Konsekwencji takiego włamania jest wiele. Zainfekowana strona może być na przykład oznaczona ostrzeżeniem w wynikach wyszukiwania lub może być wpisana na czarną listę Google. To bezpośrednio przełoży się na utratę odwiedzających i potencjalnych przychodów.
Jeśli ciągle jeszcze nie zdecydowałeś się na profesjonalną opiekę nad swoją instalacją WordPress – warto mieć świadomość skąd nadejdzie atak i jakie będzie mieć konsekwencje…
Atak poprzez wtyczki i motywy
Ataki typu Brute Force
Ataki typu „injection”
Phishing i kradzież danych
Atak poprzez pliki cookie
1. Atak poprzez wtyczki i motywy
Witryna WordPress jest tworzona przy użyciu trzech elementów – instalacji głównej, motywów i wtyczek. Wszystkie trzy elementy mają różny potencjał, aby uczynić stronę podatną na ataki hakerskie.
Od wielu lat nie ma żadnej poważnej luki w rdzeniu WordPressa. Jest on utrzymywany przez zespół bardzo doświadczonych i wykwalifikowanych programistów. Prawdopodobieństwo ataku jest tu bliskie zeru.
Jednakże, wtyczki i motywy WordPressa są tworzone przez zewnętrznych deweloperów i mają oni tendencję do tworzenia luk w WordPressie dość często. Dostawcy wtyczek prowadzą więc – mniej lub bardziej regularną – weryfikację stanu swoich wtyczek i motywów, a poprawki dostarczane są w postaci aktualizacji. Każdy administrator strony powinien więc aktualizować swoją instalację WordPress wraz z wszystkimi wtyczkami do najnowszych wersji. Ważny jest tu czas – aby uniknąć kłopotów powinniśmy to robić na bieżąco. Dlaczego? Kiedy dostawca upublicznia powód aktualizacji – wszyscy wiemy o istnieniu luki w dotychczasowej wersji, hakerzy również…
Jak chronić swoją stronę przed podatnymi na ataki wtyczkami i motywami?
Motywy oraz wtyczki powinny pochodzić z zaufanych źródeł. Jeśli nie są udostępniane przez repozytorium WordPress to należy zwrócić szczególną uwagę na wiarygodność serwisów, z których są pobierane. Przeglądając listę zainstalowanych wtyczek i motywów należy nie tylko aktualizować, ale również usuwać te, które są zbędne oraz wyłączone. Regularnego sprawdzania wymaga również motyw – najlepiej, jeśli Twoja instalacja WordPress nie przechowuje więcej niż jednego dodatkowego motywu. W trakcie aktualizacji zwracaj uwagę, czy na liście wtyczek i motywów nie pojawiły się takie, których nie znasz. Czasami hakerzy instalują własne wtyczki i motywy, które mają zainstalowane backdoory strony.
2. Ataki typu Brute Force
Najprościej można je określić jako uporczywe próby zalogowania się do naszego kokpitu WordPress. Aby zalogować się do swojej witryny na WordPress, musisz wprowadzić dane uwierzytelniające logowanie, tj. nazwę użytkownika i hasło. Nadal zdarza się, że wybieramy dane łatwe do zapamiętania, co oznacza również, że są łatwe do „złamania” przez hakerów. Tworzą oni bazę danych powszechnie używanych nazw użytkowników i haseł. Następnie programują boty, które atakują witryny WordPress i próbują różnych kombinacji obecnych w ich bazie danych.
Jeśli twoje dane logowania są słabe, boty mają dużą szansę na odgadnięcie ich i włamanie się do twojej witryny. Właśnie takie próby określane są jako „Brute Force Attacks”. Szacuje się, że wskaźnik sukcesu może sięgać w ich przypadku 10%!
Jak chronić swoją witrynę przed Brute Force
Zadbaj, aby nazwa użytkownika WordPress była nieco mniej typowa niż „admin”. Hasło powinno być trudne do złamania, a więc zawierać połączenie cyfr, liter (małych oraz wielkich) oraz symboli. Dane te nie powinny być takie same jak w innych miejscach, do których się logujesz.
Ogranicz również liczbę prób logowania do swojej witryny. Dzięki temu każdy, kto podejmie próbę zalogowania będzie miał ograniczone szanse na wprowadzenie właściwych danych uwierzytelniających. Po tym czasie będzie musiał skorzystać z opcji „zapomniałem loginu lub hasła”. Możesz również skorzystać z dwuskładnikowego uwierzytelniania, w którym użytkownik WordPress musi wprowadzić swoje dane uwierzytelniające wraz z jednorazowym hasłem, które jest generowane na ich smartfonach lub wysyłane na zarejestrowany adres e-mail.
3. Ataki typu „injection”
To ingerencja określana mianem „wstrzykiwania” kodu. Prawie każda strona internetowa posiada pola wejściowe, takie jak formularz kontaktowy, pasek wyszukiwania strony lub sekcja komentarzy, które umożliwiają odwiedzającym wprowadzenie danych. Niektóre witryny pozwalają również odwiedzającym na przesyłanie dokumentów i plików graficznych.
Zazwyczaj dane te są akceptowane i wysyłane do Twojej bazy danych w celu ich przetworzenia i przechowywania. Te pola wymagają odpowiedniej konfiguracji, aby sprawdzić poprawność i oczyścić dane, zanim trafią do bazy danych. Przykładowo, będzie to określona liczba cyfr dla telefonu czy właściwa struktura wpisanego maila. Zapewnia to, że tylko poprawne dane są akceptowane. Jeśli brakuje takiej walidacji, hakerzy wykorzystują to i wprowadzają złośliwy kod.
Jest to najczęściej kod, który nakazuje bazie danych wykonanie określonych funkcji. W ten sposób hakerzy są w stanie uruchomić na Twojej stronie złośliwe skrypty, które mogą wykorzystać do uzyskania pełnej kontroli nad Twoją witryną.
Do najpopularniejszych ataków iniekcyjnych na strony WordPress należą ataki SQL Injection oraz Cross-Site Scripting.
Jak chronić swoją witrynę przed atakami typu „injection”?
Wiele ataków typu injection odbywa się poprzez motywy lub wtyczki, które umożliwiają odwiedzającym wprowadzenie danych na Twojej stronie. Najczęściej są to różnego rodzaju formularze. Sugerujemy używanie tylko zaufanych motywów i wtyczek. Kontroluj również wprowadzanie pól do wypełnienia w formularzach i przesyłanie danych.
Sprawdź również: Jak utrudnić życie hakerowi? 5 zasad bezpiecznej strony internetowej