Video: Verhuis je WordPress website (tot wel 10 GB!) met deze GRATIS plugin - of doe het handmatig! (December 2024)
Als een platform voor contentbeheer is WordPress enorm populair bij gebruikers omdat het zo gemakkelijk te gebruiken is. Het ding is, het is ook een populair doelwit voor criminelen en aanvallers. Als u een WordPress-site hebt, moet u enkele basisstappen nemen om uw site te beveiligen.
DDoS met WordPress
Hoewel er altijd de zorg bestaat dat uw WordPress-site kan worden gehackt om malware aan uw sitebezoekers te bieden of om te leiden naar een onbetrouwbare site elders op het web, wilt u ook niet weten dat uw site wordt gebruikt om aanvallen uitvoeren op andere sites. Eerder deze week meldde beveiligingsbedrijf Sucuri dat meer dan 162.000 WordPress-sites waren misleid om deel te nemen aan een gedistribueerde denial-of-service-aanval op een andere site.
Het punt is dat de sites niet zijn gekaapt of geïnfecteerd om een botnet te vormen. De aanvallers misbruikten Pingbacks, een volkomen legitieme functie in WordPress, om de beoogde site te overspoelen met ongewenst verkeer. Pingbacks worden door één WordPress-site gebruikt om andere sites op de hoogte te stellen wanneer er een bericht aan is gekoppeld. In de aanval die werd waargenomen door Sucuri, misleidde de aanvaller de sites om een Pingback-verzoek naar dezelfde doel-URL te verzenden, wat gemakkelijk was omdat Pingback standaard is ingeschakeld in WordPress. De beoogde site werd plotseling gebombardeerd met Pingback-aanvragen, die in wezen opliepen tot een DdoS-aanval.
Als u WordPress gebruikt, zou u moeten overwegen Pingbacks uit te schakelen om ervoor te zorgen dat uw site niet kan worden gebruikt om andere sites aan te vallen. De functie waarschuwt je wanneer iemand anders over je praat, wat een leuke ego-booster is, maar is het de moeite waard om het in de buurt te houden om misbruikt te worden? Sucuri heeft suggesties voor het blokkeren van pingbacks op haar site.
Lekke WordPress
Dave Lewis, senior beveiligingsadvocaat bij Akamai Technologies, gebruikte Google om meer dan 111.000 WordPress-sites te vinden waarvan de databaseback-ups toegankelijk waren via internet. De lijst bevatte "allerlei websites van onafhankelijke muzieksites tot dokterspraktijken en zelfs enkele overheidswebsites", schreef Lewis op zijn CSO-blog. De dump bevat gedetailleerde informatie over de database, die aanvallers kunnen gebruiken om andere aanvallen uit te voeren, maar ook een potentieel lek in uw gegevens.
Het is duidelijk dat back-ups niet toegankelijk moeten zijn via internet. Als back-ups lokaal worden uitgevoerd op dezelfde server waarop WordPress is geïnstalleerd, kunnen plug-ins van Wordfence of Sucuri ongeautoriseerde toegang blokkeren, zei Lewis.
Verouderde WordPress
De belangrijkste taak voor WordPress-beheerders is om op de hoogte te blijven van software-updates, niet alleen voor het kernplatform, maar voor elk van de plug-ins die op de site worden uitgevoerd. Verouderde versies van WordPress worden voortdurend aangevallen, vooral de plug-ins. "Schadelijke hackers zijn altijd op zoek naar manieren om computergebruikers te infecteren, en welke betere techniek kan er zijn dan een bestaande, legitieme website te compromitteren en deze zodanig te ondermijnen dat deze stiekem computergebruikers infecteert wanneer ze deze bezoeken, " zei beveiligingsadviseur Graham Cluley.
Aanvallers kunnen ongepaste fouten benutten om SQL-injectie of cross-site scripting-aanvallen uit te voeren. De fouten kunnen ook worden misbruikt om de site met malware te infecteren. Voor het grootste deel zijn deze problemen meestal het gevolg van problemen met plug-ins, niet het kernsoftwareplatform, waardoor het nog kritischer is dat plug-ins regelmatig worden bijgewerkt.
Het is belangrijk om het verschil op te merken tussen sites die worden gehost op WordPress.com en WordPress-sites die worden uitgevoerd op andere servers. Het team achter WordPress houdt de software up-to-date op WordPress.com, zodat individuele gebruikers dat niet hoeven te doen. Voor zelfgehoste sites moet de site-eigenaar op de hoogte blijven van patches en updates om ervoor te zorgen dat de software actueel blijft.
Als u WordPress gaat uitvoeren, houd dan de aanvallers voor door uw site regelmatig bijgewerkt te houden.