Video: ТОП 5 ошибок WordPress и их решения (Noiembrie 2024)
Ca platformă de gestionare a conținutului, WordPress este extrem de popular printre utilizatori, deoarece este atât de ușor de utilizat. Chestia este că, de asemenea, este o țintă populară pentru infractori și atacatori. Dacă aveți un site WordPress, trebuie să faceți niște pași de bază pentru a vă asigura site-ul.
DDoS cu WordPress
Cu toate că există întotdeauna îngrijorarea că site-ul dvs. WordPress poate fi hackat pentru a servi malware pentru vizitatorii site-ului dvs. sau pentru a-i redirecționa către un site dodgy în altă parte de pe Web, nu doriți să aflați că site-ul dvs. este folosit pentru lansează atacuri împotriva altor site-uri. La începutul acestei săptămâni, firma de securitate Sucuri a raportat că peste 162.000 de site-uri WordPress au fost păcălite să participe la un atac distribuit de refuz de serviciu împotriva altui site.
Chestia este că site-urile nu au fost deturnate sau infectate pentru a forma o botnet. Atacatorii au abuzat de Pingbacks, o caracteristică perfect legitimă în WordPress, pentru a inunda site-ul vizat cu trafic nedorit. Pingbacks-urile sunt folosite de un site WordPress pentru a notifica alte site-uri atunci când o postare este legată de ele. În atacul observat de Sucuri, atacatorul a păcălit site-urile să trimită o cerere Pingback către aceeași adresă URL, lucru ușor de făcut, deoarece Pingback este activat implicit în WordPress. Site-ul vizat a fost bombardat brusc cu solicitări Pingback, care în mod esențial au fost supuse unui atac DdoS.
Dacă executați WordPress, ar trebui să luați în considerare oprirea Pingbacks pentru a vă asigura că site-ul dvs. nu poate fi utilizat pentru a ataca alte site-uri. Funcția vă notifică atunci când altcineva vorbește despre voi, ceea ce este un ego-rapel drăguț, dar merită să vă păstrați abuzul? Sucuri are sugestii despre cum să blocați ping-back-urile de pe site-ul său.
WordPress scăpător
Dave Lewis, un avocat al securității în vigoare cu Akamai Technologies, a folosit Google pentru a găsi peste 111.000 de site-uri WordPress ale căror backup-uri ale bazelor de date erau accesibile de pe Internet. Lista includea „toate tipurile de site-uri web de la site-uri de muzică independente până la cabinetele de medic și chiar unele site-uri guvernamentale”, a scris Lewis pe blogul său CSO. Descărcarea de gestiune conținea informații detaliate despre baza de date, pe care atacatorii ar putea să o folosească pentru a lansa alte atacuri, dar și o posibilă scurgere a datelor tale.
Evident, backup-urile nu ar trebui să fie accesibile de pe Internet. Dacă backup-urile rulează local pe același server pe care este instalat WordPress, atunci plugin-urile de la Wordfence sau Sucuri pot bloca accesul neautorizat, a spus Lewis.
WordPress depășit
Cea mai importantă sarcină pentru administratorii WordPress este să rămână la curent cu actualizările software, nu doar pentru platforma de bază, ci pentru fiecare dintre pluginurile care rulează pe site. Versiunile depășite ale WordPress sunt în permanență atacate, în special pluginurile. "Hackerii răuvoitori caută întotdeauna modalități de a infecta utilizatorii de calculatoare și ce tehnică mai bună poate exista decât să compromită un site web existent, legitim și să-l transforme în așa fel încât să-i infecteze pe utilizatori de computer atunci când îl vizitează", a spus consultantul de securitate. Graham Cluley.
Atacatorii pot exploata defecte neatacate pentru a efectua injecții SQL sau atacuri de script-site-uri. Defectele pot fi exploatate și pentru a infecta site-ul cu malware. În mare parte, aceste probleme sunt, în general, rezultatul problemelor cu plugin-uri, nu cu platforma software principală, ceea ce face și mai critic faptul că pluginurile sunt actualizate în mod regulat.
Este important de remarcat diferența dintre site-urile găzduite pe WordPress.com și site-urile WordPress care rulează pe alte servere. Echipa din spatele WordPress menține software-ul la zi pe WordPress.com, astfel încât utilizatorii individuali nu trebuie. Site-urile self-hosting necesită proprietarul site-ului să rămână deasupra patch-urilor și actualizărilor pentru a vă asigura că software-ul rămâne actual.
Dacă aveți de gând să rulați WordPress, păstrați-vă în fața atacatorilor prin menținerea site-ului actualizat în mod regulat.