WordPress Zabezpečení: Váš web je také zajímavý pro hackery

Tobias Schüring Naposledy aktualizováno 23. ledna 2020
5 min.
Útoky hackerů na WordPress : Váš web je také zajímavý pro hackery

28,4 procenta největších světových webových stránek běží pod WordPress . Tato vysoká prevalence činí z webů WP populární cíl pro hackery. Zejména provozovatelé malých stránek si často myslí, že jsou bezpečné, protože kdo by měl hacknout blog s krátkým rozsahem nebo bez citlivých dat? Dnes vám ukážu, proč je to nebezpečný omyl, když přijde na WordPress - Bezpečnost.

WordPress je obzvláště zajímavý pro útočníky, protože používá tolik webů. Pro mnoho forem útoku nezáleží na "kvalitě" hacknutých cílů, ale jednoduše na schopnosti automaticky infiltrovat co nejvíce stránek. Příklad chyby zabezpečení v WordPress 4.7.1. Na domovské stránce bylo počmáráno nespočet stránek s poznámkou "hacknuto".

Bezpečnostní společnost Sucuri našla tuto chybu zabezpečení a WordPress Předán. A i když problém je v tom, WordPress 4.7.2, miliony stránek byly napadeny při takzvaných defacementových útocích poté,co se tento exploitstal známým.

Příklad ilustruje, že každý WordPress stránka je zajímavá pro útočníky. V drtivé většině případů jsou útoky zcela automatické. Dnes vám ukážu, jak může takový útok vypadat,jaký je cíl hackerů a jaké důsledky může mít pro vás a vaše stránky,jakmile bude váš web úspěšně napaden.

Hackeři chtějí vaše WordPress zneužití stránek

Jak jsem řekl, většinou to není o tom, jak velký je web nebo co tam vyzvednout. Jednoduše automaticky napadá velké množství webových stránek, které nezapojily určité chyby zabezpečení. Jakmile je web infikován, může být zneužit například k odesílání spamu nebo dokonce k distribuci malwaru – tj. malwaru – návštěvníkům webu.

Tímto způsobem hackeři vytvářejí síť dodavatelů malwaru nebo botnet, který později používají pro DDoS nebo Brute Force může zneužívat útoky. Takže jednotlivá stránka je často zajímavá pouze jako součást velkého celku. A čím více stránek útočník unese nebo infikuje, tím cennější je jeho malware stroj.

Počet útoků na WordPress Zvyšuje

Počet útoků na webových stránkách v současné době roste. Podle Googlu bylo v roce 2016 napadeno o 32 procent více stránek než v roce 2015. Jedním z nejčastějších typů útoků byl tzv. Brute Force Útoky. Zde se jednoduše hádá pokusy zadat správnou kombinaci přihlašovacího jména a hesla. Nebo útočníci již mají seznam hesel, která mohou vyzkoušet.

To podtrhují i údaje poskytovatele bezpečnostních služeb Wordfence . Po měsíce byli Američané schopni stabilní nárůst těchto útoků na WordPress Záznam.

Útoky hackerů WordPress : Brute Force a komplexní útoky na WordPress od prosince 2016 do ledna 2017.
Na rozdíl od komplexních útoků se počet Brute Force Útoky. Ty nezávisí na existenci konkrétních chyb zabezpečení.

Reach je hlavním městem hackerů

To lze velmi dobře ilustrovat příkladem botnetu. Botnet je síť unesených webových stránek (což mohou být také terminály nebo směrovače s přístupem k Internetu), která se používá například k řízení útoků DDoS proti webovým stránkám nebo serverům. Aktivuje prvky botnetu a bombarduje cíl na povel s tolika požadavky, že se stránka sbalí nebo se server přetíží.

Čím více webových stránek může hacker přidat do svého botnetu, tím silnější a cennější se stává.To však také znamená, že WordPress instalace jsou často jen prvním krokem pro hackery. Druhým krokem je vytvoření něčeho, co lze zpeněžit.

Tři Is: informovat, identifikovat, infiltrovat

Zhruba nespekrétně WordPress - Rozdělte hacky do tří fází:

Útoky hackerů WordPress : 3 fáze prototypového útoku na WP
Jakmile útočník zjistí chybu zabezpečení, začne skutečná práce: musí napsat program, který může zjistit, zda tato chyba zabezpečení existuje, a poté ji automaticky zneužít.

Fáze 1: Získávání informací

V prvním kroku útočník vyhledá znalosti o známých nebo neznámých chybách zabezpečení WordPress . To je možné .B prostřednictvím platforem, jako je například databáze zranitelností WPScan.

S útoky na znečkušení, které jsem zmínil na začátku příspěvku, se podívejte na WordPress .org Dosaženo.

Fáze 2: Identifikace vektorů útoku

Nyní útočník ví, kde začít, a potřebuje napsat skript ve fázi 2, který mu umožní vybrat z množství stránek ty, které mají chybu zabezpečení. Při defacementových útocích na WordPress 4.7. a 4.7.1, bylo velmi snadné přečíst WordPress verze možná.

Fáze 3: Automatizované útoky

Jakmile je útočník nalezen, může se znovu automaticky nabourat do webu a provést (nežádoucí) změny. Některé typické příklady jsou:

  • Krádež dat: Útočník se pokouší ukrást citlivá data z vašeho webu nebo návštěvníků vašeho webu. Mohou to být e-mailové adresy nebo bankovní údaje – ale v zásadě je zajímavé vše, co lze prodat nebo znovu použít. Hacker .B například na stránku umístit nesprávný formulář, který ukradne všechna zadávat data. A to ve zcela důvěryhodném prostředí a také šifrovaném SSL.
  • Únos místa: Útočník může WordPress do botnetu. To umožňuje hackerovi získat kontrolu nad vaším webem a například je možné, aby s ním řídil útoky DoS nebo DDoS.
  • Vložení škodlivého kódu: Tím umístíte škodlivý kód na stránku. Útočník by například mohl zneužít váš reklamní prostor pro své vlastní účely nebo umístit na váš web formuláře, které kradou osobní údaje vašich uživatelů.

Ve většině případů se náklady WordPress -Hackuje čas a peníze

Jaké jsou náklady na WordPress -Hackeři vznikají a jaké přímé nebo nepřímé důsledky může mít útok přesně, nelze říci obecně. Hacknutí provozovatelé stránek se však vždy musí přizpůsobit těmto třem epizodám:

1) Náklady na vymáhání

Každý den miliony útoků na WordPress Stránky. Jediný Plugin Výrobce Wordfence v dubnu 2017 v průměru 35 milionů. Brute Force útoků a 4,8 milionu útoků denně. Jinými slovy, neexistuje absolutní bezpečnost. Jediné, co můžete udělat, je minimalizovat pravděpodobnost hacknutí a vytvořit vhodné mechanismy, které vám umožní rychle obnovit stránku v případě případů.

V nejlepším případě máte zálohu webu a můžete jej snadno přehrát. Pokud jsou zálohy také infikovány nebo obnovení není možné, bude to dražší. Pak je zde čas a náklady na ruční odstranění malwaru.

2) Ztráta prodeje

V závislosti na typu škodlivého kódu, který byl použit, a na tom, jak dlouho musí být váš web obsluhován, mohou také vzniknout náklady ve formě ušlých příjmů z reklamy a prodeje.

3) Ztráta důvěry

Google vidí všechno: Hacknutá stránka často obsahuje škodlivý kód, který šíří malware. Pokud to Google zjistí a vy s tím nic neuděláte, vaše stránka skončí na černé listině. Při přístupu na web se návštěvníkovi zobrazí bezpečnostní upozornění před malwarem nebo phishingem. To může také způsobit, že vaše pozice hodnocení vyhledávače (SERP) utrpí a ztratíte významný dosah.

Závěr: Útoky na WordPress stránky jsou normální

Tento článek samozřejmě nemá způsobit neopodstatněnou paniku. Ale co to má být jasné: Jen proto, že máte "malou" stránku, neznamená to, že byste se neměli aktivně zabývat tématem zabezpečení webových stránek.

Je například důležité vědět, že většinu chyb zabezpečení lze odstranit pravidelnými aktualizacemi. A že certifikát SSL neochrání váš web před útoky hackerů.

Na začátku jsem se zmínil, že pouhou velikost WordPress protože CMS dělá z každé stránky potenciální cíl. Tato velikost však také přináší rozhodující výhodu: celosvětovou komunitu dobrovolníků a zaměstnanců WordPress - Společnost pracuje nepřetržitě, aby WordPress Bezpečnější. A tak dříve nebo později existuje odpovídající řešení pro každou chybu zabezpečení a pro každý problém.

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.