Kako spletni napadalci pridobijo dostop do moje WordPress strani?


Notice: Undefined variable: font_awesome_version in /home/kazalo89/vortex.si/httpdocs/wp-content/plugins/accesspress-social-share/accesspress-social-share.php on line 260

Če je prišlo do vdora v vašo WordPress spletno stran in ne poznate odgovora na vprašanje iz naslova, nič zato. Raziskava, ki so jo opravili pri podjetju Wordfence, je pokazala, da med 1.032 lastniki spletnih strani kar 61,5 % vseh vprašanih ni vedelo, kako so spletni napadalci pridobili dostop do njihove strani.

Kako spletni napadalci dostopajo do splenih strani?

Kot lahko vidite na zgornji sliki, se nepooblaščeni dostopi največkrat izvedejo prek vtičnikov, »brute force« napadov, jedra WordPressa, grafičnih predlog, spletnega gostovanja, neustreznih dovoljenj datotek in kraje gesel. Prvi dve možnosti predstavljata kar 70 % vseh vdorov spletnih napadalcev. Zato bomo v današnji objavi pogledali, kako se lahko pred njima učinkovito zaščitite.

Vtičniki predstavljajo največjo varnostno luknjo

Vtičniki predstavljajo pomemben del funkcionalnosti WordPress spletnih strani. Ste vedeli, da jih je na uradni strani wordress.org na voljo že preko 53.100? V nadaljevanju bomo pogledali tri najpomembnejše kriterije, ki so povezani z varnostjo in vtičniki.

Vtičniki naj bodo vedno posodobljeni

Avtorji uveljavljenih vtičnikov redno delajo popravke, da poskrbijo za njihovo učinkovito delovanje in varno uporabo. Z rednimi posodobitvami si zagotovite, da izkoristite vse prednosti narejenih popravkov. Če odkrito ranljivost najprej izkoristijo spletni napadalci, lahko prek neposodobljenega vtičnika dostopajo do vaše strani. Zato vam svetujemo, da svoje vtičnike preverjate in po potrebi posodabljate na tedenski ravni. V ta namen uporabite tudi vtičnik Wordfence Security, ki vam na e-naslov pošlje opozorilo, ko je treba določen vtičnik posodobiti.

Ne uporabljajte zapuščenih vtičnikov

Ko namestite vtičnik, se zanašate na njegovega avtorja, da bo vtičnik redno posodabljal. Včasih pa se zgodi, da avtor preprosto zapusti svoj izdelek. Prej ali slej se zgodi, da vtičnik ne ustreza več varnostnim merilom in zato mnogo lažje pride do njegove ranljivosti. Svetujemo vam, da ne nameščate vtičnikov, ki niso bili posodobljeni šest mesecev ali več. Če opazite, da imate že nameščen takšen vtičnik, pa poiščite drugega z enako funkcionalnostjo.

Vtičnike prenašajte samo prek zanesljivih virov

Eden od najpreprostejših načinov, da spletni napadalci pridobijo dostop do vaše spletne strani, je prek zlonamernih strani. Napadalci večkrat naredijo kopijo legitimne spletne strani in vas na ta način želijo pretentati, da bi prenesli spletni virus. Tako se lahko hitro zgodi, da si prenesete lažen vtičnik, preko katerega bodo napadalci dobili dostop do vaše strani.

Spletni napadalec

Če vtičnika ne prenašate iz uradne WordPress baze, potem morate preveriti, da gre za legitimno stran. Preverite spodnje trditve, da preverite, ali gre za legitimno ali zlonamerno stran, iz katere prenašate vtičnik:

  • Vizualni pregled strani. Ali je stran lepo oblikovana in je na prvi pogled vidno, da je bilo vanjo vloženo veliko truda (in denarja)?
  • Podatki na strani. Ali so kje na strani vidni kontaktni podatki in podatki o podjetju?
  • Preverite domeno. S katerim od preverjevalnikov domen (npr. preveri.si) preverite verodostojnost domene. Eden najbolj očitnih je zagotovo starost domene. Če gre za domeno, ki je stara le nekaj tednov ali mesecev, preverite, kdo je lastnik domene. Ali gre za zaupanja vrednega lastnika?
  • Preverite ime vtičnika. Eden od najbolj preprostih testov o vtičniku je, da njegovo ime vpišete v iskalnik Google. Ali dobite samo rezultate, ki kažejo na zaupanja vreden vtičnik?

Če ste vsaj na eno vprašanje odgovorili z »ne«, potem obstaja možnost, da se nahajate na zlonamerni strani. Svetujemo vam, da takšno stran dodatno preverite in če se potrdijo sumi o zlonamerni strani, jo nemudoma zapustite. V nobenem primeru s takšne strani ne prenašajte datotek.

»Brute Force« napadi

»Brute Force« napade izvajajo spletni napadalci, ki s pomočjo zlonamerne skripte ugibajo uporabniška imena in gesla. Ko pridobijo podatke za dostop, prevzamejo popolno kontrolo nad spletno stranjo. Da bi se izognili takšnemu scenariju, upoštevajte naslednji dve točki.

1. Uporabite dvostopenjsko avtentikacijo

Dvostopenjska avtentikacija poleg prijave z uporabniškim imenom in geslom zahteva tudi uporabo mobilnega telefona. Za uspešno prijavo v sistem je namreč potrebno vpisati še kodo, ki jo prejmete na svoj mobilni telefon. Če želite aktivirati tovrstno zaščito za svojo WordPress spletno stran, uporabite katerega izmed naslednjih vtičnikov:

2. Varno uporabniško ime in geslo

Uporabniško ime in geslo sta kot vrata in ključ, ki omogočata vstop v vašo spletno stran, zato je še kako pomembno, da sta čimbolj varna. Svetujemo vam, da ne uporabljate uporabniškega imena, kot je na primer admin ali administrator, ter gesla, kot so 12345, acb123, geslo123 in podobna.

Drugi koraki za zaščito pred nepooblaščenimi dostopi

Poleg posodobljenih vtičnikov poskrbite, da bosta redno posodobljena tudi jedro WordPress strani in grafična predloga. Poleg tega poskrbite za varno geslo za dostop do svojega paketa gostovanja in nadzorne plošče.

Na tem mestu velja omeniti še izbiro ustreznega ponudnika spletnega gostovanja. Pri izbiri so vam lahko v pomoč naslednji kriteriji:

  • Ponudnik omogoča gostovanje na najsodobnejših SSD strežnikih.
  • Dnevno izdeluje rezervne kopije spletnih strani naročnikov.
  • Nudi učinkovito podporo.
  • Ima veliko bazo zadovoljnih naročnikov.

Zadovoljni naročniki

Dodatno za zaščito svoje WordPress spletne strani poskrbite tako, da izbrišete vse datoteke, ki jih za delovanje strani ne potrebujete. To vključuje nepotrebne rezervne kopije, datoteke, ki beležijo prijave v sistem, neuporabljene vtičnike, grafične predloge in ostale elemente, ki spletnim napadalcem lahko predstavljajo možnost za dostop do vaše strani.