Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Jak zabezpieczyć stronę Wordpress

Data publikacji: 05-09-2016 Autor: Paweł Frankowski
Próby ataku na WP według...

Według statystyk z maja 2016 roku, zaprezentowanych przez serwis W3Techs.com, WordPress jest używany przez ponad 59% wszystkich stron WWW korzystających z popularnych systemów zarządzania treścią.

Liczba wdrożeń z wykorzystaniem WordPressa (WP), mimo że nie zwiększa się już tak dynamicznie jak w ostatnich latach, nadal rośnie. Związane jest to m.in. z faktem, że wiele starych, statycznych stron oraz witryn przygotowanych za pomocą innych CMS-ów jest migrowanych do WordPressa. Niewątpliwie to, co dla jednych jest zaletą, dla innych bywa wadą. W tym wypadku mamy do czynienia z olbrzymią ekspansją jednego, w pełni darmowego i rozpowszechnianego na licencji GNU GPL systemu do tworzenia stron internetowych. Owa jednorodność jest atrakcyjna głównie dla web developerów oraz web designerów, jednak właścicielom stron przynosi duże ryzyko. Jeżeli coś jest wyjątkowo popularne, jest też często atakowane.

Co ciekawe, za najbardziej spektakularne wpadki dotyczące bezpieczeństwa nie odpowiadają twórcy samego CMS-a, ale wtyczki firm trzecich. Jak podała w swoim raporcie firma Sucuri, globalnie aż 25% wszystkich stron, w których wykorzystano nieaktualne, dziurawe wersje wtyczek (m.in. Rev­Slider, GravityForms oraz inne oparte na skrypcie TimThumb), zostało zhakowanych w przeciągu kilku ostatnich lat (wartość dotyczy włamań na różnego typu strony na całym świecie). Mimo że wspomniane rozszerzenia zostały uaktualnione i załatane, liczba ataków na WordPressa rośnie z każdym miesiącem. Żeby pokazać skalę problemu, warto podać liczbę stron internetowych wykonanych na WP – ok. 60 milionów.

Jakie kroki podjąć, aby zminimalizować ryzyko skutecznego przeprowadzenia ataku? WordPress to stabilna i bezpieczna platforma, która wymaga od użytkownika czegoś więcej niż tylko jej zainstalowania. Podpowiadamy, jak zabezpieczyć tego CMS-a, wprowadzając zmiany w konfiguracji i używając kilku gotowych rozwiązań.

> NIEAUTORYZOWANE LOGOWANIA DO ZAPLECZA

Nadal bardzo duża liczba ataków na strony wykorzystujące CMS to ataki siłowe (brute force attack). Na ogół specjalne boty, rzadziej ludzie, próbują ataku słownikowego, systematycznie wprowadzając kolejne słowa z obszernego słownika. Najczęściej próby włamania rozpoczynają się od podania loginów i haseł zawierających słowa: admin, qwerty, password, 12345. Część haseł, które można znaleźć na listach, to popularne i proste słowa. Takie kombinacje stosowane są przez nieodpowiedzialnych administratorów i redaktorów wielu stron, którzy nadal z nich korzystają. Często popełnianym błędem jest używanie jednego hasła do wszystkich wykorzystywanych kont oraz niezmienianie haseł co określony czas. Porządki warto więc zacząć od zmiany haseł dla wszystkich użytkowników, którzy mają dostęp do zaplecza instalacji WordPress. Nie chodzi o to, aby hasło było bardzo długie, ważniejsze jest, aby zawierało symbole, cyfry, a także charakterystyczne dla danego języka litery alfabetu. Jeśli choć jedna osoba korzysta z nazwy użytkownika „admin”, warto ją zmienić. Najprościej założyć nowego użytkownika, a starego usunąć.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"