Zuhause Sicherheitsuhr Halten Sie Angreifer von Ihrer WordPress-Site fern

Halten Sie Angreifer von Ihrer WordPress-Site fern

Video: How to Restart a WordPress Site – Reset WordPress The Fast Way (Dezember 2024)

Video: How to Restart a WordPress Site – Reset WordPress The Fast Way (Dezember 2024)
Anonim

Als Content-Management-Plattform ist WordPress bei den Nutzern sehr beliebt, weil es so einfach zu bedienen ist. Die Sache ist, es ist auch ein beliebtes Ziel für Kriminelle und Angreifer. Wenn Sie eine WordPress-Site haben, müssen Sie einige grundlegende Schritte unternehmen, um Ihre Site zu sichern.

DDoS mit WordPress

Es besteht zwar immer die Sorge, dass Ihre WordPress-Site gehackt werden kann, um Malware für die Besucher Ihrer Site bereitzustellen, oder um sie auf eine zweifelhafte Site im Internet umzuleiten, aber Sie möchten auch nicht herausfinden, an welche Stelle Ihre Site gewöhnt ist Angriffe gegen andere Websites starten. Anfang dieser Woche berichtete die Sicherheitsfirma Sucuri, dass mehr als 162.000 WordPress-Sites dazu verleitet wurden, an einem verteilten Denial-of-Service-Angriff gegen eine andere Site teilzunehmen.

Die Sache ist, dass die Websites nicht entführt oder infiziert wurden, um ein Botnetz zu bilden. Die Angreifer missbrauchten Pingbacks, eine absolut legitime Funktion in WordPress, um die Zielseite mit unerwünschtem Datenverkehr zu überfluten. Pingbacks werden von einer WordPress-Site verwendet, um andere Sites zu benachrichtigen, wenn ein Beitrag mit ihnen verknüpft ist. Bei dem von Sucuri beobachteten Angriff hat der Angreifer die Websites dazu verleitet, eine Pingback-Anfrage an dieselbe Ziel-URL zu senden. Dies war einfach, da Pingback in WordPress standardmäßig aktiviert ist. Die Zielsite wurde plötzlich mit Pingback-Anfragen bombardiert, die sich im Wesentlichen auf einen DdoS-Angriff auswirkten.

Wenn Sie WordPress ausführen, sollten Sie Pingbacks deaktivieren, um sicherzustellen, dass Ihre Site nicht zum Angriff auf andere Sites verwendet werden kann. Die Funktion benachrichtigt Sie, wenn jemand anderes über Sie spricht. Dies ist ein netter Ego-Booster. Lohnt es sich, sie zu behalten, um missbraucht zu werden? Sucuri hat Vorschläge, wie man Pingbacks auf seiner Site blockiert.

Undichte WordPress

Dave Lewis, ein hochrangiger Sicherheitsanwalt bei Akamai Technologies, hat mit Google über 111.000 WordPress-Sites gefunden, auf deren Datenbank-Backups über das Internet zugegriffen werden konnte. Die Liste enthielt "alle Arten von Websites von unabhängigen Musikseiten bis zu Arztpraxen und sogar einige Regierungswebseiten", schrieb Lewis in seinem CSO-Blog. Der Speicherauszug enthielt detaillierte Informationen über die Datenbank, mit denen Angreifer andere Angriffe auslösen konnten, aber auch ein mögliches Datenleck.

Sicherungen sollten natürlich nicht über das Internet zugänglich sein. Wenn Backups lokal auf demselben Server ausgeführt werden, auf dem WordPress installiert ist, können Plugins von Wordfence oder Sucuri den unbefugten Zugriff blockieren, sagte Lewis.

Veraltetes WordPress

Die wichtigste Aufgabe für WordPress-Administratoren ist es, den Überblick über Software-Updates zu behalten, nicht nur für die Kernplattform, sondern für jedes auf der Site ausgeführte Plugin. Veraltete Versionen von WordPress werden ständig angegriffen, insbesondere die Plugins. "Böswillige Hacker suchen immer nach Wegen, um Computerbenutzer zu infizieren, und welche bessere Technik kann es geben, als eine bestehende, legitime Website zu kompromittieren und sie so zu untergraben, dass sie Computerbenutzer beim Besuch heimlich infiziert", sagte der Sicherheitsberater Graham Cluley.

Angreifer können nicht gepatchte Fehler ausnutzen, um SQL-Injection- oder Cross-Site-Scripting-Angriffe auszuführen. Die Fehler können auch ausgenutzt werden, um die Website mit Malware zu infizieren. In den meisten Fällen sind diese Probleme auf Probleme mit Plugins zurückzuführen, nicht auf die Kernsoftwareplattform. Dies macht es sogar noch kritischer, dass Plugins regelmäßig aktualisiert werden.

Es ist wichtig, den Unterschied zwischen Websites, die auf WordPress.com gehostet werden, und WordPress-Websites zu beachten, die auf anderen Servern ausgeführt werden. Das Team hinter WordPress hält die Software auf WordPress.com auf dem neuesten Stand, so dass einzelne Benutzer dies nicht müssen. Bei selbst gehosteten Websites muss der Websitebesitzer über Patches und Updates auf dem Laufenden bleiben, um sicherzustellen, dass die Software auf dem neuesten Stand bleibt.

Wenn Sie WordPress ausführen, sollten Sie den Angreifern einen Schritt voraus sein, indem Sie Ihre Website regelmäßig aktualisieren.

Halten Sie Angreifer von Ihrer WordPress-Site fern