Video: Uncanny Automator WordPress on Autopilot!! (Oktober 2024)
Som en indholdsstyringsplatform er WordPress enormt populær blandt brugerne, fordi det er så let at bruge. Sagen er, at det også er et populært mål for kriminelle og angribere. Hvis du har et WordPress-websted, skal du tage nogle grundlæggende trin for at sikre dit websted.
DDoS med WordPress
Selvom der altid er bekymring for, at dit WordPress-sted kan hackes for at servere malware til dine besøgende på webstedet, eller omdirigere dem til et svimlet sted andetsteds på Internettet, vil du heller ikke finde ud af, at dit websted bruges til lancere angreb mod andre websteder. Tidligere denne uge rapporterede sikkerhedsfirmaet Sucuri, at mere end 162.000 WordPress-websteder var blevet narret til at deltage i et distribueret angreb på denial-of-service mod et andet sted.
Sagen er, at webstederne ikke blev kapret eller inficeret for at danne et botnet. Angriberne misbrugte Pingbacks, en perfekt legitim funktion i WordPress, for at oversvømme det målrettede websted med uønsket trafik. Pingbacks bruges af et WordPress-sted til at underrette andre sider, når et indlæg er knyttet til dem. I det angreb, der blev observeret af Sucuri, narrede angriberen siderne til at sende en Pingback-anmodning til den samme mål-URL, hvilket var let at gøre, da Pingback som standard er aktiveret i WordPress. Det målrettede sted blev pludselig bombarderet med Pingback-anmodninger, der i det væsentlige monterede sig på et DdoS-angreb.
Hvis du kører WordPress, skal du overveje at slå Pingbacks fra for at sikre dig, at dit websted ikke kan bruges til at angribe andre sider. Funktionen giver dig besked, når en anden snakker om dig, som er en dejlig ego-booster, men er det værd at holde det rundt for at blive misbrugt? Sucuri har forslag til, hvordan man blokerer pingbacks på sit websted.
Lækrig WordPress
Dave Lewis, en højtstående sikkerhedsadvokat med Akamai Technologies, brugte Google til at finde over 111.000 WordPress-websteder, hvis databasesikkerhedskopier var tilgængelige fra Internettet. Listen indeholdt "alle mulige websteder fra uafhængige musikwebsteder til lærekontorer og endda nogle regeringswebsteder, " skrev Lewis på sin CSO-blog. Dumpen indeholdt detaljerede oplysninger om databasen, som angribere kunne bruge til at starte andre angreb, men også en potentiel lækage af dine data.
Naturligvis skal sikkerhedskopier ikke være tilgængelige fra Internettet. Hvis sikkerhedskopier kører lokalt på den samme server, som WordPress er installeret på, kan plugins fra Wordfence eller Sucuri blokere uautoriseret adgang, sagde Lewis.
Forældet WordPress
Den vigtigste opgave for WordPress-administratorer er at holde sig ajour med softwareopdateringer, ikke kun for kerneplatformen, men for hvert af de plugins, der kører på webstedet. Forældede versioner af WordPress er under konstant angreb, især plugins. "Ondsindede hackere er altid på udkig efter måder at inficere computerbrugere på, og hvilken bedre teknik kan der være end at kompromittere et eksisterende, legitimt websted og undergrave det på en sådan måde, at det snedigt inficerer computerbrugere, når de besøger det, " sagde sikkerhedskonsulent Graham Cluley.
Angribere kan udnytte unpatchede fejl til at udføre SQL-injektion eller script-angreb på tværs af websteder. Manglerne kan også udnyttes til at inficere webstedet med malware. For det meste er disse problemer generelt et resultat af problemer med plugins, ikke kernesoftwareplatformen, hvilket gør det endnu mere kritisk, at plugins regelmæssigt opdateres.
Det er vigtigt at bemærke forskellen mellem websteder, der er hostet på WordPress.com og WordPress-websteder, der kører på andre servere. Teamet bag WordPress holder softwaren opdateret på WordPress.com, så individuelle brugere ikke behøver at gøre det. Websteder med egen vært kræver, at ejeren af webstedet forbliver på toppen af programrettelser og opdateringer for at sikre, at softwaren forbliver opdateret.
Hvis du vil køre WordPress, skal du holde dig foran angribere ved at holde dit websted opdateret regelmæssigt.
