Video: Отключите кэш на время создания и редактирования сайта! (Listopad 2024)
Jako platforma pro správu obsahu je WordPress mezi uživateli nesmírně populární, protože jeho použití je tak snadné. Jde o to, že je oblíbeným cílem zločinců a útočníků. Pokud máte web WordPress, je třeba provést některé základní kroky k zabezpečení webu.
DDoS s WordPress
I když vždy existuje obava, že váš web WordPress může být napaden tak, aby obsloužil malware návštěvníkům vašeho webu, nebo je přesměroval na riskantní web jinde na webu, také nechcete zjistit, že je váš web zvyklý zahájit útoky proti jiným webům. Začátkem tohoto týdne bezpečnostní firma Sucuri oznámila, že více než 162 000 stránek WordPress bylo podvedeno k účasti na distribuovaném útoku proti jinému serveru odmítnutí služby.
Jde o to, že weby nebyly uneseny ani infikovány, aby vytvořily botnet. Útočníci zneužívali Pingbacks, což je naprosto legitimní funkce ve WordPressu, aby zaplavil cílený web nežádoucím provozem. Pingbacks používá jeden web WordPress k upozornění jiných webů, když je k nim připojený příspěvek. Při útoku, který pozoroval Sucuri, útočník přiměl stránky k odeslání požadavku Pingback na stejnou cílovou adresu URL, což bylo snadné, protože Pingback je ve WordPressu ve výchozím nastavení povolen. Cílené místo bylo najednou bombardováno požadavky Pingback, které se v podstatě připojily k útoku DdoS.
Pokud používáte WordPress, měli byste zvážit vypnutí Pingbacků, abyste se ujistili, že váš web nelze použít k útoku na jiné weby. Tato funkce vás upozorní, když o vás mluví někdo jiný, což je pěkný posilovač ega, ale stojí za to ho nechat zneužít? Sucuri má návrhy, jak na svém webu blokovat pingbacky.
Děravý WordPress
Dave Lewis, senior bezpečnostní zastánce společnosti Akamai Technologies, použil Google k nalezení více než 111 000 webů WordPress, jejichž zálohy databáze byly přístupné z Internetu. Seznam obsahoval „všechny druhy webových stránek od nezávislých hudebních webů až po ordinace lékařů a dokonce i některé vládní weby, “ napsal Lewis na svém blogu CSO. Výpis obsahoval podrobné informace o databázi, které útočníci mohli použít ke spuštění jiných útoků, ale také k potenciálnímu úniku vašich dat.
Zálohy by samozřejmě neměly být přístupné z Internetu. Pokud jsou zálohy spuštěny lokálně na stejném serveru, na kterém je nainstalován WordPress, mohou pluginy od Wordfence nebo Sucuri blokovat neoprávněný přístup, řekl Lewis.
Zastaralé WordPress
Nejdůležitějším úkolem správců WordPress je zůstat na vrcholu aktualizací softwaru, nejen pro základní platformu, ale pro každý z pluginů běžících na webu. Zastaralé verze WordPress jsou neustále pod útokem, zejména pluginy. „Škodliví hackeři stále hledají způsoby, jak nakazit uživatele počítačů, a jaká lepší technika může existovat, než ohrozit existující legitimní web a podvracet jej tak, aby tajně infikoval uživatele počítačů, když jej navštíví, “ řekl bezpečnostní konzultant Graham Cluley.
Útočníci mohou využít neodstraněné vady k provádění SQL injekce nebo skriptovacích útoků mezi servery. Tyto nedostatky lze také využít k infikování webu malwarem. Z velké části jsou tyto problémy obvykle výsledkem problémů s pluginy, nikoli základní softwarovou platformou, což je ještě důležitější, aby byly pluginy pravidelně aktualizovány.
Je důležité si uvědomit rozdíl mezi weby hostovanými na stránkách WordPress.com a weby WordPress, které běží na jiných serverech. Tým za WordPress udržuje software na webu WordPress.com aktuální, takže jednotliví uživatelé nemusí. Webové stránky s vlastním hostitelem vyžadují, aby majitel stránek zůstal na špičkách a aktualizacích, aby se ujistil, že software zůstává aktuální.
Pokud se chystáte spustit WordPress, mějte před útočníky pravidelnou aktualizaci svých stránek.
