Häkkerite rünnak WordPressi saidile – ennetamise viisid

printida · Время на чтение: 11мин · kõrval · Avaldatud · Uuendatud

mängidaKuulake seda artiklit

Kuidas kaitsta oma WordPressi saiti häkkerite eest?

Häkkerite rünnak WordPressi saidile on võimalik? Kas olete mures, et häkkerid ründavad teie WordPressi saiti? Soovin, et te ei muretseks, kuid tõde on see, et häkkerid ründavad pidevalt WordPressi veebisaite. See on peamiselt tingitud selle populaarsusest, kuna WordPress kasutab kolmandikku kõigist Internetis leiduvatest veebisaitidest.

Kuigi WordPress ise on turvaline veebisaitide loomise platvorm, ei tööta see üksi. WordPressi saidi käitamiseks vajate pistikprogramme ja teemasid. Pistikprogrammid ja teemad sisaldavad sageli turvaauke, mida häkkerid kasutavad veebisaitidele sissemurdmiseks.

Kui nad teie veebisaidile sisenevad, sooritavad nad kõikvõimalikke pahatahtlikke tegevusi, nagu konfidentsiaalse teabe varastamine, klientide petmine ja ebaseadusliku sisu kuvamine. Samal ajal võib teie sait olla otsingutulemustes märgistatud hoiatusega, Google'i musta nimekirja kantud, Yandexist keelatud või isegi teie veebimajutaja poolt blokeeritud. Kõik see toob kaasa külastajate ja sissetulekute kaotuse.

Kuigi WordPressi arendajad hoiavad platvormi turvalisena, peavad WordPressi saidi omanikud ka ise midagi ette võtma. Selles artiklis käsitleme levinumaid rünnakuid WordPressi saitide vastu ja ennetusmeetmeid, mida saate nende vastu võtta.

Artikli sisu:

Miks on WordPress häkkerite jaoks populaarne sihtmärk?

Miks on WordPress häkkerite sihtmärk?

WordPress on veebisaitide loomise platvorm, mis võimaldab kõigil luua veebisaite, teadmata, kuidas kodeerida. Veelgi enam, WordPress on tasuta. Selle tulemusena teenindab platvorm täna enam kui 1,4 miljardit aktiivset saiti.

Kõige selle tagakülg on see, et WordPressi veebisaidid on rohkem sihitud kui mis tahes muul platvormil ehitatud veebisaidid.

Nüüd on häkkerid teie saidile pääsemiseks mitmel viisil. Olen kitsendanud nimekirja viiele kõige levinumale. Selgitan, mis toimub ja kuidas saate oma WordPressi saiti selle eest kaitsta.

5 kõige levinumat rünnakut WordPressi saitide vastu

1. Haavatavad pistikprogrammid ja teemad

WordPressi sait on loodud kolme elemendi abil: põhiinstallatsioon, teemad ja pistikprogrammid. Kõik kolm elementi võivad muuta saidi häkkimise suhtes haavatavaks.

Paljude aastate jooksul ei olnud WordPressi tuumas suuri haavatavusi. Seda toetab kõrgelt kvalifitseeritud ja kogenud arendajate meeskond. Nad teevad kõvasti tööd, et tagada platvormi täielik turvalisus, nii et teil pole millegi pärast muretseda.

WordPressi pistikprogramme ja teemasid loovad aga kolmanda osapoole arendajad ning need tekitavad WordPressi turvaauke üsna sageli. Kui arendajad avastavad haavatavuse, parandavad nad selle viivitamatult ja annavad välja värskendatud versiooni.

Teie, saidi omanik, peate värskendama uusimale versioonile ja teie sait on turvaline. Oluline on need turvavärskendused kohe installida. Seda seetõttu, et kui arendajad avaldavad värskenduse, paljastavad nad ka värskenduse põhjused. Seega teatatakse haavatavusest avalikkusele.

See tähendab, et häkkerid teavad nüüd, et seal on haavatavus. Samuti teavad nad, et mitte kõik saidiomanikud ei värskenda oma saite kohe. Nii et kui nad saavad teada, et pistikprogramm või teema on haavatav, programmeerivad nad robotid ja roomajad veebis roomamiseks ja neid kasutavate saitide leidmiseks. Teades täpselt, mis haavatavus on, saavad nad kergesti ära kasutada, häkkida ja süstida pahavara (nt wp feed pahavara jne).

Kuidas kaitsta oma saiti haavatavate pistikprogrammide ja teemade eest

  • Kasutage ainult WordPressi hoidlast või sellistest turgudest leitud kinnitatud teemasid ja pistikprogramme.
  • Kontrollige regulaarselt pistikprogrammide loendit ja säilitage ainult need, mida kasutate. Kustutage kõik, mida te ei vaja või on passiivne.
  • Kontrollige oma teemat regulaarselt. Ideaalis peaksite säilitama ainult selle teema, mida aktiivselt kasutate.
  • Ärge kunagi kasutage piraatteemasid ja pistikprogramme. Tavaliselt sisaldavad need pahavara, mis nakatab teie saiti.
  • Veenduge, et tunneksite ära kõik oma saidil olevad pistikprogrammid ja teemad. Mõnikord installivad häkkerid oma pistikprogrammid ja teemad, millele on installitud veebisaidi tagauksed. See annab neile salajase juurdepääsu teie saidile.

2. Toore jõu rünnakud

Oma WordPressi saidile sisselogimiseks peate sisestama oma sisselogimismandaadid, st kasutajanime ja parooli.

Sageli kasutavad WordPressi saidiomanikud kasutajanimesid ja paroole, mida on lihtne meeles pidada. Paljud WordPressi kasutajad säilitavad vaikekasutajanime "admin". Levinud paroolid on "password123" või "1234567". Häkkerid on sellest hästi teadlikud ja ründavad WordPressi saitide sisselogimislehte.

WordPressi administraatori sisselogimisleht. (sisselogimine, e-post, parool).

Nad loovad sageli kasutatavate kasutajanimede ja paroolide andmebaasi. Seejärel programmeerivad nad robotid WordPressi saitide sihtimiseks ja proovivad oma andmebaasist erinevaid kombinatsioone.

Kui teie sisselogimismandaadid pole turvalised, on suur tõenäosus, et robotid arvavad need ära ja kaaperdavad teie saidi. Seda tuntakse kui "toore jõu rünnakut" ja neil on hinnanguliselt 10% edu!

Kuidas kaitsta oma saiti toore jõu rünnakute eest

Saidi kaitsmiseks jõhkra jõu rünnaku eest saate teha mitut sammu.

  • Vaikimisi on teie WordPressi kasutajanimi admin. Saate muuta selle administraatori asemel millekski ainulaadsemaks. Kasutage tugevat WordPressi parooli. Soovitan kasutada parooli koos numbrite ja sümbolitega, näiteks Birdgfydhfgyysr143%.
  • Kasutage unikaalseid mandaate, mida te pole teistel veebisaitidel kasutanud.
  • Piirake oma saidile sisselogimiskatsete arvu. See tähendab, et WordPressi kasutajal on ainult piiratud võimalus õigete mandaatide sisestamiseks, näiteks 3 või 5 katset. Pärast seda peavad nad kasutama valikut "unustasin parooli". Saate installida turbeplugina ja see kaitseb teie sisselogimise automaatselt.
  • Kasutage kahefaktorilist autentimist, mis nõuab, et WordPressi kasutaja sisestaks oma mandaadid koos ühekordse parooliga, mis luuakse nende nutitelefonides või saadetakse registreeritud e-posti aadressile.

3. Süstimise rünnakud

Peaaegu igal veebisaidil on sisestusväli, näiteks kontaktivorm, saidi otsinguriba või kommentaaride jaotis, mis võimaldab külastajatel andmeid sisestada. Mõned veebisaidid võimaldavad külastajatel ka dokumente ja pildifaile üles laadida.

Tavaliselt võetakse need andmed vastu ja saadetakse teie andmebaasi töötlemiseks ja salvestamiseks. Need väljad peavad olema õigesti konfigureeritud, et kinnitada ja puhastada andmed enne nende sisestamist teie andmebaasi. See tagab ainult kehtivate andmete vastuvõtmise. Kui need meetmed puuduvad, kasutavad häkkerid seda ära ja sisestavad pahatahtlikku koodi.

Võtame näiteks WordPressi saidi, millel on kontaktivorm. Ideaalis peaks see vorm aktsepteerima nime, e-posti aadressi ja telefoninumbrit.

Kontaktivorm WordPressi saidil. Kontaktivorm lehel.

  1. Nimeväli tohib lubada ainult tähestikulisi märke.
  2. E-posti aadressi väli peab aktsepteerima kehtivat e-posti aadressi vormingut, näiteks example@mysite.com.
  3. Telefoninumbri väli peab sisaldama ainult numbreid.

Nüüd, kui neid konfiguratsioone pole, võib häkker sisestada selliseid pahatahtlikke skripte nagu:

String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

See on kood, mis käsib andmebaasil teatud funktsioone täita. Seega võivad häkkerid teie saidil käivitada pahatahtlikke skripte, mida nad saavad kasutada teie saidi üle täielikuks kontrollimiseks. Kõige populaarsemad WordPressi saitide vastu suunatud süstimisrünnakud hõlmavad SQL-i süstimisrünnakuid ja saitidevahelist skriptimist.

Kuidas kaitsta oma saiti süstimisrünnakute eest

  • Paljud süstimisrünnakud hõlmavad teemasid ja pistikprogramme, mis võimaldavad külastajatel teie saidile teavet sisestada. Soovitan kasutada ainult tõestatud teemasid ja pistikprogramme. Seejärel värskendage alati oma pistikprogramme ja teemat.
  • Hallake sisestusvälju ja esitage andmeid. See on tehniline probleem ja vajab arendaja abi.
  • Kasutage WordPressi tulemüüri.

4. Andmepüük ja andmete vargus

Külastajad suhtlevad teie saidiga erineval viisil. Mõned neist lihtsalt loevad teie ajaveebi postitusi, teised võtavad teiega ühendust teie kontakti kaudu ja nii edasi. Kui teil on e-kaubanduse sait, ostavad paljud külastajad teie saidilt tooteid. See tähendab, et nad peavad teie veebisaidile sisse logima ja sisestama oma pangakaardi andmed.

Kui keegi sisestab teie saidile krediitkaarditeabe, edastab ta teabe ja salvestab selle teie saidi serverisse. Seda teavet saab selle edastamise ajal pealt kuulata. Lisaks võidakse varastada pangakaardi andmeid.

Samuti võivad nad teie saidile imbuda ja teiena esineda. Nad saadavad meile või suunavad külastajaid teistele veebisaitidele ja meelitavad neid avaldama isiklikku ja arveldusteavet.

Kuidas kaitsta oma veebisaiti andmepüügi ja andmete varguse eest

  • Kasutage SSL-sertifikaati. See krüpteerib teie saidile ja saidilt edastatavad andmed. Isegi kui häkker selle pealt püüab, ei saa ta seda kasutada, kuna ta ei saa seda dekrüpteerida. See eemaldab teie saidilt ka WordPressi saidi ebaturvalisuse hoiatuse.
  • Kasutage WordPressi turbepluginat, et saada hoiatusi oma saidil toimuva kahtlase tegevuse kohta. Pistikprogramm blokeerib ka häkkimiskatsed.

5. Küpsiste vargus

Kas olete märganud, et veebisaiti külastades palub teie brauser teil "mäleta mind" või "salvesta parool"? Selle eesmärk on tagada, et te ei pea iga kord oma mandaate sisestama, kui soovite veebisaidile juurde pääseda. Saate lubada brauseril salvestada sisselogimisandmeid.

Brauserid saavad need andmed salvestada tänu küpsistele. Küpsised on väikesed andmetükid, mis salvestavad külastaja suhtluse veebisaidiga. Näiteks kui teil on veebipood, saab teie sait jälgida kliendi teekonda, näiteks seda, millist toodet ta otsis ja mida ostis. Neid andmeid kasutatakse analüütikas ja reklaamijad kohandavad reklaame vastavalt külastaja eelistustele. Nüüd saavad küpsised salvestada ka pangaandmeid ja isikuandmeid.

Kui häkker võib teie veebisaidi küpsiseid varastada, pääseb ta juurde teie ettevõtte ja külastajate tundlikele andmetele. Nad võivad kasutada neid andmeid oma pahatahtlike tegevuste läbiviimiseks, näiteks klientide petmiseks, kasutades nende krediitkaardiandmeid.

Kuidas kaitsta oma saiti küpsiste varguse ja seansi kaaperdamise eest

  • Muutke oma WordPressi võtmeid ja soolasid regulaarselt. Võtmed ja soolad tagavad brauseri küpsistesse salvestatud teabe turvalise krüptimise. See meede on oma olemuselt tehniline.
  • Samuti on soovitatav oma veebisaidi andmete kaitsmiseks installida SSL-sertifikaat.

Sellega on WordPressi kõige levinumad rünnakud lõppenud. Enne kui lõpetame, tahaksin teile näidata mõnda WordPressi turvameedet, mis muudavad teie saidi selliste rünnakute eest turvalisemaks.

Kuidas kaitsta oma WordPressi saiti rünnakute eest?

Kuigi saate astuda teatud samme, et kaitsta oma veebisaiti teatud rünnakute eest, on mõned üldised turvameetmed, mida saate oma veebisaidil enda paremaks kaitsmiseks rakendada. Seda nimetatakse WordPressi karmistamismeetmeteks.

1. Keelake failiredaktor

WordPressil on funktsioon, mis võimaldab redigeerida teemade ja pistikprogrammide faile otse juhtpaneelilt. Paljud saidiomanikud ei vaja seda funktsiooni, enamasti kasutavad seda arendajad. Kui aga häkker murrab sisse teie wp-admini juhtpaneeli, võib ta teie teema- ja pistikprogrammifailidesse pahatahtliku koodi sisestada. Seega, kui te seda funktsiooni ei vaja, saate selle välja lülitada.

2. Keelake pistikprogrammide või teemade installimine

Kui häkkerid saavad teie saidile juurdepääsu, installivad nad oma pistikprogrammid või teemad. Need pistikprogrammid ja teemad on tavaliselt pahatahtlikud ja sisaldavad tagauksi. See annab häkkeritele salajase juurdepääsu teie saidile.

Samuti, nagu mainisin, on haavatavad teemad ja pistikprogrammid veebisaitide häkkimise peamine põhjus. Kui teie veebisaidil on mitu kasutajat, võivad nad installida ebaturvalise pistikprogrammi või teema. See võib teie saidi häkkeritele avada. Kui soovite seda vältida, saate oma saidile pistikprogrammide ja teemade installimise keelata. Kui te ei installi oma saidile regulaarselt pistikprogramme ja teemasid, saate installimisvaliku keelata.

3. Piirake sisselogimiskatseid

Nagu ma varem mainisin, saate piirata WordPressi kasutaja võimalusi sisestada saidile sisselogimiseks õiged sisselogimismandaadid. See välistab toore jõu rünnakute ohu.

4. Muutke turvavõtmeid ja soolasid

võtmed ja soli krüptida teie brauseris salvestatud teave. Sel viisil, isegi kui häkker suudab teie küpsiseid varastada, ei saa ta neid dekrüpteerida. Kui aga häkker pääseb neile võtmetele ja sooladele juurde, saab ta neid küpsiste dekrüpteerimiseks kasutada. Võtmete ja soolade regulaarne vahetamine aitab vältida küpsiste vargust.

5. Blokeeri PHP täitmine tundmatutes kaustades

Teie WordPressi saidil on ainult teatud failid ja kaustad, mis koodi käivitavad. Teised kaustad salvestavad ainult teavet, näiteks kaust Allalaadimised, mis salvestab pilte ja videoid. Kui aga häkker saab teie saidile juurdepääsu, kleepib ta php-koodi juhuslikesse kaustadesse või loob isegi oma kaustad. Sellise tegevuse saate blokeerida, keelates PHP täitmise tundmatutes kaustades.

Nende meetmete rakendamine nõuab tehnilisi teadmisi. Ma ei soovita seda käsitsi teha. Palju turvalisem ja lihtsam on kasutada WordPressi turvapluginat, mis võimaldab seda teha vaid mõne klikiga.

Seda tehes tagan, et teie WordPressi sait on häkkerite eest kaitstud.

Lõpuks

Häkkeritel on teie WordPressi saidile pääsemiseks palju võimalusi ja sageli tulevad nad välja uutega! Peate oma veebisaidi kaitsmiseks ja häkkerite rünnakute eest kaitsmiseks võtma turvameetmeid.

Seda artiklit lugedes:

Täname lugemise eest: SEO HELPER | NICOLA.TOP

Kui kasulik see postitus oli?

Selle hindamiseks klõpsake tärnil!

Keskmine hinne 5 / 5. Häälte arv: 103

Seni pole hääli! Olge esimene, kes seda postitust hindab.

Sulle võib meeldida ka...

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga

üheksa + 16 =