Jak je vaše stránky WordPress bezpečné?
Jedním z hlavních problémů s technologií jsou časté výpadky v oblasti bezpečnosti, které zažíváme; hodně informací je ukradeno denně a používá se k ukradnutí dalších informací, posílání spamových zpráv, otevření zadních dveří do systémů a někdy dokonce poškozují naše počítače.
Žádná z těchto problémů, která není pro WordPress neznámá, se stala ohromným počtem stránek, které se staly obětí nepříjemných zločinců, kteří využívají komunitu pro svůj osobní zisk.
Abyste tuto hrozbu porazili, jsme sestavili přehled některých dobrých nástrojů a tipů, jak se vyhnout tomu, abyste byli dalšími oběťmi. Nebo pokud máte smůlu, že jste již oběť, jak se bránit a opravit instalaci.
Exploit útoky
Možná jste o tom slyšeli, můžete dokonce znát detaily, ale pro ty, kteří zde nemají problém: exploit je kus škodlivého kódu distribuovaného, aby využil slabost ve stávajícím kódu.
TimThumb byl náchylný k útoku tohoto druhu; jeden jeho funkce, která umožňuje uživatelům nahrát obrázky z různých webů a volně přistupovat k nim, uložené obrázky v adresáři mezipaměti, takže Timthumb nemusí znovu přepracovat je. Tato funkce by mohla být zneužita hackerem, který uploaduje soubory na server, což jim umožní přístup k tolika zdrojům z instalace WordPress, jak si přejí.
Přesně stejný problém ovlivněn Nahrát , plugin umožňující uživatelům nahrát soubory. Pokud není plugin řádně kontrolován, umožnil hackerům volný přístup k webu tím, že nahrál PHP skripty pro udělení přístupových oprávnění.
Údržba obrazu přes Shutterstock.
Problém v těchto případech, stejně jako u většiny zneužívaných útoků, nebyl WordPress, ale spíše samotné pluginy. Řešení je jednoduché, aktualizujte své pluginy a nahlašte všechny chyby, s nimiž se setkáte s vývojáři, abyste jim pomohli vylepšit potenciální problémy.
SQL injekce
Samotná instalace aplikace WordPress není problémem odolná. V závislosti na verzi může být injekce SQL velkou bolestí hlavy. Vstřikování SQL je proces, kterým se útočník snaží předat kód SQL prostřednictvím webové stránky nebo skriptu v naději, že kód SQL bude analyzovat "správně" a načíst data z databáze. Tyto údaje mohou být e-mailové adresy, ale pravděpodobněji by to byla uživatelská jména a hesla, která by pak uživateli umožnila větší přístup k dalším útokům.
Důvod, proč útoky SQL může být tak dráždivý, je, že k jejich boji musíte často zálohovat databázi. Výhodně alespoň jednou denně.
Údržba obrazu přes Shutterstock.
Chcete-li tomu zabránit, můžete se pokusit zabezpečit soubory pomocí Apache s takovým kódem ve vašem souboru .htaccess:
RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{QUERY_STRING} tag= [NC,OR]RewriteCond %{QUERY_STRING} ftp: [NC,OR]RewriteCond %{QUERY_STRING} http: [NC,OR]RewriteCond %{QUERY_STRING} https: [NC,OR]RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^(.*)$ - [F,L] Tím se odradí amatér, ale profesionální hacker najde další bezpečnostní díra, která by mohla zneužít. Naštěstí většinu útoků spáchají noví nebo spamoví používající skripty jako PHP r57 nebo Shell. Snižování těchto útoků výrazně sníží množství problémů, s nimiž se musíte vyrovnat.
Výchozí uživatel
Největším bezpečnostním otvorem v každém systému je konečný uživatel. Nezáleží na tom, jak složité heslo vytvoříte. Ve skutečnosti čím je složitější heslo, tím horší je bezpečnostní riziko; protože velmi někdy musí být uložena velmi složitá hesla. Uživatelé často ukládají hesla v souborech .txt nebo .doc ve svém počítači a ponechávají systém otevřený útokům typu phishing pomocí souborů viru, jako jsou trojské koně.
Jediné bezpečné místo pro uložení hesla je uvnitř vaší vlastní hlavy.
Nicméně i kdybyste někdy uložili své heslo do vlastní paměti, stále nejste v bezpečí před útoky brute-force. Útočný útok se jednoduše pokusí "hádat" vaše heslo opakovanými pokusy o přihlášení. Může začít s 'aaaaaa', pokračovat 'aaaaab' a tak dále, dokud nedosáhne '000000'. Tento proces není omezen na jediný počítač, běžně stovky strojů procházejí potenciálními hesly, které hledají přístup.
Jedním ze způsobů, jak zvládnout útoky na hrubou sílu, je instalace omezovače přihlašování, který povolí pouze několik pokusů o přihlášení, než zablokuje přístup danému uživateli po dobu přibližně jedné hodiny. To snižuje počet šancí, které má útočník dostat dovnitř. Existuje několik pluginů WordPress, které vám mohou pomoci s tímto: Omezit pokusy přihlášení , Lepší zabezpečení WP a Přihlaste se k bezpečnostnímu řešení .
Nakonec věnujte pozornost uživatelským jmenám. Výchozí uživatelské jméno pro WordPress je 'Admin' a pokud to ponecháte jako takové, snížíte na polovinu množství práce, kterou hacker potřebuje udělat pro přístup k vašemu webu. Pokud jste nezměnili své uživatelské jméno během instalace aplikace WordPress, proveďte to nyní. Stačí se přihlásit do svého účtu, vytvořit nový účet s požadovaným uživatelským jménem, udělit jej oprávnění správce a odstranit administrátorský účet.
Vyčištění obrazu přes Shutterstock.
Přímý přístup
Další problém, který mohou mít stránky WordPress, je přímý přístup k přihlašovací stránce a zjednodušení procesu hackování vašeho webu.
Zajištění hesel je nejnaléhavějším problémem, protože škodlivý uživatel nebude moci využít nic, co ukradli, pokud nemohou najít přihlašovací stránku. Nejjednodušším řešením je použití pluginu jako je Skrýt přihlášení skrytí umístění přihlašovací stránky.
Některé soubory v naší instalaci WordPress mohou být také přístupné, pokud nejsou správně zabezpečeny. Tyto volné konce můžeme vyjasnit přidáním dalších pravidel do našeho souboru .htaccess, například takto:
Options All -IndexesOrder allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Výchozí předpona
Mělo by být jasné, že čím více informací dáváme našemu budoucímu hackerovi, tím je snazší uspět.
Výchozí předpona tabulky WordPress je 'wp_'. Proč bychom jim to chtěli dát? Změníme tuto předponu k něčemu, co je těžší odhadnout, například 'oijrr58_', bude to mnohem obtížnější a zvýší šanci, že vaše stránky zůstanou v bezpečí.
Pro nové instalace je to nevýrazná, protože instalační skript nás žádá o předponu. U starších webů máte dvě možnosti, můžete provést změnu ručně (pokuste se o to jen pokud máte spoustu času a jste si jisti, že víte, co děláte) nebo použít plugin jako Lepší zabezpečení WP která se o to postará.
Příliš pozdě…
Nikdy není příliš pozdě. Vždy můžete bojovat proti hackerům a zabránit tomu, abyste se stali věčnou obětí.
Pokud si nejste jisti, zda byly vaše stránky nakaženy, existují nástroje, které vám to řeknou. Sucuri SiteCheck například prohledá vaše stránky a pokud jste nakaženi, poradí vám, jaká opatření je třeba provést k nápravě problému.
Nebezpečný obraz přes Shutterstock.
Základní opravy
Zde je několik základních kroků:
- Zálohování webu a databáze, hackované nebo ne, nechcete ztratit svůj obsah.
- Vytvořte kopie položek, které nejsou ve vaší databázi, například obrázky.
- Stáhněte si nejnovější verzi aplikace WordPress.
- Zajistěte, aby byly všechny moduly aktualizovány, zkontrolujte, které verze řeší známé problémy.
- Ujistěte se, že všechny šablony jsou aktuální, zkontrolujte, které verze řeší známé problémy.
- Použijte FTP klient nebo cPanel k odstranění všeho v adresáři WordPress.
- Nahrajte nové soubory, které jste stáhli.
- Spusťte aktualizaci databáze.
- Změňte své heslo, nechcete nechat hackery rovnou zpátky.
- Nakonec zkontrolujte každý příspěvek a opravte případné poškození.
Bojové skripty r57
r57 je PHP skript, který dává útočníkovi širokou škálu možností, ačkoli útočník má tyto schopnosti, nebudou fungovat, dokud nebude shell na našem webovém serveru, a proto mu budeme moci zabránit v práci s následujícími příkazy:
find /var/www/ -name "*".php -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqTento příkaz vyhledá soubory PHP umístěné ve složce WWW a pak nalezne v nalezených souborech nějakou zmínku o r57 v názvu souboru a obsahu. Pak se infikované soubory odstraní.
find /var/www/ -name "*".txt -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqTento kód provádí totéž, kromě souborů TXT namísto souborů .php.
Všimněte si, že tyto kódy jsou pro Linux, nepokoušejte je na Windows nebo MacOS a uvědomte si, že jsou potenciálně velmi destruktivní, protože budou mazat soubory bez žádosti o povolení.
Zkrácený kód
Hlavním důvodem k obavám v rámci témat je zakrytý kód, protože škodlivý kód má tendenci být těžší najít v rámci témat. Všechny druhy škod lze provést, od přesměrování uživatelů na jiné stránky, k potopení SEO.
Klíčová zbraň v boji proti tomuto problému je Kontrola pravosti tématu . Tento plugin nejen zkontroluje kód podezřelých řádků, ale detekuje statické odkazy a skrytý kód podobný kódu generovanému v base64, který je těžko viditelný pohledem.
Jednou mě oloupím, hanbu na tebe ...
Jenom proto, že jste byli v minulosti chyceni, neznamená to, že musíte být stále hrán.
Zvažte tyto kroky, abyste se dále ujistili:
- Pouze povolit PHP tam, kde je to naprosto nezbytné.
- Ujistěte se, že váš webový server neumožňuje klientům modifikovat soubor .htacess.
- Implementujte bránu firewall, která bude omezovat odchozí poštu v portu 25 pouze na kořenový a ID e-mailového serveru.
- Monitorujte nahrávání na své stránky pomocí aplikace, jako je Konfigurační skener ConfigServer eXploit .
Opravit obrázek přes Shutterstock.
Konečně
Zabezpečení WordPress je stejně důležité jako zabezpečení všech webů. Musíte zajistit, aby vás i vaši uživatelé byli chráněni před spamem, malwarem a phishingovými útoky. Nezapomeňte však, že první linie obrany je ve skutečnosti antivirový software na vašem stolním počítači.
Máte problémy s ochranou WordPress? Jak jste vyřešil problém? Dejte nám vědět v komentářích.
Napsal výhradně WDD The Shock Family: tým webových profesionálů a tvůrců WordPress Témata Šok (Premium wordpress témata), Generátor témat WP (Skvělý tvůrce wp tématu) a DesignShock seful design sets). ( ušitečné sestavy).