Quanto è sicuro il tuo sito WordPress?
Uno dei principali problemi con la tecnologia sono i frequenti errori nella sicurezza che sperimentiamo; molte informazioni vengono rubate quotidianamente e utilizzate per rubare più informazioni, inviare messaggi di spam, aprire backdoor ai sistemi e talvolta anche danneggiare i nostri computer.
Nessuno di questi problemi è sconosciuto a WordPress, un numero impressionante di siti è diventato vittima di criminali spiacevoli che sfruttano la comunità per il proprio guadagno personale.
Per superare questa minaccia, abbiamo preparato una carrellata di alcuni buoni strumenti e suggerimenti su come evitare di essere la prossima vittima. O se sei abbastanza sfortunato da essere già una vittima, come reagire e riparare l'installazione.
Exploit attacchi
Potresti averne sentito parlare, potresti persino conoscere i dettagli, ma per coloro che non hanno il problema: un exploit è un codice malevolo distribuito per sfruttare un punto debole del codice esistente.
timthumb era suscettibile a un attacco di questo tipo; una delle sue funzioni, che consente agli utenti di caricare immagini da diversi siti e accedervi liberamente, memorizzando le immagini in una directory cache in modo che Timthumb non debba rielaborarle di nuovo. Questa funzione potrebbe essere sfruttata da un hacker che carica i file sul server, consentendo loro l'accesso a quante più risorse dall'installazione di WordPress come desiderano.
Esattamente lo stesso problema influenzato Uploadify , un plugin che consente agli utenti di caricare file. Se non controllato correttamente, il plug-in consentiva agli hacker di accedere gratuitamente al sito caricando script PHP per concedere autorizzazioni di accesso.
Immagine di manutenzione via Shutterstock.
Il problema in questi casi, come con la maggior parte degli attacchi di exploit, non era WordPress ma piuttosto i plugin stessi. La soluzione è semplice, tieni aggiornati i plugin e segnala eventuali bug che incontri agli sviluppatori per aiutarli a correggere potenziali problemi.
Iniezioni SQL
L'installazione di WordPress non è immune ai problemi. A seconda della versione, l'iniezione SQL può essere un grosso problema. Un'iniezione SQL è un processo mediante il quale un utente malintenzionato cerca di passare il codice SQL tramite un modulo o uno script del sito Web nella speranza che il codice SQL analizzi 'correttamente' e recuperi i dati dal database. Questi dati potrebbero essere indirizzi email, ma più probabilmente sarebbero nomi utente e password che darebbero all'utente maggiore accesso per altri attacchi.
La ragione per cui gli attacchi SQL possono essere così irritanti è che per combatterli è necessario eseguire spesso il backup del database. Preferibilmente almeno una volta al giorno.
Immagine di manutenzione via Shutterstock.
Per evitare ciò, puoi provare a proteggere i tuoi file usando Apache con un codice come questo nel tuo file .htaccess:
RewriteEngine OnRewriteBase /RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]RewriteRule ^(.*)$ - [F,L]RewriteCond %{QUERY_STRING} ../ [NC,OR]RewriteCond %{QUERY_STRING} boot.ini [NC,OR]RewriteCond %{QUERY_STRING} tag= [NC,OR]RewriteCond %{QUERY_STRING} ftp: [NC,OR]RewriteCond %{QUERY_STRING} http: [NC,OR]RewriteCond %{QUERY_STRING} https: [NC,OR]RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$RewriteRule ^(.*)$ - [F,L] Questo rimandare un dilettante, ma un hacker professionista troverà un altro buco di sicurezza da sfruttare. Fortunatamente la maggior parte degli attacchi sono perpetrati da neofiti o spammer, usando script come PHP r57 o Shell. Ridurre questi attacchi ridurrà di molto la quantità di problemi che devi affrontare.
Utente predefinito
Il più grande buco di sicurezza in ogni sistema è l'utente finale. Non importa quanto sia complessa la password che crei. Infatti più è complessa la password, peggiore è il rischio per la sicurezza; perché le password molto complesse devono essere salvate da qualche parte. Gli utenti salvano frequentemente le password in file .txt o .doc sul proprio computer e lasciano il sistema aperto agli attacchi di phishing utilizzando file di virus come trojan.
L'unico posto sicuro in cui memorizzare una password è dentro la tua testa.
Tuttavia, anche se conservi sempre la tua password nella tua memoria, non sei ancora al sicuro dagli attacchi brute-force. Un attacco di forza bruta tenterà semplicemente di "indovinare" la tua password con ripetuti tentativi di accesso. Potrebbe iniziare con "aaaaaa", procedere a "aaaaab" e così via fino a raggiungere "000000". Questo processo non è limitato a un singolo computer, in genere centinaia di macchine corrono attraverso potenziali password in cerca di accesso.
Un modo per gestire gli attacchi a forza bruta consiste nell'installare un limitatore di accesso che consentirà solo alcuni tentativi di accesso prima di bloccare l'accesso per quell'utente per circa un'ora. Questo riduce il numero di possibilità che l'attaccante deve entrare. Ci sono diversi plugin di WordPress che possono aiutarti con questo: Limitare i tentativi di accesso , Migliore sicurezza WP e Login Security Solution .
Infine, presta attenzione ai nomi utente. Il nome utente predefinito per WordPress è 'Admin' e se lo lasci come tale, dimezza la quantità di lavoro che l'hacker deve fare per accedere al tuo sito. Se non hai cambiato il tuo nome utente mentre stavi installando WordPress fallo ora. Basta accedere al proprio account, creare un nuovo account con il nome utente desiderato, assegnargli le autorizzazioni di amministratore e quindi eliminare l'account amministratore.
Pulisci l'immagine via Shutterstock.
Accesso diretto
Un altro problema dei nostri siti WordPress potrebbe essere quello di fornire accesso diretto alla pagina di accesso, semplificando il processo di hacking del sito.
Mentre la protezione delle password è il problema più urgente, un utente malintenzionato non sarà in grado di utilizzare tutto ciò che ha rubato se non riesce a trovare la pagina di accesso. La soluzione più semplice a questo è usare un plugin come Nascondi accesso oscurare la posizione della pagina di accesso.
Alcuni file nella nostra installazione di WordPress sono accessibili anche se non adeguatamente protetti. Possiamo chiarire questi aspetti negativi aggiungendo alcune altre regole al nostro file .htaccess, in questo modo:
Options All -IndexesOrder allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Order allow,denyDeny from all Prefisso predefinito
Dovrebbe essere chiaro che più informazioni forniamo ai nostri aspiranti hacker, più facile sarà per loro riuscire.
Il prefisso della tabella WordPress predefinito è 'wp_'. Perché dovremmo darglielo? Cambiamo il prefisso in qualcosa di più difficile da indovinare, ad esempio "oijrr58_", renderà le loro vite molto più difficili e aumenterà le probabilità che il tuo sito rimanga sicuro.
Per le nuove installazioni, questo è un gioco da ragazzi perché lo script di installazione ci chiede un prefisso. Per i siti meno recenti hai due opzioni, puoi effettuare la modifica manualmente (provalo solo se hai un sacco di tempo e sei sicuro di sapere cosa stai facendo) o usa un plugin come Migliore sicurezza WP che si prenderà cura di te per te.
Troppo tardi…
Non è mai troppo tardi. Puoi sempre combattere contro gli hacker e impedirti di diventare una vittima perpetua.
Se non sei sicuro che il tuo sito sia stato infettato ci sono strumenti che ti diranno. Sucuri SiteCheck ad esempio eseguirà la scansione del tuo sito e, se sei infetto, ti consiglierà su quali passi adottare per correggere il / i problema / i.
Immagine pericolosa via Shutterstock.
Correzioni di base
Ecco alcuni passaggi fondamentali da eseguire:
- Effettua il backup del sito e del database, hackerato o meno, non vuoi perdere i tuoi contenuti.
- Crea copie di elementi che non sono nel tuo database, come le immagini.
- Scarica l'ultima versione di WordPress.
- Assicurati che tutti i plugin siano aggiornati, controlla quali versioni risolvono problemi noti.
- Assicurati che tutti i modelli siano aggiornati, controlla quali versioni risolvono problemi noti.
- Utilizzare un client FTP o cPanel per eliminare tutto nella directory di WordPress.
- Carica i nuovi file che hai scaricato.
- Esegui l'aggiornamento del database.
- Cambia la tua password, non vuoi permettere agli hacker di tornare.
- Infine, controlla ogni post, correggendo qualsiasi danno che è stato fatto.
Combattere script r57
r57 è uno script PHP che offre a un utente malintenzionato una vasta gamma di funzionalità, sebbene l'hacker abbia queste funzionalità, queste non funzioneranno fino a quando la shell non si trova sul nostro server Web, di conseguenza possiamo impedire che funzioni utilizzando i seguenti comandi:
find /var/www/ -name "*".php -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqQuesto comando cercherà i file PHP che si trovano nella cartella WWW, quindi nei file trovati cercherà qualsiasi riferimento a r57 nel nome file e nei contenuti. Quindi cancellerà i file infetti.
find /var/www/ -name "*".txt -type f -print0 | xargs -0 grep r57 | uniq -c | sort -u | cut -d":" -f1 | awk '{print "rm -rf " $2}' | uniqQuesto codice fa lo stesso, ad eccezione dei file TXT invece dei file .php.
Nota che questi codici sono per Linux, non provarli su Windows o MacOS e sii consapevole che sono potenzialmente molto distruttivi in quanto elimineranno i file senza chiedere il permesso.
Codice oscurato
Un importante motivo di preoccupazione nei temi è il codice oscurato, perché il codice dannoso tende ad essere più difficile da trovare all'interno dei temi. Ogni tipo di danno può essere fatto, reindirizzando gli utenti ad altri siti, affondando il tuo SEO.
Un'arma chiave nella lotta contro questo tipo di problema è Tema Autenticità Checker . Questo plugin non solo controlla il codice per le linee sospette ma rileverà i collegamenti statici e il codice oscurato come il codice generato in base64 che è difficile da individuare a occhio.
Ingannami una volta, vergogna per te ...
Solo perché sei stato catturato in passato, non significa che devi continuare a giocare.
Prendi in considerazione questi passaggi per assicurarti di più:
- Permetti solo PHP se strettamente necessario.
- Assicurati che il tuo server web non permetta ai client di modificare il file .htacess.
- Implementare un firewall che limiterà la posta in uscita nella porta 25 solo all'ID del root e del server di posta elettronica.
- Monitora i caricamenti sul tuo sito con un'applicazione come ConfigServer eXploit Scanner .
Ripara l'immagine via Shutterstock.
Finalmente
La sicurezza di WordPress è importante quanto la sicurezza di qualsiasi sito. È necessario assicurarsi che sia tu che i tuoi utenti siano protetti da spam, malware e attacchi di phishing. Ma ricorda che la prima linea di difesa è in realtà il software anti-virus sulla tua macchina desktop.
Hai avuto problemi con la sicurezza di WordPress? Come hai risolto il problema? Fateci sapere nei commenti.
Scritto esclusivamente per WDD da The Shock Family: un team di professionisti e creatori di web Temi WordPress Shock (Temi premium wordpress), Generatore di temi WP (Un grande creatore di temi wp), e DesignShock seful design sets). (u serie di design seful).