Der erste und einer der wichtigsten Frage: Wie Angreifer Zugriff auf Wordpress-Seiten gewinnen?

In der heutigen Post wir in einige sehr interessante Daten tauchen versammelten wir uns vor ein paar Wochen in einer Umfrage, lassen die Fakten sagen uns, was am wichtigsten ist.

Die Frage, die wir in der Umfrage gestellt wurde:

Wenn Sie wissen, wie Ihre Website manipuliert wurde erläutern Sie, wie die Angreifer Zugang gewonnen.

Die Antworten waren Freitext, so dass wir kategorisiert die Antworten manuell. Wenn der Befragte Zweifel in ihrer Antwort zum Ausdruck gebracht, kategorisiert wir sie als unsicher.

Die meisten Website-Besitzer wissen nicht,

Von den 1032 Befragten, die diese Frage beantwortet, 61,5% wussten nicht, wie die Angreifer ihre Website kompromittiert. Das ist ein nicht eine große Überraschung gegeben, dass die große Mehrheit der Befragten ihre Websites selbst zu reinigen, aber es ist beunruhigend. Es ist unmöglich, sicher sein, dass Sie Ihre Website vollständig gereinigt oder dass die Schwachstelle nicht existiert immer noch, ohne zu wissen, wie die Website in erster Linie beeinträchtigt wurde.

In der Bilanz dieses Beitrags werden wir in erster Linie auf den oberen beiden Risiken zu konzentrieren. Denn wenn man sich gegen Plugin-Schwachstellen und Brute-Force-Angriffe zu schützen, sind die Buchführung Sie für mehr als 70% des Problems.

Plugins sind Ihre größte Risiko

Plugins spielen eine große Rolle Wordpress so populär zu machen, wie es heute ist. Zum Zeitpunkt des Schreibens gibt es 43.719 Plugins zum Download zur Verfügung in der offiziellen Wordpress-Plugin-Verzeichnis. Das ist eine unglaubliche Auswahl an Plug-and-Play-Software. Aber Sie müssen natürlich mit ihnen, vorsichtig zu sein, als Plugin-Schwachstellen vertreten 55,9% der bekannten Eintrag pointsreported von den Befragten.

Einige Tipps zur Vermeidung von Plugin-Schwachstellen:

Halten Sie sie aktualisiert

Seriöse Plugin Autoren beheben Schwachstellen sehr schnell, wenn entdeckt. Indem sie auf den neuesten Stand Sie versichern, dass Sie von Korrekturen profitieren, bevor die Angreifer sie ausnutzen können. Es wird empfohlen, mindestens einmal pro Woche nach Updates suchen. Darüber hinaus empfehlen wir Ihnen, die Aufmerksamkeit auf die von Wordfence Scans erzeugten Warnungen zu zahlen. Wordfence warnt Sie, wenn Ihre Plugins aktualisiert werden müssen.

Verwenden Sie nicht aufgegeben Plugins

Sie verlassen sich auf die Plugin-Entwickler, um sicherzustellen, dass ihr Code frei von Schwachstellen ist. Wenn sie nicht mehr sind die Bereitstellung von Aktualisierungen gibt es eine hohe Wahrscheinlichkeit, dass es Schwachstellen, die nicht behoben haben. Wir empfehlen die Vermeidung von Plugins, die nicht mehr als 6 Monate aktualisiert in. Für Plugins haben Sie bereits installiert, empfehlen wir Ihnen eine Prüfung durchführen mindestens vierteljährlich sicher, dass keiner von Plugins zu machen haben von ihren Autoren verlassen.

Nur Plugins von seriösen Sites herunterladen Wenn Sie Plugins in einem anderen als dem offiziellen Wordpress-Repository zum Download gehen, müssen Sie sicherstellen, dass die Website seriös. Eine der einfachsten Möglichkeiten für Angreifer Ihre Website zu Kompromissen ist, dass Sie in die Lade Malware selbst zu betrügen. Ein Angreifer wird dies durch die Einrichtung einer Website, die legitim aussieht und bekommen Sie ein kompromittierter oder "genullt" Plugin zum Download bereit.

Verwenden Sie diese Tipps, um festzustellen, ob eine Website eine seriöse Quelle ist oder nicht:

• Eye Test - Ist die Website selbst professionell gestaltet und verwendet klare Sprache, um ein Produkt zu beschreiben? Oder sieht es aus wie es von einer einzigen Person zusammen schnell geworfen wurde?
• Firmeninformation - Gehört die Website zu einem Unternehmen mit dem Firmennamen in der Fußzeile?
• TOS und Datenschutz - Haben sie Bezug auf Service und einer Datenschutzrichtlinie haben?
• Kontakt Info - Haben sie einen physischen Kontakt-Adresse auf der Kontaktseite zur Verfügung stellen oder in ihre Nutzungsbedingungen?
• Domain-Suche - Google der Domain-Name in Anführungszeichen z.B. "Example.com". Haben Sie irgendwelche Berichte über schädliche Aktivitäten finden. Fügen Sie das Wort "Thema" oder "Plugin" neben dem angegebenen Domain-Namen in die Suche und sehen, was das offenbart.
• Nennen Sie suchen - eine Google-Suche nach dem Namen des Plugins und sehen, ob bösartige Aktivitäten berichtet. Fügen Sie den Begriff "Malware" oder "Spyware" auf die Suche, die Foren zu diskutieren eine bösartige Version des Themas verteilt offenbaren kann.
• Anfälligkeiten Suche - eine Suche nach dem Thema oder Plugin-Namen oder den Namen des Herstellers und das Wort "Schwachstelle". Dies wird Ihnen helfen herauszufinden, ob alle Sicherheitslücken sind für das Produkt Sie sich interessieren oder für den Lieferanten gemeldet. Wenn sie die Verwundbarkeit in einer angemessenen Art und Weise festgelegt haben, dass in der Regel zeigt, dass sie eine verantwortliche Verkäufer sind, die aktiv ihr Produkt zu halten, wenn Probleme auftreten.

Brute-Force-Angriffe sind immer noch ein großes Problem

Ein Brute-Force-Angriff ist ein Passwort zu erraten Angriff. Der Angreifer muss sowohl einen gültigen Benutzernamen auf Ihrer Website zu identifizieren und erraten, dann das Kennwort für diesen Benutzernamen ein. Trotz der Verfügbarkeit von Methoden und Technologien, die zu 100% wirksam sind, ist diese Art des Angriffs immer noch ein großes Problem, was 16,1% der bekannten Einstiegspunkte in unserer Umfrage.

Einige Tipps für einen Hack über Brute-Force-Angriff zu vermeiden:

Verwenden Handy Log-in

Wird auch als Zwei-Faktor-Authentifizierung, dieser Ansatz muss der Benutzer nicht nur ihr Passwort kennen, sondern auch Besitz von ihrem Handy zu haben. Diese Technologie ist 100% wirksam bei der Brute-Force-Angriffe zu verhindern. Wordfence Premium umfasst heute diese Funktion.

Verwenden Sie nicht Offensichtliche Benutzernamen

Die offensichtlichsten Benutzernamen zu vermeiden sind "Admin" und "Administrator", sind sie die am häufigsten verwendeten Benutzernamen in Brute-Force-Angriffe versucht. Vermeiden Sie auch Ihren Domain-Namen, Firmennamen und die Namen der Menschen, die für einen Blog schreiben oder an anderer Stelle auf Ihrer Website aufgeführt.

Viele unserer Befragten gaben an, dass ihre Hosting-Konto wurde in irgendeiner Weise beeinträchtigt wird. Stellen Sie sicher, dass Sie ein starkes Passwort-Policy für Ihre cPanel-Konto haben und andere Server oder Hosting damit verbundenen Konten. Achten Sie auch darauf, dass Sie alle Anwendungen auf dem Server zu entfernen, wie phpMyAdmin, die nicht unbedingt notwendig sind. Wenn Sie nicht tun, werden Sie haben, sie auch zu halten und sicherzustellen, dass sie sind aktualisiert und sicher. Jede Anwendung ist ein weiterer Endpunkt, der angegriffen werden kann. Je weniger Sie schützen müssen, die Ihr Risiko senken.