5 Varnostih napak ki naredijo vašo spletno stran ranljivo za napade

Zakaj tako pogosto slišimo o napadih na WordPress strani? Ali obstaja kaj v WordPressu, zaradi česar je bolj verjetno, da boste žrtev napada? V resnici je WordPress tako varen kot katerikoli drug sistem za upravljanje vsebin v svojem razredu in veliko bolj varen kot mnogi njegovi konkurenti. Vsekakor pa se napad lahko zgodi zaradi zanemarjanja in slabega upravljanja. Vsak napad na WordPress spletno stran bi bil skoraj vedno lahko preprečen, v kolikor bi lastniki spletnih mest sledili nekaj preprostim varnostnim ukrepom.

Spletni kriminal je življenjsko dejstvo, spletna mesta pa se redno preiskuje za ranljivosti. Kaj narobe počnejo nezanesljiva spletna mesta? Preden razpravljamo o petih napakah, ki lahko vodijo do vdora v spletno stran, bom poudaril eno napako, ki je zelo pogosta: zamenarjanje posodobitev. Posodobitve odpravljajo varnostne ranljivosti. Če ne boste namestili novih različic WordPressa, ko bodo objavljene, bo vaše spletno mesto po vsej verjetnosti lahko napadeno. Toda tudi če redno posodabljate svoje spletno stran, lahko druge napake “hekerjem” omogočijo vdor v vašo stran.

Napaka # 1: Nameščanje vtičnikov in tem iz nepreverjenih virov

Imam prijatelja, ki preživlja svoje vikende pri popravljanju starih avtomobilov. Cilj lastnikov avtomobilov je, da se njihovi jekleni konjički vozijo tako dobro kot novi, ne da bi vložili preveč denarja. Ne moti ga, od kod prihajajo deli, dokler so v dobrem stanju. Za avtomobilske dele je tak pristop mogoče še vredu, vendar pa je katastrofalen v primeru programske opreme. Programsko opremo lahko spreminjamo tako, ne da bi kdo kaj videl. In če niste programer, ne moremo biti prepričani, da ni bila spremenjena.

WordPress vtičniki in teme so programska oprema. Če nekdo želi okužiti WordPress spletno stran z zlonamerno kodo, je najlažji način, da kupi plačljiv vtičnik, mu doda zlonamerno kodo in ga ponuja brezplačno. Uporabniki WordPressa, ki iščejo dobro kupčijo, naložijo vtičnik ter ga namestijo na svojo spletno stran. Ko je zlonamerna koda nameščena, je spletno mesto že ogroženo.

Vtičnike in teme namestite samo, če zaupate viru. Repozitorij WordPress je vreden zaupanja. Zaupate lahko tudi spletnim mestom uglednih razvijalcev WordPressa, bodite pa pozorni na programsko opremo iz katerega koli drugega vira.

Napaka # 2: Ne uporabljate požarnega zidu

Napadalci ne morejo namestiti programske opreme na strežnik, ki gosti vašo spletno stran. Z njo morajo komunicirati na enak način kot vsi ostali, tako da pošiljajo spletne zahteve. Spletne zahteve se uporabljajo pri nalaganju strani, pošiljanju obrazcev ali zahtevanju informacij iz API-ja. Če pa je v WordPress temi ali vtičniku prisotna ranljivost, se lahko spletne zahteve uporabijo tudi za vstavljanje kode v vaše spletno mesto. Napadi SQL injiciranja so namenjeni zagonu kode v bazi podatkov. Napadi skriptiranja med spletnimi mesti poskušajo vnesti JavaScript kodo, ki se bo izvajala v brskalnikih obiskovalcev.

Navadni požarni zidovi ne morejo zaščititi vašega spletnega mesta pred tovrstnimi napadi. Vidijo legitimne spletne zahteve in jih pustijo skozi. Požarni zid za spletne aplikacije, znan tudi kot WAF, je zasnovan tako, da deluje na ravni aplikacije in ujame zlonamerne zahteve, preden pridejo v WordPress. Na primer, ko napadalec poskuša napasti z injiciranjem SQL, mora poslati zahtevo. WAF ve, kako izgleda ta vrsta zahteve in jo blokira.

Za WordPress je na voljo več vtičkov WAF. Sucuri in WordFence vključujejo funkcionalnost WAF. ModSecurity je namenski požarni zid za spletne aplikacije, ki ga lahko namestite na strežnik kjer gostuje WordPress. Najboljši WordPress hosting ponudniki vključujejo WAF kot ModSecurity na svojih strežnikih.

Napaka # 3: Izbira napačnega ponudnika gostovanja

Lastniki spletnih mest WordPress sklenejo partnerstvo s ponudnikom gostovanja. Ponudnik gostovanja je odgovoren za varnost podatkovnega centra, strežnikov in programske opreme ne pa tudi za varnost vaše spletne strani.

V letu 2017 je bil ponudnik gostovanja WordPress prisiljeni plačati veliko odkupnino , ko so napadalci šifrirali spletišča tisočih strank. Programska oprema ponudnika gostovanja je bila zelo zastarela in prepredena s šibkostmi.

Pri izbiri ponudnika gostovanja, je zelo slaba ideja, da se odločite za najcenejšega. Varno in zanesljivo gostovanje ni poceni.

Napaka # 4: Ne uporabljate preverjanja pristnosti z dvema faktorjema

Večini uporabnikov ni mogoče zaupati, da so izbrali varna gesla ali skrbijo za njih. Ta izjava lahko zveni malo nesramno, a hiter pogled na najbolj priljubljena gesla bi vas morala prepričati v resnico te trditve. Spletna stran z enostavnimi uporabniškimi gesli je ranljiva na DDOS napade.

Dvofaktorska overitev prisili uporabnike, da zagotovijo dodaten dokaz, da so tisti, za katere trdijo, da so, običajno enkratno kodo, poslano na mobilno napravo. Dvofaktorski vtičniki za preverjanje pristnosti, kot naprimer potrditev pristnosti WordPress z dvema dejavnikoma so odlična rešitev teh težav.

Napaka # 5: Nepravilna uporaba uporabniških dostopov

WordPress ponuja več različnih možnosti dostopov, vključno z skrbnikom, urejevalnikom, avtorjem in tako naprej. Vsaka vloga uporabnika omogoča uporabnikom različno raven dostopa. Obstajata dve pogosti napaki, ko gre za dodeljevanja dostopov. Prvič, preveč ljudi ima skrbniško dovoljenje. Drugič, uporaba istega računa za več kot eno osebo, zlasti če gre za skrbniški račun. Uporabniki morajo vedno imeti najmanjši možen dostop, ki ga potrebujejo za opravljanje svojih nalog. Vsak uporabnik mora imeti svoj račun, le tako jim je mogoče dodeliti ustrezne pravice.