Kaip pati populiariausia turinio valdymo sistema, „WordPress“ valdo milijonus skirtingų svetainių. Tai atvirojo kodo programinė įranga, o tai reiškia, kad jos šaltinio kodas yra viešai prieinamas ir jį gali modifikuoti beveik kiekvienas, turintis pakankamai žinių.
Nors galima įsigyti „WordPress“ papildinių ir temų, dešimtys tūkstančių jų yra prieinami nemokamai. Kaip ir galima tikėtis, tai neapsieina be trūkumų. Taigi, ar pažeidžiamos „WordPress“ svetainės? O kaip dėl jo temų ir papildinių? Ir kaip galite apsaugoti savo svetaines?
Kiek pažeidžiama yra „WordPress“?
2022 m. vasario mėn. Reaktyvinė skraidyklė atrado, kad buvo pažeistos populiarios temos ir papildiniai iš pardavėjo AccessPress Themes (taip pat žinomi kaip Access Keys). Tyrėjai pažeidžiamumą pastebėjo atsitiktinai, aptikę įtartiną kodą pažeistoje svetainėje. Atlikę tolesnį tyrimą, jie suprato, kad dauguma AccessPress įskiepių ir kiekvienoje temoje buvo tas pats kodas.
Vėliau paaiškėjo, kad „AccessPress Themes“ 2021 m. rugsėjį tapo kibernetinės atakos auka, kai įsilaužėliai įsilaužė į užpakalines duris.
pardavėjo papildiniuose ir temos.„AccessPress“ galiausiai atnaujino ir išvalė savo produktus, tačiau tikriausiai tūkstančiai vartotojų ilgą laiką buvo pažeidžiami atakų.
Ar „WordPress“ papildiniai ir temos turi pažeidžiamumų?
„Jetpack“ išvados pabrėžia, kokia pažeidžiama gali būti „WordPress“. Tačiau tai nebuvo pavienis atvejis.
Pavyzdžiui, 2021 m. kovo mėn. Wordfence atskleidė pagrindinius dviejų „WordPress“ įskiepių pažeidžiamumus, kuriuos sėkmingai išnaudojus užpuolikas būtų užvaldęs svetainę. Pažeidžiamumas buvo aptiktas Elementor ir WP Super Cache įskiepiuose. „Elementor“ yra svetainių kūrimo priemonė, naudojama daugiau nei septyniuose milijonuose svetainių, o „WP Super Cache“ yra populiarus talpyklos papildinys.
2022 m. vasario mėn Paieškos sistemos žurnalas JAV vyriausybės pažeidžiamumo duomenų bazė ir „WordPress“ saugos tyrinėtojai perspėjo apie rimtus pažeidžiamumus dešimtyse „WordPress“ papildinių.
Devyni iš šių papildinių buvo naudojami daugiau nei 1,3 milijono svetainių: antraštės poraštės kodo tvarkyklė, skelbimų įterpiklis – skelbimų tvarkyklė ir „AdSense“ skelbimai, iššokančiųjų langų kūrimo priemonė, kenkėjiškų programų apsauga. Saugumas ir „Brute-Force“ ugniasienė, WP turinio kopijavimo apsauga ir jokio dešiniojo paspaudimo, „WordPress“ duomenų bazės atsarginė kopija, „GiveWP“, atsisiuntimų tvarkyklė ir išplėstinė duomenų bazė Valytojas.
Kaip apsaugoti savo „WordPress“ svetainę
Galima daryti prielaidą, kad šie pažeidžiamumai visada pataisomi arba pašalinami, kai tik jie aptinkami, tačiau iš tikrųjų taip nėra.
Tyrimas iš Patchstack nustatė, kad 2021 m. praneštų „WordPress“ spragų skaičius padidėjo 150 procentų, palyginti su 2020 m., ir 29 procentai tų spragų nebuvo pataisyti. „Patchstack“ taip pat nustatė, kad tik 0,58 procento praneštų trūkumų buvo „WordPress“ branduolyje, o tai reiškia, kad pažeidžiamumų beveik visada randama įskiepiuose.
Labai svarbu užtikrinti, kad visi jūsų naudojami papildiniai būtų atnaujinti, taip pat ir pats „WordPress“ branduolys.
Prieš atsisiųsdami ir diegdami papildinį, pirmiausia atlikite šiek tiek tyrimų. Patikrinkite, kiek įdiegtų papildinys, skaitykite atsiliepimus internete, pažiūrėkite, kada jis buvo paskutinį kartą atnaujintas ir patikrinkite, ar jis buvo išbandytas naudojant naujausią „WordPress“ branduolį. Tai užtruks tik kelias minutes, bet gali išgelbėti jus nuo daugybės rūpesčių kelyje.
Arba galite naudoti WPScan, kuris yra gana paprastas ir efektyvus „WordPress“ pažeidžiamumo skaitytuvas. Šį įrankį taip pat galima naudoti norint ieškoti papildinio pagal pavadinimą. Nemokama versija leidžia pateikti iki 25 API užklausų per dieną.
Laimei, kai kurie papildiniai iš tikrųjų yra skirti apsaugoti jūsų „WordPress“ svetainę nuo įsibrovėlių. Login LockDown, Wordfence, BulletProof Security yra vieni geriausių „WordPress“ saugos papildiniai šiandien. Prisijungimas LockDown yra visiškai nemokamas, o kiti du turi pagrindinius, nemokamus modelius.
„WordPress“ saugos patarimai
Kad ir kokia būtų „WordPress“ pažeidžiama, pagrindinių atsargumo priemonių ėmimasis labai padeda užkirsti kelią kibernetinėms atakoms ir nuo jų apsisaugoti.
Naudojant unikalią prisijungimo informaciją ir dviejų faktorių autentifikavimą, visos programinės įrangos atnaujinimas, temų pavadinimų ir prisijungimo duomenų slėpimas turėtų būti jūsų „WordPress“ saugos higienos pagrindas.
Kaip apsaugoti savo „WordPress“ svetainę atliekant 5 paprastus veiksmus
Skaitykite toliau
Susijusios temos
- Saugumas
- internetas
- Interneto sauga
- Wordpress papildiniai
- Wordpress
- Wordpress temos
Apie autorių
Damiras yra laisvai samdomas rašytojas ir reporteris, kurio darbas daugiausia dėmesio skiria kibernetiniam saugumui. Be rašymo, jis mėgsta skaityti, muziką ir filmus.
Prenumeruokite mūsų naujienlaiškį
Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!
Norėdami užsiprenumeruoti, spustelėkite čia