הרחק מהתוקפים מאתר הוורדפרס שלך

כפלטפורמה לניהול תוכן, וורדפרס פופולרית מאוד בקרב המשתמשים מכיוון שהיא כל כך קלה לשימוש. העניין הוא שזה יעד פופולרי גם לעבריינים ותוקפים. אם יש לך אתר WordPress, עליך לנקוט בצעדים בסיסיים כדי לאבטח את האתר שלך.

DDoS עם וורדפרס

למרות שיש תמיד את הדאגה שאפשר לפרוץ את אתר וורדפרס שלך בכדי להגיש תוכנות זדוניות למבקרים באתר שלך, או להפנות אותם לאתר מעורפל במקום אחר באינטרנט, אתה גם לא רוצה לגלות שהאתר שלך משמש אליו הפעל התקפות נגד אתרים אחרים. מוקדם יותר השבוע דיווחה חברת האבטחה סוקורי כי למעלה מ 162, 000 אתרי וורדפרס הונעו להשתתף במתקפת מניעת שירות מופצת נגד אתר אחר.

העניין הוא שהאתרים לא נחטפו ולא נדבקו כדי ליצור בוטנט. התוקפים התעללו בפינגבק, תכונה לגיטימית לחלוטין בוורדפרס, כדי להציף את האתר הממוקד בתנועה לא רצויה. שימוש ב- Pingbacks על ידי אתר וורדפרס אחד כדי להודיע ​​על אתרים אחרים כאשר פוסט מקושר אליהם. בהתקפה שנצפתה על ידי סוקורי, התוקף הוביל את האתרים לשלוח בקשת Pingback לאותה כתובת אתר יעד, דבר שהיה קל לעשות מאחר ש- Pingback מופעל כברירת מחדל בוורדפרס. האתר הממוקד הופצץ לפתע בבקשות של פינגבק, שמהווה למעשה את התקפת DdoS.

אם אתה מפעיל וורדפרס, עליך לשקול לכבות את ה- Pingbacks כדי לוודא שלא ניתן להשתמש באתר שלך כדי לתקוף אתרים אחרים. התכונה מודיעה לך כשמישהו אחר מדבר עליך, שהוא מגבר אגו נחמד, אך האם כדאי לשמור עליו כדי להתעלל בו? לסוקורי יש הצעות כיצד לחסום פינגבקים באתר שלה.

וורדפרס דולף

דייב לואיס, פרקליט אבטחה בכיר בחברת אקאמאי טכנולוגיות, השתמש בגוגל כדי למצוא יותר מ111, 000 אתרי וורדפרס שגיבויי בסיס הנתונים שלהם היו נגישים מהאינטרנט. הרשימה כללה "כל מיני אתרים מאתרי מוזיקה עצמאיים ועד משרדי רופאים ואפילו כמה אתרים ממשלתיים", כתב לואיס בבלוג CSO שלו. המזבלה הכילה מידע מפורט על בסיס הנתונים, בו התוקפים יוכלו להשתמש בכדי לפתוח בתקיפות אחרות, אך גם דליפה אפשרית של הנתונים שלך.

ברור שגיבויים לא צריכים להיות נגישים מהאינטרנט. אם גיבויים פועלים באופן מקומי באותו שרת בו מותקנת וורדפרס, אז תוספים מ- Wordfence או Sucuri יכולים לחסום גישה לא מורשית, אמר לואיס.

וורדפרס מיושן

המשימה החשובה ביותר עבור מנהלי וורדפרס היא לשמור על עדכוני תוכנה, לא רק עבור פלטפורמת הליבה, אלא עבור כל אחד מהתוספים הפועלים באתר. גרסאות מיושנות של וורדפרס נמצאות תחת התקפה מתמדת, במיוחד התוספים. יועץ האבטחה אמר יועץ האבטחה כי "האקרים זדוניים תמיד מחפשים דרכים להדביק משתמשים במחשבים, ואיזו טכניקה טובה יותר יכולה להיות מאשר להתפשר על אתר קיים, לגיטימי, ולהפוך אותו באופן כזה שהוא מדביק בעדיפות את משתמשי המחשבים כשהם מבקרים בו. גרהם קללי.

התוקפים יכולים לנצל פגמים שלא נראו עד כה לביצוע הזרקת SQL או התקפות תסריטים חוצה אתרים. ניתן לנצל את הפגמים גם כדי להדביק תוכנה זדונית באתר. לרוב, בעיות אלה הן בדרך כלל תוצאה של בעיות בתוספים, ולא בפלטפורמת תוכנת הליבה, מה שהופך את זה לקריטי עוד יותר שהתוספים מתעדכנים באופן קבוע.

חשוב לציין את ההבדל בין אתרים המתארחים ב- WordPress.com לבין אתרי וורדפרס הפועלים בשרתים אחרים. הצוות שעומד מאחורי WordPress שומר את התוכנה מעודכנת ב- WordPress.com, כך שמשתמשים פרטיים לא חייבים לעשות זאת. אתרים המתארחים בעצמם מחייבים את בעל האתר להישאר מעודכן על תיקונים ועדכונים כדי לוודא שהתוכנה נשארת עדכנית.

אם אתה מתכוון להפעיל את וורדפרס, המשך להקדים את התוקפים על ידי עדכון האתר שלך באופן קבוע.