Jako zdecydowanie najpopularniejszy system zarządzania treścią, WordPress obsługuje miliony różnych stron internetowych. Jest to oprogramowanie typu open source, co oznacza, że ​​jego kod źródłowy jest publicznie dostępny i może być modyfikowany przez prawie każdego, kto ma wystarczającą wiedzę.

Chociaż wtyczki i motywy WordPress można kupić, dziesiątki tysięcy z nich są dostępne za darmo. Jak można się było spodziewać, nie jest to pozbawione wad. Jak więc podatne są witryny WordPress? A co z jego motywami i wtyczkami? A jak możesz chronić swoje witryny?

Jak wrażliwy jest WordPress?

W lutym 2022 r. Plecak odrzutowy odkrył, że popularne motywy i wtyczki producenta AccessPress Themes (znane również jako klucze dostępu) zostały naruszone. Badacze odkryli tę lukę przypadkowo, po odkryciu podejrzanego kodu na zaatakowanej stronie internetowej. Po dalszych badaniach odkryli większość wtyczek AccessPress, a każdy motyw zawierał ten sam kod.

Później okazało się, że AccessPress Themes padł ofiarą cyberataku we wrześniu 2021 roku, w którym hakerzy wstrzyknęli backdoora

instagram viewer
we wtyczkach dostawcy i motywy.

AccessPress w końcu zaktualizował i oczyścił swoje produkty, ale prawdopodobnie tysiące użytkowników było narażonych na ataki przez długi czas.

Czy wtyczki i motywy WordPress mają luki w zabezpieczeniach?

Odkrycia Jetpack podkreślają, jak wrażliwy może być WordPress. Ale to nie był odosobniony przypadek.

Na przykład w marcu 2021 r. Wordfence ujawnił główne luki w dwóch wtyczkach do WordPressa, które, jeśli zostaną skutecznie wykorzystane, umożliwiłyby atakującemu przejęcie strony internetowej. Luki zostały wykryte we wtyczkach Elementor i WP Super Cache. Elementor to kreator stron internetowych używany w ponad siedmiu milionach witryn, podczas gdy WP Super Cache to popularna wtyczka do buforowania.

W lutym 2022 r. as Dziennik wyszukiwarki zgłoszono, amerykańska baza danych Vulnerability Database i analitycy bezpieczeństwa WordPress ostrzegają przed poważnymi lukami w dziesiątkach wtyczek WordPress.

Dziewięć z tych wtyczek było używanych w ponad 1,3 miliona witryn: Header Footer Code Manager, Ad Inserter — Ad Manager i AdSense Ads, Popup Builder, Anti-Malware Zabezpieczenia i zapora sieciowa Brute-Force, ochrona przed kopiowaniem treści WP i brak prawego kliknięcia, kopia zapasowa bazy danych dla WordPress, GiveWP, menedżer pobierania i zaawansowana baza danych Odkurzacz.

Jak zabezpieczyć swoją witrynę WordPress

Można by założyć, że te luki są zawsze łatane lub usuwane po odkryciu, ale w rzeczywistości tak nie jest.

Badania z Patchstack stwierdzili, że w 2021 r. odnotowano 150-procentowy wzrost zgłoszonych luk w zabezpieczeniach WordPressa w porównaniu do 2020 r. — a 29 proc. tych luk nie otrzymało żadnej poprawki. Patchstack stwierdził również, że zaledwie 0,58 procent zgłoszonych błędów dotyczyło rdzenia WordPressa, co oznacza, że ​​luki prawie zawsze znajdują się we wtyczkach.

Bardzo ważne jest, aby wszystkie używane wtyczki były aktualne, a także sam rdzeń WordPressa.

Przed pobraniem i zainstalowaniem wtyczki upewnij się, że najpierw przeprowadzisz trochę badań. Sprawdź, ile instalacji ma wtyczka, przeczytaj recenzje online, zobacz, kiedy była ostatnio aktualizowana i sprawdź, czy została przetestowana z najnowszym rdzeniem WordPress. Zajmie to tylko kilka minut, ale może oszczędzić ci wielu kłopotów na drodze.

Alternatywnie możesz użyć WPScan, który jest dość prostym i wydajnym skanerem luk w zabezpieczeniach WordPress. To narzędzie może być również wykorzystane do wyszukiwania wtyczki według nazwy. Darmowa wersja umożliwia do 25 żądań API dziennie.

Na szczęście niektóre wtyczki są zaprojektowane tak, aby chronić Twoją witrynę WordPress przed intruzami. Logowanie LockDown, Wordfence, BulletProof Security to jedne z najlepszych Wtyczki zabezpieczające WordPress Dziś. Login LockDown jest całkowicie darmowy, podczas gdy pozostałe dwa mają podstawowe, darmowe modele.

Wskazówki dotyczące bezpieczeństwa WordPress

WordPress jest podatny na ataki, ale podejmowanie podstawowych środków bezpieczeństwa znacznie pomaga w zapobieganiu i odpieraniu cyberataków.

Korzystanie z unikalnych danych logowania i uwierzytelniania dwuskładnikowego, utrzymywanie aktualności całego oprogramowania, ukrywanie nazw motywów i danych logowania powinno być podstawą higieny bezpieczeństwa WordPress.

Jak zabezpieczyć swoją witrynę WordPress w 5 prostych krokach

Czytaj dalej

UdziałĆwierkaćUdziałE-mail

Powiązane tematy

  • Bezpieczeństwo
  • Internet
  • Bezpieczeństwo w Internecie
  • Wtyczki Wordpress
  • Wordpress
  • Motywy Wordpress

O autorze

Damir Mujezinović (23 opublikowane artykuły)

Damir jest niezależnym pisarzem i reporterem, którego praca skupia się na cyberbezpieczeństwie. Poza pisaniem lubi czytać, muzykę i film.

Więcej od Damira Mujezinovicia

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Kliknij tutaj, aby zasubskrybować