7 najpopularniejszych błędów w zabezpieczeniach WordPress

Data dodania:

7_najpopularniejszych_bledow_w_zabezpieczeniach_wordpress

WordPress to jeden z najpopularniejszych CMS-ów na świecie. W ciągu ostatnich lat bardzo się rozwinął. Niestety wraz z jego popularnością stał się także głównym obiektem ataku hakerów. Według zgromadzonych danych 90% wszystkich ataków hakerskich na strony internetowe dotyczy właśnie tych zbudowanych na WordPress.

Często przyczyną takiej sytuacji jest popełnianie popularnych błędów związanych z bezpieczeństwem stron. Przyjrzyjmy się zatem 7 najczęstszym z nich.

1. Domyślne dane konta admina

Podczas pierwszej instalacji WordPressa na serwerze należy podać dane logowania admina. Jeśli owo konto nazywa się po prostu „admin”, Twoja strona jest znacznie bardziej narażona na ataki.

W efekcie takiej decyzji hakerzy mają o połowę mniej pracy. Jedyne, co im pozostaje, to złamanie hasła. Aby naprawić ten problem, stwórz nowe konto z uprawnieniami administratora. Zaloguj się tym nowym kontem, a następnie zmień uprawnienia poprzedniego konta „admin” lub całkowicie je usuń.

Powyższy błąd prowadzi nas także do kolejnego:

2. Podatność na brutalne ataki

Tzw. brute force attack określają praktykę, podczas której haker za pomocą oprogramowania wpisuje różne kombinacje nazw użytkowników oraz haseł. W rezultacie po pewnym czasie uda mu się znaleźć właściwe połączenie nazwy użytkownika oraz hasła. Tego typu atak wykorzystuje najprostszy sposób na dostanie się do Twojej witryny – stronę logowania.

WordPress domyślnie nie ogranicza liczby prób logowania, przez co boty mogą wykorzystywać metodę brutalnego ataku aż do skutku. Nawet jeżeli się on nie powiedzie, nadal może spowodować chaos na serwerze, gdyż liczne próby logowania go przeciążą. Co gorsza, niektórzy dostawcy hostingu mogą wtedy zawiesić Twoje konto z racji przeciążeń – jest to prawdopodobny scenariusz zwłaszcza w przypadku hostingu współdzielonego.

Aby temu zaradzić, ogranicz liczbę prób logowania oraz ustal trudne do rozszyfrowania nazwy użytkowników i hasła.

3. Domyślne prefiksy związane z tabelami baz danych

Instalując WordPress, masz możliwość wybrania prefiksu, jaki będzie określał tabele gromadzące dane. Większość początkujących osób wybierze tutaj domyślny prefiks „wp_”. Jest to duża luka w bezpieczeństwie strony, gdyż oszczędza hakerom wiele pracy. W rezultacie będą mogli domyślnie nakierowywać swoje działania na pliki opisane właśnie tym przedrostkiem. W ten sposób mogą uzyskać informacje m.in. na temat użytkowników strony.

Aby naprawić ten błąd, zamień po prostu prefiks „wp_” na inny.

4. Wstrzyknięcia SQL

Tego typu atak ma miejsce wtedy, gdy haker uzyskuje dostęp do Twojej bazy danych WordPress MySQL. Poprzez wstrzyknięcia różnego kodu, atakujący może tworzyć nowe konta administratorów lub dodawać nowe dane do istniejących baz danych – na przykład linki do złośliwych stron internetowych.

Najlepszy sposób na ochronę przed tym działaniem jest kontrolowanie oraz filtrowanie kanałów, przez które wprowadzane są informacje na stronie. Dobrze jest sprawdzać kod na każdej podstronie, a zwłaszcza tam, gdzie dochodzi do łączenia contentu i komend z treściami, które mogą pochodzić od innych użytkowników (np. komentarze).

5. Wyciek plików z ważnymi informacjami

Niektóre raporty podają, że niemal każda strona posiada przynajmniej jeden plik z wrażliwymi danymi, który jest dostępny dla każdego w sieci.

Jak do tego dochodzi? Często powodem jest po prostu tworzenie kopii zapasowych owych plików.

Czasami wykonanie edycji pliku na serwerze lub innych czynności administracyjnych może nieumyślnie pozostawić kopie zapasowe, które nie są odpowiednio zabezpieczone.

Pliki te stanowią poważne zagrożenie, ponieważ są łatwym celem dla hakerów.

6. Instalowanie szablonów i pluginów z podejrzanych źródeł

Czasami nieumyślnie możemy pomóc hakerom dostać się do naszej strony. Niestety często dzieje się tak w rezultacie instalowania darmowych szablonów oraz pluginów z niezweryfikowanych źródeł.

Pewien test wykazał, że wiele z darmowych szablonów dostępnych w sieci posiada liczne exploity, złośliwe fragmenty kodu oraz wiele innych problemów.

Z tego powodu najlepiej jest instalować owe szablony bezpośrednio od WordPress. Jeśli nabywasz je z innych źródeł, dokładnie sprawdź reputację dostawcy.

7. Cross-Site Scripting (XSS)

Tego typu ataki to jedne z najczęściej spotykanych w sieci.

Ich podstawowy mechanizm wygląda tak:

  • Atakujący znajduje sposób, aby ofiara załadowała strony z niebezpiecznymi skryptami JavaScript.

  • Owe skrypty są ładowane bez wiedzy odwiedzającego, a następnie wykorzystuje się je do kradzieży danych z ich przeglądarek.

Przykładem pomyślnego wykonania takiego ataku może być przejęty formularz. Dla nic niepodejrzewającego odwiedzającego znajduje się on na Twojej stronie. Jeśli jednak wpisze tam swoje dane, zostaną one skradzione.

Rozwiązaniem jest tutaj stworzenie odpowiedniej white listy, dzięki której Twoja strona będzie pozwalała na przetwarzanie zapytań pochodzących jedynie z godnych zaufania źródeł. Dobrze jest także korzystać z oprogramowania web application firewall.

Autor: Jakub

Project Manager z zacięciem do marketingu i optymalizacji SEO. Stale poszukuje nowej wiedzy o technologiach oraz optymalizacji sprzedaży. Prywatnie zapalony motocyklista i fan sportów ekstremalnych.