Wordpress & Webentwicklung

Warum sollten Sie Ihre WordPress-Sicherheitsanfälligkeiten aktualisieren, die Sie kennen sollten?

Warum sollten Sie Ihre WordPress-Sicherheitsanfälligkeiten aktualisieren, die Sie kennen sollten? / Wordpress & Webentwicklung

Ich habe viele großartige Dinge zu WordPress zu sagen. Es ist eine international beliebte Open-Source-Software, mit der jeder seinen eigenen Blog oder eine eigene Website starten kann. Es ist mächtig genug, um von erfahrenen Programmierern erweiterbar zu sein, und doch so einfach, dass technisch Analphabeten davon profitieren können. Wir haben sogar einen Mini-Guide zum Starten Ihrer eigenen WordPress-Site für die wesentlichen ersten Schritte, und ich hoffe, es kann auch für Sie nützlich sein. Durch… Lesen Sie mehr .

Wie bei jeder Software für das Internet gibt es jedoch immer Sicherheitslücken, die gepatcht werden müssen. Selbst wenn alte Löcher fixiert wurden, führen neue Features zwangsläufig zu neuen Löchern. Diese Löcher müssen dann repariert werden. Es ist ein Prozess, der niemals endet. Deshalb ist es für Sie so wichtig Aktualisieren Sie Ihr WordPress regelmäßig.

Das Aktualisieren von WordPress ist der beste Weg, um die neuesten Sicherheitslücken in WordPress zu beheben. Welche Art von Sicherheitslücken? Hier ist eine Übersicht der häufigsten, die Sie treffen.

1. Standard-Admin-Konto

Wenn Sie WordPress zum ersten Mal installieren, wird Ihr grundlegendes Administratorkonto aufgerufen “Administrator” mit einem ebenso einfachen Passwort. Das Beibehalten der Sicherheitsberechtigungsnachweise auf den Standardeinstellungen kann eine große Sicherheitsanfälligkeit darstellen, da Hacker und Cracker wissen, was diese Standardeinstellungen sind, und sie daher leicht ausnutzen können.

Eigentlich ist dies kein Problem, das nur für WordPress gilt. Alles, was mit den produktweiten Standard-Zugangsdaten geliefert wird 3 Standardkennwörter, die Sie ändern müssen, und warum 3 Standardkennwörter, die Sie ändern müssen & warum Kennwörter unbequem sind, aber notwendig. Viele Benutzer neigen dazu, Passwörter zu vermeiden, wo immer dies möglich ist, und verwenden gerne Standardeinstellungen oder das gleiche Passwort für alle ihre Konten. Dieses Verhalten kann dazu führen, dass Ihre Daten und andere Informationen (z. B. Router-Logins oder Telefon-Entsperrcodes) von Natur aus diese WordPress-Sicherheitsanfälligkeit haben. Während Router und Telefone normalerweise Ihre physische Anwesenheit für Unfug erfordern, kann jeder Ihre WordPress-Site hacken, solange er die URL hat.

Also, was kannst du machen? Die einfachste Lösung ist, ein neues Administratorkonto auf Ihrer WordPress-Site zu erstellen und die Standardeinstellung zu löschen “Administrator” Konto. Dies lässt keine Vorhersagbarkeit hinsichtlich des Administratorzugriffs zu.

2. Standard-Datenbankpräfixe

Bei der ersten Installation von WordPress werden die Datenbanktabellen mit einem Standardpräfix von benannt wp_. Dies geschieht, damit alle Tabellen in Ihrer Datenbank organisiert bleiben, falls Sie mit anderen Softwarepaketen in derselben Datenbank arbeiten. Das wp_ bedeutet, dass diese speziellen Tabellen mit WordPress zusammenhängen.

Aber hier ist der Haken: Wenn ein Hacker versucht, Ihre WordPress-Site durcheinander zu bringen, führt ihn diese Vorhersagbarkeit automatisch dazu, dass Sie Ihre Datenbanktabellen einen Schritt näher kommen. Durch das Erkennen der Namen Ihrer Datenbanktabellen kann ein Hacker so lange manuell darauf zugreifen, bis er Zugriff erhält.

Denk darüber so. Angenommen, ein Dieb möchte etwas von Ihrem Zuhause stehlen, aber Ihr Zuhause ist mit speziellen Türen ausgestattet, die Schlüssellöcher haben, bis Sie das Recht rufen “Name” für diese Tür Wenn der Dieb weiß, dass der Name Ihrer Tür ist “Sandig”, dann muss er nur noch das Schloss auswählen, aber wenn der Dieb den Namen Ihrer Tür nicht kennt, muss er das erst irgendwie herausfinden, bevor er überhaupt damit anfangen kann.

Also, was kannst du machen? Einfach. WordPress ermöglicht die Installation mit einem Tabellenpräfix, das sich vom Standardpräfix unterscheidet.

3. Zugreifbare Dateien und Verzeichnisse

Bei jeder Website ist die Anzahl der Dateien, auf die die Benutzer tatsächlich zugreifen sollen, weit geringer als die Anzahl der Dateien, die für den Betrieb dieser Website erforderlich sind. Möglicherweise verfügen Sie über eine Vielzahl von Funktionsdateien, Klassendateien, Vorlagendateien, Konfigurationsdateien und mehr. Keine davon sollte öffentlich verfügbar sein. Gleiches gilt für Verzeichnisse.

Mit CHMOD können Sie Berechtigungen für verschiedene Dateien und Verzeichnisse festlegen, um zu verhindern, dass unerwünschte Benutzer auf sensible Materialien zugreifen. Wenn ein Benutzer beispielsweise Zugriff auf Ihre Konfigurationsdatei hatte, könnte er an Ihren WordPress-Einstellungen manipulieren und Ihre Website beschädigen. WordPress ist anfällig, wenn die Dateien und Verzeichnisse Ihrer Website nicht mit den richtigen Berechtigungseinstellungen gesichert sind.

Also, was kannst du machen? Ich musste mich in letzter Zeit tatsächlich mit diesem Problem befassen, und die Lösung ist nicht allzu schwierig. Stellen Sie sicher, dass Ihre WordPress-Installation dem WordPress-Berechtigungsschema entspricht.

4. SQL-Injektionen und Hijacking

SQL-Injektionen gelten nicht nur für WordPress. Tatsächlich sind sie eine der häufigsten (und destruktiven) Formen von Webserver-Angriffen in der Welt. Nicht mit dem Begriff vertraut? Einführung in den Artikel zu SQL-Injektionen Was ist eine SQL-Injektion? [MakeUseOf erklärt] Was ist eine SQL-Injektion? [MakeUseOf erklärt] Die Welt der Internetsicherheit ist mit offenen Ports, Hintertüren, Sicherheitslücken, Trojanern, Würmern, Firewall-Sicherheitslücken und einer Reihe anderer Probleme geplagt, die uns jeden Tag auf Trab halten. Für Privatanwender… Lesen Sie mehr, um sich ein grundlegendes Verständnis des Problems zu verschaffen.

Im Wesentlichen hat WordPress im Laufe der Jahre einige Sicherheitslücken bei der SQL-Injektion. Einige wurden gepatcht, während andere unbedeckt oder unentdeckt bleiben. Wenn ein Hacker Zugriff auf eine dieser Lücken erhält, kann er bösartigen SQL-Code in Ihre Datenbank einfügen, mit dem Sie Daten stehlen oder ganz löschen können.

Also, was kannst du machen? Nun, hier ist der Haken: Wenn Sie nicht gut genug ausgerüstet sind, um zu wissen, wie man SQL-Injektionen besiegt, dann haben Sie wahrscheinlich nicht das technische Know-how für den Aufbau eines Schutzes. Sie können sich wahrscheinlich nach WordPress-Plugins umsehen, die potenzielle Injektionslöcher beheben könnten, aber die meisten Benutzer müssen einfach auf den nächsten WordPress-Sicherheitspatch warten.

Empfohlene Plugins

  • WP-Sicherheitsüberprüfung - Dieses Plugin überprüft das Setup Ihrer Website und sucht nach potenziellen Sicherheitslücken. Es deckt alle möglichen Bereiche ab, von Dateiberechtigungen über Datenbanklöcher bis hin zur Kennwortverwaltung und mehr.
  • WordPress File Monitor Plus - Falls jemand Zugriff auf die Dateistruktur Ihrer Site erhalten hat, informiert Sie dieses Plugin darüber. Es überwacht regelmäßig die Dateien und Verzeichnisse Ihres Systems und macht eventuelle Abweichungen fest.
  • WordPress Firewall 2 - Dieses Plugin richtet eine metaphorische Mauer um Ihre Site ein und prüft alle eingegebenen Daten und den Datenverkehr auf bösartige Absichten. Es ist ziemlich gut, um Angriffe wie SQL-Injektionen und andere Datenbankangriffe zu verhindern.
  • Wordfence - Wordfence ist ein All-in-One-Plug-In für die Sicherheits-Suite, das Schutz vor bösartigen Angriffen, Virenschutz, Firewall und mehr bietet. Auf jeden Fall einen Versuch wert.

Fazit

Obwohl WordPress sowohl Open Source als auch weit verbreitet ist, heißt das nicht, dass es nicht ohne Mängel ist. WordPress-Schwachstellen werden von Zeit zu Zeit angezeigt. Wenn ein Fehler behoben wird, ist ein anderer in der Regel gleich um die Ecke. Durch sorgfältige Überwachung und vorbeugende Maßnahmen können Sie das Risiko Ihrer WordPress-Site minimieren.