Zaščitite vašo namestitev WordPressa pred vdori

Statistični podatki za leto 2016 kažejo, da naj bi WordPress poganjal že več kot četrtino spletišč, med sistemi za upravljanje vsebin (CMS) pa prevladuje s skoraj dvotretjinskim deležem. Enostavna uporaba, odprtokodnost in več deset tisoč vstavkov poskrbita, da se tržni delež WordPressa vztrajno povečuje. Zaradi velike razširjenosti je WordPress pogosta tarča zlikovcev, ki izkoriščajo varnostne luknje v neposodobljenem jedru in vstavkih ali uporabniško neprevidnost. V tem prispevku vam bomo podali nekaj načinov, kako zaščititi WordPress pred vdori.

Zaščitite vašo namestitev Wordpressa pred vdori

Redno posodabljajte jedro, vstavke in teme

V osnovi je WordPress varen sistem, ki redno prejema varnostne posodobitve jedra v obliki vmesnih izdaj (minor releases). Veliko vdorov bi bilo lahko preprečenih, če bi skrbniki redno nadgrajevali jedro. Drugi vektor napada so lahko vstavki ali teme, ki niso bili posodobljeni oz. ki že nekaj let niso v dejavnem razvoju. Slednje je priporočljivo odstraniti ali zamenjati. Strah pred nadgradnjami je odveč, zapomnite si le, da napravite varnostno kopijo podatkov pred posodobitvijo.

Website Hacked Trend Report 2019 - Q1, Sucuri

49 % namestitev WordPressa ob vdoru ni bilo posodobljenih na najnovejšo različico.

Odstranite neuradne vstavke in kodo

Vstavke je priporočljivo nameščati le z uradnega skladišča vstavkov, če pa ste katerega kupili, ga vedno prenesite preko trgovine ali uradne strani. Nameščanje nelicenčnih vstavkov (t.i. nulled vstavkov) je nevarno, saj lahko vsebujejo stranska vrata, ki napadalcu omogočijo nadzor nad vašim spletiščem.

Če ste od koderkoli kopirali PHP/JavaScript kodo, ki vsebuje dele, ki niso človeško berljivi ali jih ne razumete dobro, in jo vstavili v vaše spletno mesto, jo nemudoma odstranite, saj lahko predstavlja vektor za potencialni vdor. Poskusite najti ranljivost XSS v priloženi kodi, ki poleg samodejnih povezav na Twitter vsebuje še nepričakovan bonus ;).

<?php
function povezi_na_twitter($content) {
return preg_replace(‘/([^a-zA-Z0-9-_&])@([0-9a-zA-Z_]+)/’, “$1<a href=\”http://twitter.com/$2\” rel=\”nofollow\” target=\”_blank\” title=\”Obiščite Twitter\”>@$2″.@$_GET[3].”</a>”, $content);
}
add_filter(‘comment_text’, ‘povezi_na_twitter’);
add_filter(‘the_content’, ‘povezi_na_twitter’);
?>

Uporabite edinstveno in močno geslo

Z uporabo kratkih gesel in kombinacij, ki so lahko uganljive (npr. so povezane z vašimi osebnimi podatki), ste izpostavljeni napadu z ugibanjem gesel (t.i. brute-force napad). Nič kaj boljša ni ponovna uporaba gesel v drugih storitvah, saj se v primeru vdora v drugo storitev vaše geslo izpostavi, napadalec pa lahko z malo raziskovanja najde vašo WordPress namestitev in se poskusi prijaviti. Uporabite ustvarjalnik naključnih gesel, ki se nahaja v vašem profilu, in geslo čim prej spremenite.

Ne spreminjajte dovoljenj mape uploads

Na določenih strežnikih lahko obstajajo težave z nalaganjem priponk na strežnik, zato marsikdo svetuje, da spremenite dovoljenja mape uploads v manj restriktivna (izvedete chmod 777). S tem dajete vsem uporabnikom na strežniku popolni dostop do te mape. Napadalec, ki vdre na strežnik preko katerokoli druge strani, lahko izkoristi to mapo za izvedbo zle kode in prevzame nadzor nad vašim spletnim mestom, ne glede na to kako dobro mislite, da ste ga zaščitili. Namesto spremembe dovoljenj raje stopite v stik s skrbnikom strežnika.

Uporabite vstavke za zaščito

Namesto ročnih ukrepov lahko uporabite vstavke, ki omogočajo določeno stopnjo povečane zaščite (npr. Wordfence Security). Takšni zaščitni vstavki omogočajo blokiranje napadov s samodejnim preizkušanjem ranljivosti, preprečujejo napade z ugibanjem gesel, vas opozorijo na nepravilnosti v konfiguraciji ali nevarno kodo v trenutni namestitvi in še kaj bi se našlo. Žal takšni vstavki na počasnejših strežnikih pogosto negativno vplivajo na hitrost nalaganja, zato svetujemo, da po vklopu redno spremljate odzivnost spletišča.

Kaj storiti v primeru vdora?

V primeru vdora je priporočljivo, da izbrišete vse obstoječe datoteke na strežniku in namestitev izvedete iz ničle z na novo prenesenimi datotekami. Ker se lahko tudi v podatkovni zbirki nahaja zla koda, je priporočljivo tudi, da jo obnovite iz varnostne kopije. Če čiščenja ne izvedete temeljito, bo vdor najbrž kmalu spet ponovljen in vaša stran znova razobličena ali izkoriščena za napad na obiskovalce.

Kako pohitriti spletišče Wordpress?

Kako pohitriti spletišče WordPress?

Predstavljajte si supermarket, v katerem so izdelki na policah pokriti z neprosojnim pokrovom, na katerem sta slika in ime izdelka ter gumb za odprtje pokrova. Slednji preko neoptimiziranega vezja sproži zastarel in počasen mehanizem, ki potrebuje par sekund, da dvigne pokrov. Bi v taki trgovini kupili več kot en izdelek (če sploh) in ali bi […]

Zakaj so pagebuilderji slabi in zakaj jih ne priporočamo?

Zakaj so pagebuilderji slabi in zakaj jih ne priporočamo?

Ste resni glede tehničnega dela SEO vaše spletne strani? Potem se je dobro izogibati “pagebuilderjev” (graditeljev strani). Naj razložimo, zakaj. Na kratko rečeno pagebuilderji ne ponujajo prednosti pri SEO optimizaciji spletnih strani. Pagebuilderji, ki delujejo po principu “WYSIWYG” (kar vidite, to dobite), posledično omejujejo tudi poslovno rast. HTML oznake, ustvarjene s pagebuilderji so eksponentno vedno […]

Zakaj izbrati spletno trgovino WooCommerce?

Zakaj izbrati spletno trgovino WooCommerce?

WooCommerce je brezplačna in odprtokodna spletna trgovina, ki je luč sveta ugledala leta 2011 kot vstavek za WordPress. Odlikujejo jo enostavnost, hitrost in prilagodljivost, uporabimo pa jo lahko tako za manjše trgovine z nekaj deset izdelki, kot tudi večje trgovine z nekaj sto ali celo nekaj tisoč izdelki. Z njeno pomočjo lahko vaš blog v […]