Casa Vigilant de seguretat Manteniu els atacants lluny del vostre lloc de wordpress

Manteniu els atacants lluny del vostre lloc de wordpress

Vídeo: Rank Math SEO WordPress | What's In Rank Math Pro? (De novembre 2024)

Vídeo: Rank Math SEO WordPress | What's In Rank Math Pro? (De novembre 2024)
Anonim

Com a plataforma de gestió de continguts, WordPress és extremadament popular entre els usuaris perquè és tan fàcil d’utilitzar. El cas és que també és un objectiu popular per a delinqüents i atacants. Si teniu un lloc de WordPress, heu de fer alguns passos bàsics per protegir el vostre lloc.

DDoS amb WordPress

Tot i que sempre hi ha la preocupació de que el vostre lloc de WordPress pugui ser piratejat per servir de programari maliciós als visitants del vostre lloc, o redirigir-los a un lloc incòmode en un altre lloc del web, tampoc voldreu esbrinar que el vostre lloc s’utilitza per llançar atacs contra altres llocs. A principis d'aquesta setmana, la firma de seguretat Sucuri va informar que més de 162.000 llocs de WordPress havien estat enganyats a participar en un atac distribuït de denegació de serveis contra un altre lloc.

El cas és que els llocs no van ser segrestats ni infectats per formar una botnet. Els atacants van abusar de Pingbacks, una característica perfectament legítima a WordPress, per inundar el lloc objectiu amb trànsit no desitjat. Un lloc de WordPress utilitza els pingbacks per avisar a altres llocs quan hi ha una publicació vinculada. En l'atac observat per Sucuri, l'atacant va enganyar els llocs per enviar una sol·licitud de Pingback al mateix URL de destinació, cosa fàcil de fer, ja que Pingback està activat per defecte a WordPress. El lloc objectiu va ser bombardejat sobtadament amb peticions de Pingback, que fonamentalment van ser atacades a un DdoS.

Si utilitzeu WordPress, heu de considerar desactivar Pingbacks per assegurar-vos que el vostre lloc no es pot utilitzar per atacar altres llocs. La funció us notifica quan algú més parla de vosaltres, que és un bon ego-reforçador, però val la pena mantenir-lo al voltant per ser maltractat? Sucuri té suggeriments sobre com bloquejar els pingbacks al seu lloc.

WordPress escarmentat

Dave Lewis, un advocat principal en seguretat de Akamai Technologies, va utilitzar Google per trobar més de 111.000 llocs de WordPress les còpies de seguretat de les seves bases de dades eren accessibles des d'Internet. La llista inclou "tot tipus de llocs web des de llocs de música independents fins a consultoris i fins i tot alguns llocs web governamentals", va escriure Lewis al seu blog CSO. La descàrrega contenia informació detallada sobre la base de dades, que els atacants podrien utilitzar per llançar altres atacs, però també una possible filtració de les vostres dades.

Evidentment, les còpies de seguretat no haurien de ser accessibles des d'Internet. Si les còpies de seguretat s’executen localment al mateix servidor on s’instal·la WordPress, els connectors de Wordfence o Sucuri poden bloquejar l’accés no autoritzat, va dir Lewis.

WordPress desfasat

La tasca més important per als administradors de WordPress és mantenir-se al capdavant de les actualitzacions de programari, no només per a la plataforma bàsica, sinó per a cadascun dels connectors que s’executen al lloc. Les versions desactualitzades de WordPress estan en constant atac, especialment els plugins. "Els pirates informàtics maliciosos sempre busquen maneres d’infectar els usuaris d’ordinadors, i quina millor tècnica hi pot haver que comprometre un lloc web existent i legítim i subvertir-lo de manera que infecti de manera sorprenent els usuaris d’ordinadors quan el visiten", va dir el consultor de seguretat. Graham Cluley.

Els atacants poden explotar defectes no controlats per realitzar injeccions SQL o atacs de scripts de llocs creuats. També es poden explotar els defectes per infectar el lloc amb programari maliciós. En la seva majoria, aquests problemes són generalment el resultat de problemes amb els plugins, no la plataforma de programari principal, fent encara més crític que els plugins s’actualitzin regularment.

És important tenir en compte la diferència entre els llocs allotjats a WordPress.com i els llocs de WordPress que s’executen en altres servidors. L’equip que hi ha al darrere de WordPress manté el programari actualitzat a WordPress.com, de manera que els usuaris no han de fer-ho. Els llocs que s’allotgen de forma autònoma requereixen que el propietari del lloc estigui al capdavant de les pedaxes i actualitzacions per assegurar-se que el programari segueixi sent actual.

Si voleu executar WordPress, seguiu al davant dels atacants mantenint el vostre lloc actualitzat regularment.

Manteniu els atacants lluny del vostre lloc de wordpress