Was sind gezielte und nicht gezielte WordPress-Hack-Angriffe?
Veröffentlicht: 2014-07-08Wenn Sie über WordPress-Sicherheit gelesen haben und nach WordPress-Sicherheits-Hacks und Optimierungen suchen, die Sie auf Ihr WordPress oder Ihre WordPress-Sicherheits-Plugins anwenden können, um sie vor Hackerangriffen zu schützen, werden Sie feststellen, dass es zwei Arten von Angriffen gibt, gezielte und nicht gezielte WordPress-Hacks Anschläge.
Was ist der Unterschied zwischen gezielten und nicht gezielten WordPress-Angriffen und wie können Sie Ihr WordPress vor diesen beiden Angriffen schützen? Dieser Artikel erklärt den Unterschied zwischen diesen beiden Arten von Hack-Angriffen und erklärt, warum einige der WordPress-Optimierungen und -Hacks Sie vor einer Art von Angriff schützen können und nicht vor der anderen und umgekehrt.
Nicht gezielter WordPress-Hack-Angriff
Nicht gezielte WordPress-Hackerangriffe sind automatisierte Angriffe und werden nicht speziell gegen WordPress-Websites gestartet. Wenn Hacker beispielsweise versuchen, eine bekannte Schwachstelle in einer alten Version von WordPress auszunutzen, suchen sie nicht manuell nach WordPress-Websites, überprüfen ihre Version und sehen, ob sie für eine solche Schwachstelle anfällig sind oder nicht.
Stattdessen verwenden sie automatisierte Tools, um bestimmte HTTP-Anforderungen zu senden, die zum Ausnutzen der Schwachstelle an eine Reihe von Websites verwendet werden, normalerweise einen Bereich von IP-Adressen. Abhängig von den zurückgegebenen HTTP-Antworten bestimmt das Tool, ob es sich bei der Zielwebsite um eine anfällige WordPress-Installation handelt oder nicht.
Schützen Sie WordPress vor nicht gezielten Angriffen
Wenn Sie also Ihre Version von WordPress verbergen oder sogar die Tatsache verbergen, dass Sie WordPress für Ihre Websites verwenden, schützen Sie Ihre Website nicht vor nicht gezielten WordPress-Hack-Angriffen. Befolgen Sie die folgenden Empfehlungen, um WordPress vor nicht gezielten Hackangriffen zu schützen:
- Halten Sie Ihre gesamte Software auf dem neuesten Stand; Verwenden Sie immer die neueste und sicherste Version von WordPress, Plugins und Themes, die Sie verwenden. Dies gilt auch für MySQL, Apache und jede andere Software, die in Ihrer Webumgebung ausgeführt wird.
- Deinstallieren und entfernen Sie immer alle unnötigen Plugins, Designs und alle anderen Komponenten und Dateien, die nicht verwendet werden.
- Verwenden Sie keine typischen Benutzernamen wie admin, administrator und root für Ihr WordPress-Administratorkonto. Wenn Sie das WordPress-Administratorkonto umbenennen.
- Schützen Sie die Anmelde- und Verwaltungsseiten von WordPress, indem Sie eine zusätzliche Authentifizierungsebene hinzufügen. Lesen Sie WordPress-Anmeldeseite mit HTTP-Authentifizierung schützen für weitere Informationen.
- Verwenden Sie starke Passwörter; dies gilt nicht nur für WordPress, sondern für alle anderen Dienste oder Websites, die Sie online nutzen. Wenn Sie mehrere Benutzer haben, die WordPress verwenden, verwenden Sie ein Plugin, um WordPress-Passwortrichtlinien zu erstellen, um sicherzustellen, dass Benutzer starke Passwörter verwenden.
Gezielter WordPress-Hack-Angriff
Gezielte Hack-Angriffe zielen speziell auf Ihre Websites und Blogs ab. Es gibt mehrere Gründe, warum Ihre WordPress-Site Opfer eines gezielten Angriffs werden könnte, und der Grund, warum Ihr WordPress Opfer eines gezielten Angriffs wird, ist nicht von Bedeutung. Wichtig ist, zu verstehen, was bei einem gezielten Angriff passiert, damit Sie Ihre WordPress-Websites und -Blogs besser schützen können.
Gezielte Angriffe sind gefährlicher als nicht zielgerichtete, einfach deshalb, weil statt einer Reihe automatisierter Tools, die Websites zufällig scannen, ein Mensch jedes Detail Ihrer Website analysiert, in der Hoffnung, etwas zu finden, das ausgenutzt werden könnte.
Anatomie eines gezielten WordPress-Angriffs
Zunächst verwendet der Angreifer automatisierte Tools, um zu prüfen, ob Ihre WordPress-Version für bekannte Schwachstellen anfällig ist. Da automatisierte Tools verwendet werden, hilft das Ausblenden der Version Ihres WordPress in solchen Szenarien nicht.
Der Angreifer versucht auch festzustellen, welche Plugins auf Ihrem WordPress ausgeführt werden und ob eines davon für eine bestimmte Schwachstelle anfällig ist. Auch hier werden die meisten dieser Aufgaben mit automatisierten Tools erledigt.
Die schwächsten Glieder in der WordPress-Sicherheit sind normalerweise die Anmeldeinformationen. Daher wird der Angreifer mit automatisierten Tools versuchen, alle WordPress-Benutzer aufzuzählen und sogar einen Passwort-Wörterbuch-Angriff gegen WordPress zu starten.
Es gibt viele andere Möglichkeiten und Mittel, wie man einen WordPress-Blog oder eine Website hackt, und gezielte Angriffe nutzen nicht gezielt eine Sicherheitslücke in WordPress oder einer seiner Komponenten aus. Es könnte sich auch um eine Sicherheitslücke in der Webserver-Software oder -Konfiguration usw. handeln, aber die oben genannten drei sind die häufigsten Einstiegspunkte für Hackerangriffe.
Schützen Sie WordPress vor gezielten Angriffen
Es gibt viele WordPress-Hacks und Optimierungen, die Sie anwenden können, um Ihr WordPress vor einem gezielten Hackangriff zu schützen, wie in der folgenden Liste hervorgehoben:
- Zunächst einmal gilt alles, was zum Schutz Ihres WordPress vor ungezielten WordPress-Angriffen gilt, auch für gezielte Angriffe
- Sichern und schützen Sie Ihr WordPress-Administratorkonto
- Aktivieren Sie WordPress SSL, um über eine verschlüsselte Kommunikationsschicht auf Ihre WordPress-Anmeldeseite und Admin-Seiten zuzugreifen, um zu vermeiden, dass Ihre WordPress-Benutzernamen und Ihr Passwort entführt werden
- Verwenden Sie ein WordPress-Plugin zur Sicherheitsüberwachung und -prüfung, um alles zu verfolgen, was auf Ihrem WordPress passiert, und identifizieren Sie verdächtige Aktivitäten, bevor sie zu einem Sicherheitsproblem werden
- Verwenden Sie WordPress-Benutzerrollen, um die Sicherheit von WordPress zu verbessern, indem Sie sicherstellen, dass jeder Benutzer nur über die erforderlichen Mindestberechtigungen verfügt, um die Arbeit zu erledigen
- Verwenden Sie den WPScan WordPress-Sicherheits-Blackbox-Scanner und andere Tools, um Ihre WordPress-Website regelmäßig zu scannen und zu prüfen.
Schutz von WordPress vor allen Arten von Hackerangriffen
Von Zeit zu Zeit lesen Sie vielleicht über eine bestimmte WordPress-Sicherheitsoptimierung, von der einige Leute sagen, dass sie funktioniert, während andere sagen, dass sie nicht funktioniert, wie z. B. das Ausblenden Ihrer WordPress-Version. In einem solchen Fall wissen wir, dass das Verbergen der Version von WordPress die Sicherheit nicht verbessert, also warum sollte man eine solche Optimierung überhaupt implementieren? Wenn Sie Zweifel an einer bestimmten Optimierung haben, wenn die Optimierung die Leistung Ihres WordPress nicht beeinträchtigt und einfach zu implementieren ist, machen Sie weiter und implementieren Sie sie. Lieber sicher sein, als dass es einem Leid tut!
Abgesehen von den oben genannten Tipps gibt es viele andere Möglichkeiten, wie Sie die Sicherheit Ihrer WordPress-Blogs und -Websites verbessern und sie sowohl vor gezielten als auch vor nicht gezielten WordPress-Hack-Angriffen schützen können. Idealerweise sollten Sie sich auf dem Laufenden halten, indem Sie einen WordPress-Sicherheitsblog abonnieren, in dem häufig WordPress-Sicherheitstipps, Hacks und Optimierungen veröffentlicht werden.