Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200
21.02.2019

Transformacja centrów danych

Fujitsu PRIMEFLEX for VMware vSAN

Jak zabezpieczyć stronę Wordpress

Data publikacji: 05-09-2016 Autor: Paweł Frankowski
Próby ataku na WP według...

Według statystyk z maja 2016 roku, zaprezentowanych przez serwis W3Techs.com, WordPress jest używany przez ponad 59% wszystkich stron WWW korzystających z popularnych systemów zarządzania treścią.

Liczba wdrożeń z wykorzystaniem WordPressa (WP), mimo że nie zwiększa się już tak dynamicznie jak w ostatnich latach, nadal rośnie. Związane jest to m.in. z faktem, że wiele starych, statycznych stron oraz witryn przygotowanych za pomocą innych CMS-ów jest migrowanych do WordPressa. Niewątpliwie to, co dla jednych jest zaletą, dla innych bywa wadą. W tym wypadku mamy do czynienia z olbrzymią ekspansją jednego, w pełni darmowego i rozpowszechnianego na licencji GNU GPL systemu do tworzenia stron internetowych. Owa jednorodność jest atrakcyjna głównie dla web developerów oraz web designerów, jednak właścicielom stron przynosi duże ryzyko. Jeżeli coś jest wyjątkowo popularne, jest też często atakowane.

Co ciekawe, za najbardziej spektakularne wpadki dotyczące bezpieczeństwa nie odpowiadają twórcy samego CMS-a, ale wtyczki firm trzecich. Jak podała w swoim raporcie firma Sucuri, globalnie aż 25% wszystkich stron, w których wykorzystano nieaktualne, dziurawe wersje wtyczek (m.in. Rev­Slider, GravityForms oraz inne oparte na skrypcie TimThumb), zostało zhakowanych w przeciągu kilku ostatnich lat (wartość dotyczy włamań na różnego typu strony na całym świecie). Mimo że wspomniane rozszerzenia zostały uaktualnione i załatane, liczba ataków na WordPressa rośnie z każdym miesiącem. Żeby pokazać skalę problemu, warto podać liczbę stron internetowych wykonanych na WP – ok. 60 milionów.

Jakie kroki podjąć, aby zminimalizować ryzyko skutecznego przeprowadzenia ataku? WordPress to stabilna i bezpieczna platforma, która wymaga od użytkownika czegoś więcej niż tylko jej zainstalowania. Podpowiadamy, jak zabezpieczyć tego CMS-a, wprowadzając zmiany w konfiguracji i używając kilku gotowych rozwiązań.

> NIEAUTORYZOWANE LOGOWANIA DO ZAPLECZA

Nadal bardzo duża liczba ataków na strony wykorzystujące CMS to ataki siłowe (brute force attack). Na ogół specjalne boty, rzadziej ludzie, próbują ataku słownikowego, systematycznie wprowadzając kolejne słowa z obszernego słownika. Najczęściej próby włamania rozpoczynają się od podania loginów i haseł zawierających słowa: admin, qwerty, password, 12345. Część haseł, które można znaleźć na listach, to popularne i proste słowa. Takie kombinacje stosowane są przez nieodpowiedzialnych administratorów i redaktorów wielu stron, którzy nadal z nich korzystają. Często popełnianym błędem jest używanie jednego hasła do wszystkich wykorzystywanych kont oraz niezmienianie haseł co określony czas. Porządki warto więc zacząć od zmiany haseł dla wszystkich użytkowników, którzy mają dostęp do zaplecza instalacji WordPress. Nie chodzi o to, aby hasło było bardzo długie, ważniejsze jest, aby zawierało symbole, cyfry, a także charakterystyczne dla danego języka litery alfabetu. Jeśli choć jedna osoba korzysta z nazwy użytkownika „admin”, warto ją zmienić. Najprościej założyć nowego użytkownika, a starego usunąć.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"