Что такое целевые и нецелевые хакерские атаки на WordPress
Опубликовано: 2014-07-08Если вы читали о безопасности WordPress и искали взломы и настройки безопасности WordPress, которые можно применить к вашему WordPress или плагинам безопасности WordPress для защиты от хакерских атак, вы заметите, что существует два типа атак: целенаправленный и нецелевой взлом WordPress. атаки.
В чем разница между целевыми и нецелевыми атаками на WordPress и как вы можете защитить свой WordPress от обеих этих атак? В этой статье объясняется разница между этими двумя типами хакерских атак и объясняется, почему некоторые настройки и хаки WordPress могут защитить вас от одного типа атаки, а не от другого, и наоборот.
Нецелевая хакерская атака на WordPress
Нецелевые хакерские атаки на WordPress являются автоматическими атаками и не запускаются только против веб-сайтов WordPress. Например, если хакеры пытаются использовать известную уязвимость в старой версии WordPress, они не ищут вручную веб-сайты WordPress, не проверяют их версию и не видят, уязвимы ли они для такой уязвимости или нет.
Вместо этого они используют автоматизированные инструменты для отправки определенных HTTP-запросов, которые используются для эксплуатации уязвимости, на ряд сайтов, обычно с диапазоном IP-адресов. В зависимости от полученных ответов HTTP инструмент определяет, является ли целевой веб-сайт уязвимой установкой WordPress или нет.
Защитите WordPress от нецелевых атак
Поэтому, если вы скроете свою версию WordPress или даже скроете тот факт, что используете WordPress для своих сайтов, вы не защитите свой сайт от нецелевых хакерских атак WordPress. Чтобы защитить WordPress от нецелевых хакерских атак, следуйте следующим рекомендациям:
- Держите все свое программное обеспечение в актуальном состоянии; всегда используйте последнюю и самую безопасную версию WordPress, плагинов и тем, которые вы используете. Это также относится к MySQL, Apache и любому другому программному обеспечению, работающему в вашей веб-среде.
- Всегда удаляйте и удаляйте все ненужные плагины, темы и любые другие компоненты и файлы, которые не используются.
- Не используйте типичные имена пользователей, такие как admin, administrator и root, для своей учетной записи администратора WordPress. Если вы переименуете учетную запись администратора WordPress.
- Защитите страницы входа и администрирования WordPress, добавив дополнительный уровень аутентификации. Прочитайте статью Защита страницы входа в WordPress с HTTP-аутентификацией для получения дополнительной информации.
- Используйте надежные пароли; это относится не только к WordPress, но и к любой другой службе или веб-сайту, который вы используете в Интернете. Если у вас есть несколько пользователей, использующих WordPress, используйте плагин для создания политик паролей WordPress, чтобы гарантировать, что пользователи используют надежные пароли.
Целевая хакерская атака на WordPress
Целевые хакерские атаки специально нацелены на ваши веб-сайты и блоги. Существует несколько причин, по которым ваш сайт WordPress может стать жертвой целевой атаки, и причина, по которой ваш WordPress стал жертвой целевой атаки, не имеет значения. Важно понимать, что происходит при целенаправленной атаке, чтобы вы могли лучше защитить свои веб-сайты и блоги WordPress.
Целевые атаки более опасны, чем нецелевые, просто потому, что вместо ряда автоматических инструментов, случайно сканирующих веб-сайты, есть человек, анализирующий каждую деталь вашего веб-сайта в надежде найти что-то, что можно было бы использовать.
Анатомия целевой атаки на WordPress
Сначала злоумышленник будет использовать автоматизированные инструменты, чтобы проверить, уязвима ли ваша версия WordPress для каких-либо известных уязвимостей. Поскольку используются автоматизированные инструменты, скрытие версии вашего WordPress в таких случаях не помогает.
Злоумышленник также попытается определить, какие плагины работают на вашем WordPress и уязвимы ли какие-либо из них для конкретной уязвимости. Опять же, большинство этих задач выполняются с использованием автоматизированных инструментов.
Самым слабым звеном в безопасности WordPress обычно являются учетные данные. Поэтому, используя автоматизированные инструменты, злоумышленник попытается перечислить всех пользователей WordPress и даже запустить атаку по словарю паролей против WordPress.
Есть много других способов и средств, как взломать блог или веб-сайт WordPress, и целевые атаки не используют уязвимость безопасности в WordPress или одном из его компонентов. Это также может быть дыра в безопасности программного обеспечения или конфигурации веб-сервера и т. д., но вышеперечисленные три являются наиболее распространенными точками входа для хакерских атак.
Защитите WordPress от целевых атак
Существует множество хаков и настроек WordPress, которые вы можете применить для защиты вашего WordPress от целевой хакерской атаки, как показано в списке ниже:
- Начнем с того, что все, что применимо для защиты вашего WordPress от нецелевых атак WordPress, применимо и к целевым атакам.
- Защитите и защитите свою учетную запись администратора WordPress
- Включите WordPress SSL для доступа к вашей странице входа в WordPress и страницам администратора через уровень зашифрованной связи, чтобы избежать захвата ваших имен пользователей и паролей WordPress.
- Используйте плагин мониторинга и аудита безопасности WordPress, чтобы отслеживать все, что происходит в вашем WordPress, и выявлять любые подозрительные действия, прежде чем они станут проблемой безопасности.
- Используйте роли пользователей WordPress для повышения безопасности WordPress, гарантируя, что каждый пользователь имеет только минимальные необходимые привилегии для выполнения работы.
- Используйте сканер черного ящика безопасности WPScan WordPress и другие инструменты для частого сканирования и аудита вашего веб-сайта WordPress.
Защита WordPress от всех типов хакерских атак
Время от времени вы можете прочитать об определенной настройке безопасности WordPress, о которой одни говорят, что она работает, а другие говорят, что это не так, например о сокрытии вашей версии WordPress. В таком случае мы знаем, что скрытие версии WordPress не повышает его безопасность, так зачем вообще внедрять такую настройку? Если вы сомневаетесь в какой-либо конкретной настройке, если она не влияет на производительность вашего WordPress и ее легко внедрить, продолжайте и реализуйте ее. Лучше быть в безопасности, чем потом сожалеть!
Помимо приведенных выше советов, существует множество других способов повысить безопасность ваших блогов и веб-сайтов WordPress и защитить их как от целевых, так и от нецелевых хакерских атак WordPress. В идеале вы должны быть в курсе, подписавшись на блог безопасности WordPress, где часто публикуются советы, хаки и настройки безопасности WordPress.