WordPress mangrupikeun sistem manajemén eusi anu pang populerna di dunya. Sakumaha anu ditunjukkeun ku pamekar, langkung ti 40% sadaya situs wéb diwangun dina WordPress. Sanajan kitu, popularitas ieu boga downside a: angka nu gede ngarupakeun target poténsi inevitably bakal narik penjahat. Ku sabab kitu, panalungtik cybersecurity nalungtik WordPress raket tur rutin ngalaporkeun sagala rupa masalah jeung CMS ieu.

Hasilna, teu ilahar uninga yén WordPress téh riddled kalawan masalah kaamanan. Tapi sadayana perhatian ieu ngagaduhan sisi anu positif: kalolobaan ancaman sareng metode pikeun merangan aranjeunna parantos dipikanyaho, sahingga langkung gampang ngajaga situs WordPress anjeun aman. Éta anu bakal urang bahas dina tulisan ieu.

1. Kerentanan dina plugins WordPress, téma sareng inti (dina urutan pentingna)

Tina sadaya daptar masalah kaamanan WordPress anu aya dina internét, hal-hal sapertos XSS (cross-site scripting), SQLi (SQL injection), sareng CSRF (cross-site request forgery) terus muncul. Serangan ieu, sareng anu sanésna, mungkin kusabab kerentanan dina parangkat lunak inti WordPress, plugins, atanapi téma.

Penting pikeun dicatet yén, sacara statistik, ngan ukur perséntase leutik kerentanan anu aya dina inti WordPress éta sorangan. Contona, dina sakabéh 2022, ngan 23 kerentanan kapanggih dina software inti WordPress – nyaeta 1.3% tina total 1.779 kerentanan kapanggih dina WordPress taun éta. 97 bug séjén (5.45%) kapanggih dina téma. Samentara éta, bagian pangbadagna kerentanan kapanggih dina plugins: 1,659 – nyieun nepi ka 93,25% tina total.

Perlu disebatkeun yén seueur kerentanan anu aya dina WordPress henteu kedah janten alesan pikeun ngahindarkeun ngagunakeun CMS ieu. Vulnerabilities aya dimana-mana; aranjeunna paling sering kapanggih dimana aranjeunna paling aktip searched – dina software nu pang populerna.

Kumaha ningkatkeun kaamanan:

  • Salawasna ngamutahirkeun inti WordPress gancang-gancang. Sanaos kerentanan henteu sering dipendakan di dieu, aranjeunna dieksploitasi langkung intensif, ku kituna ngantepkeun aranjeunna henteu ditambal bakal picilakaeun.
  • Émut pikeun ngapdet téma – khususna plugins. Sakumaha anu disebatkeun, plugins tanggung jawab pikeun seuseueurna kerentanan anu dipikanyaho dina ékosistem WordPress.
  • Hindarkeun masang plugins WordPress anu teu perlu — plugins anu situs anjeun henteu kedah dioperasikeun. Ieu sacara signifikan bakal ngirangan jumlah kerentanan poténsial dina situs WordPress anjeun.
  • Langsung mareuman atanapi ngahapus sadaya plugins anu anjeun henteu peryogi deui.

2. Sandi lemah sareng kurangna auténtikasi dua-faktor

Masalah kaamanan utama kadua pikeun WordPress nyaéta hacking situs ngagunakeun guessing sandi basajan (brute force) atawa compromised usernames sareng kecap akses (credential stuffing) tina database siap-dijieun, dikumpulkeun salaku hasil tina bocor ti sababaraha layanan pihak katilu. .

Upami akun anu gaduh hak istimewa dikompromi, panyerang tiasa ngawasa situs WordPress anjeun sareng ngagunakeunana pikeun tujuanana sorangan: maok data, cicingeun nambihan tautan kana sumber anu aranjeunna promosikeun kana téks anjeun (SEO spam), pasang malware (kaasup web skimmers. ), ngagunakeun situs anjeun pikeun muka halaman phishing, sareng saterasna.

Kumaha ningkatkeun kaamanan:

  • Pastikeun kecap akses anu kuat pikeun sadaya pangguna situs WordPress anjeun. Pikeun ngahontal ieu, éta mantuan pikeun nerapkeun kawijakan sandi – daptar aturan nu sandi kudu minuhan. Aya plugins sadia nu ngidinan Anjeun pikeun nerapkeun kawijakan sandi dina situs WordPress anjeun.
  • Ngawatesan jumlah usaha login – deui, aya loba plugins pikeun tujuan ieu.
  • Aktipkeun auténtikasi dua faktor nganggo kode hiji waktos tina aplikasi. Sareng deui, aya plugin WordPress pikeun ieu.
  • Pikeun nyegah pangguna WordPress anjeun nginget kecap konci anu panjang sareng rumit, ajak aranjeunna masang manajer sandi. Ku jalan kitu, urang [KPM placeholder]Pangatur Kecap aksés Kaspersky[/placeholder] ogé ngidinan Anjeun pikeun make kode hiji-waktos keur auténtikasi dua-faktor.

3. kontrol goréng pamaké sarta idin

Masalah ieu patali jeung masalah saméméhna: mindeng, nu boga situs WordPress teu ngatur idin pamaké WordPress maranéhanana cukup taliti. Ieu sacara signifikan ningkatkeun résiko upami akun pangguna diretas.

Kami parantos ngabahas konsékuansi poténsial upami hiji akun anu gaduh hak husus anu luhur dikompromi – kalebet idin anu dikaluarkeun sacara leres atanapi “pikeun kamekaran”: suntikan spam SEO kana eusi anjeun, aksés data anu henteu sah, pamasangan malware, nyiptakeun halaman phishing, sareng saterasna. .

Kumaha ningkatkeun kaamanan:

  • Ati-ati nalika masihan idin ka pangguna. Larapkeun prinsip hak husus pangsaeutikna – masihan pamaké ngan hak aksés maranéhna bener butuh keur tugas maranéhanana.
  • Tinjau daptar pangguna WordPress anjeun sacara rutin, sareng hapus akun anu henteu diperyogikeun deui.
  • Pindahkeun pangguna ka kategori anu kirang hak istimewa upami aranjeunna henteu peryogi deui idin anu langkung luhur.
  • Tangtosna, naséhat ti titik 2 ogé berlaku di dieu: paké kecap konci anu kuat sareng aktipkeun auténtikasi dua-faktor.

4. plugins jahat

Salian ti plugins anu “ngan” rentan, aya ogé plugins anu sabenerna bahaya. Contona, teu lila pisan, peneliti manggihan hiji plugin WordPress anu nyamar salaku kaca cache plugin tapi sabenerna mangrupa backdoor lengkep. Fungsi utami nyaéta nyiptakeun akun administrator anu teu sah sareng kéngingkeun kontrol lengkep dina situs anu kainféksi.

Baheula taun ieu, peneliti manggihan plugin WordPress jahat sejen, nu asalna sah tapi ditinggalkeun ku pamekar leuwih ti dasawarsa ka tukang. Sababaraha jantung getihan nyandak éta sareng janten panto tukang – ngamungkinkeun aranjeunna ngontrol rébuan situs WordPress.

Kumaha ningkatkeun kaamanan:

  • Hindarkeun masang plugins WordPress anu teu perlu. Pasang ukur anu penting pisan pikeun operasi situs anjeun.
  • Saméméh masang plugin, baca ulasan pamaké na taliti – lamun plugin a ngalakukeun hal curiga, Chances aya batur geus noticed.
  • Nonaktipkeun atanapi ngahapus plugins anu anjeun henteu dianggo deui.
  • Aya plugins anu nyeken situs WordPress pikeun malware. Nanging, émut yén aranjeunna henteu tiasa dipercaya lengkep: seueur malware WordPress panganyarna tiasa nipu aranjeunna.
  • Upami situs WordPress anjeun kalakuan aneh sareng anjeun curiga yén éta katépaan, pertimbangkeun ngahubungi spesialis pikeun audit kaamanan.

5. Unlimited XML-RPC Protocol

Kerentanan anu sanés khusus pikeun WordPress nyaéta protokol XML-RPC. Éta dirancang pikeun komunikasi antara WordPress sareng program pihak katilu. Nanging, dina taun 2015, WordPress ngenalkeun dukungan pikeun REST API, anu ayeuna langkung sering dianggo pikeun interaksi aplikasi. Sanajan kitu, XML-RPC masih diaktipkeun sacara standar dina WordPress.

Masalahna nyaéta XML-RPC tiasa dianggo ku panyerang pikeun dua jinis serangan dina situs anjeun. Jenis kahiji nyaéta serangan brute force anu tujuanana pikeun nebak sandi akun pangguna WordPress anjeun. Kalayan XML-RPC, panyerang tiasa ngagabungkeun sababaraha usaha login kana hiji pamundut, nyederhanakeun sareng nyepetkeun prosés hacking. Kadua, protokol XML-RPC tiasa dianggo pikeun ngatur serangan DDoS dina situs WordPress anjeun ngalangkungan anu disebut pingback.

Kumaha ningkatkeun kaamanan:

  • Upami anjeun henteu ngarencanakeun ngagunakeun XML-RPC dina waktos anu caket, langkung saé mareuman éta dina situs WordPress anjeun. Aya sababaraha cara pikeun ngalakukeun ieu. Upami anjeun peryogi pungsi ieu engké, éta henteu sesah pikeun ngaktipkeun deui.
  • Lamun anjeun hartosna nganggo XML-RPC, disarankeun pikeun ngonpigurasikeun laranganna, anu tiasa dilakukeun nganggo plugin WordPress.
  • Salaku tambahan, pikeun nangtayungan tina serangan brute force, anjeun tiasa nuturkeun saran ti titik 2 artikel ieu: nganggo kecap akses anu kuat, aktipkeun auténtikasi dua faktor, sareng nganggo manajer sandi. Ku jalan kitu, ieu kaasup kana lisénsi produk urang dirancang ngajaga usaha leutik – Kaspersky Small Office Security.


#Naon #masalah #kaamanan #WordPress #gaduh