Видео: 5 НОВЫХ ЛАЙФХАКОВ С КОНСТРУКТОРОМ LEGO 4K (Септември 2024)
Като платформа за управление на съдържанието WordPress е изключително популярен сред потребителите, тъй като е толкова лесен за използване. Работата е там, че е популярна мишена и за престъпници и нападатели. Ако имате сайт в WordPress, трябва да предприемете няколко основни стъпки, за да защитите сайта си.
DDoS с WordPress
Въпреки че винаги съществува опасението, че вашият WordPress сайт може да бъде хакнат, за да достави злонамерен софтуер на посетителите на вашия сайт или да ги пренасочи към извратен сайт другаде в мрежата, вие също не искате да разберете, че вашият сайт се използва за стартирайте атаки срещу други сайтове. По-рано тази седмица охранителната фирма Sucuri съобщи, че над 162 000 WordPress сайтове са били подмамени да участват в разпространена атака за отказ на услуга срещу друг сайт.
Работата е там, че сайтовете не са били отвлечени или заразени, за да образуват ботнет. Нападателите злоупотребяват с Pingbacks, напълно легитимна функция в WordPress, за да наводнят целевия сайт с нежелан трафик. Pingbacks се използват от един WordPress сайт за уведомяване на други сайтове, когато публикация е свързана с тях. В атаката, наблюдавана от Sucuri, нападателят измамени сайтовете да изпрати Pingback заявка до същия целеви URL адрес, което беше лесно да се направи, тъй като Pingback е активиран по подразбиране в WordPress. Целевият сайт внезапно беше бомбардиран с заявки за Pingback, които по същество бяха монтирани към DdoS атака.
Ако използвате WordPress, трябва да помислите за изключване на Pingbacks, за да сте сигурни, че вашият сайт не може да се използва за атака на други сайтове. Функцията ви уведомява, когато някой друг говори за вас, което е приятен его-бустер, но заслужава ли си да го държите наоколо, за да бъдете злоупотребявани? Sucuri има предложения как да блокира pingbacks на своя сайт.
Leaky WordPress
Дейв Люис, старши защитник на Akamai Technologies, използва Google, за да намери над 111 000 WordPress сайтове, чиито резервни копия на базата данни бяха достъпни от Интернет. Списъкът включваше "всякакъв вид уебсайтове от независими музикални сайтове до лекарски кабинети и дори някои правителствени уебсайтове", пише Люис в своя блог на CSO. На сметището се съдържаше подробна информация за базата данни, която нападателите биха могли да използват за стартиране на други атаки, но също и потенциално изтичане на вашите данни.
Очевидно резервните копия не трябва да са достъпни от Интернет. Ако архивирането се изпълнява локално на същия сървър, WordPress е инсталиран, тогава приставки от Wordfence или Sucuri могат да блокират неоторизиран достъп, заяви Люис.
Остарял WordPress
Най-важната задача за WordPress администраторите е да останат на върха на актуализациите на софтуера, не само за основната платформа, но и за всеки от плъгините, работещи на сайта. Остарелите версии на WordPress са постоянно атакувани, особено плъгините. „Зловредните хакери винаги търсят начини да заразят компютърните потребители и каква по-добра техника може да има от това да компрометира съществуващ, легитимен уебсайт и да го подрива по такъв начин, че той подъл инфектира компютърните потребители, когато го посещават“, заяви консултантът по сигурността Греъм Клейли.
Атакуващите могат да използват неуспешни недостатъци, за да извършват SQL инжектиране или кръстосани скриптови атаки. Недостатъците могат да се използват и за заразяване на сайта със зловреден софтуер. В по-голямата си част тези проблеми обикновено са резултат от проблеми с плъгини, а не от основната софтуерна платформа, което прави още по-критично, че плъгините се актуализират редовно.
Важно е да се отбележи разликата между сайтове, хоствани в WordPress.com, и WordPress сайтове, които работят на други сървъри. Екипът, който стои зад WordPress, поддържа софтуера актуален в WordPress.com, така че на отделните потребители да не им се налага. Самостоятелно хостваните сайтове изискват от собственика на сайта да остане на върха на корекциите и актуализациите, за да се увери, че софтуерът остава актуален.
Ако ще стартирате WordPress, продължете напред пред атакуващите, като поддържате редовно актуализиран вашия сайт.
