Startseite Wordpress a vývoj webových aplikací Proč aktualizovat své chyby zabezpečení WordPress na blogu, o kterých byste měli vědět

Proč aktualizovat své chyby zabezpečení WordPress na blogu, o kterých byste měli vědět

  • Peter Holmes
  • 0
  • 4044
  • 798
reklama

O WordPressu musím říci mnoho skvělých věcí. Jedná se o mezinárodně populární kus softwaru s otevřeným zdrojovým kódem, který umožňuje komukoli spustit vlastní blog nebo web. Je dostatečně silný na to, aby byl rozšířen o zkušené kodéry, ale dostatečně jednoduchý na to, aby z něj mohli stále profitovat technicky negramotní lidé. Máme dokonce mini-průvodce pro spuštění vlastního webu WordPress 10 základních prvních kroků při spuštění blogu Wordpress 10 základních kroků při spuštění blogu Wordpress Po vytvoření několika blogů bych si myslel, že mám dobrý systém pro tyto základní první kroky, a doufám, že to může být užitečné i vám. Sledováním… .

Stejně jako u veškerého softwaru souvisejícího s internetem však vždy existují bezpečnostní díry, které vyžadují opravu. I když budou opraveny minulé díry, nové funkce nevyhnutelně zavedou nové díry, a pak je třeba tyto díry opravit. Je to proces, který nikdy nekončí, proto je pro vás tak důležité pravidelně aktualizujte svůj WordPress.

Aktualizace WordPress je nejlepší způsob, jak opravit nejnovější chyby zabezpečení WordPress. Jaké druhy bezpečnostních chyb? Zde je přehled nejběžnějších, se kterými se setkáte.

1. Výchozí účet správce

Při první instalaci WordPress bude zavolán váš základní administrátorský účet “admin” s stejně jednoduchým heslem. Udržování bezpečnostních údajů ve výchozím nastavení může být velkou zranitelností, protože hackeři a crackerové budou vědět, jaké jsou tato výchozí nastavení, a budou je tedy snadno využívat..

Ve skutečnosti se nejedná o problém jedinečný pro WordPress. Všechno, co přichází s výchozími přístupovými údaji pro celý produkt. 3 Výchozí hesla, která musíte změnit, a proč 3 výchozí hesla, která musíte změnit a proč jsou hesla nevhodná, ale nezbytná. Mnoho lidí má tendenci vyhýbat se heslům, kdykoli je to možné, a rádi používají výchozí nastavení nebo stejné heslo pro všechny své účty. Toto chování může způsobit, že vaše data a… (například přihlášení routeru nebo kódy pro odemčení telefonu) budou tuto chybu zabezpečení WordPress ve své podstatě mít. Přestože směrovače a telefony obvykle vyžadují vaši fyzickou přítomnost kvůli neplechu, kdokoli může potenciálně hacknout váš web WordPress, pokud má adresu URL.

Co tedy můžete udělat? Nejjednodušším řešením je vytvoření nového účtu správce na webu WordPress a odstranění výchozího nastavení “admin” účet. To neponechává žádnou předvídatelnost z hlediska přístupu správce.

2. Výchozí předpony databáze

Při první instalaci WordPress jsou databázové tabulky pojmenovány s výchozí předponou wp_. To se provádí tak, aby všechny tabulky zůstaly ve vaší databázi uspořádány pro případ, že pracujete s jinými softwarovými balíčky ve stejné databázi. wp_ znamená, že tyto konkrétní tabulky souvisejí s WordPress.

Ale tady je ten úlovek - pokud se hacker pokouší pokazit váš web WordPress, pak mu tento kousek předvídatelnosti automaticky udělá krok o krok blíže k manipulaci s databázovými tabulkami. Znát názvy databázových tabulek, hacker může ručně strkat na to, dokud nezíská přístup.

Přemýšlejte o tom tímto způsobem. Předpokládejme, že zloděj chce něco ukrást z vašeho domova, ale váš domov je vybaven speciálními dveřmi, které mají skryté klíčové dírky, dokud nevyvoláte právo “název” pro ty dveře. Pokud zloděj ví, že se jmenují vaše dveře “Sandy”, pak vše, co musí udělat, je vybrat zámek, ale pokud zloděj nezná jméno vašich dveří, musí si to nejprve nějak zjistit, než si je může začít vybrat..

Co tedy můžete udělat? Jednoduchý. WordPress umožňuje instalaci pomocí předpony tabulky, která se liší od výchozí předpony.

3. Přístupné soubory a adresáře

U všech webových stránek je počet souborů, ke kterým skutečně chcete, aby uživatelé přistupovali, mnohem menší než počet souborů, které jsou nezbytné k napájení tohoto webu. Můžete mít spoustu funkčních souborů, souborů tříd, souborů šablon, konfiguračních souborů a dalších - žádný z nich by neměl být veřejně dostupný. Totéž platí pro adresáře.

Pomocí CHMOD můžete nastavit oprávnění pro různé soubory a adresáře, abyste zabránili nechtěným uživatelům v přístupu k citlivým materiálům. Pokud měl uživatel například přístup k vašemu konfiguračnímu souboru, mohl by narušit vaše nastavení WordPress a poškodit váš web. WordPress je zranitelný, pokud soubory a adresáře vašeho webu nejsou zabezpečeny za správným nastavením oprávnění.

Co tedy můžete udělat? Vlastně jsem se s tímto problémem musel vypořádat nedávno a oprava není příliš obtížná. Ujistěte se, že instalace WordPress je v souladu se schématem povolení WordPress.

4. Vstřikování SQL a únos

SQL injekce nejsou jedinečné pro WordPress; ve skutečnosti jsou jednou z nejčastějších (a destruktivních) forem útoků na webový server na světě. Neznáte tento termín? Představuji článek o injekcích SQL Co je injekce SQL? [MakeUseOf vysvětluje] Co je injekce SQL? [MakeUseOf vysvětluje] Svět bezpečnosti internetu je sužován otevřenými porty, zadními vrátkami, bezpečnostními dírami, trojskými koni, červy, zranitelnostmi v bráně firewall a spoustou dalších problémů, které nás každý den drží na nohou. Pro soukromé uživatele… rychlé nahlédnutí, abyste získali základní představu o problému.

V podstatě měl WordPress za několik let ve svém kódu několik otvorů pro zabezpečení SQL injekce. Některé byly opraveny, zatímco jiné zůstaly odkryté nebo nezjištěné. Pokud hacker získá přístup k jedné z těchto děr, může do své databáze vložit škodlivý kód SQL, který lze použít k odcizení dat nebo k jeho úplnému smazání.

Co tedy můžete udělat? Tady je háček - pokud nejste dostatečně dobře na to, abyste věděli, jak porazit SQL injekce, pravděpodobně nemáte technické know-how pro budování ochrany. Pravděpodobně se můžete rozhlédnout po pluginech WordPress, které by mohly řešit potenciální otvory pro injekce, ale většina uživatelů bude prostě muset počkat na další opravu zabezpečení WordPress..

Doporučené doplňky

  • Bezpečnostní kontrola WP - tento plugin prohledá nastavení vašeho webu a vyhledá potenciální slabiny zabezpečení. Pokrývá nejrůznější oblasti od oprávnění k souborům po díry do databáze až po správu hesel a další.
  • WordPress File Monitor Plus - v případě, že někdo získal přístup ke struktuře souborů na vašem webu, tento plugin vás informuje. Pravidelně monitoruje soubory a adresáře vašeho systému a zaznamenává případné nesrovnalosti.
  • WordPress Firewall 2 - tento plugin nastavuje metaforickou zeď kolem vašeho webu a prohledává veškerá zadaná data a provoz z hlediska škodlivého úmyslu. Je docela dobré předcházet útokům, jako jsou injekce SQL a jiné databázové útoky.
  • Wordfence - Wordfence je něco jako doplněk zabezpečení sady all-in-one, který zahrnuje ochranu před škodlivým útokem, antivirovou kontrolu, bránu firewall a další. Rozhodně stojí za vyzkoušení.

Závěr

Zatímco WordPress může být jak open source, tak široce populární, neznamená to, že není bez jeho vad. Zranitelnosti WordPress se čas od času objevují a když je jedna opravena, další je obvykle hned za rohem. Pečlivým sledováním a preventivními kroky můžete minimalizovat riziko, že váš web WordPress čelí.




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Snadný způsob, jak rozšířit text na Android zdarma
Android
7 nejlepších bezplatných průzkumníků souborů pro Android
Android
Jak chytit lidi, kteří se snaží odemknout váš Android
Android
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.