Vanlige WordPress-angrep og hvordan du kan stoppe dem

Vanlige WordPress-angrep og hvordan du kan stoppe dem

WordPress har vært et av de ledende innholdsstyringssystemene (CMS) i mer enn et tiår. Mange av internettets største blogger, så vel som mange små, individuelle nettsteder, kjører på WordPress-rammeverket for publisering av tekst, bilde og videoinnhold til hele verden..


Et WordPress-nettsted har både front-end og back-end-grensesnitt. Frontend gir utsikten som besøkende utenfor vil se når de laster inn nettsiden. Baksiden kan nås av administratorer og bidragsytere som er ansvarlige for å utarbeide, designe og publisere innhold.

Som alle andre internettbaserte systemer er WordPress et mål for hackingforsøk og andre former for nettkriminalitet. Noe som er fornuftig å vurdere nå mer enn 32% av internett kjører på WordPress. I denne artikkelen skal vi gjennomgå noen av de vanligste WordPress-angrepene på programvaren og deretter gi forslag til hvordan du kan forsvare deg mot dem og holde nettstedet ditt sikkert.

Metoder for vanlige WordPress-angrep

La oss først se på det vanlige angrepet som WordPress-nettstedseiere kan støte på.

1. SQL-injeksjon

Vanlige WordPress Attacks: SQL Injection

WordPress CMS-plattformen er avhengig av et databasesjikt som lagrer metadatainformasjon samt annen administrativ informasjon. For eksempel vil en typisk SQL-basert WordPress-database inneholde brukerinformasjon, innholdsinformasjon og konfigurasjon av nettsteder.

Når en hacker utfører et SQL-injeksjonsangrep, bruker de en forespørselsparameter, enten gjennom et inndatafelt eller en URL, for å kjøre en tilpasset databasekommando. Et “VELG” -spørsmål lar hackeren se ekstra informasjon fra databasen, mens en “OPPDATER” -spørring lar dem faktisk endre data.

I 2011 falt et nettverkssikkerhetsselskap kalt Barracuda Networks offer for a SQL-injeksjonsangrep. Hackerne kjørte en serie kommandoer over hele nettstedet Barracuda og fant etter hvert en sårbar side som kan brukes som en portal til selskapets primære database.

2. Skriftbruk på tvers av sider

Et script-angrep på tvers av nettsteder, også kjent som XSS, ligner på SQL-injeksjon, aksepter at det retter seg mot JavaScript-elementene på en webside i stedet for databasen bak applikasjonen. Et vellykket angrep kan føre til at den private informasjonen til en ekstern besøkende blir kompromittert.

Med et XSS-angrep legger hackeren JavaScript-kode til et nettsted gjennom et kommentarfelt eller annen tekstinnføring, og deretter kjøres det ondsinnede skriptet når andre brukere besøker siden. Det useriøse JavaScript vil vanligvis viderekoble brukere til et uredelig nettsted som vil forsøke å stjele passordet eller andre identifiserende data.

Selv populære nettsteder som eBay kan være mål for XSS-angrep. I det siste har hackere lagt til ondsinnet kode til produktsider og overbeviste kundene om å logge seg på en falsk webside.

3. Kommandoinjeksjon

Plattformer som WordPress fungerer på tre primære lag: webserveren, applikasjonsserveren og databaseserveren. Men hver av disse serverne kjører på maskinvare med et spesifikt operativsystem, for eksempel Microsoft Windows eller open source Linux, og som representerer et eget potensielt sårbarhetsområde.

Med et kommandoinjeksjonsangrep vil en hacker legge inn ondsinnet informasjon i et tekstfelt eller URL, som ligner på en SQL-injeksjon. Forskjellen er at koden vil inneholde en kommando som bare operativsystemer vil gjenkjenne, for eksempel “ls” -kommandoen. Hvis den kjøres, vil dette vise en liste over alle filer og kataloger på vertsserveren.

Enkelte internetttilkoblede kameraer har vist seg å være spesielt utsatt for angrep på kommandoinjeksjoner. Firmwareen deres kan eksponere systemkonfigurasjonen for eksterne brukere når en useriøs kommando blir gitt.

4. Inkludering av fil

Vanlige WordPress-angrep: Filinkludering

Vanlige webkodingsspråk som PHP og Java lar programmerere referere til eksterne filer og skript fra koden. “Inkluder” -kommandoen er det generiske navnet på denne typen aktiviteter.

I visse situasjoner kan en hacker manipulere nettadressen til en webside for å kompromittere delen “inkluderer” i koden og få tilgang til andre deler av applikasjonsserveren. Enkelte plugin-moduler for WordPress-plattformen har blitt funnet å være sårbare mot angrep av fil inkludering. Når slike hacks oppstår, kan infiltratoren få tilgang til alle data på den primære applikasjonsserveren.

Tips for beskyttelse

Nå som du vet hva du skal være på utkikk etter, her er noen enkle måter å gjøre WordPress-sikkerheten vanskeligere. Det er klart det er mange flere måter å sikre nettstedet ditt enn det som er nevnt nedenfor, men dette er relativt enkle metoder å starte med som kan gi imponerende avkastning hos hackere som er forhindret..

1. Bruk en sikker vert og brannmur

WordPress-plattformen kan enten kjøres fra en lokal server eller administreres gjennom et nettskyvertsmiljø. For å opprettholde et sikkert system foretrekkes det hostede alternativet. De beste WordPress-vertene på markedet vil tilby SSL-kryptering og andre former for sikkerhetsbeskyttelse.

Vanlige WordPress Attacks: Firewall

Når du konfigurerer et vert WordPress-miljø, er det viktig å aktivere en intern brannmur som vil beskytte tilkoblinger mellom applikasjonsserveren din og andre nettverkslag. En brannmur vil kontrollere gyldigheten av alle forespørsler mellom lag for å sikre at bare legitime forespørsler tillates behandlet.

2. Hold temaer og plugins oppdatert

WordPress-samfunnet er fylt med tredjepartsutviklere som kontinuerlig jobber med nye temaer og plugins for å utnytte kraften til CMS-plattformen. Disse tilleggene kan enten være gratis eller betalt. Plugins og temaer bør alltid lastes ned direkte fra WordPress.org-nettstedet.

Eksterne plugin-moduler og temaer kan være risikable, siden de inkluderer kode som vil bli kjørt på applikasjonsserveren. Bare stol på tillegg som kommer fra en anerkjent kilde og utvikler. I tillegg bør du oppdatere plugins og temaer regelmessig, da utviklere vil gi ut sikkerhetsforbedringer.

Innen WordPress admin konsoll, fanen “Oppdateringer” finner du helt øverst i “Dashboard” -menylisten.

3. Installer en virusscanner og VPN

Hvis du kjører WordPress i et lokalt miljø eller har full servertilgang gjennom hostingleverandøren din, må du være sikker på at en robust virusscanner kjører på operativsystemet ditt. Gratis verktøy for å skanne WordPress-nettstedet ditt som Virus Total, vil sjekke alle ressurser for å se etter sårbarheter.

Når du kobler deg til ditt WordPress-miljø fra et eksternt sted, bør du alltid bruke en virtuell privat nettverk (VPN) -klient, som vil sikre at all datakommunikasjon mellom din lokale datamaskin og serveren er fullstendig kryptert.

4. Lockdown Against Brute Force Attacks

Et av de mest populære og vanlige WordPress-angrepene har form av såkalte brute force-angrep. Dette er ikke annet enn et automatisert program en hacker slipper løs ved inngangsdøren. Den sitter der og prøvde tusenvis av forskjellige passordkombinasjoner og snubler over den rette ofte nok til å gjøre det verdt.

Den gode nyheten er at det er en enkel måte å folie kraft på. Den dårlige nyheten er at for mange nettstedseiere ikke bruker fiksen. Sjekk ut All in One WP Security and Firewall. Det er gratis og lar deg sette en hard grense for påloggingsforsøk. Etter tre forsøk låser plugin-modulen for eksempel nettstedet mot ytterligere pålogginger av den IP-adressen i en forhåndsinnstilt tidsperiode. Du vil også motta en e-postvarsling om at låsefunksjonen er utløst.

5. Godkjenning av to faktorer

Denne praktfulle metoden for å sikre nettstedet ditt er avhengig av at hackeren sannsynligvis ikke vil kunne ta kontroll over to av enhetene dine samtidig. For eksempel en datamaskin OG mobiltelefon. To-faktor autentisering (2FA) gjør logging på nettstedet ditt til en totrinns prosess. Som vanlig logger du deg inn på vanlig måte, men vil deretter bli bedt om å oppgi en ekstra kode som er sendt til telefonen.

Smart, ikke sant? Dette ene ekstra trinnet øker sikkerheten til nettstedet ditt eksponentielt ved å dele innloggingen i forskjellige trinn. Se på dette liste over gratis plugins som vil hjelpe deg med å sette opp 2FA. De hackerne som tenkte å prøve å rote med nettstedet ditt, har sannsynligvis allerede ombestemt seg.

Konklusjon

Selv om det ikke er noe som heter et 100% sikkert nettsted, er det mange trinn du kan ta for å beskytte nettstedet ditt. Å bruke en god brannmur, holde temaene og programtilleggene oppdatert og periodisk kjøre en virusscanning kan gjøre en stor forskjell.

Det kan hjelpe å tenke på nettstedets sikkerhet som en evig iterativ prosess. Det skal aldri komme et poeng når du går tilbake og tror det er “komplett” fordi spillet mellom hackere og nettstedforsvarere aldri vil stoppe, med selv offisielt sanksjonerte online spillere som kommer inn i online overvåking virksomhet . Bare ved å holde deg kjent med de nyeste truslene og hvordan du skal frastøte dem, vil du kunne opprettholde cybersikkerhet og online personvern.

Det er synd at verden må være slik, men godta den og gå videre. Hvis du aldri har gjort det før, ville det være et godt tidspunkt å finne noen respekterte nettsteder for nettbasert sikkerhet. Enten kan du abonnere på nyhetsbrevet ditt eller i det minste besøke regelmessig. Kom i gang ved å kjøre et Google-søk (eller søkemotoren du velger) etter “cybersecurity-nyheter.”

Har du et spørsmål, eller flere tips å legge til? Legg igjen en kommentar og gi oss beskjed.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map