Wordpress og webutvikling

Hvorfor Oppdater Blog WordPress Vulnerabilities Du bør være klar over

Hvorfor Oppdater Blog WordPress Vulnerabilities Du bør være klar over / Wordpress og webutvikling

Jeg har mange gode ting å si om WordPress. Det er et internasjonalt populært stykke åpen kildekode-programvare som gjør at noen kan starte sin egen blogg eller nettside. Den er kraftig nok til å være utvidbar av krydderbare kodere, men likevel enkelt nok at teknikker med analfabeter kan fortsatt dra nytte av det. Vi har til og med en mini-guide for å starte ditt eget WordPress-nettsted. 10 Viktige første trinn når du starter en Wordpress-blogg 10 viktige første trinn når du starter en Wordpress-blogg Etter å ha opprettet et par blogger, vil jeg gjerne tro at jeg har et godt system ned for de grunnleggende første trinnene, og jeg håper det kan være til nytte for deg også. Ved å følge ... Les mer .

Men som med all Internett-relatert programvare, vil det alltid være sikkerhetshull som trenger patching. Selv når de fortløpende hullene er løst, vil nye funksjoner uunngåelig introdusere nye hull, og da må disse hullene løses. Det er en prosess som aldri slutter, derfor er det så viktig for deg å oppdater regelmessig din WordPress.

Oppdatering av WordPress er den beste måten å lappe de nyeste WordPress-sikkerhetsproblemene. Hvilke slags sikkerhetsproblemer? Her er en oversikt over de vanligste du møter.

1. Standard adminkonto

Når du først installerer WordPress, blir din grunnleggende administratorkonto kalt “admin” med et like enkelt passord. Å holde sikkerhetsinformasjon på standardinnstillingene kan være et stort sårbarhet fordi hackere og kjeks vil vite hva disse standardinnstillingene er, og vil dermed utnytte dem med letthet.

Egentlig er dette ikke et problem unikt for WordPress. Alt som kommer med produktspesifikke standardtilgangsinformasjon 3 Standard passord du må endre og hvorfor 3 standard passord du må endre og hvorfor passord er ubeleilig, men nødvendig. Mange mennesker har en tendens til å unngå passord når det er mulig, og gjerne bruker standardinnstillinger eller samme passord for alle kontoene sine. Denne oppførselen kan gjøre dataene dine og ... Les mer (for eksempel ruterinnlogginger eller telefonlåsekoder) vil iboende ha dette WordPress-sikkerhetsproblemet. Men mens rutere og telefoner vanligvis krever din fysiske tilstedeværelse for skade, kan noen potensielt hacke ditt WordPress-nettsted så lenge de har nettadressen.

Så hva kan du gjøre? Den enkleste løsningen er å opprette en ny administratorkonto på WordPress-siden din og slette standardinnstillingen “admin” konto. Dette gir ingen forutsigbarhet når det gjelder administratortilgang.

2. Standard database prefikser

Når WordPress installeres først, blir databasetabellene navngitt med et standard prefiks av wp_. Dette er gjort slik at alle tabellene forblir organisert i databasen dersom du arbeider med andre programvarepakker i samme database. De wp_ betyr at de spesifikke tabellene er relatert til WordPress.

Men her er fangsten - hvis en hacker forsøker å rote med ditt WordPress-nettsted, så gjør denne forklaringsgraden automatisk ham et skritt nærmere å tukle med databasetabellene. Ved å kjenne navnene på databasetabeller kan en hacker manuelt peke på den til han får tilgang.

Tenk på det på denne måten. Anta at en tyv vil stjele noe fra hjemmet ditt, men hjemme er utstyrt med spesielle dører som har skjult nøkkelhull til du ringer ut til høyre “Navn” for den døren. Hvis tyven vet at dørens navn er “Sand”, så er alt han trenger å gjøre, å velge låsen, men hvis tyven ikke kjenner dørens navn, må han først finne ut det på en eller annen måte før han selv kan begynne å plukke den.

Så hva kan du gjøre? Enkel. WordPress lar deg installere ved hjelp av et tabellprefiks som er forskjellig fra standard prefiks.

3. Tilgjengelig filer og kataloger

Med et hvilket som helst nettsted, er antall filer du faktisk vil ha tilgang til, langt mindre enn antall filer som er nødvendige for å drive nettsiden. Du kan ha mange funksjonsfiler, klassefiler, malfiler, konfigurasjonsfiler og mer - ingen av disse bør være offentlig tilgjengelige. Det samme gjelder for kataloger.

Ved hjelp av CHMOD kan du angi tillatelser på ulike filer og kataloger for å forhindre uønskede brukere i å få tilgang til sensitive materialer. Hvis en bruker hadde tilgang til konfigurasjonsfilen din, kunne han for eksempel manipulere med dine WordPress-innstillinger og ødelegge nettstedet ditt. WordPress er sårbart når nettstedets filer og kataloger ikke er sikret bak riktige tillatelsesinnstillinger.

Så hva kan du gjøre? Jeg måtte faktisk takle dette problemet nylig, og fikseringen er ikke så vanskelig. Pass på at WordPress-installasjonen din er i samsvar med WordPress-tillatelsesordningen.

4. SQL Injections & Hijacking

SQL-injeksjoner er ikke unike for WordPress; Faktisk er de en av de vanligste (og destruktive) formene for webserverangrep i verden. Ikke kjent med begrepet? Gi min introduksjon til SQL-injeksjonsartikkel Hva er en SQL-injeksjon? [MakeUseOf Forklarer] Hva er en SQL-injeksjon? [MakeUseOf Forklarer] Verden av Internett-sikkerhet er plaget av åpne porter, bakdører, sikkerhetshull, trojanere, ormer, brannmur sårbarheter og en rekke andre problemer som holder oss alle på tærne hver dag. For private brukere, ... Les mer en rask titt for å gi deg en grunnleggende forståelse av problemet.

I hovedsak har WordPress hatt noen få SQL-injeksjonssikkerhetshull i sin kode gjennom årene. Noen har blitt patched mens andre forblir avdekket eller uoppdaget. Hvis en hacker får tilgang til et av disse hullene, kan han injisere skadelig SQL-kode i databasen, som kan brukes til å stjele data eller bare slette den helt.

Så hva kan du gjøre? Vel, her er fangsten - hvis du ikke er godt rustet til å vite hvordan du kan beseire SQL-injeksjoner, har du sannsynligvis ikke den tekniske kunnskapen for å bygge opp en beskyttelse i utgangspunktet. Du kan sannsynligvis se etter WordPress-plugins som kan adressere potensielle injeksjonshull, men de fleste brukere må bare vente på neste WordPress-sikkerhetsoppdatering.

Anbefalte pluginer

  • WP Security Scan - dette pluginet vil skanne nettstedet ditt og se etter potensielle sikkerhetsproblemer. Den dekker alle slags områder fra filtillatelser til databasehull til passordbehandling og mer.
  • WordPress File Monitor Plus - Hvis noen har fått tilgang til nettstedets filstruktur, vil dette pluginet gi deg beskjed. Det overvåker jevnlig systemets filer og kataloger og noterer seg eventuelle uoverensstemmelser.
  • WordPress Firewall 2 - dette pluginet setter opp en metaforisk vegg rundt nettstedet ditt, skanner alle innførte data og trafikk for ondsinnet hensikt. Det er ganske bra å forhindre angrep som SQL-injeksjoner og andre databaseangrep.
  • Wordfence - Wordfence er noe av et alt-i-ett-sikkerhetspakke-plugin som inneholder skadelig angrepssikring, anti-virusskanning, brannmur og mer. Absolutt verdt et forsøk.

Konklusjon

Mens WordPress kan være både åpen kildekode og allment populær, betyr det ikke at det ikke er uten feil. WordPress-sårbarheter dukker opp fra tid til annen, og når en er løst, er en annen vanligvis rett rundt hjørnet. Med nøye overvåkning og forebyggende tiltak kan du minimere risikoen for at WordPress-nettstedet ditt står overfor.