MBT Media Sp. z o.o.
Konduktorsa 33
40‑155 Katowice
Based in Poland, delivering worldwide.

5 najczęstszych ataków na WordPressa

WordPress to najpopularniejsza platforma do tworzenia stron internetowych. Obsługuje ich obecnie ponad 1,3 miliarda. Sprawia to niestety, że jest również bardzo popularnym polem działań hakerów. Po uzyskaniu dostępu do witryny działającej na platformie WordPress, uruchamiają wszelkiego rodzaju złośliwe działania, takie jak kradzież poufnych informacji, oszukiwanie klientów i wyświetlanie niepożądanych treści.

Konsekwencji takiego włamania jest wiele. Zainfekowana strona może być na przykład oznaczona ostrzeżeniem w wynikach wyszukiwania lub może być wpisana na czarną listę Google. To bezpośrednio przełoży się na utratę odwiedzających i potencjalnych przychodów.

Jeśli ciągle jeszcze nie zdecydowałeś się na profesjonalną opiekę nad swoją instalacją WordPress – warto mieć świadomość skąd nadejdzie atak i jakie będzie mieć konsekwencje…

Atak poprzez wtyczki i motywy
Ataki typu Brute Force
Ataki typu „injection”
Phishing i kradzież danych
Atak poprzez pliki cookie

1. Atak poprzez wtyczki i motywy

Witryna WordPress jest tworzona przy użyciu trzech elementów – instalacji głównej, motywów i wtyczek. Wszystkie trzy elementy mają różny potencjał, aby uczynić stronę podatną na ataki hakerskie.

Od wielu lat nie ma żadnej poważnej luki w rdzeniu WordPressa. Jest on utrzymywany przez zespół bardzo doświadczonych i wykwalifikowanych programistów. Prawdopodobieństwo ataku jest tu bliskie zeru.

Jednakże, wtyczki i motywy WordPressa są tworzone przez zewnętrznych deweloperów i mają oni tendencję do tworzenia luk w WordPressie dość często. Dostawcy wtyczek prowadzą więc – mniej lub bardziej regularną – weryfikację stanu swoich wtyczek i motywów, a poprawki dostarczane są w postaci aktualizacji. Każdy administrator strony powinien więc aktualizować swoją instalację WordPress wraz z wszystkimi wtyczkami do najnowszych wersji. Ważny jest tu czas – aby uniknąć kłopotów powinniśmy to robić na bieżąco. Dlaczego? Kiedy dostawca upublicznia powód aktualizacji – wszyscy wiemy o istnieniu luki w dotychczasowej wersji, hakerzy również…

Jak chronić swoją stronę przed podatnymi na ataki wtyczkami i motywami?

Motywy oraz wtyczki powinny pochodzić z zaufanych źródeł. Jeśli nie są udostępniane przez repozytorium WordPress to należy zwrócić szczególną uwagę na wiarygodność serwisów, z których są pobierane. Przeglądając listę zainstalowanych wtyczek i motywów należy nie tylko aktualizować, ale również usuwać te, które są zbędne oraz wyłączone. Regularnego sprawdzania wymaga również motyw – najlepiej, jeśli Twoja instalacja WordPress nie przechowuje więcej niż jednego dodatkowego motywu. W trakcie aktualizacji zwracaj uwagę, czy na liście wtyczek i motywów nie pojawiły się takie, których nie znasz. Czasami hakerzy instalują własne wtyczki i motywy, które mają zainstalowane backdoory strony.

2. Ataki typu Brute Force

Najprościej można je określić jako uporczywe próby zalogowania się do naszego kokpitu WordPress. Aby zalogować się do swojej witryny na WordPress, musisz wprowadzić dane uwierzytelniające logowanie, tj. nazwę użytkownika i hasło. Nadal zdarza się, że wybieramy dane łatwe do zapamiętania, co oznacza również, że są łatwe do „złamania” przez hakerów. Tworzą oni bazę danych powszechnie używanych nazw użytkowników i haseł. Następnie programują boty, które atakują witryny WordPress i próbują różnych kombinacji obecnych w ich bazie danych.

Jeśli twoje dane logowania są słabe, boty mają dużą szansę na odgadnięcie ich i włamanie się do twojej witryny. Właśnie takie próby określane są jako „Brute Force Attacks”. Szacuje się, że wskaźnik sukcesu może sięgać w ich przypadku 10%!

Jak chronić swoją witrynę przed Brute Force

Zadbaj, aby nazwa użytkownika WordPress była nieco mniej typowa niż „admin”. Hasło powinno być trudne do złamania, a więc zawierać połączenie cyfr, liter (małych oraz wielkich) oraz symboli. Dane te nie powinny być takie same jak w innych miejscach, do których się logujesz.
Ogranicz również liczbę prób logowania do swojej witryny. Dzięki temu każdy, kto podejmie próbę zalogowania będzie miał ograniczone szanse na wprowadzenie właściwych danych uwierzytelniających. Po tym czasie będzie musiał skorzystać z opcji „zapomniałem loginu lub hasła”. Możesz również skorzystać z dwuskładnikowego uwierzytelniania, w którym użytkownik WordPress musi wprowadzić swoje dane uwierzytelniające wraz z jednorazowym hasłem, które jest generowane na ich smartfonach lub wysyłane na zarejestrowany adres e-mail.

3. Ataki typu „injection”

To ingerencja określana mianem „wstrzykiwania” kodu. Prawie każda strona internetowa posiada pola wejściowe, takie jak formularz kontaktowy, pasek wyszukiwania strony lub sekcja komentarzy, które umożliwiają odwiedzającym wprowadzenie danych. Niektóre witryny pozwalają również odwiedzającym na przesyłanie dokumentów i plików graficznych.

Zazwyczaj dane te są akceptowane i wysyłane do Twojej bazy danych w celu ich przetworzenia i przechowywania. Te pola wymagają odpowiedniej konfiguracji, aby sprawdzić poprawność i oczyścić dane, zanim trafią do bazy danych. Przykładowo, będzie to określona liczba cyfr dla telefonu czy właściwa struktura wpisanego maila. Zapewnia to, że tylko poprawne dane są akceptowane. Jeśli brakuje takiej walidacji, hakerzy wykorzystują to i wprowadzają złośliwy kod.

Jest to najczęściej kod, który nakazuje bazie danych wykonanie określonych funkcji. W ten sposób hakerzy są w stanie uruchomić na Twojej stronie złośliwe skrypty, które mogą wykorzystać do uzyskania pełnej kontroli nad Twoją witryną.

Do najpopularniejszych ataków iniekcyjnych na strony WordPress należą ataki SQL Injection oraz Cross-Site Scripting.

Jak chronić swoją witrynę przed atakami typu „injection”?

Wiele ataków typu injection odbywa się poprzez motywy lub wtyczki, które umożliwiają odwiedzającym wprowadzenie danych na Twojej stronie. Najczęściej są to różnego rodzaju formularze. Sugerujemy używanie tylko zaufanych motywów i wtyczek. Kontroluj również wprowadzanie pól do wypełnienia w formularzach i przesyłanie danych.

Masz stronę na WordPress? Porozmawiajmy o profesjonalnej opiece nad nią

4. Phishing i kradzież danych

Odwiedzający wchodzą w interakcję z Twoją witryną na różne sposoby. Niektórzy z nich po prostu czytają wpisy na Twoim blogu, inni kontaktują się z Tobą poprzez dane zamieszczone w kontakcie. Jednak gdy prowadzisz stronę ecommerce to wielu odwiedzających dokonuje zakupu, co oznacza, że muszą zalogować się i wprowadzić informacje o karcie kredytowej.

Kiedy ktoś wprowadza informacje o karcie kredytowej, przekazuje i przechowuje informacje na serwerze witryny. Te informacje mogą zostać przechwycone podczas ich przesyłania. Co więcej, dane karty kredytowej mogą zostać skradzione.

Hakerzy mogą również włamać się do Twojej witryny i podawać się za Ciebie. Wysyłają e‑maile lub przekierowują odwiedzających na inne strony i podstępem zmuszają ich do ujawnienia danych osobowych i informacji o płatnościach.

Jak zabezpieczyć swoją stronę przed phishingiem i kradzieżą danych?

Stosuj certyfikat SSL. Dzięki temu dane przesyłane z i na Twoją stronę będą zaszyfrowane. Nawet jeśli haker je przechwyci, nie będzie mógł ich wykorzystać, ponieważ nie będzie w stanie ich rozszyfrować. Użyj którejś z wtyczek bezpieczeństwa WordPress, aby otrzymywać powiadomienia, jeśli w Twojej witrynie jest jakaś podejrzana aktywność. Wtyczka będzie również blokować próby hackowania.

5. Atak poprzez pliki cookie

Popularne „ciasteczka” to dane, które rejestrują interakcję odwiedzającego z witryną. Na przykład, jeśli prowadzisz sklep internetowy, Twoja strona może śledzić aktywność klienta, taką jak to, jakiego produktu szukał i co kupił. Dane te są wykorzystywane w analizach, a także przez reklamodawców dostosowujących reklamy do preferencji odwiedzającego. Pliki cookie mogą również przechowywać dane bankowe i informacje osobiste.

Kradzież plików cookie to rodzaj ataku, podczas którego następuje przejęcie sesji użytkownika. Sesja rozpoczyna się, gdy użytkownik loguje się do określonej usługi ‑ atak bazuje na wiedzy hakera na temat plików cookie sesji użytkowników. Przechwytywanie sesji ma miejsce wtedy, gdy cyberprzestępca przejmie sesję użytkownika. Atak opiera się na kradzieży tymczasowych plików cookie, które serwer ustanawia w Twojej przeglądarce, gdy logujesz się do aplikacji internetowej.
Haker przejmując tzw. sesyjny plik cookie, może również skłonić do kliknięcia w złośliwy odnośnik zawierający własny identyfikator sesji. Następnie wykorzystuje skradziony identyfikator sesji w swojej własnej sesji przeglądarki. Serwer zaczyna w tej sytuacji traktować połączenie jak oryginalną sesję prawdziwego użytkownika. Oznacza to pełen dostęp włamywacza do konta ofiary i wszystkich zamieszczonych na nim informacji.

Jak chronić swoją witrynę przed wykradaniem plików cookie?

Regularnie zmieniaj klucze zabezpieczające „ciasteczka” w WordPressa. Zapewniają bezpieczne szyfrowanie informacji przechowywanych w plikach cookie przeglądarki. Ten środek ma charakter techniczny. Ponownie warto również w tym przypadku zdecydować się na zainstalowanie certyfikatu SSL, aby chronić dane Twojej strony.

Poprzedni
Następny
Polecane wpisy
#Bezpieczeństwo www#Porady#WooCommerce

Jak utrudnić życie hakerowi? 5 zasad bezpiecznej strony internetowej

Czytaj więcej
#Porady#Strony internetowe#WordPress

WordPress. Działasz on-line musisz poznać!

Czytaj więcej
#Porady#Strony internetowe#Wtyczki Wordpress

Wtyczki WordPress – czym są, do czego służą, jak wybrać?

Czytaj więcej
Wszystkie wpisy