Ako zďaleka najpopulárnejší systém na správu obsahu WordPress poháňa milióny rôznych webových stránok. Ide o softvér s otvoreným zdrojovým kódom, čo znamená, že jeho zdrojový kód je verejne prístupný a môže ho upravovať takmer každý s dostatočným know-how.

Aj keď je možné zakúpiť doplnky a témy WordPress, desiatky tisíc z nich sú k dispozícii zadarmo. Ako by sa dalo očakávať, nezaobíde sa to bez nevýhod. Aké zraniteľné sú teda stránky WordPress? A čo jeho témy a doplnky? A ako môžete chrániť svoje stránky?

Ako zraniteľný je WordPress?

Vo februári 2022 Jetpack zistili, že obľúbené témy a doplnky od dodávateľa AccessPress Themes (známe aj ako prístupové kľúče) boli napadnuté. Výskumníci si všimli túto zraniteľnosť náhodou, po objavení podozrivého kódu na napadnutej webovej stránke. Po ďalšom skúmaní si uvedomili, že väčšina doplnkov AccessPress a každá téma obsahovala rovnaký kód.

Neskôr sa ukázalo, že AccessPress Themes sa stal obeťou kybernetického útoku v septembri 2021, keď hackeri zaviedli zadné vrátka. v doplnkoch dodávateľa a témy.

instagram viewer

AccessPress nakoniec aktualizoval a vyčistil svoje produkty, ale pravdepodobne boli tisíce používateľov zraniteľné voči útokom na dlhú dobu.

Majú doplnky a témy WordPress slabé miesta?

Zistenia spoločnosti Jetpack podčiarkujú, aký zraniteľný môže byť WordPress. Nebol to však ojedinelý prípad.

V marci 2021 napr. Wordfence odhalila hlavné chyby zabezpečenia v dvoch doplnkoch WordPress, ktoré by v prípade úspešného zneužitia umožnili útočníkovi prevziať kontrolu nad webovou stránkou. Zraniteľnosť bola objavená v doplnkoch Elementor a WP Super Cache. Elementor je tvorca webových stránok, ktorý sa používa na viac ako siedmich miliónoch webových stránok, zatiaľ čo WP Super Cache je populárny doplnok na ukladanie do vyrovnávacej pamäte.

Vo februári 2022, as Vyhľadávací denník Vládna databáza zraniteľností Spojených štátov a výskumníci bezpečnosti WordPress varovali pred vážnymi zraniteľnosťami v desiatkach doplnkov WordPress.

Deväť z týchto doplnkov sa použilo na viac ako 1,3 milióne webových stránok: Správca kódu záhlavia, Vkladač reklám – Správca reklám a reklamy AdSense, Vytváranie kontextových okien, Ochrana proti malvéru Zabezpečenie a brána Brute-Force Firewall, ochrana proti kopírovaniu obsahu WP a žiadne kliknutie pravým tlačidlom, záloha databázy pre WordPress, GiveWP, Správca sťahovania a rozšírená databáza Čistič.

Ako zabezpečiť svoju stránku WordPress

Dalo by sa predpokladať, že tieto zraniteľnosti sú po objavení vždy opravené alebo odstránené, ale v skutočnosti to tak nie je.

Výskum z Patchstack zistili, že v roku 2021 sa zaznamenal nárast o 150 percent hlásených zraniteľností WordPress v porovnaní s rokom 2020 – a 29 percent z týchto zraniteľností nedostalo žiadnu opravu. Patchstack tiež zistil, že iba 0,58 percent nahlásených chýb bolo v jadre WordPress, čo znamená, že zraniteľné miesta sa takmer vždy nachádzajú v doplnkoch.

Je dôležité zabezpečiť, aby boli všetky doplnky, ktoré používate, aktuálne, ako aj samotné jadro WordPress.

Pred stiahnutím a inštaláciou doplnku si najprv urobte malý prieskum. Skontrolujte, koľko inštalácií má doplnok, prečítajte si recenzie online, zistite, kedy bol naposledy aktualizovaný, a skontrolujte, či bol testovaný s najnovším jadrom WordPress. Zaberie to len pár minút, no môže vám to ušetriť veľa problémov na ceste.

Prípadne môžete použiť WPScan, čo je pomerne jednoduchý a efektívny skener zraniteľnosti WordPress. Tento nástroj možno použiť aj na vyhľadanie doplnku podľa názvu. Bezplatná verzia umožňuje až 25 žiadostí API za deň.

Našťastie sú niektoré doplnky skutočne navrhnuté tak, aby chránili váš web WordPress pred votrelcami. LockDown, Wordfence, BulletProof Security sú jedny z najlepších Bezpečnostné doplnky WordPress dnes. Login LockDown je úplne zadarmo, zatiaľ čo ďalšie dva majú základné bezplatné modely.

Bezpečnostné tipy pre WordPress

Akokoľvek môže byť WordPress zraniteľný, prijímanie základných bezpečnostných opatrení je veľmi dôležité, pokiaľ ide o prevenciu a odvrátenie kybernetických útokov.

Používanie jedinečných prihlasovacích údajov a dvojfaktorovej autentizácie, udržiavanie všetkého softvéru v aktuálnom stave, skrytie názvov tém a prihlasovacích údajov by malo byť základom vašej hygieny zabezpečenia WordPress.

Ako zabezpečiť svoju webovú stránku WordPress v 5 jednoduchých krokoch

Prečítajte si ďalej

zdieľamTweetujtezdieľamEmail

Súvisiace témy

  • Bezpečnosť
  • internet
  • Online bezpečnosť
  • Doplnky Wordpress
  • Wordpress
  • Témy Wordpress

O autorovi

Damir Mujezinovič (23 publikovaných článkov)

Damir je spisovateľ a reportér na voľnej nohe, ktorého práca sa zameriava na kybernetickú bezpečnosť. Okrem písania má rád čítanie, hudbu a film.

Viac od Damira Mujezinoviča

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber