Varför uppdatera dina Blog WordPress Sårbarheter du borde vara medveten om

Varför uppdatera dina Blog WordPress Sårbarheter du borde vara medveten om / Wordpress & Webbutveckling

Jag har mycket bra saker att säga om WordPress. Det är en internationellt populär del av öppen källkodsprogramvara som gör det möjligt för någon att starta sin egen blogg eller hemsida. Det är tillräckligt kraftfullt för att vara utdragbart av krydda kodare, men ändå enkelt att tekniskt analfabeter fortfarande kan dra nytta av det. Vi har till och med en mini-guide för att starta en egen WordPress-webbplats. 10 Viktiga första steg vid start av en Wordpress-blogg 10 viktiga första steg vid start av en Wordpress-blogg Efter att ha skapat en hel del bloggar skulle jag vilja tro att jag har ett bra system ner för de väsentliga första stegen, och jag hoppas att det kan vara till nytta för dig också. Genom att följa ... Läs mer .

Men som med all Internet-relaterad programvara kommer det alltid att finnas säkerhetshål som behöver patching. Även när tidigare hål är fixade, kommer nya funktioner oundvikligen att introducera nya hål, och sedan måste dessa hål fixas. Det är en process som aldrig slutar, varför det är så viktigt för dig att uppdatera din WordPress regelbundet.

Uppdatering av WordPress är det bästa sättet att klistra in de senaste säkerhetsproblemen i WordPress. Vilka sorts säkerhetsproblem? Här är en översikt över de vanligaste som du kommer att stöta på.

1. Standard administratörskonto

När du först installerar WordPress, kommer ditt grundläggande administratörskonto att ringas “administration” med ett lika enkelt lösenord. Att hålla säkerhetsuppgifter i sina standardinställningar kan vara ett stort problem eftersom hackare och crackers kommer att veta vad de här standardinställningarna är och sålunda kommer de att utnyttja dem med lätthet.

Egentligen är detta inte ett problem unikt för WordPress. Allt som följer med produktövergripande standardbehörighetsuppgifter 3 Standardlösenord Du måste ändra och varför 3 standardlösenord du måste ändra och varför lösenord är obekvämt men nödvändigt. Många människor tenderar att undvika lösenord när det är möjligt och är glada att använda standardinställningar eller samma lösenord för alla sina konton. Detta beteende kan göra dina data och ... Läs mer (som routerns inloggningar eller telefonlåsningskoder) kommer i sig att ha denna WordPress-sårbarhet. Men medan routrar och telefoner vanligtvis kräver din fysiska närvaro för skada, kan alla potentiellt hacka din WordPress-webbplats så länge de har URL.

Så vad kan du göra? Den enklaste lösningen är att skapa ett nytt administratörskonto på din WordPress-webbplats och ta bort standard “administration” konto. Detta lämnar ingen förutsägbarhet vad gäller administratörsåtkomst.

2. Standard databasprefix

När WordPress installeras först heter databas tabeller med ett standard prefix av wp_. Detta görs så att alla tabeller förblir organiserade i din databas om du arbetar med andra mjukvarupaket i samma databas. De wp_ betyder att de specifika tabellerna är relaterade till WordPress.

Men här är fångsten - om en hacker försöker röra med din WordPress-webbplats, gör den här förklaringsgraden automatiskt honom ett steg närmare att manipulera med dina databastabeller. Genom att veta namnen på dina databastabeller kan en hacker manuellt peka på den tills han får tillgång.

Tänk på det här sättet. Antag att en tjuv vill stjäla något från ditt hem men ditt hem är utrustat med speciella dörrar som har gömda nyckelhål tills du ringer ut till höger “namn” för den dörren. Om tjuven vet att din dörrens namn är “Sandig”, då behöver han bara välja låset, men om tyven inte känner till din dörrens namn måste han först räkna ut det på något sätt innan han ens kan börja välja det.

Så vad kan du göra? Enkel. WordPress låter dig installera med ett tabellprefix som skiljer sig från standardprefixet.

3. Tillgängliga filer och kataloger

Med vilken webbplats som helst, det antal filer som du faktiskt vill att användarna ska komma åt är mycket mindre än antalet filer som behövs för att driva den webbplatsen. Det kan hända att du har många funktionsfiler, klassfiler, mallfiler, konfigurationsfiler och mer - ingen av dessa ska vara offentligt tillgängliga. Detsamma gäller för kataloger.

Med CHMOD kan du ställa in behörigheter på olika filer och kataloger för att förhindra att oönskade användare får tillgång till känsliga material. Om en användare hade tillgång till din konfigurationsfil, kunde han t.ex. manipulera med dina WordPress-inställningar och bryta din webbplats. WordPress är sårbart när webbplatsens filer och kataloger inte är säkrade bakom rätt behörighetsinställningar.

Så vad kan du göra? Jag måste faktiskt ta itu med det här problemet nyligen, och fixen är inte för svår. Se till att din WordPress-installation är i enlighet med WordPress-tillståndssystemet.

4. SQL Injections & Hijacking

SQL-injektioner är inte unika för WordPress; i själva verket är de en av de vanligaste (och destruktiva) formerna av webbservernattacker i världen. Inte bekant med termen? Ge min introduktion till SQL-injektionsartikel Vad är en SQL-injektion? [MakeUseOf Förklarar] Vad är en SQL-injektion? [MakeUseOf Explains] Världen av Internet-säkerhet plågas med öppna portar, bakdörrar, säkerhetshål, trojaner, maskar, brandväggssårbarheter och en rad andra problem som håller oss alla på tårna varje dag. För privata användare, ... Läs mer en snabb titt för att ge dig en grundläggande förståelse av problemet.

I grunden har WordPress haft några SQL-injektionshål i deras kod under åren. Vissa har blivit patched medan andra förblir avtäckta eller oupptäckta. Om en hacker får tillgång till ett av dessa hål kan han injicera skadlig SQL-kod i din databas, som kan användas för att stjäla data eller bara ta bort det helt.

Så vad kan du göra? Tja, här är fångsten - om du inte är tillräckligt rustad för att veta hur man besegrar SQL-injektioner, har du förmodligen inte den tekniska know-howen för att bygga upp ett skydd i första hand. Du kan noga leta efter WordPress-plugins som kan adressera potentiella injektionshål, men de flesta användare behöver helt enkelt vänta på nästa WordPress-säkerhetspatch.

Rekommenderade plugins

  • WP Security Scan - det här pluginet kommer att skanna din webbplatsinstallation och leta efter potentiella säkerhetsproblem. Den täcker alla möjliga områden från filbehörigheter till databashål till lösenordshantering och mer.
  • WordPress File Monitor Plus - Om någon har fått tillgång till webbplatsens filstruktur, kommer det här pluginet att låta dig veta. Det övervakar regelbundet systemets filer och kataloger och noterar eventuella skillnader.
  • WordPress Firewall 2 - det här pluginet sätter upp en metaforisk vägg runt din webbplats, skannar all inmatad data och trafik för skadlig avsikt. Det är ganska bra att förhindra attacker som SQL-injektioner och andra databasattacker.
  • Wordfence - Wordfence är något av ett all-in-one säkerhetspaket som innehåller skadligt attackskydd, antivirusskanning, en brandvägg med mera. Definitivt värt ett försök.

Slutsats

Medan WordPress kan vara både öppen källkod och allmänt populär, betyder det inte att det inte är utan dess brister. WordPress-sårbarheter dyker upp från tid till annan och när en är fixad, är en annan vanligen rätt runt hörnet. Med noggrann övervakning och förebyggande åtgärder kan du minimera risken att din WordPress-webbplats står inför.