Hversu öruggt er WordPress vefsvæðið þitt?

Eitt af helstu vandamálum með tækni er tíð rennur út í öryggismálum sem við upplifum; mikið af upplýsingum er stolið daglega og notað til að stela meiri upplýsingum, senda ruslpóst, opna afturvirkt til kerfa og stundum jafnvel skaða tölvur okkar.

Ekkert af þessum málum sem eru óþekkt fyrir WordPress, hafa yfirþyrmandi fjöldi vefsvæða orðið fórnarlömb óþægilegra glæpa sem nýta samfélagið til eigin hagsmuna.

Til þess að þú getir sláð þessa ógn höfum við sett saman samantekt á nokkrum góðum verkfærum og ábendingum um hvernig á að forðast að vera næsta fórnarlamb. Eða ef þú ert óheppinn til að vera fórnarlamb, hvernig á að berjast til baka og laga uppsetninguna þína.

Hagnýta árásir

Þú gætir hafa heyrt um það, þú gætir jafnvel þekkt upplýsingar, en fyrir þá sem ekki eru hérna er vandamálið: hagnýting er hluti af illgjarn kóða sem dreift er til að nýta veikleika í núverandi kóða.

TimThumb var næm fyrir slíkri árás; einn þess virka, sem gerir notendum kleift að hlaða upp myndum frá mismunandi síðum og fá aðgang að þeim frjálslega, geymdar myndir í skyndiminni svo að Timthumb þarf ekki að endurvinna þær aftur. Þessi aðgerð gæti verið nýtt af tölvusnápur sem hleður upp skrám á þjóninn og leyfir þeim aðgang að eins mörgum auðlindum frá WordPress uppsetninguinni eins og þeir vilja.

Nákvæmlega sama vandamálið hefur áhrif á Hlaða upp , tappi sem leyfir notendum að hlaða upp skrám. Þegar ekki er stjórnað á réttan hátt leyfir tappi tölvusnápur aðgang að vefsvæðinu með því að hlaða upp PHP forskriftir til að veita aðgangsheimildir.

Viðhaldsmynd um Shutterstock.

Vandamálið í þessum tilfellum, eins og með meirihluta nýtingarárásanna, var ekki WordPress heldur heldur viðbæturnar sjálfir. Lausnin er einföld, halda viðbætur þínar uppfærðar og tilkynna um villur sem þú lendir til verktaki til að hjálpa þeim að klára hugsanleg vandamál.

SQL inndælingar

The WordPress uppsetningu sjálft er ekki ónæmur fyrir vandamál. Það fer eftir útgáfu, SQL innspýting getur verið mikil höfuðverkur. SQL innspýting er aðferð þar sem árásarmaður leitar að framhjá SQL kóða með vefsíðu formi eða handriti í þeirri von að SQL kóðinn muni greina "rétt" og sækja gögn úr gagnagrunninum. Þessi gögn gætu verið netföng, en líklegra væri að það væri notendanöfn og lykilorð sem myndi gefa notandanum meiri aðgang að öðrum árásum.

Ástæðan fyrir SQL árásum getur verið svo pirrandi að það sé til að berjast gegn þeim sem þú þarft að taka öryggisafrit af gagnagrunninum þínum. Helst að minnsta kosti einu sinni á dag.

Viðhaldsmynd um Shutterstock.

Til að forðast það getur þú reynt að tryggja skrár með Apache með kóða eins og þessum í .htaccess skránni þinni:

RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{QUERY_STRING} tag= [NC,OR]RewriteCond %{QUERY_STRING} ftp:  [NC,OR]RewriteCond %{QUERY_STRING} http:  [NC,OR]RewriteCond %{QUERY_STRING} https:  [NC,OR]RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^(.*)$ - [F,L]

Þetta mun slökkva á áhugamaður, en faglegur spjallþráð mun finna annað öryggisgat til að nýta. Til allrar hamingju eru flestar árásir gerðar af newbies eða spammers, með því að nota forskriftir eins og PHP r57 eða Shell. Að draga úr þessum árásum mun stórlega draga úr þeim vandamálum sem þú þarft að takast á við.

Sjálfgefið notandi

Stærsta öryggisholið í hverju kerfi er endir notandi. Það skiptir ekki máli hversu flókið lykilorð þú býrð til. Reyndar er flóknari lykilorðið, því verra öryggisáhættan; vegna þess að mjög flóknar lykilorð verða að vera vistuð einhvers staðar. Notendur spara oft lykilorð í .txt eða .doc skrár á tölvunni sinni og það leyfir kerfinu að opna phishing árásir með því að nota vírusskrár eins og tróverji.

Eina öruggasta staðurinn til að geyma lykilorð er innan höfuðsins.

Hins vegar, jafnvel þótt þú geymir aðeins lykilorðið þitt í þínu eigin minni, þá ertu ennþá ekki öruggur frá árásum árásum. Brutu gildi árás mun einfaldlega reyna að "giska" lykilorðið þitt með endurteknum tilraunum til að skrá þig inn. Það gæti byrjað með 'aaaaaa', haldið áfram að 'aaaaab' og svo framvegis þar til hún nær '000000'. Þetta ferli er ekki takmörkuð við einn tölvu, oft eru hundruðir véla fluttir í gegnum hugsanlega aðgangsorð sem leita að aðgangi.

Ein leið til að meðhöndla árásargjöld árásir er að setja upp innskráningarbannkerfi sem leyfir aðeins nokkrum tilraunum á innskráningu áður en að loka aðgangi fyrir notandann í klukkutíma eða svo. Þetta dregur úr fjölda möguleika sem árásarmaðurinn þarf að komast inn. Það eru nokkrir WordPress viðbætur sem geta hjálpað þér með þetta: Takmarka innskráningarpörun , Betri WP Öryggi og Innskráning Öryggislausn .

Að lokum skaltu borga eftirtekt til notendanöfn. Sjálfgefið notendanafn fyrir WordPress er 'Admin' og ef þú skilur það sem slíkt ertu að halvera magn af vinnu sem tölvusnápur þarf að gera til að fá aðgang að vefsíðunni þinni. Ef þú breyttir notandanafninu þínu á meðan þú varst að setja upp WordPress skaltu gera það núna. Skráðu þig bara inn á reikninginn þinn, búðu til nýjan reikning með notandanafninu sem þú vilt, gefðu það stjórnandi heimildir og þá eyða admin reikningnum.

Hreinsa mynd um Shutterstock.

Bein aðgangur

Annað vandamál sem WordPress vefsvæði okkar kunna að hafa er að veita beinan aðgang að innskráningar síðunni, einfalda ferlið við tölvusnápur á síðuna þína.

Þó að tryggja lykilorð þitt er brýnasta málið, mun illgjarn notandi ekki geta notað eitthvað sem þeir hafa stolið ef þeir geta ekki fundið innskráningarsíðuna. Einfaldasta lausnin á þessu er að nota tappi eins Fela innskráningu að hylja staðsetningu innskráningarsíðunnar.

Vissar skrár í WordPress uppsetningunni er einnig hægt að nálgast ef ekki rétt tryggt. Við getum hreinsað þessar lausu endar með því að bæta nokkrum reglum við .htaccess skrá okkar, eins og svo:

Options All -IndexesOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from allOrder allow,denyDeny from all

Sjálfgefið forskeyti

Það ætti að vera ljóst að því meiri upplýsingar sem við gefum að væri tölvusnápur, því auðveldara er að þau ná árangri.

Sjálfgefið WordPress töfluforskeyti er 'wp_'. Af hverju viljum við gefa þeim það? Við skulum breyta því forskeyti til eitthvað erfiðara að giska á, eins og 'oijrr58_' til dæmis, það mun gera líf þeirra mun erfiðara og auka líkurnar á að vefsvæði þitt verði áfram örugg.

Fyrir nýja innsetningar, þetta er ekki brainer vegna þess að uppsetningarforritið biður okkur um forskeyti. Fyrir eldri síður hefur þú tvo valkosti, þú getur annað hvort gert breytinguna handvirkt (reyndu bara þetta ef þú átt mikinn tíma og er viss um að þú veist hvað þú ert að gera) eða notaðu tappi eins Betri WP Öryggi sem mun sjá um það fyrir þig.

Of seint…

Það er aldrei of seint. Þú getur alltaf gegn tölvusnápur og komið í veg fyrir að þú getir orðið ævarandi fórnarlamb.

Ef þú ert ekki viss um að vefsvæðið þitt hafi verið sýkt eru tæki sem segja þér frá. Sucuri SiteCheck til dæmis, mun skanna síðuna þína og ef þú ert sýkt, mun ráðleggja þér um hvaða skref þarf að taka til að leiðrétta vandamálið / vandamálin.

Hættuleg mynd um Shutterstock.

Grunnupplýsingar

Hér eru nokkur grunnskref til að taka:

Afritaðu síðuna og gagnagrunninn, tölvusnápur eða ekki, þú vilt ekki missa efnið þitt.
Gerðu afrit af hlutum sem eru ekki í gagnagrunninum þínum, eins og myndum.
Hlaða niður nýjustu útgáfunni af WordPress.
Gakktu úr skugga um að allar viðbætur séu uppfærðar, athugaðu hvaða útgáfur leysa vandamál sem eru þekkt.
Gakktu úr skugga um að allir sniðmát séu uppfærðar, athugaðu hvaða útgáfur leysa þekkt vandamál.
Notaðu FTP viðskiptavin eða cPanel til að eyða öllu í WordPress möppunni.
Hladdu upp nýjum skrám sem þú hlaðið niður.
Hlaupa gagnasafn uppfærsla.
Breyttu lykilorðinu þínu, þú vilt ekki láta tölvusnápur beint inn aftur.
Að lokum skaltu athuga hvert innlegg, leiðrétta tjón sem hefur verið gert.

Berjast r57 forskriftir

r57 er PHP handrit sem gefur árásarmaður fjölbreytt úrval af getu, enda þótt árásarmaðurinn hafi þessar aðgerðir, þá virkar þetta ekki fyrr en skelinn er á vefþjóninum okkar og því getum við komið í veg fyrir að það virki með því að nota eftirfarandi skipanir:

find /var/www/  -name "*".php  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Þessi skipun mun leita að PHP skrám sem er staðsett á WWW möppunni þinni, og þá finnast það í neinum skrár sem innihalda r57 í skráarnafninu og innihaldi. Þá mun það eyða sýktum skrá (s).

find /var/www/  -name "*".txt  -type f -print0  | xargs -0 grep r57 | uniq -c  | sort -u  | cut -d":" -f1  | awk '{print "rm -rf " $2}' | uniq

Þessi kóði er sú sama, nema TXT skrár í stað .php skrár.

Athugaðu að þessi kóða eru fyrir Linux, ekki reyna þau á Windows eða MacOS og vera meðvitaðir um að þau séu hugsanlega mjög eyðileggjandi þar sem þau eyða skrám án þess að biðja um leyfi.

Óskýrður kóða

Mikil áhyggjuefni innan þemu er að hylja kóða, vegna þess að illgjarn merkjamál hafa tilhneigingu til að vera erfiðara að finna innan þemu. Allskonar skemmdir geta verið gerðar, frá beina notendum til annarra vefsvæða, til að sökkva SEO þinn.

Lykilvopn í baráttunni við þetta vandamál er Þema áreiðanleikakannari . Þessi tappi mun ekki aðeins athuga kóða fyrir grunsamlegar línur en mun greina truflanir og skýrar kóða eins og kóða mynda í base64 sem er erfitt að koma auga á.

Fíla mig einu sinni, skömm á þér ...

Bara vegna þess að þú hefur verið veiddur út í fortíðinni, þýðir ekki að þú verður að halda áfram að spila.

Íhugaðu að taka þessar ráðstafanir til að tryggja þig frekar:

Aðeins leyfa PHP þar sem stranglega nauðsynlegt er.
Gakktu úr skugga um að vefþjónn þinn leyfir ekki viðskiptavinum að breyta .htacess skrá.
Framkvæma eldvegg sem mun takmarka póstinn út á höfn 25 til bara rótar- og netþjónsins.
Skoðaðu upphleðslur á síðuna þína með forriti eins og ConfigServer eXploit Skanni .

Viðgerð mynd um Shutterstock.

Loksins

WordPress öryggi er jafn mikilvægt og öryggi á vefsvæði. Þú verður að tryggja að bæði þú og notendur þínir séu vernduð frá ruslpósti, malware og phishing árásum. En mundu að fyrsti vörnin er í raun andstæðingur-veira hugbúnaður á tölvunni þinni.

Hefur þú keyrt í vandræðum með WordPress öryggi? Hvernig hefur þú leyst málið? Láttu okkur vita í athugasemdunum.

Skrifað eingöngu fyrir WDD af The Shock Family: hópur sérfræðinga á vefnum og höfundum WordPress Þemu Shock (Premium Wordpress þemu), WP Þema Generator (A mikill WP þema höfundur), og DesignShock seful design sets). (þú seful hönnun setur).

wordpress öryggi nýta árásir phishing árásir r57 forskriftir sql inndælingar tinthumb endurnýja wordpress senda upp

Hversu örugg er WordPress Site þín?