Video: Bygg din egen Wordpress-baserade webbplats (September 2024)
Som en innehållshanteringsplattform är WordPress oerhört populärt bland användare eftersom det är så enkelt att använda. Saken är att det också är ett populärt mål för brottslingar och angripare. Om du har en WordPress-webbplats måste du vidta några grundläggande steg för att säkra din webbplats.
DDoS med WordPress
Även om det alltid finns oro för att din WordPress-webbplats kan hackas för att servera skadlig programvara för dina besökare, eller omdirigera dem till en dumgy webbplats någon annanstans på webben, vill du inte heller ta reda på att din webbplats används till lansera attacker mot andra webbplatser. Tidigare i veckan rapporterade säkerhetsföretaget Sucuri att mer än 162 000 WordPress-webbplatser hade lurats att delta i en distribuerad attack för att avslå tjänsten mot en annan webbplats.
Saken är att webbplatserna inte kapades eller infekterades för att bilda ett botnet. Angriparna missbrukade Pingbacks, en helt legitim funktion i WordPress, för att översvämma den riktade webbplatsen med oönskad trafik. Pingbacks används av en WordPress-webbplats för att meddela andra webbplatser när ett inlägg länkas till dem. I attacken som Sucuri observerade lurade angriparen webbplatserna till att skicka en Pingback-begäran till samma mål-URL, vilket var lätt att göra eftersom Pingback är aktiverat som standard i WordPress. Den riktade webbplatsen bombades plötsligt med Pingback-förfrågningar, som i huvudsak monterade på en DdoS-attack.
Om du kör WordPress bör du överväga att stänga av Pingbacks för att se till att din webbplats inte kan användas för att attackera andra webbplatser. Funktionen meddelar dig när någon annan pratar om dig, vilket är en trevlig ego-booster, men är det värt att hålla det kvar för att missbrukas? Sucuri har förslag på hur man blockerar pingbacks på sin webbplats.
Läckande WordPress
Dave Lewis, en hög säkerhetsadvokat med Akamai Technologies, använde Google för att hitta över 111 000 WordPress-webbplatser vars databasbackup var tillgängliga från Internet. Listan innehöll "alla typer av webbplatser från oberoende musikwebbplatser till läkarkontor och till och med vissa myndigheter, " skrev Lewis på sin CSO-blogg. Dumpningen innehöll detaljerad information om databasen, som angripare kan använda för att starta andra attacker, men också en potentiell läcka av dina data.
Uppenbarligen bör säkerhetskopior inte vara tillgängliga från Internet. Om säkerhetskopior körs lokalt på samma server som WordPress är installerat på, kan plugins från Wordfence eller Sucuri blockera obehörig åtkomst, sa Lewis.
Föråldrad WordPress
Den viktigaste uppgiften för WordPress-administratörer är att hålla sig uppdaterad med programvaruuppdateringar, inte bara för kärnplattformen, utan för varje plugin som körs på webbplatsen. Föråldrade versioner av WordPress attackeras ständigt, särskilt plugins. "Skadliga hackare letar alltid efter sätt att infektera datoranvändare, och vilken bättre teknik kan det vara än att kompromissa med en befintlig, legitim webbplats och subvertera den på ett sådant sätt att den smyger smittar datoranvändare när de besöker den, " sade säkerhetskonsult Graham Cluley.
Angripare kan utnyttja oöverträffade brister för att utföra SQL-injektioner eller skriptattacker över hela webbplatsen. Bristerna kan också utnyttjas för att infektera webbplatsen med skadlig kod. För det mesta är dessa problem i allmänhet resultatet av problem med plugins, inte kärnprogramvaruplattformen, vilket gör det ännu mer kritiskt att plugins uppdateras regelbundet.
Det är viktigt att notera skillnaden mellan webbplatser som är värda på WordPress.com och WordPress-webbplatser som körs på andra servrar. Teamet bakom WordPress håller programvaran uppdaterad på WordPress.com, så att enskilda användare inte behöver. Webbplatsägare måste hålla sig uppdaterade för att se till att programvaran förblir aktuell.
Om du ska köra WordPress, fortsätt med angriparna genom att hålla din webbplats uppdaterad regelbundet.
