Видео: PHP Storing utf8 characters properly in MySQL database 720p (Ноябрь 2024)
Как платформа управления контентом, WordPress чрезвычайно популярен среди пользователей, потому что он очень прост в использовании. Дело в том, что это популярная цель и для преступников, и для злоумышленников. Если у вас есть сайт WordPress, вам нужно предпринять некоторые основные шаги для обеспечения безопасности вашего сайта.
DDoS с WordPress
Хотя всегда существует опасение, что ваш сайт WordPress может быть взломан для предоставления вредоносного ПО посетителям вашего сайта или перенаправления их на изворотливый сайт в другом месте в Интернете, вы также не хотите узнать, что ваш сайт используется для запускать атаки на другие сайты. Ранее на этой неделе охранная фирма Sucuri сообщила, что более 162 000 сайтов WordPress были обмануты для участия в распределенной атаке типа «отказ в обслуживании» на другой сайт.
Дело в том, что сайты не были захвачены или заражены для формирования ботнета. Злоумышленники злоупотребили Pingbacks, совершенно законной функцией WordPress, чтобы наполнить целевой сайт нежелательным трафиком. Пингбэки используются одним сайтом WordPress для уведомления других сайтов о ссылках на них. В атаке, наблюдаемой Sucuri, злоумышленник обманул сайты, отправив запрос Pingback на тот же целевой URL, что было легко сделать, поскольку Pingback по умолчанию включен в WordPress. Целевой сайт был внезапно подвергнут бомбардировке запросами Pingback, которые по существу были подключены к DdoS-атаке.
Если вы используете WordPress, вам следует отключить Pingbacks, чтобы ваш сайт не мог быть использован для атаки на другие сайты. Эта функция уведомляет вас, когда кто-то еще говорит о вас, что является хорошим стимулятором эго, но стоит ли держать его подальше, чтобы вас оскорбляли? У Sucuri есть предложения о том, как заблокировать пингбэки на своем сайте.
Утечка WordPress
Дейв Льюис, старший защитник Akamai Technologies, использовал Google, чтобы найти более 111 000 сайтов WordPress, резервные копии базы данных которых были доступны из Интернета. Список включал «всевозможные сайты от независимых музыкальных сайтов до кабинетов врачей и даже некоторые правительственные сайты», - написал Льюис в своем блоге ОГО. Дамп содержал подробную информацию о базе данных, которую злоумышленники могли использовать для запуска других атак, а также потенциальную утечку ваших данных.
Очевидно, что резервные копии не должны быть доступны из Интернета. Если резервное копирование выполняется локально на том же сервере, на котором установлен WordPress, то плагины из Wordfence или Sucuri могут блокировать несанкционированный доступ, сказал Льюис.
Устаревший WordPress
Самая важная задача для администраторов WordPress - следить за обновлениями программного обеспечения не только для основной платформы, но и для каждого из плагинов, работающих на сайте. Устаревшие версии WordPress постоянно подвергаются атакам, особенно плагины. «Злонамеренные хакеры всегда ищут способы заражения пользователей компьютеров, и какой может быть лучший способ, чем скомпрометировать существующий, законный веб-сайт и подорвать его таким образом, чтобы он незаметно заразил пользователей компьютеров при их посещении», - сказал консультант по безопасности. Грэм Клули.
Злоумышленники могут использовать исправленные ошибки для выполнения SQL-инъекций или межсайтовых скриптов. Недостатки также могут быть использованы для заражения сайта вредоносным ПО. По большей части эти проблемы, как правило, являются результатом проблем с плагинами, а не основной программной платформой, что делает еще более критичным регулярное обновление плагинов.
Важно отметить разницу между сайтами, размещенными на WordPress.com, и сайтами WordPress, которые работают на других серверах. Команда разработчиков WordPress постоянно обновляет программное обеспечение на WordPress.com, так что отдельным пользователям это не нужно. Самостоятельно размещаемые сайты требуют, чтобы владелец сайта оставался в курсе обновлений и обновлений, чтобы обеспечить актуальность программного обеспечения.
Если вы собираетесь запускать WordPress, опережайте злоумышленников, регулярно обновляя свой сайт.