Kuna WordPress on kõige populaarsem sisuhaldussüsteem, pakub see miljoneid erinevaid veebisaite. See on avatud lähtekoodiga tarkvara, mis tähendab, et selle lähtekood on avalikult juurdepääsetav ja seda saavad muuta peaaegu kõik, kellel on piisavalt oskusteavet.

Kuigi WordPressi pistikprogramme ja teemasid saab osta, on kümned tuhanded neist tasuta saadaval. Nagu arvata võib, ei tule see ilma oma varjukülgedeta. Niisiis, kui haavatavad on WordPressi saidid? Aga selle teemad ja pistikprogrammid? Ja kuidas saate oma saite kaitsta?

Kui haavatav on WordPress?

Veebruaris 2022 Jetpack avastas, et müüja AccessPress Themes (tuntud ka kui Access Keys) populaarsed teemad ja pistikprogrammid on ohustatud. Teadlased märkasid haavatavust juhuslikult pärast kahtlase koodi avastamist ohustatud veebisaidil. Edasisel uurimisel mõistsid nad enamikku AccessPressi pistikprogrammidest ja iga teema sisaldas sama koodi.

Hiljem selgus, et AccessPress Themes langes 2021. aasta septembris küberrünnaku ohvriks, kus häkkerid süstisid tagaukse. müüja pistikprogrammides ja teemasid.

AccessPress värskendas ja puhastas lõpuks oma tooteid, kuid arvatavasti olid tuhanded kasutajad pikka aega rünnakute suhtes haavatavad.

Kas WordPressi pistikprogrammidel ja teemadel on haavatavusi?

Jetpacki leiud rõhutavad, kui haavatav võib WordPress olla. Kuid see ei olnud üksikjuhtum.

Näiteks märtsis 2021 Wordfence avalikustas kahes WordPressi pistikprogrammis olevad suured haavatavused, mis oleksid eduka ärakasutamise korral võimaldanud ründajal veebisaidi üle võtta. Turvaaugud avastati pistikprogrammides Elementor ja WP Super Cache. Elementor on veebisaitide koostaja, mida kasutatakse enam kui seitsmel miljonil veebisaidil, samas kui WP Super Cache on populaarne vahemällu salvestamise pistikprogramm.

Veebruaris 2022 as Otsingumootori ajakiri USA valitsuse haavatavuste andmebaas ja WordPressi turbeuurijad hoiatasid kümnete WordPressi pistikprogrammide tõsiste haavatavuste eest.

Nendest pistikprogrammidest üheksat kasutati rohkem kui 1,3 miljonil veebisaidil: päise jaluse koodihaldur, reklaami sisestaja – reklaamihaldur ja AdSense'i reklaamid, hüpikakende koostaja, pahavaratõrje Turvalisus ja brute-force tulemüür, WP sisu kopeerimiskaitse ja paremklõpsamine, andmebaasi varundamine WordPressi jaoks, GiveWP, allalaadimishaldur ja täiustatud andmebaas Koristaja.

Kuidas kaitsta oma WordPressi saiti

Võiks eeldada, et need haavatavused on pärast avastamist alati lapitud või eemaldatud, kuid tegelikult see nii ei ole.

Uurimustöö alates Patchstack avastas, et 2021. aastal suurenes teatatud WordPressi haavatavuste arv 2020. aastaga võrreldes 150 protsenti ja 29 protsenti neist haavatavustest ei saanud ühtegi plaastrit. Patchstack leidis ka, et vaid 0,58 protsenti teatatud vigadest olid WordPressi tuumas, mis tähendab, et pistikprogrammides leitakse peaaegu alati turvaauke.

Oluline on tagada, et kõik teie kasutatavad pistikprogrammid ja ka WordPressi tuum ise oleksid ajakohased.

Enne pistikprogrammi allalaadimist ja installimist veenduge, et teete esmalt veidi uurimistööd. Kontrollige pistikprogrammi installimiste arvu, lugege veebis arvustusi, vaadake, millal seda viimati värskendati, ja kontrollige, kas seda testiti uusima WordPressi tuumaga. See võtab vaid mõne minuti, kuid see võib teid päästa paljudest probleemidest.

Teise võimalusena võite kasutada WPScan, mis on üsna lihtne ja tõhus WordPressi haavatavuse skanner. Seda tööriista saab kasutada ka pistikprogrammi otsimiseks nime järgi. Tasuta versioon võimaldab kuni 25 API päringut päevas.

Õnneks on mõned pistikprogrammid loodud teie WordPressi saidi kaitsmiseks sissetungijate eest. Login LockDown, Wordfence, BulletProof Security on ühed parimad WordPressi turvapluginad täna. Login LockDown on täiesti tasuta, samas kui ülejäänud kahel on põhilised tasuta mudelid.

WordPressi ohutusnõuanded

Nii haavatav kui ka WordPress võib olla, aitab põhiliste turvameetmete järgimine küberrünnakute ärahoidmisel ja tõrjumisel kaugele kaasa.

Unikaalsete sisselogimisandmete ja kahefaktorilise autentimise kasutamine, kogu tarkvara ajakohasena hoidmine, teemade nimede ja sisselogimisandmete peitmine peaks olema teie WordPressi turvahügieeni aluseks.

Kuidas kaitsta oma WordPressi veebisaiti viie lihtsa sammuga

Loe edasi

JagaSäutsJagaMeil

Seotud teemad

  • Turvalisus
  • Internet
  • Interneti-turvalisus
  • Wordpressi pistikprogrammid
  • Wordpress
  • Wordpressi teemad

Autori kohta

Damir Mujezinovic (23 avaldatud artiklit)

Damir on vabakutseline kirjanik ja reporter, kelle töö keskendub küberturvalisusele. Väljaspool kirjutamist naudib ta lugemist, muusikat ja filme.

Veel Damir Mujezinovicilt

Liituge meie uudiskirjaga

Liituge meie uudiskirjaga tehniliste näpunäidete, arvustuste, tasuta e-raamatute ja eksklusiivsete pakkumiste saamiseks!

Tellimiseks klõpsake siin