Kot daleč najbolj priljubljen sistem za upravljanje vsebine WordPress poganja na milijone različnih spletnih mest. To je odprtokodna programska oprema, kar pomeni, da je njena izvorna koda javno dostopna in jo lahko spreminja skoraj vsak, ki ima zadostno znanje in izkušnje.

Čeprav je vtičnike in teme WordPress mogoče kupiti, jih je na deset tisoče na voljo brezplačno. Kot bi lahko pričakovali, to ne gre brez slabosti. Kako ranljiva so torej mesta WordPress? Kaj pa njegove teme in vtičniki? In kako lahko zaščitite svoja spletna mesta?

Kako ranljiv je WordPress?

februarja 2022, Jetpack odkrili, da so bile priljubljene teme in vtičniki ponudnika AccessPress Themes (znane tudi kot Access Keys) ogrožene. Raziskovalci so ranljivost opazili po naključju, potem ko so odkrili sumljivo kodo na ogroženem spletnem mestu. Po nadaljnji preiskavi so spoznali večino vtičnikov AccessPress in vsaka tema je vsebovala isto kodo.

Kasneje se je izkazalo, da so AccessPress Themes septembra 2021 postale žrtev kibernetskega napada, ko so hekerji vbrizgali zadnja vrata. v vtičnikih prodajalca in teme.

AccessPress je sčasoma posodobil in počistil svoje izdelke, vendar je bilo verjetno na tisoče uporabnikov dalj časa ranljivih za napade.

Ali imajo vtičniki in teme WordPress ranljivosti?

Ugotovitve Jetpacka poudarjajo, kako ranljiv je lahko WordPress. Vendar to ni bil osamljen primer.

Marca 2021 je npr. Wordfence razkrila velike ranljivosti v dveh vtičnikih WordPress, ki bi, če bi bila uspešno izkoriščena, napadalcem omogočila, da prevzame spletno mesto. Ranljivosti so bile odkrite v vtičnikih Elementor in WP Super Cache. Elementor je graditelj spletnih mest, ki se uporablja na več kot sedmih milijonih spletnih mest, medtem ko je WP Super Cache priljubljen vtičnik za predpomnjenje.

Februarja 2022 kot Iskalnik Journal poročali, so vladna zbirka podatkov o ranljivostih Združenih držav in raziskovalci varnosti WordPress opozorili na resne ranljivosti v desetinah vtičnikov WordPress.

Od teh vtičnikov je bilo devet uporabljenih na več kot 1,3 milijona spletnih mest: Upravitelj kode glave glave, Ad Inserter – Ad Manager in AdSense Ads, Popup Builder, Anti-Malware Varnost in požarni zid brutalne sile, zaščita pred kopiranjem vsebine WP in brez desnega klika, varnostna kopija baze podatkov za WordPress, GiveWP, upravitelj prenosov in napredna zbirka podatkov Čistilec.

Kako zavarovati svoje spletno mesto WordPress

Domnevali bi, da so te ranljivosti vedno popravljene ali odstranjene, ko so odkrite, vendar to dejansko ni tako.

Raziskave iz Patchstack ugotovili, da se je v letu 2021 število prijavljenih ranljivosti WordPress-a v primerjavi z letom 2020 povečalo za 150 odstotkov – in 29 odstotkov teh ranljivosti ni prejelo popravka. Patchstack je tudi ugotovil, da je bilo le 0,58 odstotka prijavljenih napak v jedru WordPress, kar pomeni, da ranljivosti skoraj vedno najdemo v vtičnikih.

Pomembno je zagotoviti, da so vsi vtičniki, ki jih uporabljate, posodobljeni, pa tudi samo jedro WordPressa.

Preden prenesete in namestite vtičnik, najprej malo raziskajte. Preverite, koliko namestitev ima vtičnik, preberite ocene na spletu, poglejte, kdaj je bil nazadnje posodobljen, in preverite, ali je bil preizkušen z najnovejšim jedrom WordPress. To bo trajalo le nekaj minut, vendar vas lahko prihrani veliko težav na poti.

Druga možnost je, da uporabite WPScan, ki je dokaj preprost in učinkovit pregledovalnik ranljivosti WordPress. To orodje lahko uporabite tudi za iskanje vtičnika po imenu. Brezplačna različica omogoča do 25 zahtev API na dan.

Na srečo so nekateri vtičniki dejansko zasnovani za zaščito vašega spletnega mesta WordPress pred vsiljivci. LockDown, Wordfence, BulletProof Security so nekateri najboljši Varnostni vtičniki WordPress danes. Prijava LockDown je popolnoma brezplačna, druga dva pa imata osnovne, brezplačne modele.

Varnostni nasveti za WordPress

Čeprav je WordPress lahko ranljiv, je upoštevanje osnovnih varnostnih ukrepov zelo pomembno, ko gre za preprečevanje in odvračanje od kibernetskih napadov.

Uporaba edinstvenih podatkov za prijavo in dvofaktorne avtentikacije, posodabljanje vse programske opreme, skrivanje imen tem in podrobnosti za prijavo bi moralo biti temelj vaše varnostne higiene WordPress.

Kako zaščititi svoje spletno mesto WordPress v 5 preprostih korakih

Preberite Naprej

DelitiTweetDelitiE-naslov

Povezane teme

  • Varnost
  • internet
  • Spletna varnost
  • Vtičniki Wordpress
  • Wordpress
  • Wordpress teme

O avtorju

Damir Mujezinovič (23 objavljenih člankov)

Damir je svobodni pisatelj in poročevalec, katerega delo se osredotoča na kibernetsko varnost. Poleg pisanja uživa v branju, glasbi in filmu.

Več od Damir Mujezinovic

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e-knjige in ekskluzivne ponudbe!

Kliknite tukaj, da se naročite