WordPress : Jeho největší síla je také jeho největší slabinou

Tobias Schüring Naposledy aktualizováno 21. ledna 2020
8 min.
Jak bezpečné je WordPress

Jak bezpečné je WordPress ? Nijak zvlášť, protože přichází s řadou vážných slabin. A protože v současné době je více než 28 procent internetu WordPress Rune, je to populární útočný cíl. Dobrou zprávou je, že nejdůležitější zranitelná místa lze velmi snadno vymýtit.

Krása WordPress je to, že to může opravdu použít každý. Ve skutečnosti vše, co potřebujete, je připojení k internetu a můžete začít. Situace je zcela odlišná v případě WordPress Bezpečnost. Možná právě kvůli snadnou manipulaci, ne všichni uživatelé si uvědomují, jak bezpečné je WordPress je vlastně po mimochodem.

V každém případě díky svým velkým přednostem – neuvěřitelné škále funkcí a rozmanitému designu – WordPress Bývá velmi nejistá. Modulární konstrukce nabízí masivní body útoku. A samozřejmě jsou také zneužívány hackery. Automatizované, 24 hodin denně, 365 dní v roce.

Ale nebojte se: tyto vestavěné slabiny WordPress lze velmi snadno vymýtit. A především zcela bez další bezpečnosti Plugin .

Samozřejmě, nechci omlouvat váš bezpečnostní modul. Možná to bude dávat smysl. Ale zajištění vašeho WordPress stránka není dokončena s instalací. A než se zapojíte do stínových boxerských bitev s pseudo-hrozbami, dává větší smysl zapojit se do základních slabin WordPress kompenzovat.

Zejména se dnes zabýváme

"Ale můj web není zajímavý pro hackery"

Nenechte se zmást: tento předpoklad je prostě mylný. Každé WordPress stránka je pro útočníky cenná. Například jako spamman, součást botnetu nebo reklamní platformy pro phishingové weby.

A útočníkovi je jedno, jak malý, nový nebo málo navštěvované vaše stránky jsou. Protože nakonec, oběti jste vy a vaše věc tak jako tak. Bulletin může být například klasifikován jako spam, uživatelé mohou být upozorněni na návštěvu vašeho webu a vaše hodnocení Google může utrpět, protože vaše stránka je na černé listině.

Co tím myslím: Jen kvůli popularitě a šíření WordPress Jsou WordPress stránky vděčný útočný cíl. To je bez ohledu na jejich obsah a účel.

Oblast správy WP je obzvláště zranitelná

Přihlašovací stránka je ve výchozím nastavení přístupná prostřednictvím přípony "wp-admin". Proto je obzvláště často terčem útoků – .B. Brute Force Útoky. Tyto útoky patří mezi nejčastější hacky proti WordPress Stránky. Protože se velmi snadno automatizují. V případě Brute Force Útok, útočník se snaží uhodnout správnou kombinaci uživatelského jména a hesla. Pokud je tedy heslo slabé nebo přihlašovací oblast není chráněna, může se stát, že Brute Force Útok buď uspěje – a útočník se může úspěšně přihlásit k vašemu WP – nebo masivní objem pokusů o přihlášení paralyzuje váš web.

Wordfence , známý výrobce eponymní bezpečnostní Plugins , zaznamenala v průměru 34 milionů Brute Force Útoky - každý den. Pro srovnání, takzvané "komplexní útoky", tj. ty, které zneužívají konkrétní zranitelná místa, jsou na úrovni 3,8 milionu útoků denně.

Statistiky Wordfence Počítal Brute Force Útoky v březnu 2017
Březnová zpráva od Wordfence ukazuje, že výrobce zásuvné moduly byl schopen v průměru přibližně 34 milionů Brute Force Útoky. V polovině měsíce jich bylo obzvlášť mnoho.

Tam Wordfence ale samozřejmě pouze útoky, které byly odraženy vaším vlastním počtem softwaru, je tmavá postava ještě vyšší.

Dobrou zprávou však je, že i když je útok na administrativní oblast WP velmi snadný a lze jej rychle automatizovat, ochranná opatření jsou velmi jednoduchá. Chcete-li zabezpečit oblast správy WP, můžete vytáhnout ochranné stěny na třech místech:

  1. Na úrovni WP prostřednictvím silných hesel
  2. Při přihlášení sami, omezením pokusů o přihlášení
  3. Před přihlášením na černé listině

1) Stará lyra: Silná hesla

Brute Force Útoky jsou velmi hloupé útoky. V zásadě pouze radí. Proto zde může být silné heslo ve skutečnosti dost na to, aby útoky narazily na prázdnotu. Takže buďme struční: silné heslo je povinné. Patří mezi ně: písmena, číslice, speciální znaky a velká a malá písmena. A samozřejmě dává smysl i obousměrem ověřování.

TIP: Mimochodem, u správců hesel je snadné nejen vytvářet zabezpečená hesla, ale také je spravovat. Například počítače Apple nabízejí pohodlný způsob správy hesel offline pomocí programu Keychain Management. Musíte si pamatovat pouze hlavní heslo (které by mělo být samozřejmě co nejsložitější). Cloudové nástroje pro správu hesel, jako je 1Password, LastPass nebo X-Key Pass, fungují stejným způsobem.

2) Omezte počet přihlášení

Údaje o Wordfence můžete to vidět působivě: Brute Force Útoky jsou nejčastějšími útoky na WordPress Stránky. Pravděpodobnost, že se váš web stane obětí takového útoku, je proto velmi vysoká. A aby vysoký počet pokusů o přihlášení zbytečně nezatěžoval váš web, existuje možnost je omezit.

Například ip adresa je blokována po určitou dobu po třech neúspěšných pokusech. Pokud pak znovu nabít limit, doba uzamčení se postupně zvyšuje. Tímto způsobem velmi rychle omezíte počet možných pokusů, aby se útok stal zbytečným.

V závislosti na tom, jak nízká je prahová hodnota zámku, může tento postup také chránit před útokem s měnícími se IPs. Nejjednodušší způsob, jak tuto ochranu přihlašovací oblasti využít, je Plugins Implementovat. Zde najdete např. pokusy o přihlášení pomocí omezení WP, uzamčení přihlášení nebo jeden z hlavních bezpečnostních pluginů, jako je Sucuri, Wordfence nebo zabezpečení vše v jednom WP. Stránky RAIDBOXES zákazníci jsou již na straně serveru Brute Force vybavenou ochranou. Další Plugin proto zde není nutné.

3) Blacklisting

Zaměstnanci bezpečnostních společností, jako je Sucuri nebo Wordfence tráví velkou část své pracovní doby analýzou útoků. Tyto analýzy také zveřejňují v pravidelných intervalech. Jedním z nejdůležitějších aspektů těchto zpráv je pravidelně původ duševního vlastnictví. Protože v některých zemích existují servery, které jsou obzvláště častými útoky.

Černé listiny odpovídajících IP proto dávají dokonalý smysl. Zvláště pokud pro vás region není relevantní. To vám umožní účinně odrazit útoky před dosažením vaší stránky.

Tyto černé listiny můžete vytvořit sami jejich implementací na úrovni serveru, nebo můžete použít zabezpečení Plugin s příslušnou funkcí.

Zastaralé WordPress

WordPress je modulární systém. Skládá se z jádra, tj. základního softwaru, Plugins a Themes . Jednou z největších hrozeb pro instalace WP je, že mnoho uživatelů WordPress systém se pravidelně neaktualizoval.

Existuje pro to celá řada důvodů. Ty sahají od nekompatibility Plugins A Themes , na neznalost nebo nedostatek času na aktualizaci.

jak bezpečné wordpress – více než 70 procent všech wordpress stránek nespouštějí pod aktuální verzí
Tato statistika WordPress .org ukazuje, že 72,5 procenta všech WordPress instalačních zařízení není aktuálně spuštěna nejnovější verze WP. Téměř 40 procent běží i starší verze než 4,7.

Teprve na začátku roku se stalo docela působivým místem, kam mohou vést zpožděné aktualizace jádra: V únoru 2017 byla chyba zabezpečení WordPress verze 4.7.1 a WordPress uživatelé byli povoláni k co rychlému upgradu na verzi 4.7.2.

Během velmi krátké doby zpráva vyvolala masové útoky na WordPress stránky (protože mezera nebyla známa před oficiálním oznámením). Výrobci odpovídajícího bezpečnostního softwaru opět poskytují údaje: během několika dní bylo hacknuto celkem jeden a půl až dva miliony stránek.. Dříve zaměstnanec Wordfence tato chyba zabezpečení byla zjištěna.

Pamatujte, že více než 28 procent celého internetu na WordPress - Base, můžete získat docela dobrou představu o tom, co by se mohlo stát, pokud taková mezera nezůstává bez povšimnutí. Proto je vhodné aktualizovat WordPress jádro, které má být automatizováno nebo automatizováno.

Mimochodem, to platí především pro tzv. drobné aktualizace, tj. čísla verzí se třemi číslicemi, např. 4.7.4. Jedná se o tzv. "Bezpečnostní a údržbové verze" a měly by být instalovány co nejdříve. U větších verzí, např. od 4.7 do 4.8, je situace poněkud odlišná: Funkce a uživatelské pokyny jsou středem pozornosti aktualizací.

Zastaralé Plugins A Themes

Jaké WordPress -Core platí, samozřejmě platí i pro Plugins A Themes : Zastaralé Plugin verze téměř vždy obsahují bezpečnostní chyby a ty, které se lze vyhnout.

Podle bezpečnostní studie o systémech správy obsahu to podobně vidí i Spolkový úřad pro bezpečnost informací (BSI). Údaje z BSI pokrývají období od roku 2010 do roku 2012. 80 procent oficiálně oznámených zranitelností lze připsat rozšířením – tj. ve většině případů: Plugins .

Hledání zneužití pomocí ExploitsDatabase vedlo k více než 250 zneužitím pro WordPress . Zde je většina exploitů WordPress Plugins byly zaregistrovány.

– BSI (2013): "Bezpečnostní studie Content Management Systems (CMS)"

V praxi Plugins preferovaným bodem útoku pro hackery. A s více než 50 000 rozšířeními v oficiálním adresáři pluginů WordPress , také velmi produktivní. Výchozím bodem pro takové útoky jsou pak mezery v kódu Plugins .

Je důležité si uvědomit, že takové mezery budou vždy. Systém, který je 100% bezpečný, jednoduše neexistuje. A: Chybějící aktualizace pro Plugin Nebo Theme automaticky znamená, že není bezpečné. I když je frekvence aktualizace dobrým ukazatelem kvality podpory výrobce. Ale stejně dobře by to mohlo být tak, že dosud nebyly objeveny žádné bezpečnostní zranitelnosti.

Pokud jsou však některé objeveny, poskytovatel pluginu (doufejme) také poskytne aktualizaci, která mezeru zacelí. Pokud tomu tak není, .B.SQL možné vpichy nebo skriptování mezi lokalitami (XSS). V tom první hackeři manipulují s databází vaší stránky. Mohou například vytvořit zcela nové uživatele s právy správce a poté infikovat váš web škodlivým kódem nebo jej převést na spamový prak.

XSS útoky jsou v podstatě o umístění JavaScriptu na vaši stránku. Útočník může například na stránku vložit formuláře, které kradou data uživatelů. Zcela nenápadné, šifrované SSL a v důvěryhodném prostředí.

A protože Plugins A Themes nabídnout tolik bodů útoku, měli byste vždy poukázat na počet Plugins nezapomeňte je ponechat v zakázaném stavu, ale opravdu je odinstalovat, když je již nepotřebujete.

Sdílený hosting

Tyto nevýhody WordPress už z domova. Vzhledem k tomu, že váš web musí být nějakým způsobem online, hosting je také důležitým bezpečnostním aspektem. Vzhledem k tomu, že bezpečnost a hosting je velmi složité a všestranné téma, rád bych začal pouze zmínkou o velké nevýhodě sdíleného hostingu. Opět to neznamená, že vás chci omluvit ze sdíleného hostingu. Dává to velký smysl, zejména z cenového hlediska. Sdílený hosting má však zásadní nevýhodu, kterou byste měli vědět.

Protože ve sdíleném hostingu je několik stránek na stejném serveru. Stránky také sdílejí IP adresu. To znamená, že stav a chování jedné stránky může také negativně ovlivnit všechny ostatní stránky na serveru. Tento efekt se nazývá Špatný sousedský efekt a odkazuje na spamování, např. .B. Protože pokud stránka na serveru způsobí, že se IP adresa stane černou listinou, může to také ovlivnit vaši nabídku.

Může také vést k nadužívání prostředků, například když je jedna ze stránek na serveru upnuta do útoku DDoS nebo je ovlivněna masivním útokem. Stabilita vaší vlastní nabídky je proto vždy do určité míry závislá na zabezpečení ostatních stránek na vašem serveru.

Pro profesionálně provozované WP WordPress projekty dávají dokonalý smysl pro virtuální nebo dedikovaný server. Bezpečnostní koncepty hostitelů samozřejmě zahrnují také řešení zálohování, firewally a skenery malwaru, ale budeme o nich podrobně diskutovat jinde.

Závěr

WordPress není bezpečné. To je způsobeno jeho modulárním designem. Jeho největší síla se tak může stát jeho největší slabinou. Dobrou zprávou je, že můžete snadno obejít tuto, téměř dodávanou slabost. V zásadě není potřeba více než úsilí spojené se správou uživatelů a vytvářením hesel, stejně jako s aktualizacemi.

Samozřejmě, tato opatření ještě nejsou na vaší straně Fort Knox. Ale jsou základním kamenem vašeho bezpečnostního konceptu. Pokud je nerespektujete, mohou zvrátit všechna ostatní bezpečnostní opatření. A všichni WordPress uživatel může tyto aspekty nezávisle ovlivnit. Proto je tak důležité, aby sis toho byl vždy vědom.

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.