Waarom uw blog bijwerken WordPress-beveiligingslekken waar u zich bewust van moet zijn
Ik heb veel geweldige dingen te zeggen over WordPress. Het is een internationaal populair stuk open source software waarmee iedereen een eigen blog of website kan starten. Het is krachtig genoeg om uitbreidbaar te zijn door ervaren codeerders, maar toch eenvoudig genoeg dat tech-analfabeten er nog steeds van kunnen profiteren. We hebben zelfs een mini-handleiding voor het starten van uw eigen WordPress-site 10 Essentiële eerste stappen bij het starten van een WordPress-blog 10 Essentiële eerste stappen bij het starten van een WordPress-blog Nadat ik behoorlijk wat blogs had gemaakt, zou ik graag willen denken dat ik een goed systeem heb voor die essentiële eerste stappen, en ik hoop dat het ook voor u van nut kan zijn. Door ... Lees meer te volgen .
Zoals met alle internetgerelateerde software, zullen er echter altijd gaten in de beveiliging zijn die moeten worden gecorrigeerd. Zelfs als eerdere gaten worden verholpen, zullen nieuwe functies onvermijdelijk nieuwe gaten introduceren, en dan moeten die gaten worden hersteld. Het is een proces dat nooit eindigt, daarom is het zo belangrijk voor u om te doen update uw WordPress regelmatig.
Het updaten van WordPress is de beste manier om de nieuwste beveiligingskwetsbaarheden van WordPress te patchen. Welke soorten beveiligingskwetsbaarheden? Hier is een overzicht van de meest voorkomende die je tegenkomt.
1. Standaard beheerdersaccount
Wanneer u WordPress voor het eerst installeert, wordt uw basisbeheerdersaccount gebeld “beheerder” met een even eenvoudig wachtwoord. Het behouden van beveiligingsreferenties op hun standaardinstellingen kan een grote kwetsbaarheid zijn omdat hackers en crackers weten wat die standaardinstellingen zijn en ze dus met gemak zullen gebruiken.
Eigenlijk is dit geen enkel probleem dat uniek is voor WordPress. Alles dat wordt geleverd met productbrede standaardtoegangsreferenties 3 Standaardwachtwoorden die u moet wijzigen en waarom 3 standaardwachtwoorden die u moet wijzigen & Waarom wachtwoorden ongemakkelijk zijn, maar noodzakelijk. Veel mensen hebben de neiging om waar mogelijk wachtwoorden te vermijden en gebruiken graag de standaardinstellingen of hetzelfde wachtwoord voor al hun accounts. Door dit gedrag kunnen uw gegevens en ... Lees meer (zoals aanmeldingen van de router of ontgrendelcodes voor telefoons) inherent dit beveiligingslek in WordPress hebben. Maar terwijl routers en telefoons meestal uw fysieke aanwezigheid vereisen voor onheil, kan iedereen uw WordPress-site potentieel hacken zolang ze de URL hebben.
Dus wat kan je doen? De eenvoudigste oplossing is om een nieuw beheerdersaccount te maken op uw WordPress-site en de standaardinstelling te verwijderen “beheerder” account. Dit laat geen voorspelbaarheid in termen van beheerderstoegang.
2. Standaarddatabasevoorvoegsels
Wanneer WordPress voor het eerst wordt geïnstalleerd, worden de databasetabellen benoemd met een standaardvoorvoegsel van wp_. Dit wordt gedaan zodat alle tabellen geordend blijven in uw database voor het geval u met andere softwarepakketten in dezelfde database werkt. De wp_ geeft aan dat die specifieke tabellen gerelateerd zijn aan WordPress.
Maar hier is de valstrik - als een hacker probeert te knoeien met uw WordPress-site, maakt dit stukje voorspelbaarheid hem automatisch een stap dichter bij het knoeien met uw databasetabellen. Door de namen van uw databasetabellen te kennen, kan een hacker er handmatig naar porren totdat hij toegang krijgt.
Zie het op deze manier. Stel dat een dief iets van je huis wil stelen, maar je huis is uitgerust met speciale deuren met verborgen sleutelgaten totdat je de juiste “naam” voor die deur. Als de dief weet dat de naam van je deur is “zanderig”, dan hoeft hij alleen nog het slot te pakken, maar als de dief de naam van je deur niet weet, moet hij dat eerst op de een of andere manier uitzoeken voordat hij het kan beginnen kiezen.
Dus wat kan je doen? Eenvoudig. WordPress stelt u in staat om te installeren met behulp van een tabelprefix die verschilt van de standaardprefix.
3. Toegankelijke bestanden en mappen
Met elke website is het aantal bestanden dat gebruikers daadwerkelijk willen openen veel kleiner dan het aantal bestanden dat nodig is om die website van stroom te voorzien. U hebt mogelijk veel functiebestanden, klassebestanden, sjabloonbestanden, configuratiebestanden en meer - geen van deze moet openbaar beschikbaar zijn. Hetzelfde geldt voor mappen.
Met behulp van CHMOD kunt u machtigingen instellen voor verschillende bestanden en mappen om te voorkomen dat ongewenste gebruikers toegang krijgen tot gevoelige materialen. Als een gebruiker bijvoorbeeld toegang heeft tot uw configuratiebestand, kan hij knoeien met uw WordPress-instellingen en uw website verbreken. WordPress is kwetsbaar wanneer de bestanden en mappen van uw website niet beveiligd zijn achter de juiste machtigingsinstellingen.
Dus wat kan je doen? Ik moest dit probleem onlangs aanpakken en de oplossing is niet zo moeilijk. Zorg ervoor dat uw WordPress-installatie in overeenstemming is met het toestemmingsschema van WordPress.
4. SQL-injecties en kaping
SQL-injecties zijn niet uniek voor WordPress; in feite zijn ze een van de meest voorkomende (en destructieve) vormen van webserveraanvallen ter wereld. Niet bekend met de term? Geef mijn inleiding tot SQL-injecties artikel Wat is een SQL-injectie? [MakeUseOf Explains] Wat is een SQL-injectie? [MakeUseOf Explains] De wereld van internetbeveiliging wordt geplaagd door open poorten, achterdeurtjes, gaten in de beveiliging, Trojaanse paarden, wormen, kwetsbaarheden voor firewalls en een hele reeks andere problemen die ons dagelijks scherp houden. Voor privé-gebruikers, ... Lees meer een snelle blik om jezelf een basisbegrip van het probleem te geven.
In wezen heeft WordPress in de loop van de jaren enkele gaten voor SQL-injectiegevaar in zijn code gehad. Sommige zijn gepatcht, terwijl andere onbedekt of onopgemerkt blijven. Als een hacker toegang krijgt tot een van deze gaten, kan hij schadelijke SQL-code in uw database injecteren, die kan worden gebruikt om gegevens te stelen of deze gewoon helemaal te verwijderen.
Dus wat kan je doen? Welnu, hier is de valstrik - als je niet goed genoeg uitgerust bent om te weten hoe je SQL-injecties kunt verslaan, dan heb je waarschijnlijk niet de technische knowhow voor het opbouwen van een bescherming in de eerste plaats. U kunt waarschijnlijk rondkijken naar WordPress-plug-ins die mogelijke injectie-openingen kunnen verhelpen, maar de meeste gebruikers hoeven alleen maar te wachten op de volgende WordPress-beveiligingspatch.
Aanbevolen plug-ins
- WP-beveiligingsscan - deze plug-in scant uw website-instellingen en zoekt naar potentiële beveiligingsrisico's. Het bestrijkt allerlei gebieden, van bestandsrechten tot databasegaten tot wachtwoordbeheer en meer.
- WordPress File Monitor Plus - als iemand toegang heeft gekregen tot de bestandsstructuur van uw site, laat deze plug-in u dit weten. Het controleert regelmatig de bestanden en mappen van uw systeem en noteert eventuele discrepanties.
- WordPress Firewall 2 - deze plug-in stelt een metaforische muur voor uw site in en scant alle ingevoerde gegevens en verkeer op kwaadaardige bedoelingen. Het is redelijk goed in het voorkomen van aanvallen zoals SQL-injecties en andere database-aanvallen.
- Wordfence - Wordfence is een alles-in-één plug-in voor beveiligingssuite met schadelijke beveiliging tegen aanvallen, antivirusscans, een firewall en meer. Zeker het proberen waard.
Conclusie
Hoewel WordPress zowel open als breed populair is, wil dat nog niet zeggen dat het niet zonder gebreken is. WordPress-kwetsbaarheden duiken van tijd tot tijd op en wanneer er een is verholpen, komt er meestal weer een andere in de buurt. Met zorgvuldige monitoring- en preventieve stappen kunt u het risico van uw WordPress-site tot een minimum beperken.