Cum sunt piratate site-urile?

În calitate de proprietar de site web WordPress, știți deja că securitatea joacă un rol important în menținerea operațiunilor dumneavoastră în siguranță de hack-uri și atacuri rău intenționate. Dar cum sunt piratate site-urile exact? Care este procesul prin care hackerii încearcă, și adesea reușesc, să distrugă site-urile WordPress cu atacurile lor?

Chiar dacă web-ul a crescut cu salturi și limite în ultimele decenii, nu s-a schimbat mare lucru în ceea ce privește modul în care site-urile web sunt sparte de actori răi. Și cel mai important lucru pe care ar trebui să-l faceți pentru a vă menține site-ul și vizitatorii în siguranță este să înțelegeți pe deplin care sunt aceste trusturi neschimbate, astfel încât să puteți rămâne cu un pas înaintea lor.

În acest ghid cuprinzător, vă vom arăta exact cum sunt piratate site-urile web, care sunt semnele că site-ul dvs. a fost piratat și multe altele. Hai să aruncăm o privire.

Amploarea masivă a site-urilor web piratate

Peste 1,2 miliarde de site-uri web (cu B) cuprind acum versiunea de astăzi a World Wide Web. Și dacă presupuneți un timp mediu de încărcare a site-ului web de 3 secunde, v-ar lua peste 160 de ani pentru a vizita fiecare site existent, fără să vă odihniți o secundă.

Acesta este o rețea nebunește de masivă pe care este complet imposibil pentru orice entitate individuală să-l supravegheze în siguranță. Deși servicii precum Navigarea sigură de la Google încearcă să-și avertizeze utilizatorii despre site-urile care ar putea fi nesigure. În prezent, oferă peste 3 milioane de aceste avertismente utilizatorilor în fiecare zi.

Și aceasta este dimensiunea populațiilor din Los Angeles și New York la un loc.

Simplu spus, site-urile web vor fi întotdeauna ținte uriașe pentru persoanele cu intenții rele. Și impactul general al oricărui hack va fi devastator pentru afacerea dvs.

Dar există vești bune.

Deși există o mare amenințare care este dăunătoare și persistentă, conștientizarea noastră cu privire la noi, combinată cu utilizarea instrumentelor potrivite, va ajuta în mare măsură să ne asigurăm că site-urile noastre rămân ferite de atacuri.

Cum sunt piratate site-urile? Cele 3 căi primare

De-a lungul ultimelor trei decenii de internet, vedem că hack-urile ajung aproape întotdeauna în trei categorii diferite:

1. Controlul accesului
2. Vulnerabilitati software
3. Integrari cu terte parti

Realitatea este că nu contează dacă conduceți un site pentru un Fortune 500 sau un magazin local de pantofi, felul în care hackerii își abordează meșteșugul va arăta aproape identic.

Dar ceea ce diferă este modul în care fiecare afacere individuală își permite să fie exploatată în primul rând.

• Organizațiile mari folosesc adesea scuza de a spune: „Am crezut că altcineva se ocupă de securitate”. Acest tip de ceață și comunicare greșită este comună în organizațiile mari și complexe.
• Întreprinderile mici cred adesea că sunt prea mici pentru ca orice hacker să dorească să le vizeze. Ei sunt adesea sub presupunerea falsă că hackerii nu îi vor atinge. Acest lucru face ușor să pierdeți din vedere cât de multe informații private pot fi preluate chiar și de pe cel mai mic site web.

În ambele astfel de cazuri, hackerii au stimulentele și instrumentele pentru a-și îndeplini obiectivele în zonele în care nu există prea multă vigilență cu privire la securitate.

Mediile site-urilor web au o mulțime de activitate

Înainte de a explora specificațiile fiecărui tip de hack, să stabilim mai întâi o bază incredibil de importantă pentru modul în care funcționează de fapt web-ul.

Fiecare site se bazează pe o serie de sisteme care sunt interconectate și funcționează împreună. Există componente precum DNS (Domain Name Servers), serverul web și infrastructura care găzduiește diversele servere și le conectează la Internet.

Chiar dacă asta sună relativ simplu, ecosistemul de bază este destul de complex.

Multe dintre componentele individuale sunt furnizate de furnizori de servicii de specialitate. Chiar dacă primiți o serie de servicii diferite de la un singur furnizor de servicii, există încă nenumărate părți unice ale ecuației care funcționează singure.

Gândiți-vă la site-ul dvs. web ca la un vehicul modern de consum. La exterior, pare solid și raționalizat, dar dedesubt are nenumărate părți mobile care fac totul să funcționeze.

În scopul acestui ghid, nu este important să înțelegeți toate detaliile despre modul în care funcționează site-ul dvs. Dar este important să știți că fiecare dintre aceste componente individuale va afecta securitatea generală a site-ului dvs. WordPress.

Și fiecare are potențialul de a contribui la felul în care site-ul tău este piratat.

1. Control acces

Aceasta se referă în mod specific la procesul de autorizare și autentificare. Simplu spus, controlul accesului este modul în care vă conectați la site-ul dvs. WordPress.

Și acest lucru depășește doar modul în care vă conectați la panoul de administrare al site-ului dvs. După cum am stabilit deja, există multe date de conectare diferite interconectate care funcționează împreună în culisele site-ului dvs.

Când vă gândiți la controlul accesului, există șase domenii specifice pe care trebuie să le luați în considerare.

Cum faci:

• Conectați-vă la panoul gazdă?
• Conectați-vă la server (SSH, SFTP, FTP)?
• Conectați-vă la site-ul dvs.?
• Conectați-vă la computerul dvs. personal?
• Conectați-vă la platformele de social media?
• Stocați acreditările pentru numele de utilizator și parola pentru fiecare dintre aceste variabile?

Este mult prea ușor să treci cu vederea controlul accesului. Cu toate acestea, fiecare punct de acces individual poate oferi hackerilor acces la întregul tău ecosistem.

Un hacker va folosi, de asemenea, o serie de tactici diferite pentru a obține acces la un singur punct de conectare nesigur. Gândește-te la asta ca la un hoț de casă care verifică fiecare intrare potențială, apoi te furișează (sau te păcălește în) copii ale codurilor de acces sau ale cheilor de acasă.

• Atacurile cu forță brută sunt cel mai ușor de realizat și pot fi cea mai eficientă metodă. Cu un atac cu forță brută, hackerul încearcă să ghicească potențialele combinații de nume de utilizator și parolă în efortul de a se conecta ca utilizator credibil al site-ului.
• Atacurile de inginerie socială sunt în creștere în popularitate. Un hacker creează pagini de phishing care sunt concepute pentru a păcăli un utilizator să-și introducă voluntar combinația ID-ul și parola.
• Atacurile Cross-Site Scripting (XSS) și Cross-Site Request Forgery (CSRF) implică interceptarea acreditărilor de conectare ale unui utilizator prin intermediul browserului utilizatorului.
• De asemenea, sunt folosite atacuri Man in the Middle (MITM) . Cu aceasta, numele de utilizator și parola unui utilizator sunt ușor interceptate atunci când un utilizator lucrează pe rețele care nu sunt complet sigure.
• Keylogger-urile și programele malware suplimentare care monitorizează utilizatorii vor urmări intrarea, apoi le vor raporta hackerului care a infectat utilizatorul.

Dar indiferent de tipul de atac săvârșit, obiectivul hackerului este întotdeauna același: obțineți acces direct la site-ul dvs. prin autentificări credibile.

Indiferent de stilul de atac, scopul este același: obțineți acces direct prin logare.

Pluginul iThemes Security adaugă mai multă protecție pentru securitatea utilizatorului dvs. Securitatea site-ului dvs. depinde de faptul că utilizatorii dvs. au date de conectare sigure cu parole puternice. De aceea, iThemes Security oferă mai multe straturi de securitate pentru utilizatori, inclusiv autentificare cu doi factori, dispozitive de încredere cu protecție împotriva deturnării sesiunii, autentificări fără parolă pentru a verifica identificarea utilizatorilor și protecția cu parolă încălcată. Puteți chiar să executați verificări de securitate a utilizatorului pentru a audita și modifica rapid elementele cele mai critice ale securității utilizatorului.

Următorul nivel de securitate pe care iThemes Security îl adaugă este protecția pentru cea mai atacată parte a site-ului dvs., ecranul de conectare WordPress. iThemes Security oferă două tipuri de protecție împotriva forței brute pentru a urmări încercările de conectare nevalide făcute pe site-ul dvs. Odată ce un utilizator sau un bot a făcut prea multe încercări consecutive de autentificare nevalidă, acesta va fi blocat și va fi împiedicat să mai facă alte încercări pentru o anumită perioadă de timp.

2. Vulnerabilități software

În realitate, marea majoritate a proprietarilor de site-uri WordPress nu sunt capabili să abordeze vulnerabilitățile de securitate din software-ul de astăzi fără un patch recomandat de dezvoltatorul de software. Problema este că mulți dezvoltatori nu țin cont de amenințările pe care codul pe care îl scriu le introduce pe site-ul tău.

O mică eroare care nu afectează vizibil UX (experiența utilizatorului) intenționată poate fi exploatată pentru a face software-ul să facă lucruri pe care nu era intenționat să le facă. Iar cei mai experimentați hackeri privesc acele erori ca pe potențiale vulnerabilități.

Una dintre cele mai obișnuite modalități prin care fac acest lucru este utilizarea unui antet POST incorect sau a unui Uniform Resource Locator (URL) incorect pentru a iniția o serie de atacuri diferite.

Acestea includ:

• Remote Code Execution (RCE) care permite preluarea totală de la distanță a site-ului și a sistemului vizat
• Includere fișiere la distanță/locală (R/LFI) care utilizează intrarea furnizată de utilizator în câmpuri pentru a încărca fișiere rău intenționate într-un sistem
• SQL Injection (SQLi) care manipulează câmpurile de introducere a textului cu cod rău intenționat care trimite secvențe de atac către server

În mod similar cu controlul activelor, vulnerabilitățile din software se extind dincolo de domeniul de aplicare al site-ului web. Aceste vulnerabilități pot fi găsite și exploatate în cadrul fiecărei tehnologii interconectate pe care se bazează un site web.

Și majoritatea site-urilor actuale folosesc un amestec de extensii terțe, cum ar fi pluginuri și teme WordPress, care sunt toate puncte potențiale de intruziune a hackingului.

Deoarece pluginurile vulnerabile, temele și versiunile de bază WordPress reprezintă cel mai mare risc de securitate al site-ului dvs., iThemes Security merge la lucru scanând site-ul dvs. Cu iThemes Security Site Scan, veți ști de fiecare dată când un plugin, o temă sau o versiune de bază WordPress de pe site-ul dvs. este vulnerabilă și necesită actualizare. Și chiar mai bine... va rula automat actualizări pentru tine. Site Scan este alimentat de cea mai cuprinzătoare bază de date de vulnerabilități disponibilă, astfel încât veți avea întotdeauna cea mai recentă protecție. Site Scan se integrează, de asemenea, cu Google Safe Browsing pentru a verifica starea listei blocate a site-ului dvs. și pentru orice malware cunoscut sau fișiere suspecte.

Iată cum funcționează Scanarea site-ului iThemes Security pentru a vă proteja site-ul:

• Scanează site-ul dvs. de două ori pe zi pentru vulnerabilități – pluginurile, temele și versiunile de bază WordPress ale site-ului dvs. sunt verificate în baza de date de vulnerabilități WPScan pentru cele mai recente dezvăluiri de vulnerabilități.
• Se actualizează automat dacă este disponibilă o corecție de securitate – Împreună cu gestionarea versiunilor, iThemes Security va actualiza automat un plugin, o temă sau o versiune de bază WordPress dacă are o vulnerabilitate.
• Vă trimite un e-mail dacă scanarea site-ului detectează o vulnerabilitate – Puteți primi un raport prin e-mail dacă site-ul dvs. rulează versiuni vulnerabile ale unui plugin, teme sau nucleu WordPress. Personalizați adresele de e-mail care primesc rezultatele scanării.

3. Servicii și integrări ale terților

În cele din urmă, există exploit-urile care au loc prin servicii și integrări terțe.

Cel mai adesea, acestea vor lua forma unor reclame printr-o rețea publicitară care duce la atacuri de publicitate incorectă.

Aceste hack-uri vor implica servicii pe care le utilizați cu site-ul și găzduirea dvs., inclusiv variabile precum CDN (Rețeaua de distribuție a conținutului).

Serviciile și integrările terță parte asigură suficientă interconectare între diferitele părți ale experienței dvs. de gestionare a site-ului. De fapt, acesta este un lucru pe care oamenii îl iubesc la opțiunile extensibile ale sistemului de management al conținutului, cum ar fi WordPress, Drupal și Joomla.

Dar interconexiunea oferă, de asemenea, puncte pe care hackeri le pot exploata.

Una dintre cele mai mari probleme este modul în care hackerii exploatează aceste servicii și integrări în moduri care depășesc capacitatea proprietarului de site-uri web de a le controla. În calitate de constructor sau administrator de site-uri, ați pus o mulțime de încredere în furnizorii terți atunci când alegeți să utilizați una dintre integrările acestora.

Și, desigur, mulți sunt sârguincioși în a-și asigura integrările.

Dar, ca și în cazul altor lucruri, există un risc inerent. Și este unul pe care hackerii au întotdeauna ochii.

Unul dintre modalitățile prin care iThemes Security funcționează pentru a proteja accesul terților este cu parole securizate pentru aplicații pentru XML-RPC și API-ul REST. Această actualizare permite utilizarea autentificării numelui de utilizator/parolă pentru solicitările API-ului REST, astfel încât să puteți bloca API-ul REST (conform recomandării noastre), permițând în același timp instrumentele externe care folosesc API-ul REST să se conecteze.

Protejarea site-ului dvs. împotriva piratarii

Securitatea site-ului WordPress contează. O mare parte a securității site-ului WordPress este educația și conștientizarea. Și simpla citire a acestui ghid te-a pus într-o poziție mai bună pentru a-ți securiza site-ul.

Mergând înainte, există pași specifici pe care trebuie să-i faceți. Și scopul nostru este să vă ajutăm să le atingeți. Din păcate, doar după ce ceva a mers prost, atât de mulți proprietari de site-uri web se iau în sfârșit serioși cu privire la securitate.

În schimb, de ce să nu treci înaintea durerii și să faci acești pași pentru a te feri de ea:

1. Utilizați principiile Apărării în profunzime. Aceasta implică construirea de straturi de securitate ca o ceapă. Fiecare practică face mai dificil pentru hackeri să intre în ecosistemul tău.
2. Folosiți cele mai bune practici cu cele mai puțin privilegiate. Asigurați-vă că limitați ceea ce le permite fiecare utilizator de site să facă.
3. Creați autentificare cu doi factori și autentificare cu mai mulți factori oriunde puteți. Acest lucru va securiza și mai mult acele puncte de acces specifice ale utilizatorilor.
4. Utilizați un firewall pentru site-ul web. Acest lucru va face minuni în limitarea modului în care hackerii încearcă să exploateze vulnerabilitățile din software.
5. Programați backup-uri în mod regulat. Descărcați și instalați pluginul de backup BackupBuddy WordPress ca soluție pentru aceasta. În acest fel, dacă site-ul dvs. este piratat vreodată, îl veți putea recupera cu câteva clicuri.
6. Obțineți perspectiva principalelor motoare de căutare. Bing Webmaster Tools și Google Search Console oferă ambele rapoarte utile despre modul în care văd securitatea site-ului dvs.

Cea mai bună modalitate de a acoperi aceste baze de securitate în calitate de proprietar de site WordPress este utilizarea pluginului iThemes Security Pro.

Atunci înțelegeți că nu există o modalitate sigură de a rămâne 100% în siguranță în orice moment. Instrumentele pe care le utilizați în mediul site-ului dvs. web vă vor reduce semnificativ riscul general. Dar securitatea nu este o singură acțiune sau eveniment. Este o serie de acțiuni.

Și totul începe cu un instrument grozav, cum ar fi iThemes Security Pro, care vă va ajuta să vă ghidați prin cum să vă securizați cel mai bine site-ul.

Acum că știți ce să faceți și ce căutați, fără îndoială veți întâlni unul dintre scenariile de securitate pe care le-am acoperit în acest ghid. Dar acum, vei ști mai bine ce să faci pentru a remedia problema.

Cel mai bun plugin de securitate WordPress pentru a securiza și proteja WordPress

WordPress alimentează în prezent peste 40% din toate site-urile web, așa că a devenit o țintă ușoară pentru hackerii cu intenții rău intenționate. Pluginul iThemes Security Pro elimină presupunerile din securitatea WordPress pentru a facilita securizarea și protejarea site-ului dvs. WordPress. Este ca și cum ai avea în personal un expert în securitate cu normă întreagă care monitorizează și protejează constant site-ul tău WordPress pentru tine.

Obțineți iThemes Security Pro

Kristen Wright

Kristen a scris tutoriale pentru a ajuta utilizatorii WordPress din 2011. În calitate de director de marketing aici la iThemes, ea este dedicată să vă ajute să găsiți cele mai bune modalități de a construi, gestiona și menține site-uri web WordPress eficiente. De asemenea, lui Kristen îi place să scrie în jurnal (vezi proiectul ei paralel, The Transformation Year !), drumeții și camping, aerobic, gătit și aventurile zilnice cu familia ei, sperând să trăiască o viață mai prezentă.