A WordPress messze a legnépszerűbb tartalomkezelő rendszer, így több millió különböző webhelyet működtet. Nyílt forráskódú szoftverről van szó, ami azt jelenti, hogy a forráskódja nyilvánosan elérhető, és nagyjából bárki módosíthatja, aki kellő know-how-val rendelkezik.

Bár a WordPress bővítmények és témák megvásárolhatók, több tízezer ingyenesen elérhető belőlük. Ahogy az várható is, ez nem nélkülözi a hátrányait. Tehát mennyire sebezhetőek a WordPress webhelyek? Mi a helyzet a témáival és a bővítményeivel? És hogyan védheti meg webhelyeit?

Mennyire sebezhető a WordPress?

2022 februárjában Jetpack felfedezte, hogy az AccessPress Themes (más néven Access Keys) népszerű témái és beépülő moduljai veszélybe kerültek. A kutatók véletlenül vették észre a sebezhetőséget, miután gyanús kódot fedeztek fel egy feltört webhelyen. További vizsgálat után rájöttek a legtöbb AccessPress beépülő modulra, és minden téma ugyanazt a kódot tartalmazta.

Később kiderült, hogy az AccessPress Themes egy kibertámadás áldozata lett 2021 szeptemberében, amikor a hackerek beadták a hátsó ajtót.

instagram viewer
a gyártó beépülő moduljaiban és témák.

Az AccessPress végül frissítette és megtisztította termékeit, de feltehetően felhasználók ezrei voltak hosszú ideig sebezhetőek a támadásokkal szemben.

A WordPress beépülő moduloknak és témáknak vannak sebezhetőségei?

A Jetpack megállapításai alátámasztják, mennyire sebezhető lehet a WordPress. De ez nem volt egyedi eset.

2021 márciusában pl. Wordfence felfedte a két WordPress-bővítmény jelentős sebezhetőségét, amelyek sikeres kihasználása esetén lehetővé tették volna a támadó számára, hogy átvegye az irányítást egy webhelyen. A sebezhetőségeket az Elementor és a WP Super Cache bővítményben fedezték fel. Az Elementor egy több mint hétmillió webhelyen használt webhelykészítő, míg a WP Super Cache egy népszerű gyorsítótár-bővítmény.

2022 februárjában as Keresőnapló A jelentések szerint az Egyesült Államok kormányának sebezhetőségi adatbázisa és a WordPress biztonsági kutatói több tucat WordPress-bővítmény súlyos sebezhetőségére figyelmeztettek.

A beépülő modulok közül kilencet több mint 1,3 millió webhelyen használtak: Fejléc-lábléc kódkezelő, Hirdetésbeszúró – Ad Manager és AdSense hirdetések, Popup Builder, Anti-Malware Biztonság és Brute-Force tűzfal, WP tartalommásolásvédelem és jobb kattintás nélkül, adatbázis biztonsági mentés a WordPresshez, GiveWP, letöltéskezelő és speciális adatbázis Tisztító.

Hogyan védheti meg WordPress webhelyét

Feltételezhető, hogy ezeket a sebezhetőségeket a felfedezés után mindig kijavítják vagy eltávolítják, de valójában nem ez a helyzet.

Kutatás a Patchstack azt találta, hogy 2021-ben 150 százalékkal nőtt a jelentett WordPress sebezhetőségek száma 2020-hoz képest – és a sérülékenységek 29 százaléka nem kapott javítást. A Patchstack azt is megállapította, hogy a jelentett hibáknak mindössze 0,58 százaléka volt a WordPress magjában, ami azt jelenti, hogy a sebezhetőségek szinte mindig megtalálhatók a bővítményekben.

Nagyon fontos, hogy az összes használt bővítmény naprakész legyen, valamint maga a WordPress mag is.

Mielőtt letöltene és telepítene egy bővítményt, először végezzen egy kis kutatást. Ellenőrizze, hogy hányszor telepítette a bővítményt, olvassa el az online véleményeket, nézze meg, mikor frissítették utoljára, és ellenőrizze, hogy tesztelték-e a legújabb WordPress maggal. Ez csak néhány percet vesz igénybe, de sok bajtól megkímélheti az úton.

Alternatív megoldásként használhatja WPScan, amely egy meglehetősen egyszerű és hatékony WordPress sebezhetőség-ellenőrző. Ez az eszköz arra is használható, hogy név szerint keressen egy bővítményt. Az ingyenes verzió napi 25 API-kérést tesz lehetővé.

Szerencsére néhány beépülő modult arra terveztek, hogy megvédjék a WordPress webhelyét a behatolóktól. Login LockDown, Wordfence, BulletProof Security a legjobbak közé tartoznak WordPress biztonsági bővítmények Ma. A LockDown bejelentkezés teljesen ingyenes, míg a másik kettő alapvető, ingyenes modellekkel rendelkezik.

WordPress biztonsági tippek

Bármennyire is sebezhető a WordPress, az alapvető biztonsági óvintézkedések megtétele sokat jelent a kibertámadások megelőzésében és kivédésében.

Az egyedi bejelentkezési adatok és a kéttényezős hitelesítés, az összes szoftver naprakészen tartása, a témanevek és bejelentkezési adatok elrejtése kell, hogy legyen a WordPress biztonsági higiéniájának alapja.

Hogyan védheti meg WordPress webhelyét 5 egyszerű lépésben

Olvassa el a következőt

Ossza megCsipogOssza megEmail

Kapcsolódó témák

  • Biztonság
  • Internet
  • Online biztonság
  • Wordpress beépülő modulok
  • Wordpress
  • Wordpress témák

A szerzőről

Damir Mujezinovic (23 cikk megjelent)

Damir szabadúszó író és riporter, akinek a munkája a kiberbiztonságra összpontosít. Az íráson kívül szeret olvasni, zenélni és filmezni.

Továbbiak Damir Mujezinovictól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz műszaki tippekért, ismertetőkért, ingyenes e-könyvekért és exkluzív ajánlatokért!

Kattintson ide az előfizetéshez