Video: Prevent Brute Force Attacks In WordPress in 2020 (Nobyembre 2024)
Bilang isang platform ng pamamahala ng nilalaman, ang WordPress ay napakatanyag sa mga gumagamit sapagkat napakadaling gamitin. Ang bagay ay, ito ay isang tanyag na target para sa mga kriminal at umaatake. Kung mayroon kang isang WordPress site, kailangan mong gumawa ng ilang mga pangunahing hakbang upang ma-secure ang iyong site.
DDoS kasama ang WordPress
Habang palaging may pag-aalala na ang iyong WordPress site ay maaaring mai-hack upang maghatid ng malware sa iyong mga bisita sa site, o i-redirect ang mga ito sa isang dodgy site sa ibang lugar sa Web, hindi mo rin nais na malaman na ginagamit ang iyong site sa ilunsad ang mga pag-atake laban sa iba pang mga site. Mas maaga sa linggong ito, iniulat ng security firm na si Sucuri na higit sa 162, 000 WordPress site ang na-trick sa paglahok sa isang ipinamamahagi na pag-atake ng pagtanggi laban sa ibang site.
Ang bagay ay, ang mga site ay hindi na-hijack o nahawahan upang makabuo ng isang botnet. Inaabuso ng mga umaatake ang Pingbacks, isang perpektong lehitimong tampok sa WordPress, upang mabaha ang naka-target na site na may hindi ginustong trapiko. Ang mga pingback ay ginagamit ng isang site ng WordPress upang ipaalam sa iba pang mga site kapag ang isang post na naka-link sa kanila. Sa pag-atake na naobserbahan ni Sucuri, sinalakay ng taga-atake ang mga site sa pagpapadala ng isang kahilingan sa Pingback sa parehong URL ng target, na madaling gawin dahil pinapagana ng Pingback sa pamamagitan ng default sa WordPress. Ang naka-target na site ay biglang binomba sa mga kahilingan ng Pingback, na mahalagang naka-mount sa isang pag-atake sa DdoS.
Kung nagpapatakbo ka ng WordPress, dapat mong isaalang-alang ang pagpapatay ng mga Pingback upang matiyak na hindi magamit ang iyong site upang atakehin ang iba pang mga site. Inaalala ka ng tampok na ito kapag may ibang pinag-uusapan ka tungkol sa iyo, na kung saan ay isang magandang ego-booster, ngunit sulit ba itong mapanatili ito upang maabuso? May mga mungkahi si Sucuri kung paano harangan ang mga pingback sa site nito.
Leaky WordPress
Si Dave Lewis, isang tagapagtaguyod ng senior security kasama ang Akamai Technologies, ginamit ang Google upang makahanap ng higit sa 111, 000 mga site ng WordPress na ang mga backup ng database ay naa-access mula sa Internet. Kasama sa listahan ang "lahat ng paraan ng mga website mula sa mga independiyenteng mga site ng musika hanggang sa mga tanggapan ng doktor at kahit na ilang mga website ng gobyerno, " isinulat ni Lewis sa kanyang blog ng CSO. Ang dump ay naglalaman ng detalyadong impormasyon tungkol sa database, na maaaring gamitin ng mga umaatake upang ilunsad ang iba pang mga pag-atake, ngunit maaari ding potensyal na pagtagas ng iyong data.
Malinaw, ang mga pag-backup ay hindi dapat mai-access mula sa Internet. Kung ang mga backup ay tumatakbo nang lokal sa parehong server ng WordPress ay naka-install, pagkatapos ay mai-block ang mga plugin mula sa Wordfence o Sucuri, hindi sinabi ng Lewis.
Hindi napapanahong WordPress
Ang pinakamahalagang gawain para sa mga administrator ng WordPress ay upang manatili sa tuktok ng mga pag-update ng software, hindi lamang para sa pangunahing platform, ngunit para sa bawat isa sa mga plugin na tumatakbo sa site. Ang hindi napapanahong mga bersyon ng WordPress ay patuloy na inaatake, lalo na ang mga plugin. "Ang mga nakakahamak na hacker ay laging naghahanap ng mga paraan upang mahawahan ang mga gumagamit ng computer, at kung ano ang mas mahusay na pamamaraan na maaari kaysa sa ikompromiso ang isang umiiral na, lehitimong website at subvert ito sa isang paraan na ito ay sneakily na nakakaapekto sa mga gumagamit ng computer kapag binisita nila ito, " sabi ng consultant ng seguridad. Graham Cluley.
Maaaring samantalahin ng mga umaatake ang mga hindi ipinadala na mga bahid upang maisagawa ang pag-iniksyon ng SQL o pag-atake ng script ng site. Ang mga bahid ay maaari ring sinasamantala upang mahawahan ang site na may malware. Para sa karamihan, ang mga isyung ito sa pangkalahatan ay ang resulta ng mga problema sa mga plugin, hindi ang pangunahing platform ng software, na ginagawa itong mas kritikal na ang mga plugin ay regular na na-update.
Mahalagang tandaan ang pagkakaiba sa pagitan ng mga site na naka-host sa mga WordPress.com at mga site ng WordPress na tumatakbo sa iba pang mga server. Ang koponan sa likod ng WordPress ay pinapanatili ang software na napapanahon sa WordPress.com, upang ang mga indibidwal na gumagamit ay hindi kailangang. Ang mga naka-host na site ay nangangailangan ng may-ari ng site na manatili sa tuktok ng mga patch at pag-update upang matiyak na nananatiling kasalukuyang ang software.
Kung magpapatakbo ka ng WordPress, ituloy ang mga umaatake sa pamamagitan ng pagpapanatiling regular ang iyong site.
