-сайта, добавления несанкционированного и опасного контента и ссылок на отображение сайта, а также утечки, редактирования и удаления данных.

Почему сайты уязвимы

Злоумышленники чаще всего получают доступ к базам данных в серверной части через формы отправки для посетителей, включая контактные формы, поля с информацией о платеже, формы для потенциальных клиентов и т.д. Конечно, хакеры не проявляют интереса к вашему контенту. Они отправляют код , который после сохранения в базе данных фактически запускается и вносит изменения изнутри.

Что ты можешь сделать

Четыре слова: никогда не доверяйте вводу пользователя. Любая функция на вашем сайте позволяет посетителям отправлять информацию непосредственно в вашу базу данных – это возможность для инъекции.

Решение? Отфильтруйте специальные символы в сообщениях пользователей, прежде чем информация попадет в вашу базу данных. Без символов вы превращаете строку вредоносного кода в безобидную тарабарщину. Подумайте об использовании плагина форм и / или плагина безопасности , чтобы сделать эту работу за вас. Подумайте о добавлении капчи в процесс отправки, чтобы роботы не предпринимали попыток.

Межсайтовый скриптинг

Межсайтовый скриптинг (XSS) происходит, когда злоумышленник помещает вредоносный код в серверную часть целевого веб-сайта. Атаки XSS похожи на инъекции в базу данных, поскольку злоумышленники пытаются внедрить код, который выполняется в ваших файлах. Однако XSS в первую очередь нацелен на функциональность веб-страниц.

Имея доступ к вашему интерфейсу, хакеры могут попытаться нанести вред посетителям, например, разместив замаскированную ссылку на неисправный веб-сайт или отобразив поддельную контактную форму для кражи информации о пользователе.

Почему сайты уязвимы

Опять же, виноваты здесь плагины и темы . Если злоумышленник обнаружит на вашей стороне устаревший или плохо обслуживаемый плагин, он может использовать его для доступа к файлам, которые определяют внешний вид вашего веб-сайта. То же самое и с небезопасными темами .

Что ты можешь сделать

Обновить, обновить, обновить! Всегда следите за тем, чтобы ядро ​​, плагины и тема работали с их последними версиями, и будьте очень осторожны при установке любого стороннего программного обеспечения на свой сайт.

Еще один полезный инструмент для предотвращения XSS – это брандмауэр веб-приложений (WAF), который проверяет трафик и предотвращает проникновение неутвержденных посетителей в вашу систему из внешних сетей. WAF легко настраивать и поддерживать, поэтому мы рекомендуем просматривать авторитетные чтобы защитить свой сайт от XSS, -инъекций и других атак.

Атаки отказа в обслуживании

Атака отказа в обслуживании (DoS) направлена ​​на то, чтобы заблокировать доступ администраторов и посетителей сайта к сайту. Для этого на целевой сервер отправляется такой объем трафика, что он дает сбой и закрывает все размещенные на нем веб-сайты. В конце концов, сервер и размещенные на нем веб-сайты восстанавливаются, но восстановить репутацию атакованных веб-сайтов может быть сложно.

Часто эти атаки проводятся с нескольких компьютеров одновременно (формируя ботнет ), что скрывает источник трафика и увеличивает объем спама. Это известно как распределенный отказ в обслуживании (DDoS), и это намного хуже.

Почему сайты уязвимы

Как и любому веб-сайту, работающим на , нужен хостинг. DoS- и DDoS-атаки нацелены на серверы, на которых размещены веб-сайты, а именно на серверы с ограниченной безопасностью.

Что ты можешь сделать

Не полагайтесь только на плагины для этого; Лучшая защита от DoS / DDoS-атак – это безопасный хостинг . Найдите надежного который соответствует потребностям вашего бизнеса и имеет репутацию серьезного отношения к безопасности.

Все мы знаем, что Интернет может быть пугающим местом, но это не значит, что мы не должны осознавать существующие угрозы и риски. Постоянная осведомленность о кибербезопасности – один из лучших способов защитить свое присутствие в Интернете, защитить рост вашего бизнеса и завоевать доверие клиентов. Оставайся там в безопасности!

записи:

• статьи о wordpress, web