Perché aggiornare il tuo blog WordPress vulnerabilità di cui dovresti essere consapevole
Ho molte cose fantastiche da dire su WordPress. È un pezzo di software open source di fama internazionale che consente a chiunque di avviare il proprio blog o sito web. È abbastanza potente da essere estensibile dai programmatori esperti, eppure è abbastanza semplice da permettere alle persone con problemi analfabeti di trarne ancora beneficio. Abbiamo anche una mini-guida per iniziare il tuo sito WordPress 10 Primi passi essenziali all'avvio di un blog Wordpress 10 Primi passi essenziali all'avvio di un blog Wordpress Avendo creato un bel po 'di blog, mi piacerebbe pensare di avere un buon sistema giù per quei primi passi essenziali, e spero che possa esserti utile anche a te. Seguendo ... Leggi di più .
Tuttavia, come con tutti i software relativi a Internet, ci saranno sempre buchi di sicurezza che necessitano di patch. Anche quando i fori passanti sono corretti, le nuove funzionalità introdurranno inevitabilmente nuovi fori, e quindi quei fori dovranno essere riparati. È un processo che non finisce mai, ed è per questo che è così importante per te aggiorna regolarmente il tuo WordPress.
L'aggiornamento di WordPress è il modo migliore per applicare le ultime vulnerabilità di sicurezza di WordPress. Quali tipi di vulnerabilità di sicurezza? Ecco una panoramica dei più comuni che incontrerai.
1. Account amministratore predefinito
Quando installi WordPress per la prima volta, verrà richiamato l'account amministratore di base “Admin” con una password altrettanto semplice. Mantenere le credenziali di sicurezza alle impostazioni predefinite può essere una grande vulnerabilità perché hacker e cracker sapranno quali sono quelle impostazioni predefinite e, quindi, le sfrutteranno con facilità.
In realtà, questo non è un problema unico per WordPress. Tutto ciò che viene fornito con le credenziali di accesso predefinite a livello di prodotto 3 Password predefinite che è necessario modificare e Perché 3 password predefinite è necessario modificare e Perché le password sono scomode, ma necessarie. Molte persone tendono a evitare le password laddove possibile e sono felici di utilizzare le impostazioni predefinite o la stessa password per tutti i loro account. Questo comportamento può rendere i tuoi dati e ... Leggi di più (come accessi al router o codici di sblocco del telefono) avranno questa vulnerabilità di WordPress. Ma mentre i router e i telefoni di solito richiedono la tua presenza fisica per malizia, chiunque può potenzialmente hackerare il tuo sito WordPress a patto che abbia l'URL.
Che cosa si può fare? La soluzione più semplice è creare un nuovo account amministratore sul tuo sito WordPress ed eliminare il valore predefinito “Admin” account. Ciò non lascia alcuna prevedibilità in termini di accesso da parte dell'amministratore.
2. Prefissi di database predefiniti
Quando WordPress viene installato per la prima volta, le tabelle del database vengono denominate con un prefisso predefinito di wp_. Questo viene fatto in modo che tutte le tabelle rimangano organizzate nel tuo database nel caso tu stia lavorando con altri pacchetti software nello stesso database. Il wp_ significa che quelle tabelle specifiche sono legate a WordPress.
Ma ecco il trucco: se un hacker sta tentando di rovinare il tuo sito WordPress, allora questo bit di prevedibilità lo rende automaticamente un passo avanti nel manomettere le tabelle del tuo database. Conoscendo i nomi delle tabelle del database, un hacker può attirare manualmente fino a quando non ottiene l'accesso.
Pensare in questo modo. Supponiamo che un ladro voglia rubare qualcosa da casa tua, ma la tua casa è dotata di porte speciali che hanno buchi nascosti finché non chiami il giusto “nome” per quella porta. Se il ladro sa che il nome della tua porta è “sabbioso”, poi tutto quello che deve fare è prendere il lucchetto, ma se il ladro non conosce il nome della tua porta, deve prima capirlo in qualche modo, prima ancora che possa iniziare a prenderlo.
Che cosa si può fare? Semplice. WordPress consente di installare utilizzando un prefisso tabella diverso dal prefisso predefinito.
3. File e directory accessibili
Con qualsiasi sito Web, il numero di file a cui si desidera effettivamente accedere è molto più piccolo del numero di file necessari per alimentare quel sito. Potresti avere un sacco di file di funzioni, file di classe, file modello, file di configurazione e altro - nessuno dei quali dovrebbe essere pubblicamente disponibile. Lo stesso vale per le directory.
Utilizzando CHMOD, è possibile impostare le autorizzazioni su vari file e directory per impedire agli utenti indesiderati di accedere a materiali sensibili. Ad esempio, se un utente avesse accesso al tuo file di configurazione, potrebbe manomettere le impostazioni di WordPress e interrompere il tuo sito web. WordPress è vulnerabile quando i file e le directory del tuo sito Web non sono protetti dietro le corrette impostazioni di autorizzazione.
Che cosa si può fare? In realtà ho dovuto affrontare questo problema di recente, e la correzione non è troppo difficile. Assicurati che l'installazione di WordPress sia conforme allo schema di autorizzazione di WordPress.
4. Iniezioni SQL e dirottamento
Le iniezioni SQL non sono esclusive di WordPress; in effetti, sono una delle forme più comuni (e distruttive) di attacchi di server web nel mondo. Non hai familiarità con il termine? Dare la mia introduzione all'articolo di SQL Injection What Is An SQL Injection? [MakeUseOf Explains] Che cos'è un'Iniezione SQL? [MakeUseOf Explains] Il mondo della sicurezza di Internet è afflitto da porte aperte, backdoor, buchi di sicurezza, trojan, worm, vulnerabilità dei firewall e una manciata di altri problemi che ci tengono tutti in punta di piedi ogni giorno. Per gli utenti privati, ... Leggi di più una rapida occhiata per darti una comprensione di base del problema.
In sostanza, WordPress ha avuto alcuni buchi di sicurezza di iniezione SQL nel loro codice nel corso degli anni. Alcuni sono stati riparati mentre altri rimangono scoperti o non rilevati. Se un hacker ottiene l'accesso a uno di questi buchi, può iniettare codice SQL dannoso nel database, che può essere utilizzato per rubare dati o semplicemente eliminarlo del tutto.
Che cosa si può fare? Bene, ecco il trucco: se non sei abbastanza attrezzato per sapere come sconfiggere le iniezioni SQL, probabilmente non hai il know-how tecnico per creare una protezione in primo luogo. Probabilmente puoi cercare plugin per WordPress che potrebbero indirizzare potenziali buchi di iniezione, ma la maggior parte degli utenti dovrà semplicemente attendere la prossima patch di sicurezza di WordPress.
Plugin consigliati
- WP Security Scan - questo plug-in eseguirà la scansione della configurazione del tuo sito Web e cercherà potenziali vulnerabilità di sicurezza. Copre ogni tipo di area, dai permessi dei file ai buchi del database, alla gestione delle password e altro ancora.
- WordPress File Monitor Plus - nel caso in cui qualcuno abbia avuto accesso alla struttura dei file del tuo sito, questo plugin ti farà sapere. Controlla regolarmente i file e le directory del sistema e prende nota di eventuali discrepanze.
- WordPress Firewall 2: questo plug-in crea un muro metaforico attorno al tuo sito, eseguendo la scansione di tutti i dati e il traffico in ingresso per scopi dannosi. È abbastanza bravo a prevenire attacchi come iniezioni SQL e altri attacchi al database.
- Wordfence - Wordfence è un plug-in di suite di sicurezza all-in-one che include protezione dagli attacchi dannosi, scansione anti-virus, firewall e altro. Sicuramente vale la pena provare.
Conclusione
Mentre WordPress può essere sia open source che ampiamente popolare, ciò non significa che non sia privo di difetti. Le vulnerabilità di WordPress si visualizzano di tanto in tanto e quando uno è riparato, un altro di solito è proprio dietro l'angolo. Con un monitoraggio attento e misure preventive, è possibile ridurre al minimo il rischio che il tuo sito WordPress deve affrontare.