Mii de site-uri WordPress care pot utiliza un plugin vulnerabil: iată cum să vă păstrați site-ul în siguranță

Publicat: 2024-05-06

În martie 2024, a fost descoperită o vulnerabilitate critică în pluginul WordPress WordPress Automatic. Disponibil pe piața Code Canyon, WordPress Automatic este un răzuitor de conținut automat care preia articole, videoclipuri, produse, imagini și alte tipuri de conținut din surse externe și republică acel conținut pe site-ul dvs. în mod automat.

Firma de cercetare Patchstack a descoperit vulnerabilitatea, ceea ce a făcut posibil ca actorii rău intenționați să folosească atacuri de injecție SQL pentru a prelua controlul deplin asupra site-urilor web vulnerabile. Toate tipurile de site-uri web – de la magazine de vape la bloguri personale – erau vulnerabile la atac dacă foloseau o versiune nepatchată a pluginului.

Deși pluginul a fost corectat prompt, unii proprietari de site-uri web nu l-au instalat deoarece nu cunoșteau gravitatea problemei. Recenziile recente ale utilizatorilor pentru pluginul WordPress Automatic sugerează că cel puțin câteva site-uri web au fost complet pierdute din cauza vulnerabilității.

Niciun site web nu este complet imun la hacking, iar WordPress – care alimentează aproximativ 43% din toate site-urile web din lume – este o țintă prioritară pentru actorii rău intenționați.

Totuși, iată veștile bune: când un site web este piratat, de obicei nu este pentru că un hacker a vizat site-ul respectiv. Mai des, site-urile web sunt sparte deoarece rulează teme sau pluginuri WordPress vulnerabile care au fost descoperite prin utilizarea scanerelor automate.

Cu alte cuvinte, dacă site-ul dvs. nu are o vulnerabilitate cunoscută care să fie ușor de găsit cu un scaner și exploatată prin mijloace automate, hackerii vor merge de obicei mai departe.

Având în vedere acest lucru, vă puteți păstra site-ul WordPress în siguranță urmând pur și simplu câteva practici de securitate de bun simț. În acest ghid, vă vom explica exact ce trebuie să faceți pentru a minimiza riscul ca un plugin nesigur să provoace dispariția prematură a site-ului dvs.

Actualizați-vă tema și pluginurile imediat

Când vă conectați la WordPress, veți vedea întotdeauna o notificare în bara laterală dacă sunt disponibile actualizări pentru tema sau pluginurile site-ului dvs. În unele cazuri, un plugin cu o actualizare în așteptare va afișa chiar și un mesaj în partea de sus a paginii. Dacă site-ul dvs. are un număr mare de plugin-uri, este posibil să vedeți notificări de actualizare aproape de fiecare dată când vă conectați și uneori poate avea tendința de a amâna când vine vorba de descărcarea și instalarea acelor actualizări. Totuși, faceți acest lucru pe riscul dumneavoastră, deoarece nu știți niciodată când o actualizare poate include o remediere pentru o problemă critică de securitate.

Pluginul WordPress Automatic a fost actualizat imediat când creatorul său a fost notificat despre defectul de securitate. Cu toate acestea, se pare că un acord de nedezvăluire l-a împiedicat pe creatorul pluginului să discute despre defect până când acesta a fost făcut public de către Patchstack. Din acest motiv, unii utilizatori au ignorat actualizarea.

Mențineți copii de rezervă complete ale site-ului și bazei de date

Devine din ce în ce mai obișnuit ca gazdele web să ofere backup complet automat pentru site-uri web și baze de date, ceea ce este un lucru grozav pentru securitate. Dacă site-ul dvs. este piratat, a avea o copie de rezervă disponibilă înseamnă că puteți restabili site-ul la starea anterioară - uneori cu un singur clic. Dacă gazda dvs. nu oferă acest serviciu, mai multe plugin-uri WordPress vă pot face treaba. Este important, totuși, să păstrați o bibliotecă de copii de rezervă din mai multe momente diferite în timp. Dacă site-ul dvs. este spart, poate trece ceva timp până când veți observa.

Luați în considerare rularea unui plugin de securitate

Dacă site-ul dvs. este afacerea dvs., nu există nicio scuză pentru a nu avea o soluție de securitate de orice fel. Un plugin de securitate poate monitoriza automat încercările de acces și poate bloca utilizatorii care par a fi rău intenționați. Unele rețele de livrare de conținut oferă și acest serviciu. Un plugin de securitate poate monitoriza, de asemenea, fișierele site-ului și codul brut și vă poate notifica dacă ceva s-a schimbat în mod neașteptat. Dacă fișierele noi încep să apară brusc pe serverul dvs., site-ul dvs. a fost probabil piratat.

Obțineți temele și pluginurile dvs. dintr-o sursă de încredere

Depozitul WordPress este întotdeauna cel mai de încredere loc pentru a găsi teme și pluginuri pentru site-ul dvs. Deoarece totul pe site-ul WordPress.org este gratuit și open source, toate pluginurile și temele de acolo sunt monitorizate de comunitatea foarte mare de voluntari WordPress. În multe cazuri, totuși, este posibil să aveți nevoie de funcționalități care nu sunt disponibile într-o temă sau un plugin gratuit - și în acest caz, va trebui să plătiți pentru software premium. Asigurați-vă că cineva a auditat codul și a declarat că este sigur.

Eliminați temele și pluginurile neutilizate

Fiecare temă și fiecare plugin instalat pe site-ul dvs. WordPress ar trebui tratate ca o posibilă gaură de securitate, deoarece exact asta fac hackerii – ei examinează în mod constant fiecare fragment de cod WordPress existent și caută vulnerabilități de exploatat. De fiecare dată când eliminați o temă sau un plugin de pe site-ul dvs., eliminați un potențial punct de intrare. Parcurgeți pluginurile și temele site-ului dvs. și eliminați tot ceea ce nu utilizați. De asemenea, este o idee bună să vă uitați prin pluginurile dvs. active și să vă asigurați că aveți într-adevăr nevoie de toate.

Găsiți înlocuitori pentru pluginuri abandonate

A trecut ceva timp de la ultima dată când ați văzut o notificare de actualizare pentru un anumit plugin? Dacă da, poate doriți să verificați jurnalul de modificări al pluginului pentru a determina când a fost actualizat ultima dată. Cu excepția cazului în care funcționalitatea unui plugin este extrem de simplă, ar trebui să îl considerați abandonat de autor dacă nu a fost actualizat în mai mult de un an și ceva. În acest caz, ar trebui să căutați un plugin care oferă aceeași funcționalitate și care este încă actualizat activ. Găurile de securitate pot pândi în pluginurile vechi mult timp înainte de a fi descoperite – și dacă un plugin care are o gaură nu mai este actualizat de către autor, vulnerabilitatea nu va fi niciodată remediată.

Angajați un dezvoltator pentru a audita pluginurile și temele vechi

Să presupunem că site-ul dvs. are un plugin esențial care a fost abandonat de dezvoltator și nu mai este actualizat. În acest caz, sunteți pe cont propriu atunci când vine vorba de a vă asigura că pluginul este sigur și nu are vulnerabilități. În acest caz, ar fi o idee foarte bună să angajați un dezvoltator și ca persoana respectivă să auditeze pluginul pentru dvs. Întreținerea pluginului poate deveni o cheltuială continuă până când găsiți un înlocuitor pentru acesta.

Saasland