Czym są ukierunkowane i nieukierunkowane ataki hakerskie WordPress?
Opublikowany: 2014-07-08Jeśli czytałeś o bezpieczeństwie WordPress i szukasz hacków i poprawek bezpieczeństwa WordPress, które można zastosować do wtyczek bezpieczeństwa WordPress lub WordPress w celu ochrony przed atakami hakerów, zauważysz, że istnieją dwa rodzaje ataków, ukierunkowany i nieukierunkowany hack WordPress ataki.
Jaka jest różnica między ukierunkowanymi i nieukierunkowanymi atakami na WordPress i jak możesz chronić swojego WordPressa przed obydwoma tymi atakami? W tym artykule wyjaśniono różnicę między tymi dwoma typami ataków hakerskich i wyjaśniono, dlaczego niektóre poprawki i hacki WordPress mogą chronić Cię przed jednym typem ataku, a nie drugim i na odwrót.
Nieukierunkowany atak WordPress Hack
Nieukierunkowane ataki hakerów WordPress są atakami zautomatyzowanymi i nie są przeprowadzane wyłącznie przeciwko witrynom WordPress. Na przykład, jeśli hakerzy próbują wykorzystać znaną lukę w starej wersji WordPressa, nie wyszukują ręcznie witryn WordPress, nie sprawdzają ich wersji i sprawdzają, czy są na nią podatni, czy nie.
Zamiast tego używają zautomatyzowanych narzędzi do wysyłania określonych żądań HTTP, które są wykorzystywane do wykorzystania luki w zabezpieczeniach do wielu witryn, zwykle z zakresu adresów IP. W zależności od otrzymanych odpowiedzi HTTP narzędzie określa, czy docelowa strona internetowa jest zagrożoną instalacją WordPress, czy nie.
Chroń WordPressa przed atakami nieukierunkowanymi
Dlatego jeśli ukryjesz swoją wersję WordPressa lub nawet ukryjesz fakt, że używasz WordPressa w swoich witrynach, nie będziesz chronić swojej witryny przed nieukierunkowanymi atakami hakerskimi WordPress. Aby chronić WordPress przed nieukierunkowanymi atakami hakerskimi, postępuj zgodnie z poniższymi zaleceniami:
- Aktualizuj całe oprogramowanie; zawsze używaj najnowszej i najbezpieczniejszej wersji WordPressa, wtyczek i motywów, których używasz. Dotyczy to również MySQL, Apache i każdego innego oprogramowania działającego w Twoim środowisku internetowym.
- Zawsze odinstaluj i usuń wszelkie niepotrzebne wtyczki, motywy oraz wszelkie inne komponenty i pliki, które nie są używane.
- Nie używaj typowych nazw użytkownika, takich jak admin, administrator i root dla swojego konta administratora WordPress. Jeśli zmienisz nazwę konta administratora WordPress.
- Chroń strony logowania i administratora WordPress, dodając dodatkową warstwę uwierzytelniania. Przeczytaj Chroń stronę logowania WordPress za pomocą uwierzytelniania HTTP, aby uzyskać więcej informacji.
- Używaj silnych haseł; nie dotyczy to tylko WordPressa, ale każdej innej usługi lub strony internetowej, z której korzystasz online. Jeśli masz wielu użytkowników korzystających z WordPressa, użyj wtyczki, aby utworzyć zasady haseł WordPress, aby upewnić się, że użytkownicy używają silnych haseł.
Ukierunkowany atak hakerski WordPress
Ukierunkowane ataki hakerskie są wymierzone w Twoje witryny i blogi. Istnieje kilka powodów, dla których Twoja witryna WordPress może paść ofiarą ukierunkowanego ataku, a powód, dla którego Twój WordPress jest ofiarą ukierunkowanego ataku, nie ma znaczenia. Ważne jest, aby zrozumieć, co dzieje się w ataku ukierunkowanym, aby lepiej chronić swoje witryny i blogi WordPress.
Ataki ukierunkowane są bardziej niebezpieczne niż te nieukierunkowane po prostu dlatego, że zamiast wielu automatycznych narzędzi skanujących strony internetowe losowo, istnieje człowiek analizujący każdy szczegół dotyczący Twojej witryny w nadziei, że znajdzie coś, co może zostać wykorzystane.
Anatomia ukierunkowanego ataku na WordPress
Na początku atakujący użyje automatycznych narzędzi, aby sprawdzić, czy Twoja wersja WordPressa jest podatna na znane luki. Ponieważ używane są automatyczne narzędzia, ukrywanie wersji WordPressa nie pomaga w takich sytuacjach.
Atakujący spróbuje również określić, jakie wtyczki są uruchomione na Twoim WordPressie i czy którakolwiek z nich jest podatna na konkretną lukę. Znowu większość tych zadań jest wykonywana przy użyciu zautomatyzowanych narzędzi.
Najsłabsze ogniwa w zabezpieczeniach WordPressa to zazwyczaj poświadczenia. Dlatego za pomocą automatycznych narzędzi atakujący będzie próbował wyliczyć wszystkich użytkowników WordPressa, a nawet przeprowadzić atak słownikowy haseł na WordPressa.
Istnieje wiele innych sposobów i sposobów, jak zhakować blog lub witrynę WordPress, a ataki ukierunkowane nie wykorzystują specjalnie luki w zabezpieczeniach WordPressa lub jednego z jego składników. Może to być również luka w zabezpieczeniach oprogramowania lub konfiguracji serwera WWW itp., ale powyższe trzy są najczęstszymi punktami wejścia ataków hakerskich.
Chroń WordPressa przed atakami ukierunkowanymi
Istnieje wiele hacków i poprawek WordPress, które możesz zastosować, aby chronić swój WordPress przed ukierunkowanym atakiem hakerskim, jak pokazano na poniższej liście:
- Na początek wszystko, co dotyczy ochrony Twojego WordPressa przed nieukierunkowanymi atakami WordPress, dotyczy również ataków ukierunkowanych
- Zabezpiecz i chroń swoje konto administratora WordPress
- Włącz WordPress SSL, aby uzyskać dostęp do strony logowania WordPress i stron administracyjnych przez zaszyfrowaną warstwę komunikacji, aby uniknąć kradzieży nazwy użytkownika i hasła WordPress
- Użyj wtyczki do monitorowania i audytu bezpieczeństwa WordPress, aby śledzić wszystko, co dzieje się na Twoim WordPressie i identyfikować wszelkie podejrzane działania, zanim stanie się to problemem bezpieczeństwa
- Użyj ról użytkownika WordPress, aby poprawić bezpieczeństwo WordPressa, zapewniając każdemu użytkownikowi tylko minimalne wymagane uprawnienia do wykonania pracy
- Użyj skanera czarnej skrzynki WPScan WordPress i innych narzędzi do częstego skanowania i audytu witryny WordPress.
Ochrona WordPressa przed wszystkimi typami ataków hakerów
Od czasu do czasu możesz przeczytać o konkretnym ulepszeniu bezpieczeństwa WordPress, które niektórzy twierdzą, że działa, a inni nie, na przykład ukrywanie wersji WordPressa. W takim przypadku wiemy, że ukrywanie wersji WordPressa nie poprawia jego bezpieczeństwa, więc po co w ogóle wprowadzać takie poprawki? Jeśli masz wątpliwości co do konkretnego ulepszenia, jeśli zmiana nie wpływa na wydajność WordPressa i jest łatwa do wdrożenia, zaimplementuj ją. Lepiej być bezpiecznym niż potem przepraszać!
Oprócz powyższych wskazówek istnieje wiele innych sposobów poprawy bezpieczeństwa blogów i witryn WordPress oraz ochrony ich przed ukierunkowanymi i nieukierunkowanymi atakami hakerskimi WordPress. Najlepiej byłoby, gdybyś był na bieżąco, subskrybując blog dotyczący bezpieczeństwa WordPress, na którym publikowane są częste wskazówki dotyczące bezpieczeństwa WordPress, hacki i poprawki.