Ce sunt atacurile de hack WordPress direcționate și non-țintite

Publicat: 2014-07-08

Dacă ați citit despre securitatea WordPress și ați căutat hack-uri și ajustări de securitate WordPress pe care să le aplicați pluginurilor dvs. de securitate WordPress sau WordPress pentru a-l proteja de atacurile hackerilor, veți observa că există două tipuri de atacuri, hack-uri WordPress țintite și ne-țintite. atacuri.

Care este diferența dintre un atac WordPress țintit și cel ne-țintit și cum vă puteți proteja WordPress de aceste două atacuri? Acest articol explică diferența dintre aceste două tipuri de atacuri de tip hack și explică de ce unele sau unele ajustări și hack-uri WordPress vă pot proteja de un tip de atac și nu de altul și invers.

Atacul de hack WordPress non-țintit

Atacurile nedirecționate ale hackerilor WordPress sunt atacuri automate și nu sunt lansate în mod specific numai împotriva site-urilor WordPress. De exemplu, dacă hackerii încearcă să exploateze o vulnerabilitate cunoscută într-o versiune veche de WordPress, ei nu caută manual site-urile WordPress, nu le verifică versiunea și vad dacă sunt vulnerabili la o astfel de vulnerabilitate sau nu.

În schimb, folosesc instrumente automate pentru a trimite anumite solicitări HTTP care sunt folosite pentru a exploata vulnerabilitatea către un număr de site-uri, de obicei o serie de adrese IP. În funcție de răspunsurile HTTP primite înapoi, instrumentul determină dacă site-ul țintă este o instalare WordPress vulnerabilă sau nu.

Protejați WordPress de atacuri nețintite

Prin urmare, dacă ascundeți versiunea dvs. de WordPress, sau chiar ascundeți faptul că utilizați WordPress pentru site-urile dvs., nu vă veți proteja site-ul de atacurile de hack-uri WordPress nețintite. Pentru a proteja WordPress de atacurile de hack ne-țintite, urmați recomandările de mai jos:

  1. Țineți tot software-ul actualizat; utilizați întotdeauna cea mai recentă și mai sigură versiune de WordPress, pluginuri și teme pe care le utilizați. Acest lucru este valabil și pentru MySQL, Apache și orice alt software care rulează în mediul dvs. web.
  2. Dezinstalați și eliminați întotdeauna orice plugin, teme și orice alte componente și fișiere inutile care nu sunt utilizate.
  3. Nu utilizați nume de utilizator obișnuite, cum ar fi admin, administrator și root pentru contul dvs. de administrator WordPress. Dacă redenumiți contul de administrator WordPress.
  4. Protejați paginile de autentificare și de administrare WordPress adăugând un strat suplimentar de autentificare. Citiți Protejați pagina de conectare WordPress cu autentificare HTTP pentru mai multe informații.
  5. Utilizați parole puternice; acest lucru nu se aplică numai WordPress, ci oricărui alt serviciu sau site web pe care îl utilizați online. Dacă aveți mai mulți utilizatori care folosesc WordPress, utilizați un plugin pentru a crea Politici privind parolele WordPress pentru a vă asigura că utilizatorii folosesc parole puternice.

Atacul de hack WordPress țintit

Atacurile de hack-uri direcționate sunt direcționate în mod special către site-urile și blogurile dvs. Există mai multe motive pentru care site-ul dvs. WordPress ar putea fi victima unui atac țintit și motivul pentru care WordPress este victima unui atac țintit nu are importanță. Ceea ce este important este să înțelegeți ce se întâmplă într-un atac țintit, astfel încât să vă puteți proteja mai bine site-urile și blogurile WordPress.

Atacurile direcționate sunt mai periculoase decât cele nețintite, pur și simplu pentru că, în loc să aibă un număr de instrumente automate care scanează site-urile web aleatoriu, există o ființă umană care analizează fiecare detaliu despre site-ul dvs. în speranța de a găsi ceva care ar putea fi exploatat.

Anatomia unui atac WordPress direcționat

La început, atacatorul va folosi instrumente automate pentru a verifica dacă versiunea dvs. de WordPress este vulnerabilă la vreo vulnerabilitate cunoscută. Deoarece sunt folosite instrumente automate, ascunderea versiunii WordPress nu ajută în astfel de scenarii.

Atacatorul va încerca, de asemenea, să determine ce pluginuri rulează pe WordPress și dacă vreunul dintre ele este vulnerabil la o anumită vulnerabilitate. Din nou, majoritatea acestor sarcini sunt efectuate folosind instrumente automate.

Cele mai slabe legături în securitatea WordPress sunt de obicei acreditările. Prin urmare, folosind instrumente automate, atacatorul va încerca să enumere toți utilizatorii WordPress și chiar să lanseze un atac de dicționar de parole împotriva WordPress.

Există multe alte moduri și mijloace de a pirata un blog sau un site web WordPress, iar atacurile direcționate nu profită în mod specific de o slăbiciune a securității în WordPress sau una dintre componentele sale. Ar putea fi, de asemenea, o gaură de securitate în software-ul sau configurația serverului web etc., dar cele trei de mai sus sunt cele mai comune puncte de intrare pentru atacurile de hack.

Protejați WordPress de atacurile direcționate

Există multe hack-uri și ajustări WordPress pe care le puteți aplica pentru a vă proteja WordPress de un atac de hack-uri vizat, așa cum este evidențiat în lista de mai jos:

  1. Pentru început, tot ceea ce se aplică pentru a vă proteja WordPress de atacurile WordPress ne-țintite se aplică și atacurilor țintite.
  2. Securizează și protejează contul de administrator WordPress
  3. Activați WordPress SSL pentru a vă accesa pagina de autentificare WordPress și paginile de administrare printr-un strat de comunicare criptat pentru a evita deturnarea numelor de utilizator și a parolei WordPress.
  4. Utilizați un plugin de monitorizare și auditare a securității WordPress pentru a urmări tot ceea ce se întâmplă pe WordPress și pentru a identifica orice activitate suspectă înainte ca aceasta să devină o problemă de securitate
  5. Utilizați rolurile de utilizator WordPress pentru a îmbunătăți securitatea WordPress, asigurându-vă că fiecare utilizator are doar privilegiile minime necesare pentru a face treaba
  6. Utilizați scanerul de cutie neagră de securitate WPScan WordPress și alte instrumente pentru a scana și audita frecvent site-ul dvs. WordPress.

Protejarea WordPress de toate tipurile de atacuri ale hackerilor

Din când în când, ați putea citi despre o anumită modificare de securitate WordPress despre care unii oameni spun că funcționează, în timp ce alții spun că nu, cum ar fi ascunderea versiunii dvs. WordPress. În acest caz, știm că ascunderea versiunii WordPress nu îmbunătățește securitatea acesteia, așa că de ce să implementăm o astfel de modificare în primul rând? Dacă aveți îndoieli cu privire la o anumită modificare, dacă modificarea nu afectează performanța WordPress și este ușor de implementat, mergeți mai departe și implementați-o. Mai bine să fii în siguranță decât să-ți pară rău!

În afară de sfaturile de mai sus, există multe alte modalități de a îmbunătăți securitatea blogurilor și site-urilor web WordPress și de a le proteja de atacurile de hack WordPress atât direcționate, cât și nedirecționate. În mod ideal, ar trebui să vă păstrați la curent prin abonarea la un blog de securitate WordPress, unde sunt publicate frecvente sfaturi de securitate, hack-uri și ajustări WordPress.