WordPress уязвимости: Топ 6 Самые распространенные WordPress Уязвимости (с исправлениями)

Топ 6 Самые распространенные WordPress Уязвимости (с исправлениями)

WordPress Первоначально он был запущен как платформа для ведения блогов, которая намного позже стала полноценным веб-решением для интернет-магазинов, блогов, новостей и приложений уровня предприятия. Это эволюция WordPress внес много изменений в ядро ​​и сделал его более стабильным и безопасным по сравнению с предыдущими версиями.

Потому как WordPress это платформа с открытым исходным кодом, что означает, что каждый может внести свой вклад в ее основные функции. Эта гибкость принесла пользу как разработчики, которые разработали темы и плагины и конечный пользователь, который использует их, чтобы добавить функциональность к их WordPress сайтов.

Эта открытость, однако, поднимает некоторые серьезные вопросы относительно безопасности платформы, которые нельзя игнорировать. Это не недостаток в самой системе, а скорее структура, на которой она построена, и учитывая, насколько это важно, WordPress Команда безопасности работает днем ​​и ночью, чтобы обеспечить безопасность платформы для своих конечных пользователей.

Сказав, что, как конечный пользователь, мы не можем просто полагаться на его механизм безопасности по умолчанию, так как мы делаем много изменений, устанавливая различные плагины и темы для нашего WordPress сайт это может создать лазейки, которые могут быть использованы хакерами.

В этой статье мы рассмотрим различные WordPress уязвимостей и узнает, как избежать и исправить их, чтобы оставаться в безопасности!

WordPress Уязвимости и проблемы безопасности

Мы увидим каждую проблему и ее решение по одному.

1. Атака грубой силы
2. SQL-инъекция
3. вредоносных программ
4. Scripting Cross-Site
5. DDoS-атака
6. Старый WordPress и версии PHP

1. Атака грубой силы

С точки зрения непрофессионала, Атака грубой силы включает в себя несколько попытаться ошибиться, используя сотни комбинаций, чтобы угадать правильное имя пользователя или пароль. Это делается с помощью мощных алгоритмов и словарей, которые угадывают пароль, используя некоторый контекст.

Этот вид атаки сложно выполнить, но он по-прежнему является одной из самых популярных атак на WordPress места. По умолчанию, WordPress не блокирует пользователя от попыток нескольких неудачных попыток, которые позволяют человеку или боту пробовать тысячи комбинаций в секунду.

Как предотвратить и исправить атаки грубой силы

Избежать Грубой силы довольно просто. Все, что вам нужно сделать, это создать Надежный пароль который включает заглавные буквы, строчные буквы, цифры и специальные символы, так как каждый символ имеет разные значения ASCII, и было бы сложно угадать длинный и сложный пароль. Избегайте использования пароля, такого как johnny123 or whatsmypassword.

Кроме того, интегрируйте двухфакторную аутентификацию, чтобы аутентифицировать пользователей, заходящих на ваш сайт дважды. Двухфакторная аутентификация отличный плагин для использования.

2. SQL-инъекция

Один из самых старых взломов в книге веб-хакерства внедрение SQL-запросов произвести или полностью уничтожить базу данных, используя любую веб-форму или поле ввода.

После успешного вторжения хакер может манипулировать базой данных MySQL и, возможно, получить доступ к вашей WordPress Администратор или просто изменить свои учетные данные для дальнейшего повреждения. Эта атака обычно выполняется любителями посредственных хакеров, которые в основном проверяют свои хакерские возможности.

Как предотвратить и исправить SQL-инъекцию

С помощью плагина вы можете определить, был ли ваш сайт жертвой SQL-инъекция или нет. Вы можете использовать WPScan or Sucuri SiteCheck чтобы проверить это.

Кроме того, обновите свой WordPress как и любая тема или плагин, который, по вашему мнению, может вызывать проблемы. Проверьте их документацию и посетите их форумы поддержки, чтобы сообщить о таких проблемах, чтобы они могли разработать патч.

3. Вредоносное

Вредоносный код вводится в WordPress через зараженную тему, устаревший плагин или скрипт. Этот код может извлекать данные с вашего сайта, а также вставлять вредоносный контент, который может остаться незамеченным из-за его скрытого характера.

Вредоносное ПО может привести к легким или серьезным повреждениям, если не будет выполнено вовремя. Иногда весь WordPress сайт должен быть переустановлен, так как это повлияло на ядро. Это также может увеличить стоимость вашего хостинга, поскольку большой объем данных передается или размещается на вашем сайте.

Как предотвратить и исправить вредоносное ПО

Обычно вредоносная программа пробирается через зараженные плагины и нулевые темы. Рекомендуется загружать темы только с доверенных ресурсов, свободных от вредоносного контента.

Плагины безопасности, такие как Succuri или WordFence, можно использовать для полного сканирования и исправления вредоносных программ. В худшем случае проконсультируйтесь с WordPress эксперт.

4. Межсайтовый скриптинг

Один из наиболее распространенные атаки is Межсайтовый скриптинг, также известный как атака XSS. В этом типе атаки злоумышленник загружает вредоносный код JavaScript, который при загрузке на стороне клиента начинает сбор данных и, возможно, перенаправляет на другие вредоносные сайты, влияющие на взаимодействие с пользователем.

Как предотвратить и исправить межсайтовый скриптинг

Чтобы избежать этого типа атак, используется правильная проверка данных по всему WordPress сайт. Используйте очистку выходных данных, чтобы обеспечить вставку нужного типа данных. Плагины, такие как Предотвратить уязвимость XSS также может быть использован.

5. DDoS-атака

Любой, кто просматривал сеть или управляет веб-сайтом, мог столкнуться с печально известной DDoS-атакой. Распределенный отказ в обслуживании (DDoS) является расширенной версией отказа в обслуживании (DoS), в которой к веб-серверу направляется большой объем запросов, что замедляет работу и в конечном итоге приводит к сбоям.

DDoS выполняется с использованием одного источника, в то время как DDoS — организованная атака, выполняемая на нескольких машинах по всему миру. Каждый год миллионы долларов тратятся впустую из-за этой пресловутой атаки на веб-безопасность.

Как предотвратить и исправить DDoS-атаки

DDoS-атаки трудно предотвратить, используя традиционные методы. Веб-хосты играют важную роль в защите вашего WordPress сайт от таких атак. Например, Cloudways управлял облачным хостингом провайдер управляет безопасностью сервера и помечает все подозрительные, прежде чем это может повредить веб-сайт клиента.

устаревший WordPress & Версии PHP

устаревший WordPress версии более подвержены угрозе безопасности. Со временем хакеры находят способ использовать его ядро ​​и, в конечном счете, проводить атаку на сайты, все еще используя устаревшие версии.

По той же причине WordPress Команда выпускает патчи и новые версии с обновленными механизмами безопасности. Бег старые версии PHP может вызвать проблемы несовместимости. Как WordPress работает на PHP, для корректной работы требуется обновленная версия.

Согласно WordPressофициальная статистика, 42.6% пользователей все еще используют различные старые версии WordPress.

Тогда как только 2.3% WordPress сайты работают на последней версии PHP 7.2.

Как предотвратить и исправить устаревшее WordPress & Версии PHP

Этот легкий. Вы должны всегда обновлять свой WordPress установка до последней версии. Убедитесь, что вы всегда используете последнюю версию (не забудьте всегда делать резервную копию перед обновлением). Что касается обновления PHP, после того как вы проверили WordPress Для совместимости сайта вы можете изменить версию PHP.

Последние мысли!

Мы познакомились с различными WordPress уязвимости и их возможные решения. Стоит отметить, что обновление играет важную роль в сохранении WordPress безопасность в целости и сохранности. А когда вы заметите какие-либо необычные действия, начните копать и начните копать, пока не найдете проблему, поскольку эти угрозы безопасности могут нанести ущерб в тысячах долларов.

Похожие страницы:

В популярных WordPress-плагинах исправлены опасные уязвимости

В популярных WordPress-плагинах исправлены опасные уязвимости

15:25 / 16 Января, 20202020-01-16T16:25:48+03:00

Alexander Antipov

Сотни тысяч сайтов находятся под угрозой из-за уязвимостей в плагинах InfiniteWP Client и WP Time Capsule.

Уязвимости обхода аутентификации в WordPress-плагинах InfiniteWP Client и WP Time Capsule ставят под угрозу безопасность сотен тысяч сайтов. Как сообщают специалисты компании WebArx, проблемы представляют собой логические ошибки в коде и позволяют злоумышленникам получить доступ к бэкенду сайта, зная лишь логин администратора.

Согласно данным библиотеки плагинов WordPress, InfiniteWP Client установлен на 300 тыс., а WP Time Capsule – на 20 тыс. сайтов. Оба плагина обеспечивают возможность авторизоваться в нескольких установках WordPress с одного центрального сервера. Благодаря этому владельцы сайтов могут выполнять техническое обслуживание несколько ресурсов одновременно, в том числе рассылать обновления в один клик для ядра, плагинов и тем.

Проблемы затрагивают версии WP Client до 1.9.4.5 и версии WP Time Capsule до 1.21.16. Уязвимости были обнаружены 7 января, и на следующий день производители выпустили исправления. Подробности о них были опубликованы в открытом доступе 14 января.

По словам специалистов из WebArx, поскольку уязвимости являются логическими ошибками в коде и не имеют подозрительной полезной нагрузки, межсетевой экран не сможет защитить от атак с их эксплуатацией. Наиболее эффективный способ обезопасить сайт – обновить уязвимые плагины.

---

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

---

Поделиться новостью:

Как проверить Вордпресс сайт на безопасность

По данным Wordfence в середине 2018 года около 90.000 Вордпресс сайтов атакуется каждую минуту. Internet Live Stats сообщает о 70 взломанных сайтов в минуту, это около 100.000 взломанных сайтов в день. Akismet фильтрует около 7,5 млн единиц спама в час. Эти цифры впечатляют. 

Проверка безопасности сайта поможет найти уязвимости и защитить от хакеров.

Проверьте или просканируйте сайт до того, как хакеры найдут уязвимости на вашем сайте.

Благодаря популярности Вордпресс существует большое количество онлайн сканеров и плагинов, с помощью которых вы можете проверить сайт на наличие уязвимостей или взлома.

В этой статье вы узнаете о нескольких популярных онлайн сканерах и плагинах, и о том, как вы можете автоматизировать этот процесс при помощи плагина Security Ninja Pro.

Интересен ли хакерам ваш сайт

Некоторые думают, что их сайт в безопасности, потому что он молодой, на нем нет трафика или личной информации, которую можно украсть.

Многие люди используют один и тот же логин и пароль для многих аккаунтов в интернете. Хакерам интересна не только личная информация подписчиков или посетителей сайта, которую они могут использовать для взлома их электронной почты, соцсетей или аккаунта в банке. Они также могут использовать ресурсы сервера или сам сайт для публикации на нем рекламы, спама или ссылок на свои ресурсы.

Даже если ваш сайт не содержит личной информации (кроме информации об администраторе сайта), хакеры могут использовать ваш сервер в качестве файлообменника или для перенаправления трафика через ваш сайт. Если ваш хостинг автоматически берет плату за переиспользование ресурсов или трафика, такой взлом может дорого стоить.

Кроме этого, когда хостинг обнаружит, что сайт взломан, он может его отключить, чтобы обезопасить другие сайты на сервере.

Если коротко, то хакерам просто нужен узел в сети и ресурсы этого узла.

Хакеры используют ботов для взлома сайтов

Для взлома хакеры используют ботов, или хакботов, которые обходят сотни тысяч сайтов в час и сканируют их на списки известных уязвимостей устаревшего ПО, которые описаны в интернете. Подбирают логины и пароли по спискам самых популярных логинов и паролей, которые находятся в интернете. Пытаются получить доступ к базе данных сайта по стандартной методике, которая тоже описана в интернете, и так далее.

Вордпресс — очень популярная платформа, в данный момент на Вордпрессе работает около 80 млн. сайтов. Учитывая производительность хакботов, вероятность найти какую-то уязвимость довольно высока. Согласно статистике, в середине 2018 года каждую секунду боты атаковали около 1.000 Вордпресс сайтов, и одна из таких атак заканчивалась взломом.

Хотя такая популярность привлекает хакеров, у этой популярности есть и обратная сторона. Во-первых, разработчики быстро реагируют на найденные уязвимости и так же быстро выпускают обновления безопасности. Во-вторых, большинство уязвимостей имеют стандартные решения.

Самые распространенные уязвимости Вордпресс

• Устаревшая версия Вордпресс, тем, плагинов и другого ПО
• Стандартный логин «admin», «administrator» имя домена и так далее
• Слабые пароли
• Использование стандартного префикса базы данных
• Неверные права доступа к файлам
• Включенный редактор тем и плагинов в админке Вордпресс
• Небезопасный компьютер или хостинг

Это основные уязвимости Вордпресс, но есть и другие.

В этих статьях описаны решения для устранения уязвимостей в порядке применения:

В этой статье решения по устранению уязвимостей разбиты на группы:

WPWhiteSecurity провел исследование 42.000 сайтов из рейтинга Алексы Топ — 1. 000.000, и выяснил, что 73,2% из них имеют устаревшую версию Вордпресс с известной уязвимостью, описание которой находится в открытом доступе. Это значит, что боты рано или поздно найдут эти сайты, и получат над ними тот или иной контроль.

Просканируйте ваш сайт, выясните, есть ли на вашем сайте уязвимости, и если есть — устраните их.

Проверка Вордпресс сайта на уязвимости онлайн

• Unmask Parasites — проверяет, был ли сайт взломан и есть ли на сайте вредоносный код или спам.
• WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.
• Sucuri SiteCheck – проверяет сайт на наличие вредоносного софта, внесение сайта в черные списки (на данный момент 9 списков), ошибок и устаревшего ПО.
• Scan My Server – сервис предоставляет детальный отчет об уязвимостях сайта и еженедельное сканирование на бесплатном тарифе. Для работы требуется бесплатная регистрация и размещение картинки с обратной ссылкой на сервис в футере сайта.
• Norton Safe Web – сканер сайта от Norton, проверяет сайт на наличие вредоносного ПО.
• Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение нескольких минут генерирует довольно детальный отчет.
• VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
• Acunetix — сканирует Вордпресс и не только Вордпресс сайты, нужна регистрация для 14-дневного бесплатного trial-периода.

С помощью этих сервисов вы можете найти, где именно на вашем сайте находится уязвимость.

Бесплатные сервисы или тарифы предлагают довольно общий обзор, если вы хотите более глубокий анализ, придется купить премиум доступ.

Сканирование сайта с помощью плагинов

Для более детального сканирования сайта, установите один из этих плагинов или по очереди, чтобы узнать, какая именно уязвимость находится на вашем сайте.

Эти плагины регулярно обновляются и работают на одиночных установках Вордпресс, или на Мультисайт установке, если устанавливать их отдельно на каждый сайт сети.

Vulnerable Plugin Checker

Vulnerable Plugin Checker сканирует только файлы плагинов на уязвимости и другие проблемы безопасности. В плагине минимум настроек — вы указываете только свой е-мейл, на который дважды в день приходит отчет о найденных проблемах.

Total Security

Total Security наблюдает за появлением уязвимостей на сайте. Когда они появляются, плагин сообщает об этом, и вы можете их удалить. Плагин проверяет файлы Вордпресс и файлы тем / плагинов, и может изменить страницу авторизации на сайте (

../wp-login.php).

Хотя у плагина нет функционала по устранению многих найденных уязвимостей, это очень хороший сканер сайта с детальным отчетом.

WPScan

Плагин ежедневно сканирует файлы сайта, чтобы найти уязвимости, которые занесены в список WPScan Vulnerability Database. В админ баре плагин показывает иконку с количеством найденных уязвимостей.

Посылает сообщение на е-мейл, когда находит новую уязвимость.

Эти плагины помогают найти уязвимость, если плагин уже был установлен на сайте. Если вы хотите проверить сайт на уязвимости сейчас, то попробуйте эти плагины:

NinjaScanner

Очень легкий плагин, который сканирует файлы сайта на наличие вредоносного кода и вирусов. Сканер сравнивает файлы сайта с оригинальными файлами в репозитарии Вордпресс, и делает еще несколько проверок.

Quttera Web Malware Scanner

Плагин сканирует сайт на вредоносное ПО, троянов, бэкдоров, червей, вирусов, вредоносные айфреймы, вредоносные инъекции, редиректы и другие виды угроз. Плагин проверяет, был ли сайт внесен в черные списки.

GOTMLS

Плагин сканирует сайт и автоматически удаляет известные вирусы, трояны, бэкдоры и внедрения в базу данных. Также плагин работает в качестве файрвола и блокирует всевозможное вредоносное ПО.

Для обновления базы данных плагина нужно бесплатно зарегистрироваться.

Эти плагины помогают найти проблему на сайте. Некоторые плагины предлагают устранить заражение, но не помогают устранить уязвимость, которая к нему привела.

Как исправить найденные уязвимости

После того, как вы просканировали сайт и нашли уязвимость, ее нужно устранить.

Автоматическое сканирование и защита вашего сайта

У бесплатного плагина Security Ninja есть подробный сканер, который показывает найденные уязвимости и инструкции по устранению каждой уязвимости. На данный момент 46 тестов. Пример:

В бесплатной версии плагина вы можете только просканировать сайт на основные уязвимости Вордпресс. После этого плагин предложит рекомендации по ручному устранению найденных уязвимостей.

В платной версии добавляется функция автоматического исправления найденных уязвимостей (Auto Fixer), автоматическое сравнение файлов сайта с файлами в репозитарии Вордпресс, сканер файлов сайта на наличие вредоносного кода, логи событий и автоматический IP файрвол, который запрещает доступ к сайту с вредоносных IP адресов.

С помощью плагина Security Ninja Pro вы найдете и устраните все основные уязвимости Вордпресс и настроите хорошую защиту сайта.

Если вы хотите настроить мощную автоматическую защиту сайта, приглашаю вас на курс Безопасный Вордпресс за 2 вечера. В этом курсе вы настроите безопасность сайта с помощью бесплатных плагинов и нескольких ручных настроек.

Читайте также:

1. Что делать, если сайт взломали
2. Как вылечить от вирусов Вордпресс сайт
3. Как найти и удалить бэкдоры на Вордпресс сайте
4. Как найти следы взлома в логах сервера
5. Как удалить сайт из черных списков
6. Как зайти в админку после взлома сайта

Надеюсь, статья была полезна. Оставляйте комментарии.

Взлом WordPress. Атаки хакеров 2020 новые данные от xakep.ru

По информации от xakep. ru в плагине File Manager, которым пользуются более 700 000 ресурсов на базе WordPress, обнаружена опасная уязвимость, которая позволяет выполнять команды и вредоносные скрипты на уязвимых сайтах. Спустя всего несколько часов после раскрытия информации о баге эксперты из таиландской компании NinTechNet сообщили о первых атаках на эту уязвимость.

Суть проблемы заключается в том, что плагин содержит дополнительный файловый менеджер, известный как elFinder — это библиотека с открытым исходным кодом, которая обеспечивает работу основных функций плагина, а также предоставляет пользовательский интерфейс. Уязвимость возникает из-за того, как реализована имплементация elFinder в данном случае.

Так, в File Manager расширение файла библиотеки connector.minimal.php.dist изменено на .php, чтобы его можно было запускать напрямую, даже если файл connector не используется самим файловым менеджером. ­В такие библиотеки часто включены файлы примеров, которые не предназначены для использования прямо «из коробки», без настройки управления доступом. В итоге данный файл не имеет прямых ограничений доступа, а значит, к нему может получить доступ кто угодно. 

Исследователи NinTechNet пишут, что злоумышленники используют эксплоит для загрузки на сайты файлов изображений, в которых скрытых веб-шеллы. В итоге атакующие могут использовать удобный интерфейс, который позволяет им запускать команды в каталоге plugins/wp-file-manager/lib/files/, где находится плагин File Manager. И хотя проблема не позволяет хакерам выполнять команды вне названного каталога, атакующие могут нанести немалый ущерб, загрузив на уязвимый сайт скрипты, которые способны выполнять действия в других частях уязвимого ресурса. 

Не пропустите нашу новую публикацию, она поможет вам глубже изучить вопрос безопасности: Разбираемся, движок WordPress безопасен или нет?

По данным NinTechNet, в настоящее время хакеры используют баг для загрузки на сайты скрипта hardfork.php, а затем применяют его инъекций кода в скрипты /wp-admin/admin-ajax. php и /wp-includes/user.php. При этом отмечается, что злоумышленники стремятся защитить уязвимый файл паролем (connector.minimal.php), чтобы другие хак-группы не могли воспользоваться уязвимостью на уже зараженных сайтах. 

«В ближайшие несколько часов или дней мы увидим, что именно они будут делать дальше. Ведь если они защищают уязвимый файл паролем, чтобы предотвратить использование уязвимости другими хакерами, вероятно, они собираются вернуться и снова посетить зараженные ресурсы», — говорят специалисты NinTechNet. 

Эксперты из ИБ-компании Wordfence уже посвятили этой волне атак собственный отчет. За последние несколько дней компания заблокировала более 450 000 попыток эксплуатации данной уязвимости. Исследователи пишут, что злоумышленники пытаются внедрить на сайты различные файлы. В некоторых случаях эти файлы были пустыми (очевидно, хакеры лишь тестировали уязвимость), другие вредоносные файлы носили имена hardfork.php, hardfind.php и x.php. 

«Плагин файлового менеджера, подобный этому, позволяет злоумышленникам манипулировать файлами и загружать новые по своему выбору прямо из панели управления WordPress. Потенциально это также позволяет сразу повысить привилегии.

Например, злоумышленник может получить доступ к админке сайта, используя скомпрометированный пароль, затем получить доступ к уязвимому плагину и загрузить веб-шелл, чтобы выполнить дальнейшие действия на сервере и развить свою атаку с помощью другого эксплоита», — пишет специалистка Wordfence Хлоя Чемберленд (Chloe Chamberland). 

Проблема уже была исправлена в File Manager версий от 6.0 до 6.8. Официальная статистика WordPress показывает, что в настоящее время уязвимы примерно 52% установок плагина, то есть около 350 000 сайтов.

Не пропустите эту информацию — это действительно важно: Что делать если ваш сайт на WordPress испытывает техническую проблему?

Атаки хакеров начались 28 апреля 2020

Как сообщает эксперт по информационной безопасности компании Akamai Ларри Кэшдоллар (Larry Cashdollar) продолжается атака перебором паролей против WordPress, MySQL. Виредонос Stealthworker, активно используется для брутфорс-атак (перебором паролей) на популярные онлайн платформы.

Среди потенциальных объектов атак — сайты на WordPress, а так же Drupal, Bitrix, OpenCart, Magento и службы MySQL, PostgreSQL, SSH и FTP. Более ранние версии также атаковали phpMyAdmin.

Stealthworker попал в одну из специальных ловушек (Honeypot), которая представляет собой установку WordPress с легко угадываемым административным паролем. Ждать атак долго не пришлось: после успешного взлома злоумышленники установили в систему новую тему WordPressAlternateLite. Кроме нее, обнаружился двоичный процесс, работающий как www-user и резко вырос сетевой трафик. 

AlternateLite— одна из множества бесплатных тем WordPress, установленная более чем на 1000 сайтов. Stealthworker — не первый и явно не последний инструмент подобного рода. Если он продемонстрирует эффективность выше среднего, скорее всего, количество подобных ему вредоносов будет расти, говорит Михаил Зайцев, эксперт по информационной безопасности

Хотим поделиться с вами ценной информацией, узнайте, какие 10 лучших плагинов безопасности WordPress мы применяем для защиты сайтов

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта на WordPress прямо сейчас!

Оставить заявку

Новость от cnews.ru на 28 мая: уже миллион сайтов на WordPress атакован с 24 тыс. IP-адресов

Злоумышленники ведут серийный «обстрел» сайтов на базе WordPress в надежде найти и скомпрометировать уязвимые. В прицеле – старые, давно не обновлявшиеся плагины с XSS-уязвимостями.

Хакеры пытаются перенаправить пользователей на сторонние вредоносные ресурсы или подсадить бэкдор. Атаки осуществлялись как минимум с 24 тыс. адресов. Атаки начались 28 апреля 2020 г.; к 3 мая количество предпринятых попыток атаковать сайты на WordPress перевалило за 20 млн.

«Вероятнее всего, злоумышленники ведут «ковровую бомбардировку» в надежде зацепить уязвимый ресурс, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — КПД у этой кампании вряд ли очень высокий: как видно, не так много сайтов содержат уязвимые плагины. Хотя нельзя исключать, что вышеприведенным списком мишени не ограничиваются. В любом случае, администраторам ресурсов рекомендуется произвести у себя весеннюю уборку, обновить все плагины и избавиться от не поддерживаемых».

Если вы заметили, что ваш сайт взломали, значит ему нужна Надежная защита и обслуживание сайта на WordPress, обращайтесь в веб-студию АВАНЗЕТ, будем рады помочь. Для защиты сайтов наших клиентом мы применяем 10 лучших плагинов безопасности WordPress

Информация от xakep.ru на 28 апреля: 

Специалисты Wordfence обратили внимание, что некая хак-группа развернула масштабную кампанию против сайтов на WordPress. Используя различные известные уязвимости, злоумышленники предприняли попытки атак на почти миллион ресурсов за прошедшую неделю. 

Атаки начались 28 апреля 2020 года и привели к тридцатикратному увеличению объема вредоносного трафика, отслеживаемого компанией. Группировка использует для атак более 24 000 различных IP-адресов и уже попыталась взломать более 900 000 сайтов под управлением WordPress. Атаки достигли своего пика в прошлое воскресенье, 3 мая 2020 года, когда хакеры предприняли более 20 000 000 попыток взлома 500 000 различных доменов. 

Ценные рекомендации в новой статье: Надежная защита и обслуживание сайта на WordPress

Исследователи пишут, что в основном группировка полагается на эксплуатацию разнообразных XSS-уязвимостей и с их помощью  внедряет вредоносный JavaScript-код на сайты, а затем перенаправляет входящий трафик ресурсов на вредоносные сайты.­  Также используемая злоумышленниками малварь проверяет, не вошел ли посетитель как администратор, чтобы с помощью его учетной записи попытаться автоматически создать бэкдор. 

Wordfence рассказывает, что злоумышленники применяют в своей кампании следующие уязвимости:

• XSS-уязвимость в плагине Easy2Map, который был удален из репозитория WordPress еще в августе 2019 года. Попытки эксплуатации этой уязвимости составляют более половины от общего числа атак, хотя плагин установлен менее чем на 3000 сайтах;
• Уязвимость XSS в плагине Blog Designer,­ которая была исправлена в 2019. Данные плагин используется примерно 1000 ресурсов, но эта уязвимость уже использовалась в ходе других вредоносных кампаний;
• Баг в плагине WP GDPR Compliance, исправленный в конце 2018 года. Помимо прочего, проблема позволяла злоумышленникам изменять домашний URL сайта. Хотя данный плагин насчитывает более 100 000 установок, аналитики подсчитали, что в настоящее время лишь 5000 из них по-прежнему уязвимы.
• Уязвимость в плаигне Total Donations, позволяющая изменять домашний URL сайта. Данный плагин был удален с Envato Marketplace в начале 2019 года, и в настоящее время насчитывается менее 1000 «живых» установок.
• XSS-уязвимость в теме Newspaper, которая была исправлена ​​в далеком 2016 году. В прошлом эту проблему тоже эксплуатировали хакеры.

Также, по мнению экспертов Wordfence, в будущем стоящая за атаками группировка может разработать новые эксплоиты и расширить свой арсенал, что повлечет за собой атаки и на другие уязвимости на сайты на WordPress.

Источник: xakep.ru

Вашему сайту требуется поддержка, обслуживание, хостинг?

Напишите нам прямо сейчас, всегда рады помочь!

Оставить заявку

← Поделиться с друзьями !

БДУ — Уязвимости

Описание уязвимости	Уязвимость метода parse_query (class-wp-query.php) системы управления содержимым сайта WordPress связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Вендор	Сообщество свободного программного обеспечения, WordPress Foundation
Наименование ПО	Debian GNU/Linux, WordPress
Версия ПО	8. 0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 10.0 (Debian GNU/Linux) до 5.4.1 (WordPress)
Тип ПО	Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Тип ошибки	Раскрытие информации
Идентификатор типа ошибки
Класс уязвимости	Уязвимость кода
Дата выявления	30.04.2020
Базовый вектор уязвимости
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для wordpress: Обновление программного обеспечения до 5. 4.1 или более поздней версии Для Debian: Обновление программного обеспечения (пакета wordpress) до 4.7.5+dfsg-2+deb9u6 или более поздней версии
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Несанкционированный сбор информации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация	Данные уточняются

Почти миллион сайтов атакован с использованием известных уязвимостей WordPress | Новости

Свыше 900 тыс. сайтов были атакованы в рамках масштабной хакерской кампании. В частности, представители компании Defiant, которая занимается разработкой плагинов безопасности Wordfence для WordPress, заявили, что еще 28 апреля начали замечать и отслеживать атаки, особенно на межсайтовый скриптинг (XSS).

Проанализировав вредоносные компоненты, компания Defiant сделала вывод, что большинство атак были совершены одной группой злоумышленников. По словам инженера QA Wordfence, киберпреступники начали с небольших атак, однако уже 3 мая кампания насчитывала около 3 млн. попыток нападений на более полумиллиона веб-сайтов.

«В целом за последний месяц мы обнаружили более 24 тыс. различных IP-адресов, которые присылают запросы, связанные с атаками на более 900 тыс. сайтов, – добавил представитель QA Wordfence. – Злоумышленники нацеливаются на межсайтовый скриптинг (XSS), а также другие уязвимости плагинов, чтобы ввести вредоносный код на сайты, которые затем перенаправляют посетителей на ресурсы с рекламным программным обеспечением. Стоит отметить, что для уязвимостей WordPress плагинов, которые использовали злоумышленники, доступны обновления безопасности. Большинство из них были выпущены несколько месяцев или даже лет назад.

В частности, три из пяти уязвимостей WordPress плагинов, которые использовали киберпреступники, связане с XSS. Одна из них – с плагином Easy2Map, на который приходилось более половины атак и который, вероятно, был установлен на около 3 тыс. веб-сайтов. Вторая уязвимость WordPress плагинов была обнаружена в прошлом году в Blog Designer, который по подсчетам Defiant около тысячи раз был установлен с уязвимостями. Третья была обнаружена в шаблоне Newspaper, для которого уже были выпущены исправления после различных атак, которые происходили с 2016 г.

Два других вектора атак – параметры обновления уязвимостей. Один из них влияет на плагин WP GDPR Compliance, для которого были выпущены исправления в 2018 г. Другой касается плагина Total Donations, который был изъят из Envato Market еще в 2019 г. Каждая из этих уязвимостей позволяет хакерам изменить домашний веб-адрес сайта.

В будущем злоумышленники могут использовать другие уязвимости WordPress. Именно поэтому специалисты Eset настоятельно рекомендуют регулярно обновлять основные модули и плагины системы для создания веб-сайтов, а также пользоваться актуальной версией операционной системы и другого ПО. Кроме этого, важно удалять программы, которые вам больше не нужны, поскольку они лишь повышают риск инфицирования.

Замовлення хмари в декілька кліків. UCloud запустив хмарний чат бот!

Как использовать WPScan, чтобы легко найти уязвимости вашего сайта wordpress

Более 35% Интернета работает на WordPress. WordPress составляет более 60% мирового рынка CMS, и уже создано более 10 миллионов веб-сайтов. Создать веб-сайт и развернуть его с помощью WordPress так просто и недорого, поэтому WordPress широко используется. С ростом рынка WordPress его безопасность также вызывает большую озабоченность. На веб-сайтах WordPress обнаруживается более 8% интернет-уязвимостей, что делает их уязвимой целью для хакеров. На рынке существует множество сканеров уязвимостей WordPress, таких как WordPress Security Scan, SUCURI, Detectify, но WPScan – это сканер для сканирования вашего веб-сайта WordPress на наличие уязвимых тем, плагинов и неправильной конфигурации безопасности. WPScan – это универсальный инструмент для сканирования уязвимостей на веб-сайтах, созданных с использованием платформы WordPress. Его можно использовать для перечисления плагинов и тем WordPress, подбора логинов и выявления неправильных настроек безопасности. В настоящее время он доступен только для Linux (Debian, Fedora, Arch, CentOS) и MacOSX, но не для Windows. Вы можете использовать подсистему Windows для Linux (WSL) для установки WPScan в Windows. В этой статье мы рассмотрим, как установить и использовать WPScan для поиска лазеек в безопасности на вашем веб-сайте.

 

Установка

WPScan предустановлен в Kali Linux. Согласно официальной документации, для других дистрибутивов установка WPScan очень проста.

// Чтобы установить предварительные условия
ubuntu@ubuntu:~$ sudo apt install patch build-essential zlib1g-dev liblzma-dev ruby-dev
ubuntu@ubuntu:~$ gem install nokogiri
Then
ubuntu@ubuntu:~$ gem install wpscan
OR
ubuntu@ubuntu:~$ git clone https://github.com/wpscanteam/wpscan
ubuntu@ubuntu:~$ cd wpscan/
ubuntu@ubuntu:~$ bundle install && rake install

 

Чтобы обновить установленный WPScan до последней версии, введите

ubuntu@ubuntu:~$ wpscan --update

или RubyGems

andreyex@kali:~$ gem update wpscan

или в Kali Linux

andreyex@kali:~$ sudo apt update && sudo apt upgrade

Применение

Теперь мы узнаем, как выполнить быстрое сканирование вашего веб-сайта WordPress, тем и плагинов.  WordPress просканирует ваш сайт с несколькими вариантами сканирования и покажет вам уязвимости и их детали на терминале. WPScan также расскажет вам много подробностей об установке вашего WordPress и версиях установленных тем и плагинов. Он также может перечислять зарегистрированные имена пользователей и подбирать пароли.

Чтобы выполнить сканирование вашего веб-сайта, введите

andreyex@kali:~$ wpscan --url http://www.redacted.com --rua

Чтобы проверить уязвимые плагины

Чтобы проверить наличие уязвимых плагинов, вы можете добавить в свою команду параметр «–enumerate vp». WPScan покажет все плагины, используемые вашим сайтом WordPress, выделив уязвимые и другие детали. Введите следующее

// --rua или --random-user-agent используются для случайного выбора пользовательского агента
// для вывода списка всех плагинов, используйте 'ap' вместо 'vp'
andreyex@kali:~$ wpscan --url http://www.redacted.com --rua --enumerate vp -o
output-plugins.txt

Чтобы проверить уязвимые темы

Чтобы проверить наличие уязвимых подключаемых модулей, добавьте параметр «–enumerate vt» в команду терминала. WPScan покажет вам уязвимости в вашей теме. Введите следующее

// Чтобы перечислить все темы, используйте параметры 'at' вместо 'vt'
andreyex@kali:~$ wpscan --url http://www.redacted.com --rua --enumerate vt

Перечислить пользователей на сайте WordPress

Когда обнаруживаются зарегистрированные имена пользователей на веб-сайтах, хакерам становится проще подобрать пароль и скомпрометировать доступ. После компрометации учетной записи администратора или привилегированной учетной записи получить доступ ко всему веб-сайту WordPress становится проще. Вот почему вы всегда должны отключать перечисление имен пользователей в конфигурации WordPress.

WPScan также может перечислять зарегистрированных пользователей в вашей установке WordPress. Введите следующее, чтобы перечислить пользователей с помощью WPScan

// Использование пользовательского словаря
andreyex@kali:~$ wpscan --url http://www. redacted.com --rua --enumerate
U /path/to/user-dictionary.txt
// Использование словаря по умолчанию
andreyex@kali:~$ wpscan --url http://www.redacted.com --rua --enumerate u
...snip...
[i][34m0m] User(s) Identified:
[+][32m0m] Shani
| Detected By: Rss Generator (Passive Detection)
| Confirmed By: Login Error Messages (Aggressive Detection)
[+][32m0m] InterSkill
| Detected By: Rss Generator (Passive Detection)
| Confirmed By: Login Error Messages (Aggressive Detection)
...snip...

Подбор паролей с помощью WPScan

Получив имена пользователей из вышеуказанного шага, вы можете угадывать пароли для этих пользователей с помощью грубой силы. Используя этот метод, вы можете увидеть, какой пользователь вашего веб-сайта использует ненадежный пароль.

WPScan потребуется список пользователей и словарь часто используемых паролей. Затем он будет пробовать каждую комбинацию имен пользователей и паролей для успешного входа в систему. Вы можете загрузить словари паролей из репозиториев github, но в этой статье мы будем использовать словарь «rockyou.txt», который по умолчанию находится в Kali Linux в каталоге «/usr/share/wordlists».

Чтобы загрузить словари в свой дистрибутив, введите

ubuntu@ubuntu:~$ sudo apt install wordlists
ubuntu@ubuntu:~$ ls /usr/share/wordlists/
rockyou.txt.gz
ubuntu@ubuntu:~$ gzip -d rockyou.txt.gz
ubuntu@ubuntu:~$ ls -la /usr/share/wordlists/rockyou.txt
-rw-r--r-- 1 root root 139921507 Jul 17 02:59 rockyou.txt

 

Чтобы запустить сканирование веб-сайта методом перебора, введите

andreyex@kali:~$ wpscan --url http://www.redacted.com --rua -P /usr/share/wordlists/rockyou.txt
-U ‘Shani’,’InterSkill’

Вывод

WPScan – фантастический инструмент, который можно добавить в ваш набор инструментов безопасности. Это бесплатная, мощная и простая в использовании утилита для обнаружения уязвимостей и неправильных настроек безопасности. Любой, у кого нет технических знаний о безопасности, может легко установить и использовать его для повышения безопасности своего веб-сайта.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

WordPress WordPress: список уязвимостей безопасности

.

#	CVE ID	CWE ID	# эксплойтов	Тип (ы) уязвимости	Дата публикации	Дата обновления	Счет	Полученный уровень доступа	Доступ	Сложность	Аутентификация	Конф.	Интег.	Доступен.
1	CVE-2019-16223	79		XSS	2019-09-11	2019-09-12	3,5	Нет	Пульт ДУ	Средний	Одиночная система	Нет	Частично	Нет
WordPress до 5.2.3 разрешает XSS в предварительных просмотрах сообщений аутентифицированными пользователями.
2	CVE-2019-16222	79		XSS	2019-09-11	2019-09-12	4,3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
WordPress до 5.2.3 имеет проблему с очисткой URL-адресов в wp_kses_bad_protocol_once в wp-includes / kses.php, что может привести к атакам межсайтового скриптинга (XSS).
3	CVE-2019-16221	79		XSS	2019-09-11	2019-09-12	4,3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
WordPress до 5. 2.3 позволяет отображать XSS в приборной панели.
4	CVE-2019-16220	601			2019-09-11	2019-09-12	5,8	Нет	Пульт ДУ	Средний	Не требуется	Частично	Частично	Нет
В WordPress до 5.2.3, проверка и очистка URL-адреса в wp_validate_redirect в wp-includes / pluggable.php могут привести к открытому перенаправлению.
5	CVE-2019-16219	79		XSS	2019-09-11	2019-09-12	4,3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
WordPress до 5.2.3 позволяет использовать XSS в превью шорткода.
6	CVE-2019-16218	79		XSS	2019-09-11	2019-09-15	4,3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
WordPress до 5.2.3 разрешает XSS в сохраненных комментариях.
7	CVE-2019-16217	79		XSS	2019-09-11	2019-09-11	4,3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
WordPress до 5. 2.3 разрешает XSS при загрузке мультимедиа, потому что wp_ajax_upload_attachment неправильно обрабатывается.
8	CVE-2019-9787	352		Исполняемый код XSS CSRF	2019-03-14	2019-03-31	6,8	Нет	Пульт ДУ	Средний	Не требуется	Частично	Частично	Частично
WordPress до 5.1.1 не фильтрует содержимое комментариев должным образом, что приводит к удаленному выполнению кода неаутентифицированными пользователями в конфигурации по умолчанию. Это происходит из-за неправильного обращения с защитой CSRF и из-за того, что поисковая оптимизация элементов A выполняется неправильно, что приводит к XSS. XSS приводит к административному доступу, который позволяет произвольно изменять файлы .php. Это связано с wp-admin / includes / ajax-actions.php и wp-includes / comment.php.
9	CVE-2019-8943	22		Реж.Trav.	2019-02-19	2019-04-25	4,0	Нет	Пульт ДУ	Низкая	Одиночная система	Нет	Частично	Нет
WordPress до 5.0.3 позволяет обход пути в wp_crop_image (). Злоумышленник (у которого есть привилегии обрезать изображение) может записать выходное изображение в произвольный каталог через имя файла, содержащее два расширения изображения и../ последовательности, такие как имя файла, заканчивающееся подстрокой .jpg? /../../ file.jpg.
10	CVE-2019-8942	94		Exec-код	2019-02-19	2019-04-25	6,5	Нет	Пульт ДУ	Низкая	Одиночная система	Частично	Частично	Частично
WordPress до 4. 9.9 и 5.x до 5.0.1 допускают удаленное выполнение кода, поскольку мета-запись _wp_attached_file Post Meta может быть изменена на произвольную строку, например, заканчивающуюся подстрокой .jpg? File.php. Злоумышленник с правами автора может выполнить произвольный код, загрузив созданное изображение, содержащее код PHP в метаданных Exif. Эксплуатация может использовать CVE-2019-8943.
11	CVE-2018-1000773	20		Exec-код	2018-09-06	2018-11-14	6.5	Нет	Пульт ДУ	Низкая	Одиночная система	Частично	Частично	Частично
WordPress версии 4.9.8 и более ранних содержит уязвимость проверки ввода CWE-20 при обработке эскизов, которая может привести к удаленному выполнению кода из-за неполного исправления для CVE-2017-1000600. Эта атака, по-видимому, может быть использована посредством загрузки эскизов аутентифицированным пользователем и может потребовать дополнительных плагинов для использования, однако в настоящее время это не подтверждено.
12	CVE-2018-20153	79		XSS	14.12.2018	2019-01-04	3,5	Нет	Пульт ДУ	Средний	Одиночная система	Нет	Частично	Нет
В WordPress до 4.9.9 и 5.x до 5.0.1 участники могли изменять новые комментарии, сделанные пользователями с более высокими привилегиями, что могло вызвать XSS.
13	CVE-2018-20152	20		Обход	14. 12.2018	2019-01-04	5,0	Нет	Пульт ДУ	Низкая	Не требуется	Нет	Частично	Нет
В WordPress до 4.В версиях 9.9 и 5.x до 5.0.1 авторы могли обходить намеченные ограничения на типы сообщений с помощью созданного ввода.
14	CVE-2018-20151	200		+ Инфо	14.12.2018	2019-01-04	5,0	Нет	Пульт ДУ	Низкая	Не требуется	Частично	Нет	Нет
В WordPress до 4.9.9 и 5.x до 5.0.1, страница активации пользователя могла быть прочитана веб-сканером поисковой системы, если была выбрана необычная конфигурация. Затем поисковая система может проиндексировать и отобразить адрес электронной почты пользователя и (редко) пароль, который был сгенерирован по умолчанию.
15	CVE-2018-20150	79		XSS	14.12.2018	2019-01-04	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
В WordPress до 4.9.9 и 5.x до 5.0.1 созданные URL-адреса могли запускать XSS для определенных случаев использования с плагинами.
16	CVE-2018-20149	79		Обход XSS	14.12.2018	2019-01-04	3.5	Нет	Пульт ДУ	Средний	Одиночная система	Нет	Частично	Нет
В WordPress до 4. 9.9 и 5.x до 5.0.1, когда используется HTTP-сервер Apache, авторы могли загружать созданные файлы, которые обходят намеченные ограничения типа MIME, что приводит к XSS, что демонстрируется файлом .jpg без данных JPEG.
17	CVE-2018-20148	502			14.12.2018	2019-01-04	7.5	Нет	Пульт ДУ	Низкая	Не требуется	Частично	Частично	Частично
В WordPress до 4.9.9 и 5.x до 5.0.1 участники могли проводить атаки путем внедрения объектов PHP с помощью созданных метаданных в вызове wp.getMediaItem XMLRPC. Это вызвано неправильной обработкой сериализованных данных по URL-адресам phar: // в функции wp_get_attachment_thumb_file в wp-includes / post.php.
18	CVE-2018-20147	287		Обход	14.12.2018	2019-10-02	5,5	Нет	Пульт ДУ	Низкая	Одиночная система	Нет	Частично	Частично
В WordPress до 4.9.9 и 5.x до 5.0.1 авторы могли изменять метаданные, чтобы обойти предполагаемые ограничения на удаление файлов.
19	CVE-2018-14028	434		Exec-код	10.08.2018	2018-10-10	6,5	Нет	Пульт ДУ	Низкая	Одиночная система	Частично	Частично	Частично
В WordPress 4. 9.7, плагины, загруженные через админку, не проверяются как ZIP-файлы. Это позволяет загружать файлы PHP. После загрузки файла PHP извлечение плагина не удается, но файл PHP остается в предсказуемом месте wp-content / uploads, что позволяет злоумышленнику затем выполнить файл. Это представляет угрозу безопасности в ограниченных сценариях, когда злоумышленник (у которого есть необходимые возможности для загрузки подключаемых модулей) не может просто поместить произвольный PHP-код в допустимый ZIP-файл подключаемого модуля и загрузить этот подключаемый модуль, потому что права доступа к каталогу wp-content / plugins компьютера были настроил блокировку всех новых плагинов.
20	CVE-2018-12895	22		Exec Code Dir. Trav.	26.06.2018	20.08.2018	6,5	Нет	Пульт ДУ	Низкая	Одиночная система	Частично	Частично	Частично
WordPress через 4.9.6 позволяет пользователям Author выполнять произвольный код, используя обход каталога в параметре большого пальца wp-admin / post.php, который передается в функцию отключения связи PHP и может удалить файл wp-config.php. Это связано с отсутствием проверки имени файла в функции wp-includes / post.php wp_delete_attachment. Злоумышленник должен иметь возможности для файлов и сообщений, которые обычно доступны только для ролей Автор, Редактор и Администратор. Методология атаки состоит в том, чтобы удалить wp-config.php и затем запустить новый процесс установки, чтобы повысить привилегии злоумышленника.
21	CVE-2018-10102	79		XSS	2018-04-16	18.05.2018	4,3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
До WordPress 4. 9.5, строка версии не экранировалась в функции get_the_generator и могла привести к XSS в теге генератора.
22	CVE-2018-10101	601			2018-04-16	2018-06-02	5,8	Нет	Пульт ДУ	Средний	Не требуется	Частично	Частично	Нет
До WordPress 4.9.5, валидатор URL предполагал, что URL-адреса с именем хоста localhost находятся на том же хосте, что и сервер WordPress.
23	CVE-2018-10100	601			2018-04-16	18.05.2018	5,8	Нет	Пульт ДУ	Средний	Не требуется	Частично	Частично	Нет
До WordPress 4.9.5, URL-адрес перенаправления для страницы входа не был проверен или дезинфицирован, если был вынужден использовать HTTPS.
24	CVE-2018-6389	399		DoS	2018-02-06	2018-03-05	5,0	Нет	Пульт ДУ	Низкая	Не требуется	Нет	Нет	Частично
В WordPress через 4.9.2, неаутентифицированные злоумышленники могут вызвать отказ в обслуживании (потребление ресурсов), используя большой список зарегистрированных файлов .js (из wp-includes / script-loader.php) для создания серии запросов для многократной загрузки каждого файла.
25	CVE-2018-5776	79		XSS	18.01.2018	2018-02-01	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
WordPress до 4.9.2 имеет XSS в резервных файлах Flash в MediaElement (в wp-includes / js / mediaelement).
26	CVE-2017-1001000				2017-04-02	2019-10-02	5.0	Нет	Пульт ДУ	Низкая	Не требуется	Нет	Частично	Нет
Функция register_routes в wp-includes / rest-api / endpoints / class-wp-rest-posts-controller.php в REST API в WordPress 4.7.x до 4.7.2 не требует целочисленного идентификатора, что позволяет удаленным злоумышленникам изменять произвольные страницы с помощью запроса wp-json / wp / v2 / posts, за которым следует числовое значение и нечисловое значение, как демонстрирует URI wp-json / wp / v2 / posts / 123? id = 123helloworld.
27	CVE-2017-1000600	20		Exec-код	2018-09-06	26.10.2018	6,5	Нет	Пульт ДУ	Низкая	Одиночная система	Частично	Частично	Частично
Версия WordPress <4.9 содержит уязвимость CWE-20 Input Validation при обработке эскизов, которая может привести к удаленному выполнению кода. Эта атака, по-видимому, может быть использована посредством загрузки эскизов аутентифицированным пользователем и может потребовать дополнительных плагинов для использования, однако в настоящее время это не подтверждено. Эта проблема, похоже, была частично, но не полностью исправлена ​​в WordPress 4.9
28	CVE-2017-17091	330		Обход	2017-12-02	2019-10-02	6.5	Нет	Пульт ДУ	Низкая	Одиночная система	Частично	Частично	Частично
wp-admin / user-new.php в WordPress до версии 4.9.1 устанавливает для ключа newbloguser строку, которая может быть напрямую получена из идентификатора пользователя, что позволяет удаленным злоумышленникам обойти предполагаемые ограничения доступа, введя эту строку.
29	CVE-2017-16510	89		Sql	2017-11-02	03.02.2018	7.5	Нет	Пульт ДУ	Низкая	Не требуется	Частично	Частично	Частично
WordPress до 4.8.3 подвержен проблеме, из-за которой $ wpdb-> prepare () может создавать неожиданные и небезопасные запросы, ведущие к потенциальной SQL-инъекции (SQLi) в плагины и темы, что продемонстрировано подходом «двойной подготовки», другой уязвимостью. чем CVE-2017-14723.
30	CVE-2017-14990	312		Sql	2017-10-02	2019-10-02	4,0	Нет	Пульт ДУ	Низкая	Одиночная система	Частично	Нет	Нет
WordPress 4. 8.2 хранит значения wp_signups.activation_key в открытом виде (но сохраняет аналогичные значения wp_users.user_activation_key в виде хэшей), что может упростить удаленным злоумышленникам захват неактивированных учетных записей пользователей за счет использования доступа для чтения базы данных (например, доступа, полученного с помощью неопределенной уязвимости SQL-инъекции) .
31	CVE-2017-14726	79		XSS	23.09.2017	2017-11-09	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
До версии 4.8.2 WordPress был уязвим для атак с использованием межсайтовых сценариев с помощью шорткодов в визуальном редакторе TinyMCE.
32	CVE-2017-14725	601			23.09.2017	2017-11-09	4.9	Нет	Пульт ДУ	Средний	Одиночная система	Частично	Частично	Нет
До версии 4.8.2 WordPress был подвержен атакам с открытым перенаправлением в wp-admin / edit-tag-form.php и wp-admin / user-edit.php.
33	CVE-2017-14724	79		XSS	23.09.2017	2017-11-09	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
До версии 4. 8.2 WordPress был уязвим для межсайтового скриптинга в обнаружении oEmbed.
34	CVE-2017-14723	89		Sql	23.09.2017	2017-11-09	7.5	Нет	Пульт ДУ	Низкая	Не требуется	Частично	Частично	Частично
До версии 4.8.2 WordPress неправильно обрабатывал символы% и дополнительные значения-заполнители в $ wpdb-> prepare и, таким образом, не учитывал должным образом возможность плагинов и тем, допускающих атаки с использованием SQL-инъекций.
35	CVE-2017-14722	22		Реж.Trav.	23.09.2017	2017-11-09	5,0	Нет	Пульт ДУ	Низкая	Не требуется	Частично	Нет	Нет
До версии 4.8.2 WordPress допускал атаку обхода каталогов в компоненте Customizer через созданное имя файла темы.
36	CVE-2017-14721	79		XSS	23.09.2017	2017-11-09	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
До версии 4.8.2 WordPress разрешал межсайтовый скриптинг в редакторе плагинов через созданное имя плагина.
37	CVE-2017-14720	79		XSS	23. 09.2017	2017-11-09	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
До версии 4.8.2 WordPress допускал атаку межсайтового скриптинга в представлении списка шаблонов через созданное имя шаблона.
38	CVE-2017-14719	22		Реж.Trav.	23.09.2017	2017-11-09	5,0	Нет	Пульт ДУ	Низкая	Не требуется	Частично	Нет	Нет
До версии 4.8.2 WordPress был уязвим для атаки обхода каталога во время операций распаковки в компонентах ZipArchive и PclZip.
39	CVE-2017-14718	79		XSS	23.09.2017	2017-11-09	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
До версии 4.8.2 WordPress был подвержен атакам с использованием межсайтовых сценариев в модальном окне ссылки через URL-адрес javascript: или data :.
40	CVE-2017-9066	918			18.05.2017	18.01.2018	5.0	Нет	Пульт ДУ	Низкая	Не требуется	Нет	Частично	Нет
В WordPress до 4. 7.5 недостаточная проверка перенаправления в классе HTTP приводит к SSRF.
41	CVE-2017-9065	20			18.05.2017	2017-11-03	5.0	Нет	Пульт ДУ	Низкая	Не требуется	Нет	Частично	Нет
В WordPress до версии 4.7.5 отсутствует возможность проверки метаданных публикации в XML-RPC API.
42	CVE-2017-9064	352		CSRF	18.05.2017	2017-11-03	6.8	Нет	Пульт ДУ	Средний	Не требуется	Частично	Частично	Частично
В WordPress до версии 4.7.5 в диалоговом окне учетных данных файловой системы существует уязвимость подделки межсайтовых запросов (CSRF), поскольку для обновления учетных данных не требуется одноразовый номер.
43	CVE-2017-9063	79		XSS	18.05.2017	2017-11-03	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
В WordPress до 4.7.5 существует уязвимость межсайтового скриптинга (XSS), связанная с настройщиком, включая недопустимый сеанс настройки.
44	CVE-2017-9062	352			18. 05.2017	2019-10-02	5.0	Нет	Пульт ДУ	Низкая	Не требуется	Нет	Частично	Нет
В WordPress до 4.7.5 неправильная обработка значений метаданных поста в XML-RPC API.
45	CVE-2017-9061	79		XSS	18.05.2017	2017-11-03	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
В WordPress до 4.7.5 существует уязвимость межсайтового скриптинга (XSS) при попытке загрузить очень большие файлы, поскольку сообщение об ошибке не ограничивает должным образом представление имени файла.
46	CVE-2017-8295	640			2017-05-04	2017-11-03	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
WordPress через 4.7.4 использует HTTP-заголовок хоста для сообщения электронной почты для сброса пароля, что упрощает удаленным злоумышленникам сброс произвольных паролей, выполняя созданный запрос wp-login.php? Action = lostpassword, а затем организуя его это сообщение должно быть возвращено или отправлено повторно, что приведет к передаче ключа сброса в почтовый ящик на SMTP-сервере, управляемом злоумышленником.Это связано с проблемным использованием переменной SERVER_NAME в wp-includes / pluggable. php вместе с почтовой функцией PHP. Эксплуатация достижима не во всех случаях, поскольку для этого требуется по крайней мере одно из следующего: (1) злоумышленник может предотвратить получение жертвой каких-либо сообщений электронной почты в течение длительного периода времени (например, 5 дней), (2) система электронной почты жертвы отправляет автоответ, содержащий исходное сообщение, или (3) жертва вручную составляет ответ, содержащий исходное сообщение.
47	CVE-2017-6819	352		CSRF	11.03.2017	17.07.2017	4,3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Нет	Частично
В WordPress до 4.7.3, существует подделка межсайтовых запросов (CSRF) в Press This (wp-admin / includes / class-wp-press-this.php), что приводит к чрезмерному использованию ресурсов сервера. CSRF может инициировать исходящий HTTP-запрос для большого файла, который затем анализируется с помощью Press This.
48	CVE-2017-6818	79		XSS	11.03.2017	17.07.2017	4.3	Нет	Пульт ДУ	Средний	Не требуется	Нет	Частично	Нет
В WordPress до версии 4.7.3 (wp-admin / js / tags-box.js) существует межсайтовый скриптинг (XSS) через имена терминов таксономии.
49	CVE-2017-6817	79		XSS	11.03.2017	2017-11-03	3.5	Нет	Пульт ДУ	Средний	Одиночная система	Нет	Частично	Нет
В WordPress до 4. 7.3 (wp-includes / embed.php) в YouTube URL Embeds есть аутентифицированный межсайтовый скриптинг (XSS).
50	CVE-2017-6816	863			11.03.2017	2019-10-02	5.5	Нет	Пульт ДУ	Низкая	Одиночная система	Нет	Частично	Частично
В WordPress до 4.7.3 (wp-admin / plugins.php) непредусмотренные файлы могут быть удалены администраторами с помощью функции удаления плагина.

12 проблем безопасности (уязвимостей) WordPress и их исправления

Безопасен ли WordPress?

Краткий ответ: Ядро WordPress полностью защищено.WordPress разработан и поддерживается одними из самых преданных и эффективных инженеров в мире.

Незначительная проблема: WordPress не работает изолированно. Есть плагины и темы, имена пользователей и пароли. Они могут сделать CMS уязвимой для взлома.

Мы занимаемся безопасностью WordPress почти десять лет и знаем все о взломанных сайтах WordPress. Фактически, MalCare ежедневно защищает более 250 000 сайтов от хакеров и вредоносных атак.

ПРИМЕЧАНИЕ. Темы, плагины и учетные данные пользователя сами по себе не делают WordPress уязвимым. Использование устаревших тем и плагинов и слабых учетных данных.

В этой статье мы расскажем вам о:

1. Наиболее распространенные уязвимости и взломы, с которыми вы можете столкнуться
2. И шаги, которые необходимо предпринять, чтобы защитить ваш сайт от них.

TL; DR

Чтобы защитить свой сайт от проблем безопасности WordPress, вам необходимо установить наш WordPress Security Plugin . Он защитит ваш сайт с помощью брандмауэра и будет выполнять ежедневное сканирование. Это также поможет реализовать множество мер по усилению защиты, не нарушая работу вашего сайта.

12 наиболее распространенных проблем безопасности и уязвимостей WordPress

Проблемы безопасности WordPress можно разделить на:

1. Распространенные уязвимости WordPress
2. Распространенные взломы WordPress

Уязвимости на вашем веб-сайте используются для взлома сайта.Исправление уязвимостей снизило угрозу взлома. Ваш сайт может столкнуться с 5 серьезными уязвимостями —

.

5

Наиболее распространенные Уязвимости безопасности WordPress

1. Устаревшие темы и плагины

Мы занимаемся безопасностью WordPress почти десять лет. Имея дело с сотнями тысяч взломанных веб-сайтов, мы точно знаем, что устаревших тем и плагинов являются основной причиной взлома веб-сайтов.

Как и любое другое программное обеспечение, темы и плагины WordPress имеют уязвимости. Чтобы исправить это, разработчики быстро выпускают обновление. Когда владельцы сайтов откладывают или не внедряют обновления, они оставляют свои сайты уязвимыми для взлома.

Возьмем, к примеру, самый популярный в мире плагин форм — Contact Form 7. В нем была обнаружена уязвимость, которая позволила хакерам получить полный доступ к вашему сайту. Хотя разработчики выпустили патч практически сразу, многие владельцы сайтов пострадали от взлома из-за того, что отложили обновление или вообще проигнорировали его.К счастью, нам удалось очистить их сайт и вернуть его в нормальное состояние.

Подробнее о контактной форме 7. Еще несколько известных уязвимостей плагинов:

2.

Nulled WordPress плагины и темы

Обнуленные темы и плагины очень заманчивы в использовании. В конце концов, вы получаете премиум-функции, не платя ни копейки. Однако вам неизвестно, что за такие плагины и темы приходится платить.

Как бы вы ни думали, аннулированные темы и плагины не распространяются, чтобы помочь вам. Мотивы скорее эксплуататорские.

Пиратские темы и плагины пронизаны бэкдорами. Устанавливая его на свой сайт, вы бессознательно открываете дверь, которая будет использоваться хакерами для получения доступа к вашему сайту.

Даже если вы очистите свой сайт, пока существует пиратская тема или плагин, ваш сайт останется уязвимым. Его будут взламывать снова и снова.

Более того, пиратские темы и плагины не получают обновлений от разработчиков.Это также делает ваш сайт уязвимым.

Пиратские темы и плагины несут ответственность за заражение wp-feed.php, которое поражает сотни тысяч веб-сайтов WordPress.

3. Низкая безопасность входа в WordPress

Ваша страница входа в систему является популярной целью, поскольку она дает хакерам прямой доступ к вашему сайту WordPress.

Чтобы взломать ваши учетные данные, хакеры создают ботов, которые могут опробовать сотни имен пользователей и паролей в течение нескольких минут.Это называется атакой грубой силы.

Излишне говорить, что слабые учетные данные, такие как admin, user, password123, p @ ssw0rd, легко взломать.

Даже если атаки методом грубой силы не увенчались успехом, сотни попыток входа в систему на вашем сайте будут сказываться на вашем сервере. Загрузка страницы входа в WordPress предварительно загружает весь веб-сайт, как только запускается файл wp-config.php.

Это наверняка замедлит работу вашего сайта. Из-за перегрузки системы ваш сайт может аварийно завершить работу и выдать ошибку 503.

4. Плохая хостинговая среда

Плохие услуги хостинга также могут сделать ваш сайт уязвимым. Думайте о своем хостинг-провайдере как о ножках стула. Он выдерживает вес сидящих людей. А теперь представьте себе ногу, зараженную термитами. Это заставляет стул разрушаться под давлением.

Точно так же ваш хостинг — это столп, на котором держится ваш сайт. Если хостинг поврежден, ваш сайт не выживет.

Плохие условия хостинга особенно характерны для малоизвестных хостинговых компаний .Если вы выбираете что-то, кроме лучших хостинговых услуг, скорее всего, ваш сайт станет уязвимым для взлома или сбоя.

Тем не менее, даже популярные хостинг-провайдеры, предлагающие услуг виртуального хостинга , могут сделать ваш сайт уязвимым. Услуги общего хостинга пронизаны проблемами безопасности. Природа общей среды такова, что, когда один веб-сайт подвергается взлому, другие сайты на том же сервере пострадают от последствий.

5.Плохая практика пользователей WordPress

WordPress предлагает вам на выбор 6 различных ролей пользователей. Права доступа, предоставленные каждой роли пользователя:

• Администратор
• Редактор
• Автор
• Участник
• Подписчик

Администратор — самый мощный в группе и имеет неограниченный доступ ко всему сайту. Такую власть нельзя передать кому-либо. Тем не менее, мы сталкиваемся с множеством веб-сайтов, на которых всех пользователей сделали администраторами.

Если один пользователь решит воспользоваться предоставленными ему полномочиями, он может нанести ущерб вашему сайту. Это также дает им возможность создавать администраторов-призраков и бэкдоры, чтобы восстановить доступ к вашему сайту, если вы когда-нибудь удалите их учетные записи.

Кроме того, они могут незаметно использовать ваш сайт и данные, чтобы быстро заработать. Мы видели случаи, когда хакер менял банковский счет, связанный с платежным шлюзом на сайте WooCommerce, и высасывал все деньги прямо из магазина жертвы.

Более того, если кто-либо из пользователей использует слабые учетные данные, это увеличивает шансы быть взломанным или даже потерять полный контроль над вашим сайтом.

Это 5 наиболее распространенных уязвимостей WordPress.

Благодаря этим уязвимостям веб-сайты WordPress становятся жертвами нескольких различных типов хакерских атак. В следующем разделе мы обсудим некоторые из наиболее распространенных.

7

Самые распространенные взломы WordPress

1.SQL-инъекция

Большинство взломов WordPress осуществляется с использованием уязвимости, имеющейся на вашем сайте. В случае атаки SQL-инъекции хакеры используют уязвимости в полях ввода плагинов форм. Они используют его для внедрения вредоносных сценариев PHP в базу данных вашего сайта с целью кражи информации или получения контроля над всем сайтом.

2. Pharma Hack

Как и SQL-инъекция, фармакологические взломы также выполняются с использованием уязвимой темы или плагина или, возможно, слабых учетных данных.

После получения доступа к вашему сайту хакеры установят вирус, такой как вредоносная программа favicon.ico, нацелятся на ваши рейтинговые страницы и заразят их спамовыми ключевыми словами и всплывающей рекламой. Намерение состоит в том, чтобы использовать доверие SEO к вашему сайту для ранжирования фармацевтических препаратов, которые они продают. Всплывающие объявления — это места для перенаправления посетителей в свои магазины, где они могут продать товар.

Этот тип хакерской атаки также называется SEO-спамом.

3. Взломать японские ключевые слова

Хакерство с японскими ключевыми словами очень похоже на хакерство в фармацевтике.Уязвимые плагины и темы используются для получения доступа к вашему сайту. Затем ваши страницы засыпаются спамовыми японскими словами и партнерскими ссылками. Как только ваш сайт начинает ранжироваться по японским ключевым словам, он начинает привлекать посетителей, которые переходят по этим вредоносным партнерским ссылкам для покупки продуктов, продаваемых хакерами.

4. Атака межсайтового скриптинга

Межсайтовый скриптинг — это хитрая хакерская атака, осуществляемая с помощью уязвимого плагина или темы.

Скажем, уязвимый плагин комментариев позволяет хакерам оставлять вредоносную ссылку в разделе комментариев. Любой, кто нажмет на ссылку, в конечном итоге предоставит доступ к файлам cookie своего браузера. Хакеры используют куки-файлы браузера пользователя сайта для извлечения учетных данных пользователя и получения доступа к вашему сайту.

Этот тип взлома также называется атакой сеанса с использованием кражи файлов cookie и перехвата файлов.

5. Фишинг

Для проведения фишинг-атаки хакеры используют уязвимость (например, устаревший плагин или тему или слабые учетные данные), чтобы получить доступ к вашему сайту.

Затем хакеры используют ресурсы вашего сайта для рассылки спама вашим клиентам. Их цель — обманом заставить людей щелкнуть ссылку, которая приведет их на сайт-обман, например, на веб-сайт электронного банкинга.

Затем хакеры обманом заставят посетителей поделиться конфиденциальной информацией, например номерами кредитных карт.

6. Повышение привилегий

При атаке методом грубой силы хакеры угадывают учетные данные пользователя, чтобы получить доступ к вашему сайту.Но что, если они захватят пользователя с низкими привилегиями, такого как участник или подписчик?

Они не могли ничего сделать с таким аккаунтом. Им нужен доступ администратора. Вот тогда они прибегают к эскалации привилегий.

Хакеры используют уязвимости в плагинах, чтобы переопределить набор разрешений, предоставленных их учетной записи, и в конечном итоге получить полный контроль над сайтом. Подробнее о повышении привилегий.

7. WP-VCD.php Взломать

В WP-VCD.php, хакеры получают доступ к вашему сайту благодаря пиратским или устаревшим темам и плагинам. Они используют ваш сайт для хранения незаконных файлов и папок, таких как взломанное программное обеспечение, пиратские фильмы и телешоу. В результате они забирают много ваших ресурсов, делая ваш сайт очень медленным. В некоторых случаях ваш хостинг-провайдер даже приостанавливает работу вашего сайта за использование слишком большого количества ресурсов.

На этом мы подошли к концу наиболее распространенных хаков WordPress. Ваш веб-сайт может столкнуться с одним из них, если вы не примете следующие меры безопасности.

Как исправить наиболее распространенные проблемы безопасности WordPress?

Мы говорили об общих уязвимостях, с которыми сталкиваются веб-сайты WordPress, а также о типах взломов, которые могут быть вызваны этими уязвимостями.

Давайте покажем вам, как исправить эти уязвимости. Это значительно снизит вероятность взлома.

1. Установите плагин безопасности WordPress

Есть много плагинов безопасности на выбор, но не все плагины эффективны.Многие умеют много шуметь, но не справляются.

MalCare — это не B.S. плагин безопасности, который предлагает меры безопасности, которые ДЕЙСТВИТЕЛЬНО защищают сайт от хакеров и злонамеренных ботов.

Он разработан, чтобы закрыть все ваши дыры в безопасности.

• Плагин помогает поддерживать ваш сайт в актуальном состоянии .
• Он будет сканировать ваш сайт ежедневно и быстро предупредить вас о заражении вредоносным ПО.
• Это поможет вам выполнить мер защиты сайта меры, рекомендованные WordPress.
• И он разместит брандмауэр , чтобы отсеивать плохой трафик из страны или устройства. Прежде чем хакеры и боты смогут предпринять какие-либо действия на вашем сайте, им блокируется доступ к сайту.

Дайте MalCare Security Спин прямо сейчас!

2. Поддерживайте актуальность своего сайта

Мы не можем переоценить важность обновлений безопасности. Вы, должно быть, заметили, что большинство атак взлома, о которых мы говорили в предыдущем разделе, были вызваны устаревшими темами и плагинами.Бывает, когда происходит задержка обновления сайта. Это делает сайт уязвимым для взлома.

Узнайте больше об обновлениях безопасности WordPress. И используйте это руководство, чтобы обновить свой сайт WordPress, не нарушая его.

3. Прекратите использовать пиратские плагины и темы

Пиратские темы и плагины доступны в Интернете для распространения бэкдоров. Он используется для получения несанкционированного доступа к вашему сайту.

Многие сайты распространения пиратского программного обеспечения созданы для того, чтобы делиться ресурсами и помогать людям.Они позволяют пользователям загружать пиратские темы и плагины. Эти загрузки не проверяются, и хакеры используют эту возможность для загрузки плагинов и тем, пронизанных вредоносным ПО.

Суть в том, что вы не можете доверять пиратским темам и плагинам.

Предположим, вы получили один от надежного друга, но даже в этом случае пиратские темы и плагины не получат обновлений. Вы не хотите рисковать использовать на своем сайте устаревшее программное обеспечение.

Узнайте больше о пиратских темах и плагинах WordPress.

4. Реализуйте меры безопасности входа в систему

Хакеры постоянно проводят атаки методом грубой силы на вашу страницу входа. Есть несколько мер, которые вы можете предпринять, чтобы защитить эту страницу. Это:

Обеспечить надежные учетные данные — Отслеживайте все имена пользователей и пароли, используемые на вашем сайте. Сделайте обязательным использование уникальных имен пользователей и надежных паролей.

Внедрить защиту CAPTCHA — CAPTCHA поможет ограничить количество неудачных попыток входа в систему.Если вы используете плагин безопасности, такой как MalCare, он автоматически включит защиту CAPTCHA на вашем сайте.

Внедрение двухфакторной аутентификации — После внедрения двухфакторной аутентификации вам нужно будет вставить код, отправленный на ваш зарегистрированный номер телефона, прежде чем вы сможете получить доступ к панели управления wp-admin.

Службы

, такие как Facebook и Gmail, используют двухфакторную аутентификацию, чтобы гарантировать, что правильный пользователь получает доступ к учетной записи.Вот руководство, которое поможет вам реализовать двухфакторную аутентификацию.

Чтобы узнать о дополнительных мерах защиты, ознакомьтесь с нашим сообщением о безопасности страницы входа в WordPress.

5. Реализуйте надлежащие роли пользователей

Предоставление прав администратора каждому пользователю — плохая идея. Такая мощность должна быть у 2-3 доверенных пользователей.

Просмотрите всех пользователей вашего сайта и спросите себя, какие разрешения им необходимы для выполнения их повседневной работы.

Вот краткое изложение полномочий, предоставленных пользователям WordPress:

• Администратор — имеет доступ ко всем функциям и полностью контролирует весь веб-сайт
• Редактор — может управлять и публиковать все сообщения
• Автор — может публиковать и управлять только своими сообщениями
• Участник — может писать и черновать свои сообщения, но может Не публикую их
• Подписчик — Может управлять только своим профилем

Выбирайте роли пользователей с умом.

Это покрывает все распространенные уязвимости, о которых мы говорили.Если вы примете вышеуказанные меры, это значительно снизит вероятность взлома. Но для полной безопасности вам НЕОБХОДИМО повысить безопасность своего сайта.

6. Внедрение защиты веб-сайтов

WordPress рекомендует следующие меры защиты сайта:

Если вы используете MalCare Security Services, вы можете отключить редакторы файлов одним нажатием кнопки.

Плагин поможет вам реализовать еще несколько мер по укреплению безопасности сайта, таких как блокировка установки тем и плагинов, блокировка выполнения PHP в ненадежной папке, изменение ключей безопасности и сброс всех паролей.

Вы также можете перейти на более высокий тарифный план для службы резервного копирования.

Чтобы удовлетворить все ваши потребности в безопасности, используйте MalCare Security Plugin

Воздействие взломанного веб-сайта

Если ваш сайт взломан, вы можете столкнуться с ужасными последствиями. Некоторые из наиболее частых последствий взлома сайта WordPress:

• Хакеры перенаправляют ваших посетителей на свои вредоносные сайты.Это вызывает скачок показателя отказов на и снижение на за то время, которое человек проводят на вашем сайте.
• Всплывающие объявления на ваших страницах или незаконные файлы, хранящиеся на серверах сайта, будут замедлить ваш сайт .
• Медленный сайт никому не нравится. Посетители быстро нажмут кнопку «Назад». Поисковые системы поймут, что люди уходят с вашего сайта слишком быстро, и интерпретируют это как признак плохого веб-сайта, который не соответствует ожиданиям посетителей.Поисковые системы перестанут оценивать ваш сайт как .
• Все те времени, усилий и денег , которые вы вложили в свою SEO-игру, пойдут на отходов .
• Когда Google и ваш хостинг-провайдер обнаруживают, что ваш сайт взломан, они будут предоставлять пользователям ложные предупреждения, они могут занести в черный список и заблокировать ваш сайт соответственно.
• Очистка взломанного сайта дорого .

Что дальше?

Хотите знать, является ли ваш сайт уязвимым или даже взломанным? Вот статья, которая поможет вам получить ответ — мой веб-сайт взломан?

И если ваш сайт действительно взломан, вам понадобится мощный плагин, чтобы очистить от вредоносных программ каждый уголок вашего сайта.

MalCare — это именно тот плагин, который вам нужен.

Используйте MalCare Security для сканирования и очистки вашего сайта!

Статистика уязвимостей WordPress

Все мы знаем, что каждый год взламывают множество сайтов WordPress. Это потому, что WordPress — небезопасная система? Это глобальная проблема WordPress, или она вызвана действиями тех веб-мастеров? Как и почему это происходит?

Независимо от того, ведете ли вы личный блог, бизнес-сайт или сайт электронной коммерции на WordPress, безопасность вашего сайта должна быть приоритетом.Может быть много причин, из-за которых безопасность вашего сайта находится под угрозой. Наиболее частыми причинами являются слабые пароли, ошибки пользователей, устаревшее программное обеспечение и отсутствие обновлений безопасности.

В этой статье мы используем последние статистические данные из базы данных уязвимостей WPScan, чтобы выделить наиболее уязвимые компоненты WordPress и сделать акцент на важности использования новейшего программного обеспечения и установки необходимых исправлений безопасности.

Вы также можете найти интересную статистику и факты об уязвимостях WordPress, а также несколько рекомендаций.Давайте начнем.

Содержание

Что такое база данных уязвимостей WPScan?

Прежде чем мы углубимся в статистику, давайте объясним, откуда мы взяли эти числа. Все данные извлекаются из базы данных уязвимостей WPScan, доступной для просмотра онлайн-версии файлов данных WPScan.

WPScan — это автоматизированный сканер безопасности черного ящика WordPress с открытым исходным кодом. Этот сканер использует эти данные для обнаружения известных уязвимостей ядра WordPress, плагинов и тем на веб-сайтах WordPress.

На сегодняшний день база данных уязвимостей WPScan содержит 21 755 уязвимостей, 4 154 из которых являются уникальными уязвимостями.

Обзор уязвимостей WordPress, плагинов и тем

Согласно базе данных уязвимостей WPScan, ~ 80% известных уязвимостей, которые они зарегистрировали, находятся в основном программном обеспечении WordPress. Но вот что самое интересное — версии с наибольшим количеством уязвимостей вернулись в WordPress 3.X.

На данный момент в базе данных уязвимостей WPScan имеется 17 467 уязвимостей основного программного обеспечения WordPress.Затем есть 3846 (17%) уязвимостей плагинов WordPress и 442 (3%) уязвимости тем WordPress.

Почему так много уязвимостей ядра WordPress?

Количество уязвимостей в ядре WordPress завышено в базе данных уязвимостей из-за большого количества версий WordPress. Ниже приводится объяснение того, почему это происходит;

Уязвимость межсайтового скриптинга обнаружена в компоненте WordPress версии 5.4.2. Этот компонент используется в WordPress с версии 3.7. Следовательно, все предыдущие выпущенные версии WordPress также уязвимы.

Следовательно, в базе данных уязвимостей WPScan будет одна уникальная уязвимость и 256 уязвимостей!

Итак, ядро ​​WordPress как таковое небезопасно. Очень важно отметить, что ядро ​​WordPress прошло очень долгий путь и стало намного лучше и безопаснее, чем когда-либо.

Тип уязвимостей ядра, плагинов и тем WordPress

Самыми популярными типами уязвимостей в ядре, плагинах и темах WordPress являются межсайтовые скрипты и SQL-инъекции.

Это неудивительно, учитывая, что эти две уязвимости были включены в список 10 наиболее распространенных проблем веб-безопасности OWASP с момента его появления.

Статистика уязвимостей ядра WordPress

На приведенном ниже графике показаны 10 самых уязвимых версий ядра WordPress, при этом версии 3.7.1 и 3.8.1 возглавляют список с 92 уязвимостями в каждой. На втором месте с 91 уязвимостью находится WordPress версии 3.9.

Однако с тех пор WordPress определенно стал более безопасным.Давайте посмотрим на количество уязвимостей в последних 5 версиях WordPress. Как видите, разница довольно большая.

Топ-10 самых уязвимых плагинов WordPress

Вот несколько фактов о 10 самых уязвимых плагинах WordPress:

NextGEN Gallery, NinjaForms и WooCommerce возглавляют список с 22 уязвимостями в каждой.

Мы были удивлены, увидев All In One WP Security & Firewall, плагин безопасности WordPress в десятке самых уязвимых плагинов WordPress.Я не говорю, что такие плагины пуленепробиваемые. Хотя я ожидал, что плагин, написанный специалистами по безопасности, будет иметь меньше уязвимостей или, по крайней мере, не попадет в список 10 лучших.

10 самых уязвимых тем WordPress

На приведенном ниже графике показаны 10 самых уязвимых тем WordPress. На самом высоком уровне всего 5 уязвимостей.

Темы, как правило, имеют гораздо меньше уязвимостей, чем плагины, потому что они гораздо менее функциональны.Например, хотя большинство плагинов обрабатывают данные, ввод пользователя и манипулируют данными пользователя, темы в основном меняют внешний вид веб-сайтов WordPress.

О чем говорят нам эти уязвимости WordPress?

Люди любят WordPress из-за огромного количества доступных плагинов и тем. На момент написания этой статьи в репозитории WordPress насчитывалось более 57000 плагинов и более 7000 тем, а также тысячи дополнительных премиум-плагинов, разбросанных по сети.

Хотя все эти варианты отлично подходят для улучшения вашего сайта, вам всегда следует проводить небольшое исследование перед установкой плагина или темы на свой сайт WordPress.Хотя большинство разработчиков WordPress хорошо следят за стандартами кода и исправляют обнаруженные проблемы безопасности, как только они становятся известны, все же остается несколько потенциальных проблем:

• Плагин или тема больше не поддерживается,
• Разработчикам требуется много времени, чтобы выпустить исправление безопасности, или они не отвечают,
• Плагин или тема имеют уязвимость, однако, поскольку им не уделяется особого внимания, уязвимость остается незамеченной.

Узнайте, как выбрать лучший плагин WordPress в соответствии с вашими требованиями, чтобы получить более подробную информацию по этому вопросу и как определить, подходит ли плагин для вашего веб-сайта WordPress.

Так что вывод?

Короче говоря, держите все свое программное обеспечение в актуальном состоянии!

WordPress — одна из самых популярных CMS в мире, и если вы будете следовать лучшим практикам безопасности и поддерживать их в актуальном состоянии, маловероятно, что на вашем сайте возникнут какие-либо проблемы.

Насколько точна статистика уязвимостей WordPress?

Эти статистические данные основаны на информации, хранящейся в базе данных уязвимостей WPScan. Хотя он часто обновляется, он ни в коем случае не является полным.

Есть много других уязвимых плагинов и тем WordPress, которые здесь не перечислены. Однако это дает нам хороший обзор состояния уязвимостей WordPress.

Сообщить об известных уязвимостях WordPress

Команда WPScan призывает всех, кто знает об уязвимостях ядра WordPress, плагинов или тем, сообщить им подробности.

Прежде чем сообщать о новой уязвимости, выполните поиск в базе данных, чтобы убедиться, что проблема не была отправлена ​​ранее.Это гарантирует, что у нас будет единый централизованный и надежный источник информации.

Как обеспечить безопасность WordPress (лучшие практики)

Теперь, когда мы рассмотрели все потенциальные и известные уязвимости, давайте рассмотрим различные способы защиты вашего веб-сайта.

Во-первых, регулярно обновляйте версию WordPress. Вам обязательно стоит разработать практику обновления вашей версии WordPress, а также не забывайте обновлять свои плагины и темы.

Вот некоторые дополнительные действия, которые вы можете сделать для защиты своего веб-сайта WordPress:

• Избегайте использования общих паролей

Если у вас есть надежный пароль, любой попытки взлома можно избежать или, по крайней мере, отложить.

Любой, кто хочет войти на ваш сайт WordPress, должен будет пройти еще один шаг, прежде чем получить доступ к вашей учетной записи.

• Не использовать nulled-плагины и темы

Это соблазняет почти всех, однако эти бесплатные копии плагинов и тем премиум-класса чаще всего загружаются вредоносными программами.Поддержите разработчиков плагинов, которые вы используете, купив премиум-версию. Это помогает развивать продукт, добавлять новые функции и обеспечивать его безопасность.

• Использовать плагины безопасности WordPress

В настоящее время существует огромное количество плагинов безопасности, которые созданы для защиты вашего сайта от различных атак. Лучшие из них регулярно обновляются, что позволяет им обнаруживать любую попытку взлома и любое добавление к вашему коду. Мы разрабатываем ряд плагинов безопасности и управления сайтом для WordPress.Проверь их!

Завершить

Защита вашего сайта очень важна. Очень важно иметь четкое представление об угрозах и инструментах, которые вы можете использовать для борьбы с потенциальными атаками. Вашим первым и главным приоритетом должно быть наличие и поддержка безопасного веб-сайта.

В результате своей популярности WordPress является большой целью для хакеров. Вот почему вы должны приложить дополнительные усилия, чтобы обеспечить безопасность своего сайта. Защищенный сайт наверняка вызовет доверие у ваших потенциальных клиентов и, следовательно, поможет в росте вашего бизнеса.

Защитите свой сайт и оставайтесь в безопасности!

6 самых распространенных уязвимостей WordPress (с исправлениями)

WordPress изначально был запущен как платформа для ведения блогов, которая намного позже стала полноценным веб-решением, которым она является сегодня, для магазинов электронной коммерции, блогов, новостей и приложений корпоративного уровня. Эта эволюция WordPress внесла множество изменений в его ядро ​​и сделала его более стабильным и безопасным по сравнению с предыдущими версиями.

Потому что WordPress является платформой с открытым исходным кодом, что означает, что любой может внести свой вклад в ее основные функции.Эта гибкость принесла пользу как разработчикам, которые разрабатывают темы и плагины, так и конечным пользователям, которые используют их для добавления функциональности на свои сайты WordPress.

Однако такая открытость вызывает ряд серьезных вопросов относительно безопасности платформы, которые нельзя игнорировать. Это недостаток не в самой системе, а в структуре, на которой она построена, и, учитывая, насколько это важно, команда безопасности WordPress работает днем ​​и ночью, чтобы обеспечить безопасность платформы для конечных пользователей.

Сказав, что, как конечный пользователь, мы не можем просто полагаться на его механизм безопасности по умолчанию, поскольку мы вносим множество изменений, устанавливая различные плагины и темы на наш сайт WordPress, которые могут создавать лазейки для использования хакерами.

В этой статье мы рассмотрим различные уязвимости безопасности WordPress и узнаем, как избежать и исправить их, чтобы оставаться в безопасности!

Уязвимости и проблемы безопасности WordPress

Мы рассмотрим каждую проблему и ее решение по очереди.

1. Атака грубой силы
2. SQL-инъекция
3. Вредоносное ПО
4. Межсайтовый скриптинг
5. Атака DDoS
6. Старые версии WordPress и PHP

1. Атака грубой силы

В терминологии непрофессионала атака Brute Force Подход с множеством попыток и ошибок с использованием сотен комбинаций для угадывания правильного имени пользователя или пароля. Это делается с помощью мощных алгоритмов и словарей, которые угадывают пароль, используя какой-то контекст.

Атаки этого типа сложно выполнить, но они по-прежнему остаются одной из самых популярных атак на сайты WordPress. По умолчанию WordPress не блокирует попытки пользователя выполнить несколько неудачных попыток, что позволяет человеку или боту пробовать тысячи комбинаций в секунду.

Как предотвратить и исправить атаки грубой силы

Избежать грубой силы довольно просто. Все, что вам нужно сделать, это создать надежный пароль, который включает буквы верхнего и нижнего регистра, числа и специальные символы, поскольку каждый символ имеет разные значения ASCII, и было бы трудно угадать длинный и сложный пароль.Избегайте использования пароля типа johnny123 или whatsmypassword .

Кроме того, интегрируйте двухфакторную аутентификацию для аутентификации пользователей, дважды заходящих на ваш сайт. Двухфакторная аутентификация — отличный плагин для использования.

2. SQL-инъекция

Один из старейших хаков в книге веб-взломов — это инъекция SQL-запросов для выполнения или полного уничтожения базы данных с использованием любой веб-формы или поля ввода.

После успешного вторжения хакер может манипулировать базой данных MySQL и, вполне возможно, получить доступ к вашему администратору WordPress или просто изменить его учетные данные для дальнейшего повреждения.Эта атака обычно выполняется любителями посредственным хакерам, которые в основном проверяют свои хакерские возможности.

Как предотвратить и исправить SQL-инъекцию

С помощью плагина вы можете определить, был ли ваш сайт жертвой SQL-инъекции или нет. Вы можете использовать WPScan или Sucuri SiteCheck, чтобы проверить это.

Также обновите свой WordPress, а также любую тему или плагин, которые, по вашему мнению, могут вызывать проблемы. Проверьте их документацию и посетите их форумы поддержки, чтобы сообщить о таких проблемах, чтобы они могли разработать исправление.

3. Вредоносное ПО

Вредоносный код внедряется в WordPress через зараженную тему, устаревший плагин или скрипт. Этот код может извлекать данные с вашего сайта, а также вставлять вредоносный контент, который может остаться незамеченным из-за его скрытого характера.

Вредоносное ПО может причинить легкий или серьезный ущерб, если не обработать его вовремя. Иногда необходимо переустановить весь сайт WordPress, так как это повлияло на ядро. Это также может увеличить ваши расходы на хостинг, поскольку большой объем данных передается или размещается с использованием вашего сайта.

Как предотвратить и исправить вредоносное ПО

Обычно вредоносное ПО проникает через зараженные плагины и пустые темы. Рекомендуется скачивать темы только с проверенных ресурсов, свободных от вредоносного контента.

Плагины безопасности, такие как Succuri или WordFence, можно использовать для полного сканирования и исправления вредоносных программ. В худшем случае проконсультируйтесь со специалистом по WordPress.

4. Межсайтовый сценарий

Одной из наиболее распространенных атак является межсайтовый сценарий , также известный как атака XSS .В этом типе атаки злоумышленник загружает вредоносный код JavaScript, который при загрузке на стороне клиента начинает сбор данных и, возможно, перенаправляет на другие вредоносные сайты, влияющие на взаимодействие с пользователем.

Как предотвратить и исправить межсайтовый скриптинг

Чтобы избежать этого типа атаки, используется надлежащая проверка данных на сайте WordPress. Используйте очистку вывода, чтобы обеспечить вставку правильного типа данных. Также можно использовать плагины, такие как Prevent XSS Vulnerability.

5.DDoS-атака

Любой, кто просматривал Интернет или управлял веб-сайтом, мог столкнуться с печально известной DDoS-атакой. Распределенный отказ в обслуживании (DDoS) — это расширенная версия отказа в обслуживании (DoS), в которой на веб-сервер отправляется большой объем запросов, что замедляет его работу и в конечном итоге дает сбой.

DDoS выполняется с использованием единого источника, в то время как DDoS — это организованная атака, осуществляемая через несколько машин по всему миру. Каждый год миллионы долларов тратятся впустую из-за этой печально известной атаки на веб-безопасность.

Как предотвратить и исправить DDoS-атаки

DDoS-атаки сложно предотвратить с помощью обычных методов. Веб-хосты играют важную роль в защите вашего сайта WordPress от таких атак. Например, управляемый Cloudways провайдер облачного хостинга управляет безопасностью сервера и помечает все подозрительные, прежде чем они могут нанести какой-либо ущерб веб-сайту клиента.

Устаревшие версии WordPress и PHP

Устаревшие версии WordPress более подвержены угрозам безопасности.Со временем хакеры находят способ использовать его ядро ​​и в конечном итоге атаковать сайты, все еще использующие устаревшие версии.

По той же причине команда WordPress выпускает исправления и новые версии с обновленными механизмами безопасности. Запуск более старых версий PHP может вызвать проблемы несовместимости. Поскольку WordPress работает на PHP, для правильной работы требуется обновленная версия.

Согласно официальной статистике WordPress, 42,6% пользователей все еще используют различные старые версии WordPress.

В то время как только 2.3% сайтов WordPress работают на последней версии PHP 7.2.

Как предотвратить и исправить устаревшие версии WordPress и PHP

Это простой. Вы всегда должны обновлять установку WordPress до последней версии. Убедитесь, что вы всегда используете последнюю версию (не забудьте всегда делать резервную копию перед обновлением). Что касается обновления PHP, после того, как вы проверили свой сайт WordPress на совместимость, вы можете изменить версию PHP.

Последние мысли!

Мы познакомились с различными уязвимостями WordPress и их возможными решениями. Стоит отметить, что обновление играет важную роль в сохранении безопасности WordPress. И когда вы заметите какую-либо необычную активность, встаньте на цыпочки и начните копать, пока не найдете проблему, поскольку эти риски безопасности могут нанести ущерб в тысячи долларов.

12 Проблемы безопасности и уязвимости WordPress, о которых вы должны знать

WordPress — самая популярная CMS в Интернете, но, следовательно, она также наиболее взламывается.Например, в 2018 году 90% взломанных веб-сайтов на базе CMS размещались на WordPress, что составляло около

атак в минуту.

Если вы используете WordPress, эти данные могут побудить вас рассмотреть альтернативу. Имеет смысл ставить под сомнение безопасность используемой вами веб-службы и заботиться о ней — взлом тратит время, энергию и деньги. Это также может угрожать вашему авторитету и репутации, особенно если атаки затрагивают посетителей вашего сайта.

Невозможно подсчитать количество повседневных угроз, с которыми может сталкиваться ваш сайт.Однако есть несколько специфических для WordPress проблем, которые стоит распознать и понять, если вы станете жертвой одной из них. Многие из этих проблем также взаимосвязаны, поэтому готовность к решению одной проблемы может защитить вас от другой.

В этой статье мы рассмотрим 12 проблем безопасности и уязвимостей WordPress, почему они влияют на сайты WordPress, а также шаги, которые вы можете предпринять, чтобы они не пострадали и вы чувствовали себя в безопасности, используя WordPress в качестве CMS.

12 вопросов безопасности WordPress, о которых необходимо знать

1. Несанкционированный вход
2. Устаревшее основное программное обеспечение
3. Неопределенные роли пользователей
4. Устаревшие темы и плагины
5. Вредоносное ПО
6. Внедрение языка структурированных запросов (SQL)
7. Поисковая оптимизация (SEO) Спам
8. Межсайтовый скриптинг
9. Атаки типа «отказ в обслуживании»
10. Фишинг
11. Атаки цепочки поставок
12. Hotlinking

1.Несанкционированный вход

Несанкционированный вход в систему обычно выполняется «грубой силой». При входе в систему методом грубой силы злоумышленник использует бота для быстрого просмотра миллиардов возможных комбинаций имени пользователя и пароля. Если им повезет, они в конечном итоге угадают правильные учетные данные и получат доступ к защищенной информации.

Этот процесс выглядит как стереотипная шпионская сцена взлома кода из фильмов, где хакер спешит получить доступ к компьютеру, находясь на грани того, чтобы его поймали.

Источник изображения

Почему сайты WordPress уязвимы?

Есть две основные причины, по которым эти атаки успешно происходят на сайтах WordPress. Во-первых, страницу входа в бэкэнд по умолчанию для любого сайта WordPress относительно легко найти. Кто угодно может просто взять основной URL сайта, добавить / wp-admin или /wp-login.php в конец, и он получит доступ к странице входа. Если вы не настроите страницу входа по умолчанию, злоумышленники могут легко получить доступ и попытаться выполнить вход методом грубой силы.

В случае несанкционированного входа в систему WordPress ответственность также ложится на пользователя WordPress. Сопоставив имя пользователя по умолчанию «admin» с простым общим паролем, злоумышленники могут легко получить доступ.

Что вы можете сделать

Самая простая и эффективная защита от взлома методом перебора — это надежный пароль, который будет сложно раскрыть даже с использованием мощных технологий, которые выглядят как нечто из Матрицы. В предупреждениях о слабых, предсказуемых паролях нет ничего нового, но многие до сих пор не понимают этого.(Просто прочтите список наиболее распространенных паролей 2019 года от NordPass и плачьте.)

Позвольте мне показать вам, почему добавление небольшого количества сложности к вашим учетным данным является удивительно мощным. В таблице ниже показано приблизительное время, необходимое алгоритму случайного перебора пароля для подбора пароля со скоростью около миллиарда в секунду, в зависимости от длины пароля и использования символов нижнего регистра (LC), символов верхнего регистра (UC), специальные символы (SC) и цифры.

Источник изображения

Как показано, использование пароля с комбинацией типов символов и / или длины сделает практически невозможным успешную попытку грубой силы.

Хорошо, вы уверены, что надежные пароли действительно что-то делают. Но разве придумывание и запоминание всех этих паролей звучит как большая работа? Вот почему существуют менеджеры паролей. Эти удобные приложения будут генерировать, запоминать и безопасно хранить ваши пароли для использования в будущем.

Помимо надежных паролей, вы можете предпринять дополнительные меры для предотвращения нежелательных записей:

• Для двухфакторной аутентификации пользователи должны подтвердить свой логин на отдельном устройстве.
• Рассмотрите возможность избавления от учетной записи WordPress с именем пользователя «admin» (первое, что догадаются хакеры) и создания новой учетной записи администратора с секретным именем пользователя.
• Несколько авторитетных плагинов WordPress могут ограничивать попытки входа в систему и добавлять капчи, чтобы пресекать атаки грубой силы в зародыше. Для получения дополнительной информации см. Наш Контрольный список для окончательной проверки безопасности WordPress.

Имейте в виду, что метод грубой силы применим везде, где требуется пароль, поэтому обязательно укрепите свои логины для любой информации, защищенной паролем.И не повторяйте их на страницах входа в систему и не оставляйте их открытыми на стикерах!

Имейте в виду, что метод грубой силы применим везде, где требуется пароль, поэтому обязательно укрепите свои логины для любой защищенной паролем информации. И не повторяйте их на страницах входа в систему и не оставляйте их открытыми на стикерах!

2. Устаревшее основное программное обеспечение

Преимущество использования платформы для создания веб-сайтов по сравнению с созданием сайта с нуля заключается в том, что разработчики будут постоянно улучшать функциональность и безопасность платформы, чтобы обеспечить удобство взаимодействия с пользователем.

разработчиков WordPress выпускают обновления каждые три месяца или около того. Настоятельно рекомендуется, чтобы все пользователи WordPress загружали эти обновления, когда они становятся доступными, но это не происходит автоматически. Это означает, что ответственность ложится на пользователя. Когда это основное программное обеспечение не обновляется, сайты WordPress становятся уязвимыми.

Почему сайты WordPress уязвимы?

Устаревшее основное программное обеспечение WP делает сайты уязвимыми, поскольку обновления обычно предназначены для решения критических проблем безопасности.Пользователи, которые не скачивают обновления, становятся уязвимыми для хакеров.

Если ваше программное обеспечение устарело, вы также не сможете обновлять свои темы и плагины (о которых мы расскажем ниже), и ваш сайт становится более уязвимым для многих угроз безопасности из этого списка.

Что вы можете сделать

Хотя это может быть хорошо, WP не устанавливает для вас обновления автоматически. Вы должны стремиться быть в курсе расписаний обновлений, которые WordPress размещает в календаре, ссылка на который приведена выше.На вкладке «Обновления» на панели инструментов WordPress обычно отображается всплывающее окно с уведомлением (показано ниже), когда доступно обновление. Вы также можете нажать Проверить еще раз, чтобы убедиться.

Источник изображения

3. Неопределенные роли пользователей

Когда вы создаете сайт WordPress, вы можете выбрать одну из шести различных ролей, например «Подписчик» или «Администратор». Каждая роль имеет собственные разрешения, которые позволяют или ограничивают возможность пользователей выполнять определенные действия на вашем сайте, например изменять плагины и публиковать контент.Роль пользователя по умолчанию — Администратор, и эта роль имеет наибольший контроль над любым сайтом WordPress.

Почему сайты WordPress уязвимы?

Вот где роли пользователей становятся проблемой — если у вас несколько пользователей и вы не меняете настройки по умолчанию, все будут администраторами. Это не обязательно означает, что люди, с которыми вы создаете сайт, собираются причинить вам вред, но это означает, что хакер, получивший доступ к вашему сайту, сможет внести изменения в качестве администратора.

Плохо определенные роли администратора подвергают ваш сайт повышенному риску в случае успешной атаки методом перебора, поскольку роли администратора могут дать хакеру полный контроль над вашим сайтом. Межсайтовый скриптинг (описанный ниже) также дает хакерам доступ к интерфейсным возможностям для получения дополнительной информации от посетителей вашего сайта.

Что вы можете сделать

Независимо от цели вашего сайта WordPress, отслеживайте все разрешения. Если вы единственный администратор на своем сайте, убедитесь, что вы приняли дополнительные меры безопасности для предотвращения проникновения хакеров на ваш сайт, например двухфакторную аутентификацию или более длинные пароли.Если вы назначаете роли другим, убедитесь, что вы даете им только необходимые разрешения. Ошибки могут случиться, поэтому вы также должны быть уверены, что у автора даже нет возможности случайно удалить высокоэффективный пост.

4. Устаревшие темы и плагины

Одно из главных достоинств WordPress — его настраиваемость. Разработчики создают сотни уникальных тем и плагинов, которые владельцы сайтов WordPress могут использовать для настройки своих сайтов.

Однако эти расширения требуют от владельцев сайтов принятия надлежащих мер безопасности.Как упоминалось выше, устаревшее основное программное обеспечение может подвергнуть ваш сайт риску безопасности, как и устаревшие темы и плагины.

Почему сайты WordPress уязвимы?

Разработчики тем и плагинов часто выпускают обновления с расширенными функциональными возможностями и дополнительными мерами безопасности. Однако не все разработчики это делают.

Когда они этого не делают, сайты, использующие эти ресурсы, становятся уязвимыми для хакеров, которые могут использовать устаревшие инструменты в качестве точек входа. Например, предположим, что WordPress выпустил обновление с новым патчем безопасности, но разработчик не обновил свою тему, чтобы она соответствовала новым требованиям.В этом случае хакер может воспользоваться уязвимостью темы и получить контроль над сайтом.

Кроме того, если разработчики выпускают обновления, владельцы сайтов, которые не могут их установить, могут сделать свои сайты более уязвимыми.

Что вы можете сделать

Чтобы убедиться, что ваш сайт не уязвим для взлома из-за устаревших тем и плагинов, вы должны постоянно следить за обновлениями. Когда доступны обновления, вы можете установить их вручную или использовать плагин для автоматической установки по мере их появления.

5. Вредоносное ПО

Вредоносное ПО — это широкий термин, который включает любое вредоносное ПО (отсюда «вредоносное ПО»). Хакеры могут размещать вредоносные файлы в законных файлах веб-сайтов или внедрять код в существующие файлы для кражи с веб-сайтов и их посетителей, попытки несанкционированного входа через файлы «бэкдор» или причинения общего хаоса.

Почему сайты WordPress уязвимы?

Как и многие другие проблемы в этом списке, уязвимость для вредоносных программ напрямую связана с другими проблемами.Вредоносное ПО обычно проникает на сайты WordPress через неавторизованные и устаревшие темы и плагины. Хакеры пользуются проблемами безопасности в плагинах и темах, имитируют существующие или даже создают совершенно новые дополнения с единственной целью — разместить вредоносный код на вашем сайте.

Что вы можете сделать

Во-первых, внимательно проверьте каждый плагин и тему, которые вы устанавливаете на свой сайт WordPress. WordPress.com перечисляет полезную статистику для всех плагинов в их каталоге, как в примере ниже:

Источник изображения

Вам также следует проводить регулярные проверки безопасности, чтобы найти любые потенциальные вредоносные программы, скрывающиеся на вашем веб-сайте WordPress.Плагины здесь на самом деле ваши друзья: существует множество надежных плагинов безопасности, которые могут сканировать на наличие вредоносных программ и исправлять поврежденные файлы. Например, Defender от WPMU DEV имеет сканирование вредоносных программ и другие функции для предотвращения большинства других проблем в этом списке. Вы также можете изучить другие варианты из нашего списка рекомендуемых сканеров безопасности WP.

6. Внедрение языка структурированных запросов (SQL)

SQL — это язык программирования, который используется для быстрого доступа к сохраненным данным на определенном сайте.Это предпочтительный язык в WordPress для управления базами данных, и хотя он довольно безопасен, злоумышленники могут использовать его, чтобы воспользоваться вашим сайтом.

Во время SQL-инъекции хакер получает возможность напрямую просматривать и изменять базу данных вашего сайта. Злоумышленники могут использовать SQL для создания новых учетных записей на вашем сайте, добавления неавторизованных ссылок и контента, а также утечки, редактирования и удаления данных.

Почему сайты WordPress уязвимы?

сайтов WordPress уязвимы для такого рода атак, потому что большинство из них созданы для того, чтобы укреплять чувство общности.Злоумышленники чаще всего используют SQL-инъекции через формы отправки для посетителей, такие как контактные формы, поля информации о платеже и формы для потенциальных клиентов. Когда хакеры вводят информацию в эти формы, они не надеются использовать ваше предложение контента — они отправляют код, который будет запускаться и вносить изменения изнутри.

Что вы можете сделать

Лучше всего скептически относиться к вводу пользователя. Любая отправка формы на вашем сайте — это возможность для посетителей со злым умыслом отправить информацию прямо в вашу базу данных SQL.

Ограничить отправку специальных символов в сообщениях посетителей. Ограничьте отправку специальных символов в сообщениях посетителей. Без символов вы превращаете строку вредоносного кода в безобидную тарабарщину. Подумайте об использовании плагина форм WordPress и / или плагина безопасности WordPress, чтобы сделать эту работу за вас. Вы также можете использовать капчу в качестве последнего шага в процессе отправки, чтобы предотвратить попытки ботов делать инъекции.

7. Спам при поисковой оптимизации (SEO)

Эти взломы спама похожи на SQL-инъекции, но они нацелены на то, что любой владелец веб-сайта ценит больше всего: на SEO.Эти взломы используют преимущества ваших страниц с самым высоким рейтингом, заполняют их ключевыми словами для спама и всплывающей рекламой и используют ваш тяжелый труд для продажи предметов или поддельных товаров.

Почему сайты WordPress уязвимы?

Сайты

WordPress уязвимы для этих атак так же, как они уязвимы для других проблем безопасности из этого списка: устаревших плагинов, тем и основного программного обеспечения. Успешные грубые атаки и неопределенные роли пользователей также могут сделать ваш сайт уязвимым.

Эти взломы сложнее обнаружить, что делает их еще более опасными.Хакеры часто получают доступ, но ждут, чтобы внести какие-либо изменения, чтобы не вызвать немедленных подозрений. Поскольку они основаны на поисковой оптимизации, эти дополнительные ключевые слова, содержащие спам, размещаются только на ваших страницах с высоким рейтингом, поэтому вы не сможете их идентифицировать при проведении обзора всего сайта. Хакеры просто вставляют ключевое слово здесь и там на соответствующих страницах, например «дешевые сумки Chanel», так что ваш код остается относительно нетронутым.

Это означает, что SEO-спам наиболее заметен для поисковых роботов, так как они будут индексировать ваш сайт по ключевым словам для спама и пользователям, которые ищут пакеты Chanel (или другое ключевое слово для спама).

Что вы можете сделать

Первое, что нужно сделать, — это выполнить вышеупомянутые меры безопасности, такие как своевременное обновление и определение ролей пользователей. Вы также можете использовать плагин безопасности WordPress, который может запускать сканирование на наличие вредоносных программ. Мы создали список высококачественных подключаемых модулей безопасности и контрольный список безопасности, который вы можете использовать для защиты своего сайта от SEO-спама (и других проблем из этого списка).

Если вы хотите самостоятельно определять эти взломы, обратите особое внимание на данные своей аналитики и отметьте любые внезапные изменения в позициях в результатах поиска или увеличение посещаемости сайта без видимых причин.Интернет-браузер также может уведомить вас о том, что ваш сайт отображается в результатах поиска по тому, что не имеет отношения к вашему сайту. Если у вас есть знания в области кодирования, вы можете просмотреть свои страницы с высоким рейтингом, которые кажутся затронутыми, и попытаться определить неуместные ключевые слова.

Независимо от того, какой путь вы выберете, важно определить и устранить эти взломы на раннем этапе, потому что поисковые роботы будут атаковать ваш сайт за тактику спама, и вся тяжелая работа, которую вы проделали, пойдет напрасно.

8. Межсайтовые сценарии

Межсайтовый скриптинг (XSS) происходит, когда злоумышленник помещает вредоносный код во внутренний код выбранного веб-сайта. Атаки XSS похожи на инъекции в базу данных, поскольку злоумышленники пытаются внедрить код, который работает в ваших файлах, но XSS в первую очередь нацелен на функциональность веб-страниц. Получив доступ к вашему интерфейсу, хакеры могут попытаться нанести вред посетителям, например, разместив замаскированную ссылку на неисправный веб-сайт или отобразив поддельную контактную форму для кражи информации о пользователе.

Почему сайты WordPress уязвимы?

Опять же, виноваты здесь плагины и темы WordPress. Если злоумышленник обнаружит на вашей стороне устаревший или плохо обслуживаемый плагин, он может использовать его для доступа к файлам, которые определяют интерфейс вашего сайта. То же самое и с темами WordPress.

Что вы можете сделать

Обновление, обновление, обновление! Всегда следите за тем, чтобы ядро ​​WordPress, плагины и тема работали с их последними версиями, и будьте очень осторожны при установке стороннего программного обеспечения на свой веб-сайт.

Еще один полезный инструмент для предотвращения XSS — это брандмауэр веб-приложений (WAF), который проверяет трафик и предотвращает проникновение неутвержденных посетителей в вашу систему из внешних сетей. WAF легко настраивать и поддерживать, поэтому мы рекомендуем просматривать авторитетные плагины WAF, чтобы защитить свой сайт WordPress от XSS, SQL-инъекций и других атак.

9. Атаки типа «отказ в обслуживании»

Атака типа «отказ в обслуживании» (DoS) направлена ​​на то, чтобы заблокировать доступ администраторов и посетителей сайта к сайту.Для этого на целевой сервер отправляется такой объем трафика, что он дает сбой и закрывает все размещенные на нем веб-сайты. В конце концов, сервер и размещенные на нем веб-сайты восстанавливаются, но восстановить репутацию атакованных веб-сайтов может быть сложно.

Эти атаки часто проводятся с нескольких машин одновременно (формируя ботнет), что скрывает исходный источник трафика и увеличивает объем спама. Это известно как распределенная атака типа «отказ в обслуживании» (DDoS), и это намного хуже.

Почему сайты WordPress уязвимы?

Как и любому веб-сайту, сайтам, работающим на WordPress, нужен хостинг. DoS- и DDoS-атаки нацелены на серверы хостинга, а именно на серверы с ограниченной безопасностью.

Что вы можете сделать

Не полагайтесь только на плагины для этого; Лучшая защита от DoS / DDoS-атак — это безопасный хостинг WordPress. Найдите надежного хостинг-провайдера, который соответствует потребностям вашего бизнеса и имеет репутацию человека, серьезно относящегося к безопасности. Например, планы управляемого хостинга WP Engine включают инструменты защиты от DDos-атак, а также мощное решение безопасности, известное как Global Edge Security, созданное специально для защиты сайтов WordPress. Эта киберзащита корпоративного уровня может помочь предотвратить DDoS-атаки на ваш сайт.

10. Фишинг

Фишинг получил свое название от настоящей рыбалки, когда люди выбрасывают леску за леской в ​​надежде откусить. При фишинге хакеры рассылают огромное количество спам-ссылок в надежде, что хотя бы один человек нажмет на них и его информация будет скомпрометирована. Вы, вероятно, слышали о фишинговых атаках или подвергались фишинговым атакам через кажущиеся законными электронные письма в вашем почтовом ящике или текстовые сообщения с неизвестных номеров.

К сожалению, WordPress не застрахован от этой практики рассылки спама.

Почему сайты WordPress уязвимы?

Как и другие проблемы безопасности в этом списке, сайты WordPress становятся уязвимыми для попыток фишинга из-за устаревших плагинов, тем, программного обеспечения или отсутствия проверок безопасности для форм отправки и комментариев.

Если пользователь со злым умыслом должен был получить доступ к вашему сайту с правами администратора, он может публиковать спам-ссылки, по которым пользователи могут щелкнуть, которые скомпрометируют их информацию. Фишинг основан на доверии пользователей к вам и вашему контенту, поскольку маловероятно, что их исходное предположение состоит в том, что вы пытаетесь их обмануть.Хакеры также могут оставлять комментарии на страницах вашего сайта со ссылками, которые, по-видимому, могут направлять пользователя на дополнительные ресурсы, являющиеся спамом.

Вот пример спам-комментария, побуждающего читателей щелкнуть ссылку.

Источник изображения

Что вы можете сделать

Защита от фишинга включает в себя обычные шаги: регулярное обновление, мониторинг активности сайта и использование надежных паролей. Вам также следует загрузить дополнительные меры безопасности для своего сайта, такие как ReCAPTCHA, для защиты от спам-фишинговых ботов.ReCAPTCHA использует машинное обучение, чтобы понять шаблоны просмотра, чтобы различать людей и ботов.

11. Атаки цепочки поставок

Атаки на цепочку поставок

также используют одну из самых любимых функций WordPress: темы и плагины. Эта атака может произойти двумя способами: владелец плагина устанавливает вредоносное ПО на сайты клиентов или хакер покупает популярный плагин и внедряет спам-код, замаскированный под обновление.

В результате использования обоих методов хакерам предоставляется доступ к внутренним возможностям своего сайта.Они могут получить доступ к защищенным файлам и нанести ущерб защищенной информации посетителей сайта или реализовать дополнительные взломы, такие как SEO-спам и фишинг.

Почему сайты WordPress уязвимы?

сайтов WordPress уязвимы для этих типов атак, потому что они основаны на том, что вы должны делать, и на том, что мы рекомендуем делать для решения большинства проблем из этого списка: регулярные обновления.

Что вы можете сделать

К счастью, атаки на цепочки поставок часто имеют короткий срок хранения, потому что разработчики WordPress активно работают над выявлением этих поддельных плагинов и тем и быстро блокируют затронутые.Однако, если один из них окажется незамеченным, установка подключаемых модулей безопасности, которые регулярно проверяют ваш сайт, быстро обнаружит любые уязвимости.

Также стоит сделать резервную копию данных вашего сайта WordPress, чтобы вы могли сохранить их в случае взлома. Как всегда, это можно сделать вручную или загрузив дополнительные плагины.

12. Hotlinking

Hotlinking — одна из худших вещей для создателя контента — ваша работа используется другими без разрешения или кредита.Как правило, другой веб-сайт будет встраивать контент, например изображения, с вашего веб-сайта, который размещен на вашем сервере, вместо того, чтобы загружать его самостоятельно. Они используют деньги, которые вы тратите на поддержание вашего сайта в рабочем состоянии, для загрузки изображений на свой сайт, что может привести к более высоким ежемесячным счетам со стороны вашего хостинг-провайдера.

Это не прямая спам-атака, поскольку люди, использующие хотлинкинг, скорее всего, не хакеры, но это плохая интернет-практика, которую еще предстоит искоренить.Если ваш контент лицензирован и ограничен для вашего индивидуального использования, то горячие ссылки — это не просто плохой этикет — это незаконно.

Почему сайты WordPress уязвимы?

Как владелец сайта вы хотите делиться своим высококачественным контентом с посетителями сайта. Сайты WordPress уязвимы для хотлинкинга, потому что люди этим пользуются.

Они просто копируют и вставляют ссылку на изображение или цифровой файл с другого сайта на свой сайт без указания авторства. У некоторых владельцев сайтов WordPress может не быть времени принять превентивные меры против хотлинкинга — или даже подумать об этом.

Что вы можете сделать

Существует множество способов защитить ваш контент от хотлинкеров, но самый простой вариант — добавить различимые водяные знаки. Это удобное решение, которое не обязательно остановит все злоумышленники, но для удаления вашего личного тега потребуется дополнительный шаг.

Водяной знак может быть просто вашим именем, доменом веб-сайта или логотипом товарного знака, охраняемого авторским правом, для зарегистрированного содержимого. Вы можете лично добавить этот водяной знак к своему контенту или использовать проверенный метод WordPress: плагин.Большинство инструментов в этом списке предназначены для фотографов, но подходят для всех, кто надеется добавить водяной знак на свое изображение (пример показан ниже).

Источник изображения

Защитите то, что вы создали

Все мы знаем, что Интернет может быть страшным местом. Это может показаться сложным, но важно понимать возможные риски и угрозы, которые иногда пугают Интернет. Это особенно важно, если вы потратили время на создание персонализированного сайта с богатым содержанием на WordPress.

Постоянная осведомленность о кибербезопасности — один из лучших способов защитить свое присутствие в Интернете, защитить рост вашего бизнеса и завоевать доверие клиентов.

7 уязвимостей безопасности WordPress и способы их устранения

По данным BuiltWith, 44% веб-сайтов, использующих системы управления контентом, используют WordPress. Имея это в виду, мы подготовили для вас полное руководство по уязвимостям WordPress с советами по безопасности, полезными инструментами и ссылками на важные ресурсы…

Когда мы говорим об уязвимости WordPress, мы имеем в виду любую лазейку или слабое место в безопасности вашего веб-сайта WordPress (WP) или самой платформы CMS.Киберпреступники могут использовать эти уязвимости WP для:

• Выполнять различные кибератаки.
• Украсть данные, которые они могут использовать или продать.
• Распространение вредоносного ПО.
• Обход механизмов аутентификации.
• Несанкционированные изменения и транзакции на сайте.
• Уберите свой сайт.

Хакеры используют уязвимости системы безопасности WordPress в качестве точек входа для взлома вашего веб-сайта. Если хакеры украдут и неправильно используют личную и финансовую информацию ваших пользователей, вы также можете столкнуться с юридическими последствиями.Следовательно, вам важно найти все возможные уязвимости WordPress и исправить их как можно скорее.

Люди также могут найти общие уязвимости и уязвимости в открытом доступе. Например, MITER ведет список CVE, включая многие из последних уязвимостей безопасности WordPress.

В этой статье мы расскажем о семи наиболее распространенных уязвимостях системы безопасности WordPress и о том, что вы можете сделать, чтобы их исправить.

7 уязвимостей безопасности WordPress и способы их устранения

Некоторые из этих исправлений легко применить, а другие требуют базовых знаний программирования.Мы также связали необходимые страницы ресурсов и плагины, чтобы вам было проще применять советы.

Уязвимость WordPress 1: уязвимые поля входа в систему

Как мы упоминали ранее, «уязвимость WP» означает любой слабый компонент платформы WordPress (а также плагины, темы, небезопасные учетные записи или базы данных и т. Д.), Которые злоумышленники используют для получения несанкционированного доступа к вашему веб-сайту. Одна из таких уязвимых областей — поля страницы входа в систему. У хакеров есть несколько приемов, которые они применяют к полям входа в систему, чтобы обойти механизм аутентификации.

После того, как они успешно войдут в вашу учетную запись (администратор), им станет легко установить вредоносное ПО, публиковать неприемлемый контент или красть данные других пользователей. Вот почему незащищенное поле входа в систему является одной из основных уязвимостей WP.

WP Решение 1. Ограничение попыток входа в систему

Одним из способов решения этой проблемы является установка подключаемых модулей (существует множество типов, таких как Limit Login Attempts , Loginizer и WPS Limit Login). По умолчанию все сайты WordPress позволяют пользователям вводить свои идентификаторы и пароли неограниченное количество раз, пока они не найдут правильную комбинацию учетных данных.

Хотя эта функция упрощает вход в систему для пользователей, которые плохо запоминают свои пароли, хакеры используют ее как одну из тех уязвимостей безопасности WordPress, которые они могут использовать, развернув атаку методом грубой силы. В этой атаке хакер применяет бота для постоянного ввода учетных данных в поля входа. Это позволяет злоумышленнику продолжать автоматически применять заранее угаданную базу данных с кажущимися безграничными идентификаторами пользователей и паролями до тех пор, пока он не сделает успешную попытку входа в систему.

Лучший способ предотвратить атаки методом перебора — ограничить количество попыток входа в систему, которые пользователь может сделать за определенный период. После заранее определенного количества неудачных попыток входа в систему (обычно от трех до пяти) система временно блокирует пользователя / IP-адрес.

WP Решение 2. Использование надежных паролей

Установите плагины, такие как Password Policy Manager или Force Strong Passwords, чтобы убедиться, что все ваши пользователи, сотрудники, соавторы и т. Д. Создают надежные пароли (с одним верхним регистром, одним нижним регистром, одной цифрой и одним специальным символом).

WP Решение 3. Двухфакторная аутентификация

Пароли могут быть украдены, угаданы или уязвимы для атак методом грубой силы. Для борьбы с этим вы можете установить инструмент / плагины двухфакторной аутентификации (2FA), такие как Google Authenticator, Two-Factor Authentication или WP 2FA, чтобы включить один дополнительный уровень безопасности. При использовании 2FA вместе с паролем вам необходимо предоставить уникальный одноразовый пароль (OTP), секретный код или PIN-код, который будет отправлен на ваш мобильный телефон или адрес электронной почты. После включения 2FA ваша страница входа будет выглядеть примерно так:

WP Решение 4.Уникальные идентификаторы пользователей

Если вы используете общие идентификаторы пользователей, такие как «admin» или собственное имя, немедленно измените их, чтобы создать что-то уникальное. Общие и общие идентификаторы пользователей могут быть использованы с помощью атак грубой силы.

Уязвимость WordPress 2: неизмененные URL-адреса и имена файлов

Еще одна уязвимость системы безопасности WordPress, которую пользователи часто упускают из виду, — это использование структуры по умолчанию для URL-адресов, имен файлов и мест хранения. Используя имена и местоположения по умолчанию, вы упрощаете злоумышленникам поиск важных страниц и файлов для их взлома.Вы должны вручную изменить эти пути и имена файлов, чтобы исправить эту уязвимость.

WP Решение 1. Измените путь URL-адреса по умолчанию для страницы администратора

WordPress использует следующие URL-адреса в качестве ссылок на административную страницу по умолчанию:

• www.yourdomain.com/ wp-login.php и
• www.yourdomain.com/ wp-admin .

Любой желающий может легко получить доступ к странице входа администратора и использовать ботов для активации атаки методом грубой силы. Но если ваш URL-адрес администратора уникален, только человек, имеющий точный URL-адрес, может получить доступ к вашей странице входа.

Будьте изобретательны и измените URL своей страницы администратора на что-нибудь уникальное. Например: www.yoursite.com/ pinkbird.php или www.yoursite.com/ nationalpark .

WP Решение 2. Измените имя таблицы базы данных по умолчанию

По умолчанию имя таблицы в вашей базе данных WordPress имеет префикс wp- . Все ваши учетные данные для входа, информация о пользователе, сведения о транзакции, журналы аудита и другие важные типы данных хранятся в этих таблицах. Вот почему хакеры часто используют эти типы баз данных.Злоумышленники используют ботов для поиска и взлома вашей базы данных WordPress.

Следуйте этому руководству, чтобы изменить префикс на уникальное имя: Инструкция по изменению префикса таблицы в WordPress

WP Решение 3. Измените расположение файла Wp-config.php

В файле wp-config.php хранится информация о важных настройках, конфигурациях, ключах аутентификации WordPress и базах данных вашего веб-сайта. Файл wp-config.php по умолчанию хранится в корневом каталоге и может быть доступен хакеру.Переместите файл wp-config.php в любую другую папку над корневым каталогом, который не является подкаталогом вашей папки public_html или WWW.

Для получения дополнительной информации и инструкций ознакомьтесь с этой статьей о том, как изменить расположение файла wp-config.

Уязвимость WordPress 3: Отсутствие шифрования передачи данных

Когда ваши пользователи отправляют на ваш веб-сайт какие-либо данные (имя, адрес электронной почты, пароль, данные платежной карты, налоговую информацию и т. Д.)), которые передаются в виде обычного текста. Это означает, что при обмене данными между браузером пользователя и вашим веб-сервером хакер может перехватить незащищенный канал связи и прочитать данные. По сути, ваш веб-сайт будет уязвим для атак типа «злоумышленник посередине» (MitM).

На этом рисунке показано, как злоумышленник может перехватить незащищенный обмен данными. Это также подчеркивает важность использования HTTPS для защиты вашего сайта WordPress. Это позволяет вам исключить еще одну потенциальную уязвимость WP из вашего списка!

Они могут использовать эти данные для проведения атак с использованием программ-вымогателей, финансового мошенничества или кражи личных данных.Вот почему незашифрованные каналы передачи данных считаются еще одной уязвимостью WordPress.

Чтобы решить эту проблему, установите на свой веб-сайт сертификат SSL / TLS. Это позволяет вам зашифровать данные, передаваемые между браузерами ваших пользователей и вашим веб-сервером, с помощью асимметричного шифрования. Доступны бесплатные и коммерческие сертификаты, но, как правило, лучше выбирать платные SSL-сертификаты, а не бесплатные. Это связано с тем, что коммерческие SSL-сертификаты поставляются с гарантиями и поддержкой клиентов и могут стоить так же недорого, как и менее 10 долларов в год.

Вы можете легко установить эти сертификаты в cPanel. Также доступны различные плагины, которые вы можете использовать (например, плагин Really Simple SSL ).

Уязвимость WordPress 4: отсутствие брандмауэров, вредоносных программ и сканеров уязвимостей

Кибербезопасность — это непрерывный процесс. Если ваш веб-сайт не контролируется и не защищается постоянно сканером вредоносных программ и брандмауэром, вы можете не знать о кибератаке или атаке вредоносного ПО, пока не станет слишком поздно.Следовательно, незащищенный веб-сайт считается серьезной уязвимостью WordPress.

Сканеры безопасности и брандмауэры круглосуточно контролируют ваш веб-сайт, обнаруживают и удаляют вредоносные программы, блокируют подозрительные IP-адреса и предотвращают кибератаки на начальном этапе только для предотвращения дальнейшего ущерба.

Обязательно устанавливайте любые сканеры безопасности WP и брандмауэры только проверенных компаний и веб-сайтов. Вы также можете использовать сканер веб-сайтов, например HackerProof Trust Mark от Sectigo, который каждый день сканирует ваш веб-сайт на наличие уязвимостей и дает советы по их устранению.

Уязвимость WordPress 5: Устаревшие компоненты WordPress

Хакеры, разработчики и охотники за ошибками (этичные хакеры, также известные как хакеры в белой шляпе) всегда пытаются найти уязвимости безопасности WordPress в кодах. Разница между ними в том, что они делают, когда их находят. Последние двое хотят найти их, чтобы их можно было исправить, и чтобы разработчики могли развернуть исправленную версию, исправляющую ошибку. (Хакеры хотят это использовать.)

Информация о некоторых известных уязвимостях WP также опубликована в открытом доступе.База данных уязвимостей WordPress (wpvuldb.com) — это то место, где вы можете узнать о последних уязвимостях WordPress. Некоторые другие ресурсы включают список MITRE CVE, о котором мы упоминали ранее, а также Национальный институт стандартов и технологий (NIST).

Поскольку некоторые из основных уязвимостей WP легко найти в Интернете, хакеры ищут веб-сайты, используя старые, непропатченные версии WordPress, чтобы использовать свои уязвимости в системе безопасности. Следовательно, почему так важно следить за обновлениями и устанавливать исправленные версии, как только они становятся доступными.

Уязвимость WordPress 6: уязвимости плагина WordPress

Снимок экрана панели управления WordPress, который показывает, что доступны обновления плагинов.

Wpvulndb.com сообщает о 21 785 уязвимостях в своей базе данных, из которых 3882 (т.е. 17,8%) являются уязвимостями плагинов WordPress.

WordPress — это платформа с открытым исходным кодом, поэтому любой может создавать для нее плагины и публиковать их там. Некоторые разработчики плагинов могут быть разработчиками-любителями или могут не очень строго относиться к безопасности плагинов.Это приводит к плохо закодированным плагинам со слабой защитой. Но даже хорошо известные плагины страдают от уязвимостей безопасности из-за человеческих ошибок.

Например, MalCare сообщает, что в 2020 году были использованы или исправлены следующие хорошо известные плагины:

• File Manager (WordFence сообщает, что этот эксплойт затронул 700 000 пользователей WordPress),
• The Duplicator,
• ThemeGrill Demo Importer,
• Profile Builder,
• Гибкие поля проверки,
• ThemeREX Addons,
• Async2058,
• Async2058,
Календарь современных событий Lite и
• 10Web Map Builder для Google Maps.

Хотите узнать больше об уязвимости конкретного плагина WordPress? Ознакомьтесь с этой базой данных, чтобы просмотреть впечатляющий список уязвимостей плагинов WP.

Как исправить проблемы, связанные с подключаемыми модулями

Плагины

имеют прямой контроль над некоторыми частями вашего сайта. Таким образом, вместо того, чтобы усердно искать уязвимости на всем вашем веб-сайте, хакерам просто нужно использовать только один плагин, который вы используете, чтобы попасть на ваш сайт и взломать его! Вот почему хакеры всегда ищут уязвимости плагинов WordPress.

Вы, как пользователь, не можете исправлять ошибки плагина. Это работа разработчика плагина. Но вы можете сделать это, следуя этим инструкциям.

WP Решение

1: Установить надежные плагины

Рекомендуется устанавливать плагины от известных компаний или разработчиков. Проверьте отзывы пользователей перед их установкой, чтобы убедиться, что вы не создаете себе новых проблем.

WP Решение

2: Немедленно сообщать об ошибках безопасности :

Некоторые из наиболее распространенных уязвимостей безопасности WordPress связаны с проблемами и ошибками плагинов.Вот почему крайне важно сообщать о них всякий раз, когда вы сталкиваетесь с подобными проблемами. Чем раньше разработчик сможет выявить ошибки и исправить их, тем в большей безопасности будет ваш (и другие веб-сайты).

Итак, если вы устанавливаете плагин и заметили что-то необычное, например следующие примеры, обязательно сообщите об этом разработчику:

• Появляются новые поля формы, которые вы не добавляли,
• Ответы на формы автоматически меняются в вашей базе данных,
• Ответы на формы показывают коды или необычные ссылки

WP Решение

3: Регулярно обновляйте плагины

Большинство разработчиков плагинов быстро исправляют ошибки безопасности и публикуют исправленные версии своих плагинов.Убедитесь, что вы установили обновленные плагины, как только новые версии появятся на рынке.

Когда люди используют плагины freemium, они могут не получить доступ к обновленным версиям плагинов, если не заплатят за это. Из-за этого джекеры знают, что люди, использующие бесплатные плагины, обычно могут не иметь обновленных версий. Итак, злоумышленники просто находят популярные плагины freemium и ищут бесплатных пользователей, чтобы взломать их веб-сайты.

Когда вы решите использовать плагин freemium, имейте в виду, что рано или поздно вы «заплатите за это» — либо купив доступ к обновлениям, либо став жертвой, когда преступник использует уязвимость, которую вы не применили. патч для!

Уязвимость WordPress 7: незащищенные поля ввода

Хакеры могут вставлять полезные данные в поля ввода любого типа, такие как контактные формы и формы подписки, поля входа в систему, комментарии или даже в строку поиска вашего сайта.Полезная нагрузка может выполнять межсайтовые сценарии (XSS) или SQL-инъекции. Иногда злоумышленники вставляют нежелательную рекламу и вредоносные гиперссылки в разделы комментариев на веб-сайтах.

При XSS-атаках хакеры вставляют сценарии в любое место веб-страницы, но чаще всего в поля ввода. Когда пользователи нажимают на такие поля, на компьютер пользователя загружается вредоносная программа, они перенаправляются на сайт, содержащий спам, или предоставленные данные украдены хакерами.

С помощью SQL-инъекций хакеры создают вредоносный код в веб-приложениях и формах ввода, чтобы воспользоваться существующими в них уязвимостями.Это позволяет киберпреступникам обходить механизмы аутентификации веб-сайтов, извлекать их конфиденциальные данные или даже захватывать все свои базы данных с помощью атак программ-вымогателей.

Это некоторые методы, которые можно использовать для защиты полей ввода.

1. Минимизировать ввод данных пользователем: Имейте прокрутки вниз, календари и контрольные списки, чтобы уменьшить поля, в которых пользователям нужно записывать информацию в произвольной форме. Например, для даты рождения, вместо того, чтобы заставлять пользователей записывать данные вручную, имейте календарь, из которого им нужно выбрать DOB.
2. Проверка данных / белый список: Проверка означает обеспечение того, чтобы данные, предоставленные пользователями, были в том же формате, что и должны быть. Например, поле имени должно принимать только буквы (не цифры или специальные символы). Ответ в поле номера телефона должен быть в формате xxx-xxx-xxxx и содержать только цифры. Узнайте больше о кодах проверки и реализации.
3. Тщательная дезинфекция входных данных: Это второй шаг после проверки, на котором WordPress сканирует все входные данные и удаляет вредоносные коды, прежде чем они попадут в базу данных.Ознакомьтесь с этим руководством от WordPress, чтобы узнать, как дезинфицировать свои входные данные.
4. Блокировать спамерский контент из комментариев: Установите плагины, такие как Akismet, CleanTalk или Antispam Bee, для обнаружения и удаления спама и вредоносных комментариев.
5. Обновление, обновление, обновление: Как указано в предыдущем пункте, регулярно обновляйте все свои компоненты WordPress (версию WordPress, темы, плагины и приложения).
6. Используйте брандмауэры веб-приложений и другие средства защиты : Программное обеспечение безопасности (например, IDS / IPS) и брандмауэры могут обнаруживать уязвимости в формах ввода и сканировать входные данные.Это неотъемлемые инструменты, без которых не должен обходиться ни один веб-сайт WordPress — или любой другой веб-сайт в этом отношении.

Заключительные слова об уязвимостях безопасности WordPress

По данным BuiltWith, из всех веб-сайтов, использующих системы управления контентом (CMS), 44% веб-сайтов используют WordPress. Каждый месяц на WordPress публикуется 70 миллионов новых сообщений. Несомненно, когда платформа станет чрезвычайно популярной среди всего технологического сообщества и компаний любого размера, она также привлечет хакеров и киберпреступников.Эти злоумышленники всегда ищут уязвимости WP в основном программном обеспечении, плагинах, темах или приложениях WordPress.

На самом деле, ваш сайт никогда не будет на 100% свободным от уязвимостей WordPress. Кибербезопасность — это непрерывный и развивающийся процесс, а это означает, что вам необходимо постоянно следить за общей безопасностью вашего веб-сайта. Речь идет о том, чтобы стать как можно более серьезной мишенью для киберпреступников.

Следуя вышеупомянутым советам, вы можете, по крайней мере, исправить хорошо известные уязвимости безопасности WordPress и позволить своему веб-сайту выработать надежную систему безопасности.

Серьезные уязвимости исправлены в Facebook для плагина WordPress

В подключаемом модуле Facebook для WordPress исправлены две серьезные уязвимости.

Обнаруженные командой Wordfence Threat Intelligence на этой неделе, ошибки влияют на Facebook для WordPress, ранее известный как Official Facebook Pixel.

Плагин, используемый для отслеживания действий пользователя при посещении страницы и отслеживания посещаемости сайта, был установлен на более чем 500 000 веб-сайтов.

22 декабря исследователи кибербезопасности в частном порядке раскрыли поставщику критическую уязвимость, которой была присвоена оценка серьезности CVSS 9. Уязвимость, описанная как внедрение объекта PHP, была обнаружена в функции run_action () программного обеспечения.

Если был сгенерирован действительный одноразовый номер — например, с помощью настраиваемого сценария — злоумышленник может предоставить подключаемому модулю объекты PHP для злонамеренных целей и зайти так далеко, что загрузит файлы на уязвимый веб-сайт и выполнит удаленное выполнение кода. (RCE).

«Эта уязвимость позволила злоумышленникам, не прошедшим проверку подлинности и имеющим доступ к секретным солям и ключам сайта, добиться удаленного выполнения кода за счет уязвимости десериализации», — заявляет команда.

Вторая уязвимость, считающаяся очень важной, была обнаружена 27 января. Недостаток безопасности межсайтовой подделки запросов, который приводит к проблеме межсайтового скриптинга, был обнаружен случайно при ребрендинге плагина.

Когда программное обеспечение было обновлено, была введена функция AJAX, чтобы упростить интеграцию плагинов.Однако проблема проверки разрешений в функции открыла злоумышленникам возможность создавать запросы, которые могли быть выполнены, «если бы они могли обманом заставить администратора выполнить действие при аутентификации на целевом сайте», согласно Wordfence.

«Действие может быть использовано злоумышленником для обновления настроек плагина, чтобы он указывал на свою собственную консоль Facebook Pixel и украл данные метрик для сайта», — говорит команда. «Что еще хуже, поскольку не было никакой очистки сохраненных настроек, злоумышленник мог внедрить вредоносный JavaScript в значения настроек.«

Вредоносный JavaScript может, например, использоваться для создания бэкдоров в темах или создания новых учетных записей администратора для взлома целых веб-сайтов.

Отчеты были приняты группой безопасности Facebook, и 6 января было выпущено исправление для первой уязвимости. за которым последовало второе исправление 12 февраля. Однако исправление для второй ошибки потребовало настройки, и полное исправление не было опубликовано до 17 февраля.

Добавить комментарий Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Комментарий *

Имя *

Email *

Сайт

Поиск:

Рубрики

• Seo
• Wordpress
• Дизайн
• Заработок
• Плагин
• Разное
• Рекомендац
• Сайт
• Совет
• Советы
• Тем
• Темы
• Урок
• Уроки