Kā līdz šim populārākā satura pārvaldības sistēma WordPress nodrošina miljoniem dažādu vietņu. Tā ir atvērtā pirmkoda programmatūra, kas nozīmē, ka tās pirmkods ir publiski pieejams, un to var mainīt gandrīz ikviens, kam ir pietiekama zinātība.
Lai gan WordPress spraudņus un motīvus var iegādāties, desmitiem tūkstošu no tiem ir pieejami bez maksas. Kā jau varētu gaidīt, tas neiztiek bez negatīvajām pusēm. Tātad, cik neaizsargātas ir WordPress vietnes? Kā ar tās motīviem un spraudņiem? Un kā jūs varat aizsargāt savas vietnes?
Cik neaizsargāts ir WordPress?
2022. gada februārī Jetpack atklāja, ka ir apdraudēti populāri motīvi un spraudņi no pārdevēja AccessPress Themes (pazīstami arī kā Access Keys). Pētnieki ievainojamību pamanīja nejauši, atklājot aizdomīgu kodu uzlauztā vietnē. Veicot turpmāku izmeklēšanu, viņi saprata lielāko daļu AccessPress spraudņu, un katrā motīvā bija viens un tas pats kods.
Vēlāk izrādījās, ka AccessPress Themes kļuva par kiberuzbrukuma upuri 2021. gada septembrī, hakeriem ievadot aizmugures durvis. pārdevēja spraudņos un tēmas.
AccessPress galu galā atjaunināja un iztīrīja savus produktus, taču, domājams, tūkstošiem lietotāju ilgu laiku bija neaizsargāti pret uzbrukumiem.
Vai WordPress spraudņiem un motīviem ir ievainojamības?
Jetpack atklājumi uzsver, cik neaizsargāts var būt WordPress. Taču šis nebija atsevišķs gadījums.
Piemēram, 2021. gada martā Wordfence atklāja lielas ievainojamības divos WordPress spraudņos, kas, ja tie būtu veiksmīgi izmantoti, būtu ļāvuši uzbrucējam pārņemt vietni. Ievainojamības tika atklātas spraudņos Elementor un WP Super Cache. Elementor ir vietņu veidotājs, ko izmanto vairāk nekā septiņos miljonos vietņu, savukārt WP Super Cache ir populārs kešatmiņas spraudnis.
2022. gada februārī as Meklētājprogrammas žurnāls ASV valdības ievainojamību datubāze un WordPress drošības pētnieki brīdināja par nopietnām ievainojamībām desmitiem WordPress spraudņu.
Deviņi no šiem spraudņiem tika izmantoti vairāk nekā 1,3 miljonos vietņu: galvenes kājenes koda pārvaldnieks, reklāmu ievietotājs — reklāmu pārvaldnieks un AdSense reklāmas, uznirstošo logu veidotājs, ļaunprātīgas programmatūras novēršana. Drošība un brutāla spēka ugunsmūris, WP satura kopēšanas aizsardzība un bez labā klikšķa, datu bāzes dublēšana pakalpojumam WordPress, GiveWP, lejupielāžu pārvaldnieks un uzlabotā datu bāze Apkopēja.
Kā aizsargāt savu WordPress vietni
Varētu pieņemt, ka šīs ievainojamības vienmēr tiek aizlāpītas vai noņemtas, tiklīdz tās tiek atklātas, taču patiesībā tas tā nav.
Pētījums no Patchstack konstatēja, ka 2021. gadā ziņoto WordPress ievainojamību skaits pieauga par 150 procentiem, salīdzinot ar 2020. gadu, un 29 procenti no šīm ievainojamībām nesaņēma ielāpu. Patchstack arī atklāja, ka tikai 0,58 procenti no ziņotajiem trūkumiem bija WordPress kodolā, kas nozīmē, ka ievainojamības gandrīz vienmēr ir atrodamas spraudņos.
Ir ļoti svarīgi nodrošināt, lai visi jūsu izmantotie spraudņi, kā arī pats WordPress kodols būtu atjaunināti.
Pirms spraudņa lejupielādes un instalēšanas noteikti veiciet nelielu izpēti. Pārbaudiet, cik instalēšanas ir instalēts spraudnis, izlasiet pārskatus tiešsaistē, skatiet, kad tas pēdējo reizi atjaunināts, un pārbaudiet, vai tas tika pārbaudīts ar jaunāko WordPress kodolu. Tas prasīs tikai dažas minūtes, taču tas var pasargāt jūs no daudzām nepatikšanām.
Alternatīvi, jūs varat izmantot WPScan, kas ir diezgan vienkāršs un efektīvs WordPress ievainojamības skeneris. Šo rīku var izmantot arī, lai meklētu spraudni pēc nosaukuma. Bezmaksas versija pieļauj līdz 25 API pieprasījumiem dienā.
Par laimi, daži spraudņi faktiski ir paredzēti, lai aizsargātu jūsu WordPress vietni no iebrucējiem. Pieteikšanās LockDown, Wordfence, BulletProof Security ir daži no labākajiem WordPress drošības spraudņi šodien. Pieteikšanās LockDown ir pilnīgi bez maksas, savukārt pārējiem diviem ir pamata bezmaksas modeļi.
WordPress drošības padomi
Lai cik neaizsargāta arī būtu WordPress, pamata drošības piesardzības pasākumi ir ļoti noderīgi, lai novērstu un novērstu kiberuzbrukumus.
Izmantojot unikālu pieteikšanās informāciju un divu faktoru autentifikāciju, visas programmatūras atjaunināšanai, motīvu nosaukumu un pieteikšanās informācijas slēpšanai vajadzētu būt jūsu WordPress drošības higiēnas pamatā.
Kā nodrošināt savu WordPress vietni 5 vienkāršās darbībās
Lasiet Tālāk
Saistītās tēmas
- Drošība
- Internets
- Tiešsaistes drošība
- Wordpress spraudņi
- Wordpress
- Wordpress motīvi
Par autoru
Damirs ir ārštata rakstnieks un reportieris, kura darbs koncentrējas uz kiberdrošību. Ārpus rakstīšanas viņam patīk lasīšana, mūzika un filmas.
Abonējiet mūsu biļetenu
Pievienojieties mūsu informatīvajam izdevumam, lai saņemtu tehniskos padomus, pārskatus, bezmaksas e-grāmatas un ekskluzīvus piedāvājumus!
Noklikšķiniet šeit, lai abonētu