5 највећих безбедносних рупа у инсталацијама ВордПресс-а

Ваша инсталација ВордПресс-а може бити безбедна или несигурна колико год желите. Научите којих пет ствари су најважније када је у питању безбедност.

Забринутост и притужбе у вези са сигурношћу ВордПресс-а нису ништа ново.

Ако вам је потребан ЦМС и случајно се консултујете са добављачем услуга који се не бави ВордПресс-ом, безбедност је главна препрека о којој ћете чути. Да ли то значи да би сви требало да напусте ВордПресс и пређу на генераторе статичких сајтова или ЦМС без главе?

Не, јер као и свака истина у животу, и ова има много страна.

Да ли је ВордПресс веома несигуран?

Хајде да погледамо неке огромне веб странице које су направљене на ВордПрессу:

  • ТецхЦрунцх
  • Тхе Нев Иоркер
  • ББЦ Америка
  • Блоомберг
  • МТВ вести
  • ПлаиСтатион блог

Дакле, шта чини да ове компаније – са апсурдно дубоким џеповима и запањујућом радном снагом – не пређу са ВордПресс-а? Ако мислите да је одговор стари код, размислите поново: за ова имена су безбедност података и јавни имиџ бескрајно важнији од једноставне миграције која ће коштати (процењујем) мање од 200.000 долара.

Сигурно њихови инжењери знају шта раде и не виде фундаменталне, нерешиве безбедносне проблеме са ВордПресс-ом?

Чак и ја имам срећу да управљам инсталацијом ВордПресс-а која види 3,5-4 милиона посетилаца месечно. Укупан број нарушавања безбедности у последњих осам година? Нула!

Тако . . . да ли је ВордПресс сигуран?

Извињавам се ако изгледа као троловање, али ево мог одговора:

Кажем тако јер је, као и свака истина у животу, компликована. Да бисмо дошли до легитимног одговора, прво морамо да разумемо да Вордпрес (или било који унапред изграђен ЦМС, по том питању) није као орман који негде стално ставите и завршите са њим.

То је сложен комад софтвера са много зависности:

  • ПХП, који је језик са којим је направљен
  • Јавно видљива машина која хостује инсталацију
  • Веб сервер који се користи за руковање посетиоцима (Апацхе, Нгинк, итд.)
  • База података која се користи (МиСКЛ/МариаДБ)
  • Теме (скупови ПХП, ЦС и ЈС датотека)
  • Додаци (скупови ПХП, ЦС и ЈС датотека)
  • И још много тога, у зависности од тога колико ваша инсталација жели да постигне

Другим речима, кршење безбедности у било ком од ових шавова ће се назвати кршењем ВордПресс-а.

  Како знати да ли је неко избрисао свој Снапцхат налог

Ако је роот лозинка сервера била админ123 и била је компромитована, да ли је то ВордПресс безбедносна грешка?

Ако је ПХП верзија имала безбедносну рањивост, или ако је нови додатак који сте купили и инсталирали садржао очигледну безбедносну рупу; и тако даље. Да резимирамо: подсистем поквари, и то је грешка безбедности ВордПресс-а.

На страну, немојте дозволити да вам ово остави утисак да ПХП, МиСКЛ и Апацхе нису безбедни. Сваки комад софтвера има рањивости, чији је број запањујући у случају отвореног кода (јер је доступан свима да виде и анализирају).

Да ли је неко рекао „безбедно“? 😛

Оно што учимо из ове вежбе је следеће:

Ништа није безбедно или несигурно само по себи. Различите компоненте које се користе чине карике у ланцу, а ланац је, наравно, јак као и најслабији од њих. Историјски гледано, ознака „није безбедно“ ВордПресс-а била је комбинација старих верзија ПХП-а, дељеног хостинга и додавања додатака/тема из непоузданих извора.

У исто време, неки прилично уобичајени пропусти чине вашу инсталацију ВордПресс-а рањивом за оне који знају како да их искористе и одлучни су. И о томе говори овај пост. Дакле, без даљег одлагања (и кружних аргумената), хајде да почнемо.

Највеће рупе у ВордПресс-у које хакери могу да искористе

Префикс табеле ВордПресс

Чувена 5-минутна инсталација је најбоља ствар која се може десити ВордПрессу, али као и сви чаробњаци за инсталацију, чини нас лењим и оставља ствари подразумеваним.

То значи да је подразумевани префикс за ваше ВордПресс табеле вп_, што резултира називима табела које свако може да погоди:

  • вп-корисници
  • вп-опције
  • вп-постс

Сада, размислите о нападу познатом као СКЛ Ињецтион, где се злонамерни упити базе података паметно убацују и раде у оквиру ВордПресс-а (имајте на уму — ово никако није напад који је ексклузиван за ВордПресс/ПХП).

Иако ВордПресс има уграђене механизме за руковање овим врстама напада, нико не може гарантовати да се то неће догодити.

Дакле, ако на неки начин, на неки начин, нападач успе да покрене упит као што је ДРОП ТАБЛЕ вп_усерс; ДРОП ТАБЛЕ вп_постс;, сви ваши налози, профили и постови ће бити избрисани у трену без шансе за опоравак (осим ако немате шему резервне копије, али чак и тада ћете сигурно изгубити податке од последње резервне копије ).

Проста промена префикса током инсталације је велика ствар (што не захтева никакав напор).

Нешто насумично као сдг21г34_ се препоручује јер је бесмислица и тешко је погодити (што је дужи префикс, то боље). Најбољи део је то што овај префикс не мора да се памти; префикс је нешто што ће Вордпрес сачувати и више никада нећете морати да бринете о томе (баш као што не бринете о подразумеваном вп_ префиксу!).

  12 најбољих оквира и комплета алата за прављење десктоп апликација

Подразумевана УРЛ адреса за пријаву

Како знате да веб локација ради на ВордПресс-у? Један од сигналних знакова је да видите страницу за пријаву на ВордПресс када додате „/вп-логин.пхп“ на адресу веб локације.

Као пример, узмимо моју веб страницу (хттп://анкусхтхакур.цом). Да ли је на ВордПресс-у? Па, само напред и додајте део за пријаву. Ако се осећате превише лењи, ево шта се дешава:

¯_(ツ)_/¯

ВордПресс, зар не?

Када се ово много сазна, нападач може да трља руке од весеља и почне да примењује гадне трикове из свог Баг-О’-Доом-а по абецедном реду. Јадан ја!

Решење је да промените подразумевани УРЛ за пријаву и дате га само оним људима којима се верује.

На пример, ова веб локација је такође на ВордПресс-у, али ако посетите хттп://вдзвдз.цом/вп-логин.пхп, све што ћете добити је дубоко разочарење. УРЛ за пријаву је скривен и познат је само администраторима?

Промена УРЛ адресе за пријаву није ни ракетна наука. Само зграби ово повезати.

Честитамо, управо сте додали још један слој фрустрирајуће заштите од напада грубом силом.

Верзија ПХП-а и веб сервера

Већ смо разговарали о томе да је сваки комад софтвера који је икада написан (и написан) пун грешака које чекају да буду искоришћене.

Исто важи и за ПХП.

Чак и ако користите најновију верзију ПХП-а, не можете бити сигурни које пропусте постоје и које би могле бити откривене преко ноћи. Решење је да сакријете одређено заглавље које шаље ваш веб сервер (никада нисте чули за заглавља? прочитајте ово!) када се прегледач повеже са њим: к-поверед-би.

Ево како то изгледа ако проверите алатке за развој вашег омиљеног претраживача:

Као што видимо овде, веб локација нам говори да ради на Апацхе 2.4 и да користи ПХП верзију 5.4.16.

То је већ гомилу информација које прослеђујемо без разлога, помажући нападачу да сузи избор алата.

Ова (и слична) заглавља морају бити сакривена.

На срећу, то се може учинити брзо; нажалост, потребно је софистицирано техничко знање јер ћете морати да зароните у унутрашњост система и петљате се са важним датотекама. Стога, мој савет је да замолите свог провајдера хостинга да то уради уместо вас; ако не виде да ли консултант може то да уради, мада ће то у великој мери зависити од хоста вашег веб сајта да ли њихово подешавање има такве могућности или не.

  Алека, Сири и Гоогле не разумеју реч коју изговорите

Ако не успе, можда је време да промените хостинг провајдера или пређете на ВПС и ангажујете консултанта за питања безбедности и администрације.

Да ли је вредно тога? Само ви то можете одлучити. 🙂

Ох, и ако желите да се бавите безбедносним заглављима, ево вашег решења!

Број покушаја пријаве

Један од најстаријих трикова у хакерском приручнику је тзв Дицтионари Аттацк.

Идеја је да испробате смешно велики број (милионе, ако је могуће) комбинација за лозинку осим ако једна од њих не успе. Пошто су рачунари муњевито брзи у ономе што раде, таква будаласта шема је разумна и може дати резултате у разумном року.

Једна уобичајена (и изузетно ефикасна) одбрана је додавање кашњења пре приказивања грешке. Ово тера примаоца да чека, што значи да ако је то скрипта коју користи хакер, биће потребно предуго да се заврши. То је разлог зашто ваш рачунар или омиљена апликација мало одскаче, а затим каже: „Упс, погрешна лозинка!“.

У сваком случају, поента је да би требало да ограничите број покушаја пријављивања за своју ВордПресс локацију.

Осим одређеног броја покушаја (рецимо, пет), налог би требало да буде закључан и требало би да се поврати само путем е-поште власника налога.

Срећом, ово је лака шетња ако наиђете на лепо повезати.

ХТТП наспрам ХТТПС

ССЛ сертификат због којег вас је ваш добављач гњавио је важнији него што мислите.

Није само алатка за репутацију која приказује зелену икону катанца у претраживачу на којој пише „Безбедно“; уместо тога, инсталирање ССЛ сертификата и присиљавање свих УРЛ адреса да раде на „хттпс“ довољно је да ваша веб локација буде од отворене књиге до загонетног скроловања.

Ако не разумете како се то дешава, прочитајте нешто познато као а напад човека у средини.

Други начин за пресретање саобраћаја који тече са вашег рачунара на сервер је њушкање пакета, што је пасиван облик прикупљања података и не мора чак ни да се труди да се позиционира у средини.

За сајтове који пролазе преко обичног „ХТТП-а“, особе која пресреће мрежни саобраћај, ваше лозинке и бројеви кредитних картица приказују се као јасан, обичан текст.

Извор: цомпаритецх.цом

Страшно? Врло!

Али када једном инсталирате ССЛ сертификат и сви УРЛ-ови се конвертују у „хттпс“, ове осетљиве информације се приказују као бесмислица коју само сервер може да дешифрује. Другим речима, не знојите се за тих неколико долара годишње. 🙂

Закључак

Да ли ћете стављање ових пет ствари под контролу лепо обезбедити вашу веб локацију?

Не никако. Као што небројени чланци о безбедности кажу, никада нисте 100% сигурни, али је могуће елиминисати велику класу ових проблема уз разуман напор. Можете размислити о коришћењу СУЦУРИ цлоуд ВАФ-а да бисте холистички заштитили своје веб локације.