Как предотвратить SQL-инъекции? (Полное руководство 2020) - MalCare

Опубликовано: 2023-04-19

Вас беспокоят атаки SQL-инъекций на ваш сайт? Если вы читаете это, возможно, вы уже знаете о последствиях атаки. В этом посте вы узнаете простые способы предотвращения SQL-инъекций .

SQL-инъекции могут позволить хакеру захватить ваш сайт WordPress и получить к нему доступ. Оттуда они могут перенаправить ваш трафик, украсть конфиденциальные данные, внедрить спам-ссылки, манипулировать результатами поиска с помощью японских символов и показывать рекламу нелегальных продуктов. Такого рода атаки могут нанести непоправимый ущерб вашему сайту и вашему бизнесу.

К счастью, SQL-инъекции можно предотвратить, если принять правильные меры безопасности. В этом руководстве мы рассмотрим SQL-инъекции и подробно обсудим эффективные меры по их предотвращению и защите вашего сайта WordPress.

Вкратце: вы можете предотвратить SQL-инъекции на своем сайте WordPress, используя надежный плагин безопасности. Установите MalCare, и плагин автоматически просканирует и защитит ваш сайт от таких атак.

[lwptoc skipHeadingLevel="h1,h3,h4,h5,h6″ skipHeadingText="Заключительные мысли"]

Что такое атаки с внедрением SQL?

Все сайты WordPress обычно имеют области ввода, которые позволяют посетителю вводить информацию. Это может быть панель поиска по сайту, контактная форма или форма входа .

В контактной форме посетитель вводит свои данные, такие как имя, номер телефона и адрес электронной почты, и отправляет их на ваш сайт.

Контактная форма уязвима для атаки SQL Injection

Эти данные отправляются в базу данных MySQL вашего сайта. Он обрабатывается и хранится здесь.

Теперь эти поля ввода требуют правильной настройки, чтобы данные проверялись и очищались перед тем, как они попадут в вашу базу данных. Например, уязвимость контактной формы заключается в том, что она должна принимать только буквы и цифры. В идеале он не должен принимать символы. Теперь, если ваш сайт принимает какие-либо данные через эту форму, хакер может воспользоваться этим и вставить вредоносный SQL-запрос, например:

 txtUserId = getRequestString("UserId"); txtSQL = "SELECT * FROM Users WHERE Userwp-block-heading"> How Does An SQL Attack Work? txtUserId = getRequestString("UserId"); txtSQL = "SELECT * FROM Users WHERE Userwp-block-heading"> How Does An SQL Attack Work?
 Хакеры нацелены на веб-сайты со слабыми мерами безопасности или уязвимостями, которые облегчают им взлом. По нашему опыту, плагины и темы часто создают уязвимости, и хакеры хорошо знают об этом. Они постоянно рыскают по Интернету в поисках сайтов, используя уязвимые плагины и темы.
		







Чтобы объяснить это, мы будем использовать пример сценария. Скажем, г-н А использует плагин «Контактная форма» для включения формы на странице контактов своего веб-сайта. Предположим, что в этом плагине в версии 2.4 была обнаружена уязвимость SQL-инъекций, разработчики исправили ее и выпустили обновленную версию 2.4.1.





После выпуска разработчики раскрывают причину обновления, делая уязвимость общеизвестной. Это означает, что хакеры знают, что в версии 2.4 плагина контактной формы есть уязвимость.





Теперь Mr.X откладывает установку обновления на несколько недель, потому что просто нет времени запускать обновление. Здесь что-то идет не так.
		







Как только хакеры узнают об уязвимостях, они запускают программы или используют сканеры уязвимостей, которые сканируют Интернет и находят веб-сайты, использующие определенную версию плагина/темы.





В этом случае они будут искать веб-сайты, используя контактную форму 2.4. Как только они найдут сайт, они узнают точную веб-уязвимость, что значительно облегчит их взлом. В этом случае они воспользуются уязвимостью SQL-инъекций и взломают ваш сайт.





Типы SQL-инъекций





Хакеры используют два типа SQL-инъекций:





1. Классическая инъекция SQL. Когда вы посещаете веб-сайт, ваш браузер (например, Chrome или Mozilla) отправляет HTTP-запрос на сервер веб-сайта для отображения содержимого. Веб-сервер извлекает содержимое из базы данных сайта и отправляет его обратно в ваш браузер. Вот как вы можете просматривать переднюю часть веб-сайта.
		







Теперь база данных вашего веб-сайта содержит все виды данных, включая конфиденциальные данные, такие как данные клиента, платежная информация, а также имена пользователей и пароли. Ваша база данных должна быть настроена на выпуск только внешних данных. Все другие конфиденциальные данные должны быть защищены. Но если этих проверок безопасности приложений нет, хакеры этим пользуются.





При классической атаке SQL-инъекций хакеры отправляют вредоносные запросы в вашу базу данных, получая данные в свой браузер. Но они используют строки запроса для запроса конфиденциальной информации, такой как учетные данные для входа на ваш веб-сайт. Если вы не защитили эту информацию, она будет отправлена ​​хакеру. Таким образом, они могут получить ваши данные для входа и проникнуть на ваш сайт. Злоумышленники также могут использовать подготовленные операторы для повторного выполнения одних и тех же или похожих операторов базы данных с высокой эффективностью.
		







2. Слепая инъекция SQL. При этом хакер внедряет вредоносные скрипты через поля ввода на вашем веб-сайте. Как только он сохраняется в вашей базе данных, они запускают его, чтобы нанести всевозможный ущерб, например, изменить содержимое вашего сайта или даже удалить всю вашу базу данных. В этом случае они также могут использовать вредоносные сценарии для получения прав администратора.





Оба сценария могут иметь разрушительные последствия для вашего веб-сайта и вашего бизнеса. К счастью, вы можете предотвратить такие атаки, приняв правильные меры безопасности и проверки ввода на своем веб-сайте.
		







Шаги по предотвращению атак с помощью SQL-инъекций





Чтобы предотвратить атаки с помощью SQL-инъекций, вам необходимо провести оценку безопасности вашего веб-сайта. Вот два типа мер, которые вы можете предпринять для предотвращения атак SQL: некоторые из них простые, а некоторые сложные и технические.





Простые профилактические меры





  1. Установите плагин безопасности
  2.  Используйте только проверенные темы и плагины
  3.  Удалите любое пиратское программное обеспечение с вашего сайта
  4.  Удалить неактивные темы и плагины
  5.  Регулярно обновляйте свой сайт





Технические профилактические меры





  1. Изменить имя базы данных по умолчанию
  2.  Управление вводом полей и отправкой данных
  3.  Укрепите свой сайт WordPress





Давайте начнем.
		







Простые превентивные меры против атак с использованием SQL-инъекций










1. Установите плагин безопасности





Активация подключаемого модуля безопасности веб-сайта — это первый шаг, который необходимо предпринять для защиты вашего веб-сайта. Плагины безопасности WordPress будут следить за вашим сайтом и предотвращать взлом хакеров.





Существует множество плагинов на выбор, но исходя из того, что он может предложить, мы выбираем MalCare. Плагин автоматически установит брандмауэр веб-приложений для защиты вашего сайта от атак. Попытки взлома выявляются и блокируются.





Затем сканер безопасности плагина будет тщательно сканировать ваш сайт каждый день. Если на вашем сайте будет какое-либо подозрительное поведение или вредоносная активность, вы будете немедленно предупреждены. Вы можете принять меры и мгновенно исправить свой сайт с помощью MalCare, прежде чем Google получит возможность внести ваш сайт в черный список или ваш хостинг-провайдер решит приостановить работу вашего сайта.
		












2. Регулярно обновляйте свой сайт





Как мы уже упоминали в нашем примере с SQL-инъекцией ранее, когда разработчики обнаруживают недостатки безопасности в своем программном обеспечении, они исправляют их и выпускают новую версию с исправлением безопасности. Вам необходимо обновиться до новой версии, чтобы удалить недостаток с вашего сайта.





обновление ядра вордпресс





Мы предлагаем выделять время раз в неделю для обновления основной установки WordPress, тем и плагинов.





Однако, если вы видите, что выпущено обновление для системы безопасности, немедленно установите его.










3. Используйте только проверенные темы и плагины





WordPress — самая популярная платформа для создания веб-сайтов, отчасти благодаря плагинам и темам, которые делают ее простой и доступной. Но среди множества доступных тем и плагинов вам нужно тщательно выбирать. Проверьте сведения о подключаемом модуле, такие как количество активных установок, дату последнего обновления и версию, с которой он был протестирован.
		







сведения о плагине





Мы рекомендуем загружать их из репозитория WordPress. Для любых других тем и плагинов вам следует провести надлежащее исследование, чтобы убедиться, что им можно доверять. Это связано с тем, что некоторые сторонние темы и плагины могут быть злонамеренно созданы хакерами. Он также может быть просто плохо закодирован, что делает его уязвимым.










4. Удалите любое пиратское программное обеспечение с вашего сайта.





Пиратские или обнуленные темы и плагины заманчивы. Это дает вам доступ к премиальным функциям бесплатно. Но, к сожалению, они обычно поставляются с предустановленным вредоносным ПО. Пиратское программное обеспечение — это простой способ для хакеров распространять свое вредоносное ПО.





Когда вы устанавливаете его, вредоносное ПО активируется и заражает ваш сайт. Лучше держаться подальше от такого программного обеспечения.










5. Удалить неактивные темы и плагины





Обычно устанавливают плагин и совершенно забывают о нем на годы. Но эта привычка может подвергнуть ваш сайт хакерам. Чем больше плагинов и тем вы установили на свой сайт, тем больше шансов, что уязвимости появятся и ими воспользуются хакеры.





Мы рекомендуем оставить только те плагины и темы, которые вы используете. Удалите остальные и сделайте свой сайт более безопасным. Также регулярно сканируйте существующие темы и плагины.





Технические профилактические меры





Эти меры могут потребовать немного больше знаний о внутренней работе WordPress. Однако в настоящее время для всего есть плагин. Поэтому вам не нужно беспокоиться о сложностях, связанных с реализацией этих мер. Мы делаем это просто!










1. Измените имя таблицы базы данных по умолчанию





Ваш сайт WordPress состоит из файлов и базы данных. В вашей базе данных по умолчанию 11 таблиц. Каждая таблица содержит различные данные и конфигурации. Эти таблицы называются с префиксом «wp_». Таким образом, имена таблиц могут быть wp_options, wp_users, wp_meta. Вы получаете дрейф.





изменить имена таблиц базы данных по умолчанию для предотвращения инъекции sql





Эти имена одинаковы на всех сайтах WordPress, и хакеры это знают. Хакеры знают, какая таблица хранит какие данные. Когда хакеры вставляют вредоносные сценарии на ваш веб-сайт, они знают, где они будут храниться. Используя простой метод, они могут выполнять команды SQL для запуска вредоносных действий.





Но если вы измените имя таблицы, это может помешать хакерам найти, где находятся скрипты. Поэтому, когда хакеры попытаются внедрить коды SQL в таблицы вашей базы данных, они не смогут вычислить имя таблицы.





Вы можете сделать это с помощью плагина, такого как Change Table Prefix или Brozzme. Просто установите один из них на свой сайт и следуйте инструкциям.





Вы также можете сделать это вручную, отредактировав файл wp-config. Предостережение — небольшая ошибка здесь может привести к ошибкам базы данных и сбоям в работе сайта. Сделайте резервную копию, прежде чем продолжить.





  • Перейдите в свою учетную запись хостинга > cPanel > Файловый менеджер.
  •  Здесь откройте папку public_html и щелкните правой кнопкой мыши файл wp-config.
  •  Выберите «Изменить» и найдите следующий код.
     «$ table_prefix = 'wp_';»
  •  Замените его на -
     «$ table_prefix = 'test_';»





Вы можете выбрать любой префикс по вашему выбору. Здесь мы выбрали «test_» в качестве имени новой базы данных. После этого хакеры не смогут найти свои SQL-команды.










2. Управление вводом полей и отправкой данных





Вы можете настроить все поля ввода на своем веб-сайте так, чтобы они принимали только определенные типы данных. Например, в поле имени должны быть разрешены только буквенные записи (буквы), потому что нет причин, по которым здесь следует вводить числовые символы. Точно так же поле контактного номера должно принимать только цифры.





Вы можете использовать функцию sanitize_text_field(), которая очищает пользовательский ввод. Эта проверка ввода гарантирует, что записи, которые неверны или просто опасны, могут быть заблокированы.










3. Усильте свой сайт WordPress





Это один из самых важных шагов, которые вы можете предпринять для защиты своего сайта WordPress от атак с помощью SQL-инъекций. Что такое укрепление веб-сайта?





Веб-сайт WordPress предлагает вам множество функций, которые помогут вам управлять сайтом. Однако большинство людей не используют многие из этих функций. WordPress.org рекомендует отключать или удалять некоторые из них, если вы ими не пользуетесь. Это снизит вероятность атак, поскольку хакерам придется попробовать меньше элементов!





Вот некоторые меры по усилению безопасности WordPress:





  1. Отключение редактора файлов
  2.  Отключение установки плагина или темы
  3.  Внедрение двухфакторной аутентификации
  4.  Ограничение попыток входа
  5.  Изменение ключей безопасности и солей WordPress
  6.  Блокировка выполнения PHP в неизвестных папках





Для реализации этих мер вы можете использовать такой плагин, как MalCare, который позволяет сделать это всего за несколько кликов.





Злоупотребление закалкой





Или вы можете реализовать его вручную, следуя нашему Руководству по усилению защиты WordPress.





Это подводит нас к завершению предотвращения атак с помощью SQL-инъекций. Если вы внедрили меры, которые мы обсуждали в этой шпаргалке по SQL-инъекциям, ваш сайт будет в безопасности.




[ss_click_to_tweet tweet=»Атаки SQL-инъекций можно предотвратить! Используйте это руководство для реализации правильных мер безопасности на вашем сайте WordPress». содержание = "" стиль = "по умолчанию"]





Последние мысли





Профилактика действительно лучше, чем лечение. Атаки с помощью SQL-инъекций могут вызвать ненужный стресс и серьезное финансовое бремя.





Большинство мер, которые мы обсуждали сегодня, можно легко реализовать с помощью плагинов. Так что вам не о чем беспокоиться, если вы не разбираетесь в технологиях! Вы все еще можете защитить себя!





Наряду с этими мерами мы настоятельно рекомендуем активировать MalCare на вашем сайте. Его брандмауэр будет активно защищать ваш сайт от атак. Он сканирует ваш сайт каждый день, чтобы проверить наличие попыток взлома и вредоносных программ на вашем сайте.





Вы можете думать об этом как о охраннике вашего веб-сайта, который следит за вашим сайтом и не пускает плохих парней. Вы можете быть спокойны, зная, что ваш сайт защищен.





Предотвратите хакерские атаки с помощью нашего плагина безопасности MalCare!