08.05.17
aktualizacja 21.01.20
Tobias Schüring
0 komentarzy
Jak bezpieczne jest WordPress

WordPress Jego największa siła jest też jego największą słabością

Jak bezpieczna jest strona WordPress ? Nieszczególnie, ponieważ posiada on szereg poważnych luk w zabezpieczeniach. A ponieważ ponad 28 procent Internetu działa obecnie pod adresem WordPress , jest on popularnym celem ataków. Dobra wiadomość: Najważniejsze podatności można bardzo łatwo wyeliminować.

Piękno strony WordPress polega na tym, że każdy może z niej korzystać. W rzeczywistości, wszystko czego potrzebujesz to połączenie z Internetem i jesteś gotowy do pracy. Sytuacja jest zupełnie inna w przypadku WordPress security. Może też po prostu na podstawie Nie wszyscy użytkownicy są zainteresowani tym, jak bezpieczna jest WordPress po wyjęciu z pudełka.

W każdym razie, ze względu na swoje wielkie zalety - niesamowity zakres funkcji i różnorodność wzorów - WordPress ma tendencję do bycia bardzo niepewnym. Modułowa struktura oferuje wiele punktów ataku. I oczywiście hakerzy również je wykorzystują. I robią to automatycznie, przez całą dobę, 365 dni w roku.

Ale nie martw się: te wbudowane słabości WordPress można bardzo łatwo wyeliminować. A przede wszystkim całkowicie bez dodatkowych zabezpieczeńPlugin.

Oczywiście, nie chcę Cię namawiać do rezygnacji z wtyczki bezpieczeństwa. To może nawet mieć dużo sensu. Ale zabezpieczanie witryny WordPress nie kończy się na jej instalacji. I zanim zaczniesz walczyć w shadowboxingu z pseudo zagrożeniami, bardziej sensowne jest kompensowanie podstawowych słabości WordPress .

W szczegółach, dziś zajmujemy się

"Ale moja strona wcale nie jest interesująca dla hakerów".

Nie popełnijcie błędu: to założenie jest po prostu błędne. Każda strona WordPress jest cenna dla atakujących. Na przykład jako spamer, część botnetu lub platforma reklamowa dla stron phishingowych.

A w razie wątpliwości, atakującego nie obchodzi jak mała, nowa czy mało odwiedzana jest Twoja strona. Ponieważ w końcu, ty i twoja firma są tymi, którzy cierpią. Może się więc zdarzyć, że Twój newsletter zostanie zakwalifikowany jako spam, użytkownicy zostaną ostrzeżeni przed odwiedzaniem Twojej strony, a Twój ranking Google ucierpi, ponieważ twoja strona jest na czarnej liście.

Chodzi mi o to, że po prostu z powodu popularności i rozprzestrzeniania się WordPress , strony WordPress są wdzięcznym celem. Niezależnie od ich treści i celu.

Obszar administracyjny WP jest szczególnie podatny na ataki

Domyślnie, strona logowania jest dostępna poprzez rozszerzenie "wp-admin". Z tego powodu jest on często celem ataków - np. tzw. atakówBrute Force . Ataki te należą do najczęstszych włamań na strony WordPress . Dzieje się tak, ponieważ są one bardzo łatwe do zautomatyzowania. W ataku Brute Force , atakujący próbuje odgadnąć właściwą kombinację nazwy użytkownika i hasła. Więc jeśli hasło jest słabe, lub obszar logowania nie jest chroniony, atak Brute Force może albo się udać - i atakujący może z powodzeniem zalogować się do WP - lub ogromna ilość prób logowania może sparaliżować witrynę.

Wordfence, znany producent tytułowego zabezpieczeniaPlugins, tylko w marcu odnotował średnio 34 miliony ataków na Brute Force - i jest to codziennie. Dla porównania, tzw. "ataki złożone", czyli takie, które wykorzystują konkretne luki w zabezpieczeniach, kształtują się na poziomie 3,8 mln ataków dziennie.

Statystyki dotyczące ataków Brute Force zliczonych przez Wordfence w marcu 2017 r.
Marcowy raport z Wordfence pokazuje: Producent wtyczki był w stanie zarejestrować średnio około 34 milionów ataków Brute Force dziennie. Szczególnie dużo było ich w połowie miesiąca.

Ponieważ jednak Wordfence liczy tylko te ataki, które zostały zablokowane przez jego własne oprogramowanie, liczba niezgłoszonych przypadków jest jeszcze wyższa.

Ale dobra wiadomość jest taka: Chociaż atak na obszar administracyjny WP jest bardzo łatwy i może być szybko zautomatyzowany, środki ochronne przed nim są bardzo proste. Aby zabezpieczyć swój obszar administracyjny WP, możesz postawić ściany ochronne w trzech miejscach:

  1. Na poziomie WP, poprzez silne hasła
  2. Podczas samego logowania, poprzez ograniczenie liczby prób logowania
  3. Przed zalogowaniem, poprzez czarną listę

1) Stara zasada: silne hasła

Brute Force to bardzo bezmyślne ataki. Oni w zasadzie tylko zgadują. Dlatego właśnie silne hasło w tym miejscu może w zasadzie wystarczyć, aby ataki spełzły na niczym. A więc krótko: Silne hasło jest obowiązkowe. Obejmuje to: Litery, cyfry, znaki specjalne oraz duże i małe litery. Oczywiście, dwukierunkowe uwierzytelnianie również ma sens.

WSKAZÓWKA: Przy okazji, menedżery haseł ułatwiają nie tylko tworzenie bezpiecznych haseł, ale także zarządzanie nimi. Komputery Apple oferują z programem "zarządzanie keychain", na przykład, wygodny sposób zarządzania hasłami w trybie offline. Musisz pamiętać tylko jedno hasło główne (które oczywiście powinno być jak najbardziej złożone). Programy do zarządzania hasłami w chmurze, takie jak 1Password, LastPass czy X-Key Pass działają w ten sam sposób.

2) Ogranicz liczbę logowań

Dane z Wordfence są imponujące: ataki na Brute Force są najczęstszymi atakami na strony WordPress . Prawdopodobieństwo, że Twoja strona stanie się ofiarą takiego ataku jest więc bardzo wysokie. A żeby duża liczba prób logowania nie obciążała niepotrzebnie Twojej witryny, istnieje możliwość ich ograniczenia.

Na przykład, IP jest blokowany na określony czas po trzech nieudanych próbach. Jeśli następnie ponownie przekroczy granicę, okres blokady zwiększa się sukcesywnie. W ten sposób bardzo szybko ograniczasz liczbę możliwych prób do tego stopnia, że atak staje się bezużyteczny.

Zależnie od tego, jak niski jest próg blokowania, procedura ta może również chronić przed atakiem ze zmieniającymi się adresami IP. Najprostszym sposobem zabezpieczenia obszaru logowania jest użycie wtyczek. Na przykład, istnieje WP Limit Login Attempts, Login Lockdown lub jedna z dużych wtyczek bezpieczeństwa, takich jak Sucuri, Wordfence lub All in One WP Security. Strony klientów Raidboxes są już wyposażone w ochronę przed atakami typu brute force po stronie serwera. Dlatego nie jest tu potrzebna dodatkowa wtyczka.

3) Czarna lista

Pracownicy firm zajmujących się bezpieczeństwem, takich jak Sucuri czy Wordfence, spędzają dużą część swojego czasu pracy na analizowaniu ataków. W regularnych odstępach czasu publikują również te analizy. Jednym z najważniejszych aspektów tych raportów jest regularne określanie pochodzenia IP. Dzieje się tak dlatego, że serwery znajdują się w pewnych krajach, które szczególnie często przeprowadzają ataki.

Czarne listy odpowiadających im adresów IP mają więc sens. Zwłaszcza jeśli region nie jest istotny dla twojej grupy docelowej. W ten sposób możesz skutecznie odpierać ataki, zanim dotrą one do Twojej witryny.

Możesz albo samemu stworzyć takie czarne listy, implementując je na poziomie serwera, albo możesz użyć zabezpieczeniaPlugin z odpowiednią funkcją.

Przestarzały WordPress

WordPress jest systemem modułowym. Składa się on z rdzenia, czyli głównego oprogramowania, wtyczek i motywów. Jedno z największych zagrożeń dla instalacji WP wynika z faktu, że wielu użytkowników nie aktualizuje regularnie swojego systemu WordPress.

Jest wiele różnych powodów, dla których tak się dzieje. Są to zarówno niezgodności z wtyczkami i motywami, jak i niewiedza lub brak czasu na aktualizację.

jak bezpieczny jest wordpress - ponad 70 procent wszystkich stron z wordpressem nie ma aktualnej wersji
Ta statystyka z WordPress .org pokazuje, że 72,5 procent wszystkich instalacji WordPress nie posiada obecnie najnowszej wersji WP. Prawie 40 procent z nich pracuje na jeszcze starszych wersjach niż 4.7.

Do czego mogą doprowadzić opóźnione aktualizacje rdzenia, pokazano dość efektownie na początku roku: w lutym 2017 r. ujawniono lukę bezpieczeństwa w wersji 4.7.1 WordPress , a użytkownicy WordPress zostali wezwani do jak najszybszej aktualizacji do wersji 4.7.2.

W bardzo krótkim czasie raport wywołał masowe ataki na strony WordPress (ponieważ luka nie była jeszcze znana przed oficjalnym ogłoszeniem). Producenci odpowiedniego oprogramowania zabezpieczającego ponownie podają dane liczbowe: w ciągu zaledwie kilku dni zhakowanych zostało łącznie od półtora do dwóch milionów stron. zhakowano dwa miliony stron. Wcześniej pracownik Wordfence odkrył lukę w zabezpieczeniach.

Jeśli przypomnimy sobie, że obecnie ponad 28 procent Cały Internet jest oparty na WordPress , można sobie całkiem nieźle wyobrazić, co mogłoby się stać, gdyby taka luka została niezauważona. Dlatego wskazane jest zautomatyzowanie aktualizacji rdzenia WordPress lub zlecenie ich wykonania.

Przy okazji, dotyczy to głównie tak zwanych "minor updates", czyli trzycyfrowych numerów wersji, np. 4.7.4. Są to tak zwane "security and maintenance releases" i powinny być zawsze instalowane tak szybko, jak to możliwe. W przypadku większych skoków wersji, np. z 4.7 na 4.8, sytuacja jest nieco inna: Tutaj aktualizacje skupiają się na funkcjach i wskazówkach dla użytkownika.

Nieaktualne wtyczki i motywy

To, co jest prawdą dla rdzenia WordPress , jest oczywiście również prawdą dla Plugins i Themes: Nieaktualne wersje Plugin prawie zawsze zawierają luki w zabezpieczeniach - i to takie, których można uniknąć.

Podobnego zdania jest niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI), który przeprowadził badanie bezpieczeństwa systemów zarządzania treścią. Dane BSI dotyczą okresu od 2010 do 2012 roku. 80 procent oficjalnie zgłoszonych podatności można było przypisać do rozszerzeń - czyli w większości przypadków do Plugins.

Wyszukiwanie exploitów za pomocą ExploitsDatabase zwróciło ponad 250 exploitów dla WordPress . Większość exploitów dla WordPress Plugins została wprowadzona tutaj.

- BSI (2013): "Badanie bezpieczeństwa systemów zarządzania treścią (CMS)".

W praktyce, Plugins jest ulubionym punktem ataku hakerów. I z ponad 50.000 rozszerzeń w oficjalnym katalogu wtyczek WordPress , również bardzo produktywny. Punktem wyjścia dla takich ataków są więc luki w kodzie strony Plugins.

Tutaj ważne jest, aby zrozumieć: Takie luki będą istniały zawsze. Stuprocentowo bezpieczny system po prostu nie istnieje. I: Brak aktualizacji na stronie Plugin lub Theme nie oznacza automatycznie, że system jest niezabezpieczony. Nawet jeśli częstotliwość aktualizacji jest dobrym wskaźnikiem jakości wsparcia producenta. Ale równie dobrze może być tak, że do tej pory nie odkryto żadnych luk w zabezpieczeniach.

Ale jeśli jakieś zostaną odkryte, to dostawca wtyczki będzie (miejmy nadzieję) również dostarczyć aktualizację, która zamyka lukę. Jeśli tego nie zrobią, możliwe są iniekcje SQL lub cross site scripting (XSS). W tym pierwszym przypadku hakerzy manipulują bazą danych Twojej witryny. Na przykład, mogą oni tworzyć zupełnie nowych użytkowników z prawami administratora, a następnie zainfekować Twoją stronę złośliwym kodem lub nawet zamienić ją w spamerkę.

Ataki XSS polegają na umieszczeniu na stronie skryptu JavaScript. W ten sposób atakujący może np. wstrzyknąć na Twoją stronę formularze, które wykradną dane użytkownika. Całkowicie dyskretne, szyfrowane SSL i w zaufanym środowisku.

A ponieważ Plugins i Themes oferują tak wiele punktów ataku, powinieneś zawsze zwracać uwagę na liczbę Plugins i upewnić się, że nie pozostawiasz ich w stanie dezaktywowanym, ale naprawdę odinstalowujesz je, gdy już ich nie potrzebujesz.

hosting współdzielony

Te wady są już nieodłączną częścią WordPress . Ale ponieważ Twoja witryna musi się jakoś online, hosting jest również ważnym aspektem bezpieczeństwa. Ponieważ bezpieczeństwo i hosting jest bardzo złożony i wieloaspektowy temat, chciałbym porozmawiać w tym momencie tylko o wielkiej wady wspólnego hostingu. Ponownie, to nie znaczy, że mówię ci z współdzielonego hostingu. Ma to wiele sensu, zwłaszcza z punktu widzenia ceny. Ale wspólny hosting pochodzi z jedną główną wadą, że należy być świadomym.

Ponieważ z hostingiem współdzielonym, kilka stron znajduje się na jednym i tym samym serwerze. Strony udostępniają również adres IP. Oznacza to, że stan i zachowanie jednej strony może również negatywnie wpływać na wszystkie inne strony na serwerze. Efekt ten nazywany jest efektem złego sąsiada i odnosi się na przykład do spamowania. Jeśli strona na Twoim serwerze spowoduje, że IP zostanie wpisane na czarną listę, może to również wpłynąć na Twoją ofertę.

Ponadto może to prowadzić do nadmiernego wykorzystania zasobów, np. gdy jedna ze stron na serwerze bierze udział w ataku DDoS lub jest dotknięta zmasowanym atakiem. Stabilność Twojej własnej oferty jest więc w pewnym stopniu zawsze zależna od bezpieczeństwa innych stron na Twoim serwerze.

Dla profesjonalnie prowadzonych projektów WP-WordPress , serwer wirtualny lub dedykowany ma sens. Oczywiście, koncepcje bezpieczeństwa hostingu obejmują również rozwiązania do tworzenia kopii zapasowych, zapory sieciowe i skanery złośliwego oprogramowania, ale omówimy je szczegółowo w innym miejscu.

Wnioski

WordPress jest niepewny. A to dzięki modułowej budowie. Jej największa siła może zatem stać się jej największą słabością. Dobra wiadomość jest taka, że można łatwo obejść tę słabość. Więcej niż wysiłek w zarządzaniu użytkownikami i tworzenie haseł, jak również w aktualizacjach jest w zasadzie nie potrzebne.

Oczywiście, te środki nie zamieniają Twojej strony w Fort Knox. Są one jednak kamieniem węgielnym Twojej koncepcji bezpieczeństwa. Ponieważ jeśli ich nie przestrzegasz, mogą one podważyć wszystkie inne środki bezpieczeństwa. A każdy użytkownik WordPress może wpływać na te aspekty samodzielnie. Dlatego tak ważne jest, abyś zawsze był ich świadomy.

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Tobias Schüring

Jako administrator systemu Tobias czuwa nad naszą infrastrukturą i znajduje każdą śrubkę, aby zoptymalizować działanie naszych serwerów. Ze względu na jego niestrudzone wysiłki często można go znaleźć w nocy na Slacku.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.