Като най-популярната система за управление на съдържанието, WordPress захранва милиони различни уебсайтове. Това е софтуер с отворен код, което означава, че неговият изходен код е публично достъпен и може да бъде променян от почти всеки с достатъчно ноу-хау.

Въпреки че WordPress плъгини и теми могат да бъдат закупени, десетки хиляди от тях са достъпни безплатно. Както може да се очаква, това не идва без своите недостатъци. И така, колко уязвими са сайтовете на WordPress? Какво ще кажете за неговите теми и плъгини? И как можете да защитите вашите сайтове?

Колко уязвим е WordPress?

През февруари 2022 г. Реактивни раници откри, че популярни теми и плъгини от доставчика на AccessPress Themes (известни също като ключове за достъп) са били компрометирани. Изследователите забелязаха уязвимостта случайно, след като откриха подозрителен код на компрометиран уебсайт. След по-нататъшно разследване те разбраха повечето плъгини за AccessPress и всяка тема съдържаше един и същ код.

По-късно се оказа, че AccessPress Themes са станали жертва на кибератака през септември 2021 г., като хакери инжектират задна врата

instagram viewer
в плъгините на доставчика и теми.

В крайна сметка AccessPress актуализира и почисти своите продукти, но вероятно хиляди потребители са били уязвими към атаки за дълъг период от време.

Приставките и темите на WordPress имат ли уязвимости?

Констатациите на Jetpack подчертават колко уязвим може да бъде WordPress. Но това не беше изолиран случай.

През март 2021 г., напр. Wordfence разкри големи уязвимости в два WordPress плъгина, които, ако бъдат успешно експлоатирани, биха позволили на нападател да превземе уебсайт. Уязвимостите бяха открити в плъгините Elementor и WP Super Cache. Elementor е конструктор на уебсайтове, използван в повече от седем милиона уебсайта, докато WP Super Cache е популярен плъгин за кеширане.

През февруари 2022 г., като Дневник на търсачката съобщиха, правителствената база данни за уязвимости на САЩ и изследователи по сигурността на WordPress предупредиха за сериозни уязвимости в десетки плъгини на WordPress.

От тези плъгини, девет бяха използвани в повече от 1,3 милиона уебсайта: Мениджър на кодове в долния колонтитул, Ad Inserter—Ad Manager и AdSense Ads, Popup Builder, Anti-Malware Защита и защитна стена с груба сила, защита от копиране на WP съдържание и без десен щракване, архивиране на база данни за WordPress, GiveWP, Download Manager и разширена база данни Чистачка.

Как да защитите своя WordPress сайт

Човек би предположил, че тези уязвимости винаги се поправят или премахват, след като бъдат открити, но това всъщност не е така.

Изследване от Patchstack установи, че през 2021 г. се наблюдава увеличение от 150 процента в докладваните уязвимости в WordPress в сравнение с 2020 г. - и 29 процента от тези уязвимости не са получили корекция. Patchstack също така установи, че само 0,58 процента от докладваните недостатъци са в ядрото на WordPress, което означава, че уязвимостите почти винаги се намират в плъгините.

Важно е да се уверите, че всички плъгини, които използвате, са актуални, както и самото ядро ​​на WordPress.

Преди да изтеглите и инсталирате плъгин, уверете се, че първо сте направили малко проучване. Проверете колко инсталирания има плъгинът, прочетете отзиви онлайн, вижте кога е бил последно актуализиран и проверете дали е тестван с най-новото ядро ​​на WordPress. Това ще отнеме само няколко минути, но може да ви спести от много проблеми по-нататък.

Като алтернатива можете да използвате WPScan, който е доста прост и ефективен скенер за уязвимости на WordPress. Този инструмент може да се използва и за търсене на плъгин по име. Безплатната версия позволява до 25 API заявки на ден.

За щастие някои плъгини всъщност са предназначени да защитават вашия WordPress сайт от натрапници. LockDown, Wordfence, BulletProof Security са едни от най-добрите Плъгини за сигурност на WordPress днес. Вход LockDown е напълно безплатен, докато другите два имат основни, безплатни модели.

Съвети за безопасност на WordPress

Колкото и уязвим да бъде WordPress, вземането на основни предпазни мерки за сигурност е дълъг път, когато става въпрос за предотвратяване и отблъскване на кибератаки.

Използването на уникални данни за вход и двуфакторна автентификация, поддържането на целия софтуер актуален, скриването на имената на теми и данните за влизане трябва да бъде основата на вашата хигиена за сигурност в WordPress.

Как да защитите своя WordPress уебсайт в 5 лесни стъпки

Прочетете Следващото

ДялтуитДялелектронна поща

Свързани теми

  • Сигурност
  • интернет
  • Онлайн сигурност
  • Приставки за Wordpress
  • Wordpress
  • Wordpress теми

За автора

Дамир Мужезинович (23 публикувани статии)

Дамир е писател и репортер на свободна практика, чиято работа се фокусира върху киберсигурността. Освен да пише, той обича да чете, музика и филми.

Още от Дамир Муезинович

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!

Щракнете тук, за да се абонирате