Serangan WordPress Biasa dan Cara Menghentikannya
WordPress telah menjadi salah satu sistem pengurusan kandungan (CMS) terkemuka selama lebih daripada satu dekad. Kebanyakan blog terbesar di internet, serta banyak tapak kecil, individu, dijalankan pada rangka kerja WordPress untuk menerbitkan kandungan teks, imej dan video ke web seluruh dunia.
Tapak web WordPress mempunyai antara muka hadapan dan belakang. Bahagian hadapan memberikan pandangan yang akan dilihat pelawat luar apabila mereka memuatkan halaman web. Bahagian belakang boleh diakses oleh pentadbir tapak dan penyumbang yang bertanggungjawab untuk merangka, mereka bentuk dan menerbitkan kandungan.
Seperti setiap sistem berasaskan internet yang lain, WordPress adalah sasaran percubaan penggodaman dan bentuk jenayah siber yang lain. Yang masuk akal memandangkan kini lebih daripada 32% internet berjalan di WordPress. Dalam artikel ini, kami akan menjalankan beberapa serangan WordPress yang paling biasa pada perisian dan kemudian menawarkan cadangan tentang cara untuk mempertahankannya dan memastikan tapak web anda selamat.
Kaedah Serangan WordPress Biasa
Mula-mula mari kita lihat serangan biasa yang mungkin dialami oleh pemilik tapak WordPress.
1. Suntikan SQL
Platform CMS WordPress bergantung pada lapisan pangkalan data yang menyimpan maklumat metadata serta maklumat pentadbiran lain. Sebagai contoh, pangkalan data WordPress berasaskan SQL biasa akan mengandungi maklumat pengguna, maklumat kandungan dan data konfigurasi tapak.
Apabila penggodam melakukan serangan suntikan SQL, mereka menggunakan parameter permintaan, sama ada melalui medan input atau URL, untuk menjalankan perintah pangkalan data tersuai. Pertanyaan "PILIH" akan membolehkan penggodam melihat maklumat tambahan daripada pangkalan data, manakala pertanyaan "KEMASKINI" akan membolehkan mereka benar-benar menukar data.
Pada tahun 2011, sebuah syarikat keselamatan rangkaian bernama Barracuda Networks menjadi mangsa serangan suntikan SQL. Penggodam menjalankan satu siri arahan di seluruh laman web Barracuda dan akhirnya menemui halaman yang terdedah yang boleh digunakan sebagai portal ke pangkalan data utama syarikat.
2. Skrip silang tapak
Serangan skrip merentas tapak, juga dikenali sebagai XSS, adalah serupa dengan suntikan SQL terima ia menyasarkan elemen JavaScript pada halaman web dan bukannya pangkalan data di belakang aplikasi. Serangan yang berjaya boleh mengakibatkan maklumat peribadi pelawat luar dikompromi.
Dengan serangan XSS, penggodam menambah kod JavaScript pada tapak web melalui medan ulasan atau input teks lain, dan kemudian skrip berniat jahat itu dijalankan apabila pengguna lain melawat halaman tersebut. JavaScript penyangak biasanya akan mengubah hala pengguna ke tapak web penipuan yang akan cuba mencuri kata laluan mereka atau data pengenalpastian lain.
Malah laman web popular seperti eBay boleh menjadi sasaran serangan XSS. Pada masa lalu, penggodam telah berjaya menambahkan kod berniat jahat pada halaman produk dan meyakinkan pelanggan untuk log masuk ke halaman web palsu.
3. Suntikan Perintah
Platform seperti WordPress beroperasi pada tiga lapisan utama: pelayan web, pelayan aplikasi dan pelayan pangkalan data. Tetapi setiap pelayan ini berjalan pada perkakasan dengan sistem pengendalian tertentu, seperti Microsoft Windows atau Linux sumber terbuka, dan itu mewakili kawasan potensi kelemahan yang berasingan.
Dengan serangan suntikan arahan, penggodam akan memasukkan maklumat berniat jahat dalam medan teks atau URL, sama seperti suntikan SQL. Perbezaannya ialah kod tersebut akan mengandungi arahan yang hanya akan dikenali oleh sistem pengendalian, seperti arahan "ls". Jika dilaksanakan, ini akan memaparkan senarai semua fail dan direktori pada pelayan hos.
Beberapa kamera yang disambungkan ke Internet didapati sangat terdedah kepada serangan suntikan arahan. Perisian tegar mereka boleh mendedahkan konfigurasi sistem secara tidak wajar kepada pengguna luar apabila arahan penyangak dikeluarkan.
4. Kemasukan Fail
Bahasa pengekodan web biasa seperti PHP dan Java membenarkan pengaturcara merujuk kepada fail dan skrip luaran dari dalam kod mereka. Perintah "termasuk" ialah nama generik untuk jenis aktiviti ini.
Dalam situasi tertentu, penggodam boleh memanipulasi URL tapak web untuk menjejaskan bahagian "termasuk" kod dan mendapatkan akses ke bahagian lain pelayan aplikasi. Pemalam tertentu untuk platform WordPress didapati terdedah terhadap serangan kemasukan fail. Apabila penggodaman sedemikian berlaku, penyusup boleh mendapat akses kepada semua data pada pelayan aplikasi utama.
Petua untuk Perlindungan
Memandangkan anda tahu perkara yang perlu diberi perhatian, berikut ialah beberapa cara mudah untuk mengeraskan keselamatan WordPress anda. Jelas sekali, terdapat lebih banyak cara untuk melindungi tapak anda daripada yang dinyatakan di bawah, tetapi ini adalah kaedah yang agak mudah untuk bermula yang boleh menghasilkan pulangan yang mengagumkan dalam penggodam yang dihalang.
1. Gunakan Hos dan Firewall Selamat
Platform WordPress sama ada boleh dijalankan dari pelayan tempatan atau diuruskan melalui persekitaran pengehosan awan. Untuk tujuan mengekalkan sistem yang selamat, pilihan yang dihoskan adalah diutamakan. Hos WordPress teratas di pasaran akan menawarkan penyulitan SSL dan bentuk perlindungan keselamatan lain.
Apabila mengkonfigurasi persekitaran WordPress yang dihoskan, adalah penting untuk mendayakan tembok api dalaman yang akan melindungi sambungan antara pelayan aplikasi anda dan lapisan rangkaian lain. Firewall akan menyemak kesahihan semua permintaan antara lapisan untuk memastikan bahawa hanya permintaan yang sah dibenarkan untuk diproses.
2. Pastikan Tema dan Pemalam Kemas Kini
Komuniti WordPress dipenuhi dengan pembangun pihak ketiga yang sentiasa mengusahakan tema dan pemalam baharu untuk memanfaatkan kuasa platform CMS. Alat tambah ini boleh sama ada percuma atau berbayar. Pemalam dan tema hendaklah sentiasa dimuat turun terus dari tapak web WordPress.org.
Pemalam dan tema luaran boleh berisiko, kerana ia termasuk kod yang akan dijalankan pada pelayan aplikasi anda. Hanya percayai alat tambah yang datang daripada sumber dan pembangun yang bereputasi. Selain itu, anda harus mengemas kini pemalam dan tema secara tetap, kerana pembangun akan mengeluarkan peningkatan keselamatan.
Dalam konsol pentadbir WordPress, tab "Kemas Kini" boleh didapati di bahagian atas senarai menu "Papan Pemuka".
3. Pasang Pengimbas Virus dan VPN
Jika anda menjalankan WordPress dalam persekitaran setempat atau mempunyai akses pelayan penuh melalui pembekal pengehosan anda, maka anda perlu memastikan untuk mempunyai pengimbas virus yang teguh berjalan pada sistem pengendalian anda. Alat percuma untuk mengimbas tapak WordPress anda seperti Virus Total akan menyemak semua sumber untuk mencari kelemahan.
Apabila menyambung ke persekitaran WordPress anda dari lokasi terpencil, anda harus sentiasa menggunakan klien rangkaian peribadi maya (VPN), yang akan memastikan semua komunikasi data antara komputer tempatan anda dan pelayan disulitkan sepenuhnya.
4. Lockdown Terhadap Serangan Brute Force
Salah satu serangan WordPress yang paling popular dan biasa berlaku dalam bentuk serangan kekerasan yang dipanggil. Ini tidak lebih daripada program automatik yang dilepaskan oleh penggodam di "pintu hadapan. ” Ia duduk di sana dan mencuba beribu-ribu kombinasi kata laluan yang berbeza dan tersandung di sebelah kanan cukup kerap untuk menjadikannya berbaloi.
Berita baiknya ialah terdapat cara mudah untuk menggagalkan kekerasan. Berita buruknya ialah terlalu ramai pemilik tapak tidak menggunakan pembetulan itu. Lihat Semua dalam Satu WP Security dan Firewall. Ia percuma dan membolehkan anda menetapkan had keras pada percubaan log masuk. Sebagai contoh, selepas tiga percubaan, pemalam mengunci tapak daripada log masuk selanjutnya oleh alamat IP tersebut untuk tempoh masa yang telah ditetapkan. Anda juga akan menerima pemberitahuan e-mel bahawa ciri penguncian telah dicetuskan.
5. Pengesahan Dua Faktor
Kaedah bagus untuk melindungi tapak anda bergantung pada fakta bahawa penggodam mungkin tidak akan dapat mengawal dua peranti anda secara serentak. Contohnya, komputer DAN telefon bimbit. Pengesahan Dua Faktor (2FA) menukar log masuk ke tapak web Laman Web anda kepada proses dua langkah. Seperti biasa, anda log masuk dengan cara biasa tetapi anda akan mendapati diri anda digesa untuk memasukkan kod tambahan yang dihantar ke telefon anda.
Pandai kan? Satu langkah tambahan ini meningkatkan keselamatan tapak anda secara eksponen dengan memisahkan log masuk ke dalam langkah yang berbeza. Semak senarai pemalam percuma ini yang akan membantu anda menyediakan 2FA. Penggodam yang berfikir untuk cuba mengacaukan tapak anda mungkin sudah berubah fikiran.
Kesimpulan
Walaupun tiada perkara seperti tapak web 100% selamat, terdapat banyak langkah yang boleh anda ambil untuk melindungi tapak web anda. Menggunakan tembok api yang baik, memastikan tema dan pemalam anda dikemas kini dan menjalankan imbasan virus secara berkala boleh membuat perbezaan yang besar.
Mungkin membantu untuk memikirkan keselamatan tapak web sebagai proses berulang yang kekal. Seharusnya tidak sampai satu titik apabila anda berundur dan menganggapnya "lengkap" kerana permainan antara penggodam dan pembela tapak web tidak akan berhenti, walaupun pemain dalam talian yang dibenarkan secara rasmi memasuki perniagaan pengawasan dalam talian . Hanya dengan memastikan diri anda berpengetahuan tentang ancaman terkini dan cara menangkisnya, anda akan dapat mengekalkan keselamatan siber dan privasi dalam talian.
Sayang sekali dunia harus begini tetapi terima dan teruskan. Jika anda tidak pernah melakukannya sebelum ini, sekarang adalah masa yang baik untuk mencari beberapa tapak berita keselamatan siber yang dihormati. Sama ada melanggan surat berita mereka atau sekurang-kurangnya lakukan lawatan tetap. Bermula dengan menjalankan carian Google (atau enjin carian pilihan anda) untuk "berita keselamatan siber. ”
Ada soalan atau lebih banyak petua untuk ditambahkan? Tinggalkan ulasan dan beritahu kami.