WordPress Bezpieczeństwo: Twoja strona jest również interesująca dla hakerów

Tobias Schüring Aktualizacja w dniu 23.01.2020 r.
5 Min.
Ataki hakerów na WordPress : Twoja strona jest również interesująca dla hakerów

28,4 procent z największych stron internetowych na świecie prowadzonych w ramach WordPress . Ta wysoka dystrybucja sprawia, że strony WP są popularnym celem dla hakerów. Szczególnie operatorzy małych stron internetowych często uważają, że są bezpieczni, bo kto zhakowałby bloga o małym zasięgu lub bez wrażliwych danych? Dzisiaj pokażę wam, dlaczego jest to niebezpieczny błąd, jeśli chodzi o WordPress bezpieczeństwo.

WordPress jest szczególnie interesująca dla napastników, ponieważ użyć tak wielu stron. Dla wielu form ataku nie zależy od "jakości" zhakowanych celów, ale po prostu od możliwości automatycznej infiltracji jak największej liczby stron. Jak to może wyglądać, gdy podatność na zagrożenia jest systematycznie eksploatowana, pokazano na przykładzie Bezbronność bezpieczeństwa w WordPress 4.7.1. Niezliczona ilość stron została w tym czasie zdefragmentowana na stronie startowej z adnotacją "hacked by".

Firma ochroniarska Sucuri znalazła tę słabość i przekazała ją do WordPress I chociaż kwestia ta została poruszona w punkcie WordPress 4.7.2, po upublicznieniu eksploatacji Miliony stron zhakowanych w tak zwanych atakach zbrojeniowych.

Przykład ten pokazuje, że naprawdę każda WordPress strona jest interesująca dla napastników. W większości przypadków ataki są całkowicie automatyczne. Dzisiaj pokażę ci.., jak może wyglądać taki atak, co jest celem hakerów lub jakie konsekwencje może to mieć dla ciebie i twoich stron internetowychgdy twoja strona zostanie zhakowana.

Hakerzy chcą uprowadzić wasze WordPress -sites

Jak już mówiłem: W większości przypadków nie chodzi o to, jak duża jest ta strona, ani co jest tam dostępne. Wiele stron internetowych, które nie zatkały pewnych luk w zabezpieczeniach, są po prostu automatycznie atakowane. Gdy strona zostanie zainfekowana, może być na przykład niewłaściwie wykorzystana do wysyłania spamu lub nawet rozpowszechniania złośliwego oprogramowania - tj. złośliwego oprogramowania - wśród odwiedzających stronę.

W ten sposób hakerzy tworzą sieć dostawców złośliwego oprogramowania lub botnet, które mogą później wykorzystać do DDoS lub Brute Force Ataki może nadużywać. Poszczególna strona jest więc często interesująca tylko jako część większej całości. A im więcej stron napastnik porywa lub zaraża, tym cenniejsza staje się jego maszyna złośliwego oprogramowania.

Rośnie liczba ataków naWordPress

Liczba ataków na strony internetowe ma obecnie tendencję wzrostową. Według Google 2016 32 procent więcej stron zhakowanych niż w 2015 r. Jednym z najczęstszych rodzajów ataku był tzw. Brute Force Ataki. Jest to próba wprowadzenia prawidłowej kombinacji loginu i hasła poprzez proste zgadywanie. Albo napastnicy mają już listy haseł, które próbują odgadnąć.

Podkreślają to również dane liczbowe dotyczące dostawcy Wordfenceusług ochrony. Od miesięcy Amerykanin amerykański WordPress stały wzrost tych ataków.

Ataki hakerów WordPress : Brute Force i złożone ataki na WordPress obiekty od grudnia 2016 do stycznia 2017.
W przeciwieństwie do Ataków Kompleksowych, liczba Brute Force ataków stale rośnie. Wynika to z faktu, że te ostatnie nie są uzależnione od istnienia konkretnych luk bezpieczeństwa.

Reach jest stolicą hakerów

Można to bardzo dobrze zilustrować na przykładzie botnetu. Botnet to sieć porwanych stron internetowych (którymi mogą być również urządzenia lub routery internetowe), która jest wykorzystywana do przeprowadzania ataków DDoS na strony internetowe lub serwery. Elementy botnetu są aktywowane i bombardują cel na polecenie z tak dużą ilością żądań, że strona się zawali lub serwer jest przeciążony.

Im więcej stron internetowych haker może dodać do swojego botnetu, tym silniejszy i tym bardziej wartościowy staje się on. Ale oznacza to również, że przechwytywanie WordPress instalacji jest często tylko pierwszym krokiem dla hakerów. Drugim krokiem jest stworzenie czegoś, co można spieniężyć.

Ta trójka jest: Informowanie, identyfikowanie, infiltracja

Z grubsza, niespecyficzne WordPress hacki można podzielić na trzy fazy:

Ataki hakerówWordPress : 3 fazy prototypowego ataku na WP
Jak tylko napastnik dowie się o dziurze w systemie bezpieczeństwa, zaczyna się prawdziwa praca: musi napisać program, który może dowiedzieć się, czy istnieje luka, a następnie automatycznie ją wykorzystać.

Etap 1: Uzyskiwanie informacji

W pierwszym kroku napastnik poszukuje wiedzy o znanych lub nieznanych lukach w WordPress . Jest to możliwe na przykład za pośrednictwem takich platform, jak Baza danych o podatnościach WPScan Możliwe.

Z atakami zbezczeszczenia, o których wspomniałem na początku tego stanowiska, proste spojrzenie na WordPress .org wystarczyło.

Faza 2: Identyfikacja wektorów ataku

Teraz napastnik wie od czego zacząć i w fazie 2 musi napisać skrypt, który pozwoli mu wybrać z masy stron te, które mają słabe strony. Z atakami defacementowymi na WordPress 4.7. i 4.7.1 łatwo było to zrobić czytając WordPress wersję.

Faza 3: Zautomatyzowane ataki

Po znalezieniu napastnik może - ponownie automatycznie - włamać się na stronę i dokonać (nie)pożądanych zmian. Niektóre typowe przykłady to:

  • Kradzież danych: Napastnik próbuje ukraść poufne dane z Twojej strony lub osób odwiedzających Twoją stronę. Mogą to być adresy e-mail lub dane bankowe - ale w zasadzie wszystko, co można sprzedać lub ponownie wykorzystać, jest interesujące. Na przykład, haker może umieścić na Twojej stronie fałszywy formularz, który kradnie wszystkie wprowadzone przez Ciebie dane. I to w całkowicie wiarygodnym środowisku, a także w szyfrowaniu SSL.
  • Porwanie miejsca: Napastnik może osadzić twoją WordPress stronę w botnecie. Pozwala to hakerowi przejąć kontrolę nad Twoją stroną i przeprowadzać ataki DoS lub DDoS na polecenie.
  • Imituje złośliwy kod: Tutaj złośliwy kod jest umieszczony na twojej stronie. Napastnik może na przykład nadużywać twojej przestrzeni reklamowej dla własnych celów lub umieszczać na twojej stronie formularze, które kradną dane osobowe użytkowników.

W większości przypadków WordPress hacki kosztują czas i pieniądze

Nie można ogólnie powiedzieć, jakie koszty ponoszą WordPress hakerzy i jakie bezpośrednie lub pośrednie konsekwencje może mieć atak. Ale operatorzy zhakowanych obiektów muszą być faktycznie zawsze przygotowani na te trzy konsekwencje:

1) Koszt odtworzenia

Każdego dnia mają miejsce miliony ataków na WordPress strony internetowe. Sam plugin producent Wordfence mierzy średnio 35 milionów. Brute Force Ataki i 4,8 miliona ataków eksploatacyjnych codziennie. Innymi słowy, nie ma całkowitej pewności. Jedyne co możesz zrobić, to zminimalizować szansę na zhakowanie i stworzyć mechanizmy, które pozwolą Ci na szybkie przywrócenie Twojej strony w razie potrzeby.

W najlepszym wypadku, masz Kopia zapasowa strony i możesz po prostu zaimportować ją ponownie. Jeśli kopie zapasowe również są zainfekowane lub ich odtworzenie nie jest możliwe, będzie to bardziej skomplikowane. W tym przypadku zostanie poniesiony czas i koszty związane z ręcznym usunięciem złośliwego oprogramowania.

2) Utrata sprzedaży

W zależności od rodzaju złośliwego kodu, który został wprowadzony i jak długo Twoja strona musi być utrzymywana, możesz również ponieść koszty w postaci utraconych przychodów z reklam i sprzedaży.

3) Utrata zaufania

Google widzi wszystko: zhakowana strona często zawiera złośliwy kod, który rozprzestrzenia złośliwe oprogramowanie. Jeśli Google wykryje to - a Ty nic z tym nie zrobisz - Twoja strona znajdzie się na czarnej liście. Po wywołaniu strony internetowej pojawia się komunikat bezpieczeństwa dla odwiedzającego z ostrzeżeniem przed złośliwym oprogramowaniem lub phishingiem. Może to również spowodować, że Twoja pozycja w rankingu wyszukiwarki (SERP) ucierpi, a Ty możesz stracić duży zasięg.

Wniosek: Ataki na WordPress -sites są całkiem normalne

Oczywiście, ten artykuł nie ma na celu wywołania nieuzasadnionej paniki. Ale co to ma zilustrować: Tylko dlatego, że masz "małą" stronę nie oznacza, że nie powinieneś aktywnie zajmować się kwestią bezpieczeństwa stron internetowych.

Na przykład, ważne jest, aby wiedzieć, że większość słabych punktów jest spowodowana przez regularna aktualizacja może zostać wyeliminowany. I że certyfikat SSL nie chroni twojej strony przed atakami hakerów.

Na początku wspomniałem, że sam rozmiar WordPress CMS-a sprawia, że każda strona jest potencjalnym celem. Ale ta wielkość również przynosi ze sobą istotną zaletę: światowa społeczność wolontariuszy i WordPress pracowników firmy pracują przez całą dobę, aby uczynić go WordPress bezpieczniejszym. Tak prędzej czy później znajdzie się odpowiednie rozwiązanie dla każdej słabości i każdego problemu.

Jako administrator systemu Tobias czuwa nad naszą infrastrukturą i znajduje wszelkie możliwe sposoby na optymalizację wydajności naszych serwerów. Dzięki jego niestrudzonym wysiłkom często można go Slack znaleźć w nocy.

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.