Ως μακράν το πιο δημοφιλές σύστημα διαχείρισης περιεχομένου, το WordPress τροφοδοτεί εκατομμύρια διαφορετικούς ιστότοπους. Είναι λογισμικό ανοιχτού κώδικα, που σημαίνει ότι ο πηγαίος κώδικας του είναι δημόσια προσβάσιμος και μπορεί να τροποποιηθεί από σχεδόν οποιονδήποτε έχει επαρκή τεχνογνωσία.

Αν και μπορούν να αγοραστούν πρόσθετα και θέματα WordPress, δεκάδες χιλιάδες από αυτά είναι διαθέσιμα δωρεάν. Όπως θα περίμενε κανείς, αυτό δεν έρχεται χωρίς τα μειονεκτήματά του. Πόσο ευάλωτοι είναι λοιπόν οι ιστότοποι WordPress; Τι γίνεται με τα θέματα και τις προσθήκες του; Και πώς μπορείτε να προστατεύσετε τους ιστότοπούς σας;

Πόσο ευάλωτο είναι το WordPress;

Τον Φεβρουάριο του 2022, Jetpack ανακάλυψε ότι τα δημοφιλή θέματα και οι προσθήκες από τον προμηθευτή AccessPress Themes (γνωστά και ως Access Keys) παραβιάστηκαν. Οι ερευνητές εντόπισαν την ευπάθεια τυχαία, αφού ανακάλυψαν ύποπτο κώδικα σε έναν παραβιασμένο ιστότοπο. Μετά από περαιτέρω έρευνα, συνειδητοποίησαν τα περισσότερα πρόσθετα AccessPress και κάθε θέμα περιείχε τον ίδιο κώδικα.

instagram viewer

Αργότερα αποδείχθηκε ότι η AccessPress Themes έπεσε θύμα κυβερνοεπίθεσης τον Σεπτέμβριο του 2021, με τους χάκερ να κάνουν ένεση σε μια κερκόπορτα στα πρόσθετα του προμηθευτή και θέματα.

Η AccessPress τελικά ενημέρωσε και καθάρισε τα προϊόντα της, αλλά πιθανώς χιλιάδες χρήστες ήταν ευάλωτοι σε επιθέσεις για μεγάλο χρονικό διάστημα.

Έχουν ευπάθειες οι προσθήκες και τα θέματα του WordPress;

Τα ευρήματα του Jetpack υπογραμμίζουν πόσο ευάλωτο μπορεί να είναι το WordPress. Αλλά αυτή δεν ήταν μια μεμονωμένη περίπτωση.

Τον Μάρτιο του 2021, για παράδειγμα, Wordfence αποκάλυψε σημαντικές ευπάθειες σε δύο προσθήκες WordPress που, εάν εκμεταλλευόταν επιτυχώς, θα επέτρεπε σε έναν εισβολέα να καταλάβει έναν ιστότοπο. Τα τρωτά σημεία ανακαλύφθηκαν στις προσθήκες Elementor και WP Super Cache. Το Elementor είναι ένα πρόγραμμα δημιουργίας ιστοτόπων που χρησιμοποιείται σε περισσότερους από επτά εκατομμύρια ιστότοπους, ενώ το WP Super Cache είναι μια δημοφιλής προσθήκη προσωρινής αποθήκευσης.

Τον Φεβρουάριο του 2022, όπως Εφημερίδα μηχανών αναζήτησης ανέφερε, η βάση δεδομένων ευπάθειας της κυβέρνησης των Ηνωμένων Πολιτειών και οι ερευνητές ασφάλειας του WordPress προειδοποίησαν για σοβαρές ευπάθειες σε δεκάδες πρόσθετα WordPress.

Από αυτές τις προσθήκες, οι εννέα χρησιμοποιήθηκαν σε περισσότερους από 1,3 εκατομμύρια ιστότοπους: Διαχείριση κώδικα κεφαλίδας υποσέλιδου, εφαρμογή εισαγωγής διαφημίσεων—Διαχείριση διαφημίσεων και διαφημίσεις AdSense, Εργαλείο δημιουργίας αναδυόμενων παραθύρων, Anti-Malware Τείχος προστασίας ασφάλειας και Brute-Force, Προστασία αντιγραφής περιεχομένου WP και χωρίς δεξί κλικ, δημιουργία αντιγράφων ασφαλείας βάσης δεδομένων για WordPress, GiveWP, Διαχείριση λήψεων και προηγμένη βάση δεδομένων Καθαριστής.

Πώς να ασφαλίσετε τον ιστότοπό σας στο WordPress

Θα μπορούσε κανείς να υποθέσει ότι αυτά τα τρωτά σημεία πάντα διορθώνονται ή αφαιρούνται μόλις ανακαλυφθούν, αλλά στην πραγματικότητα δεν συμβαίνει αυτό.

Έρευνα από Patchstack διαπίστωσε ότι το 2021 σημειώθηκε αύξηση 150 τοις εκατό στις αναφερόμενες ευπάθειες του WordPress σε σύγκριση με το 2020—και το 29 τοις εκατό αυτών των τρωτών σημείων δεν έλαβε καμία ενημέρωση κώδικα. Το Patchstack διαπίστωσε επίσης ότι μόλις το 0,58 τοις εκατό των αναφερόμενων ελαττωμάτων ήταν στον πυρήνα του WordPress, πράγμα που σημαίνει ότι τα τρωτά σημεία βρίσκονται σχεδόν πάντα στα πρόσθετα.

Είναι σημαντικό να διασφαλίσετε ότι όλα τα πρόσθετα που χρησιμοποιείτε είναι ενημερωμένα, καθώς και ο ίδιος ο πυρήνας του WordPress.

Πριν κατεβάσετε και εγκαταστήσετε ένα πρόσθετο, φροντίστε πρώτα να κάνετε λίγη έρευνα. Ελέγξτε πόσες εγκαταστάσεις έχει το πρόσθετο, διαβάστε κριτικές στο διαδίκτυο, δείτε πότε ενημερώθηκε τελευταία φορά και ελέγξτε αν δοκιμάστηκε με τον πιο πρόσφατο πυρήνα του WordPress. Αυτό θα διαρκέσει μόνο λίγα λεπτά, αλλά θα μπορούσε να σας σώσει από πολλά προβλήματα στο δρόμο.

Εναλλακτικά, μπορείτε να χρησιμοποιήσετε WPScan, που είναι ένας αρκετά απλός και αποτελεσματικός σαρωτής ευπάθειας του WordPress. Αυτό το εργαλείο μπορεί επίσης να χρησιμοποιηθεί για την αναζήτηση μιας προσθήκης με το όνομα. Η δωρεάν έκδοση επιτρέπει έως και 25 αιτήματα API την ημέρα.

Ευτυχώς, ορισμένα πρόσθετα έχουν σχεδιαστεί για να προστατεύουν τον ιστότοπό σας στο WordPress από εισβολείς. Login LockDown, Wordfence, BulletProof Security είναι μερικά από τα καλύτερα Προσθήκες ασφαλείας WordPress σήμερα. Το Login LockDown είναι εντελώς δωρεάν, ενώ τα άλλα δύο έχουν βασικά, δωρεάν μοντέλα.

Συμβουλές για την ασφάλεια του WordPress

Όσο ευάλωτο μπορεί να είναι το WordPress, η λήψη βασικών προφυλάξεων ασφαλείας είναι πολύ σημαντική όσον αφορά την πρόληψη και την απόκρουση των επιθέσεων στον κυβερνοχώρο.

Η χρήση μοναδικών στοιχείων σύνδεσης και ο έλεγχος ταυτότητας δύο παραγόντων, η ενημέρωση όλου του λογισμικού, η απόκρυψη ονομάτων θεμάτων και στοιχείων σύνδεσης θα πρέπει να αποτελούν τη βάση της υγιεινής ασφαλείας του WordPress.

Πώς να ασφαλίσετε τον ιστότοπό σας στο WordPress με 5 απλά βήματα

Διαβάστε Επόμενο

ΜερίδιοΤιτίβισμαΜερίδιοΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ

Σχετικά θέματα

  • Ασφάλεια
  • Διαδίκτυο
  • Ασφάλεια στο Διαδίκτυο
  • Προσθήκες Wordpress
  • Wordpress
  • Θέματα Wordpress

Σχετικά με τον Συγγραφέα

Νταμίρ Μουγεζίνοβιτς (Δημοσιεύτηκαν 23 άρθρα)

Ο Damir είναι ανεξάρτητος συγγραφέας και ρεπόρτερ του οποίου η δουλειά επικεντρώνεται στην ασφάλεια στον κυβερνοχώρο. Εκτός από τη γραφή, του αρέσει να διαβάζει, τη μουσική και τον κινηματογράφο.

Περισσότερα από τον Damir Mujezinovic

Εγγραφείτε στο ενημερωτικό μας δελτίο

Εγγραφείτε στο ενημερωτικό μας δελτίο για συμβουλές τεχνολογίας, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Κάντε κλικ εδώ για να εγγραφείτε