3 nejčastější útoky na WordPress weby
V dalším článku se zaměříme na 3 nejčastější hackerské útoky na Wordpress weby. Popíšeme jak probíhají a v čem jsou nebezpečné. Zmíníme možnou obranu proti nim a taky co dělat, když se s nějakým takovým útokem na našem webu potkáme.
Wordpress je jednou z nejpoužívanějších platforem pro tvorbu webových stránek a blogů. Díky tomu se stal oblíbený ne jen u své široké uživatelské základny, ale i hackerů, který v něm vidí snadný terč, kde můžou vykrást databázi nebo kam můžou nahrát svůj škodlivý kód. Útoky můžou být vedeny různě a s různým zacílením, může jít například o:
- útok na databazi s cílem získat údaje o Vašich klientech
- útok na Váš web hosting, kdy se útočník pokusí nahrát svůj škodlivý kód aby využil výkon na Vašem web hostingu
- útok s cílem získat administrační přístupy a následně ovládnout webhosting
Brute force útok na hesla
Tento útok spočívá v tom, že hackerský robot zkouší různé kombinace hesel dokud nenajde to správné. Jedná se o velmi účinný typ útoku, pokud uživatel použivá slabá a jednoduchá hesla, které obsahují běžná slova nebo běžné kombinace číslic.
Jako obrana proti brute force útoku je na prvním místě dostatečně silné heslo. Jako další lze využít nastavení, které po určitém počtu neúspěšných pokusů o přihlášení zablokuje konkrétního uživatele například po dobu 15 minut.
Útok typu SQL Injection
Útoky typu SQL Injection jsou dalším běžným útokem, se kterým se může provozovatel a vývojář wordpress webů setkat. V tomto útoku se hacker snaží vkládat škodlivý kód do vstupů na webové stránce. Pokud je tento typ útoku úspěšný, může útočník získat data z databáze nebo databázi poškodit.
Pro ochranu před útokem typu SQL Injection musí být zabezpečené vstupy na webu, aby neumožnili vkládat a posílat na server zdrojové kódy. Jako další prevence před poškozením databáze je její pravidelné zálohování.
Útok typu Cross-site Scripting
Tento útok spočívá v tom, že se útočník pokusí vložit škodlivý kód do webových stránek. Tento kód může být spuštěn a použitý k odcizení dat z webu nebo k provádění jiných škodlivých akcí na webu jako je například těžba kryptoměn nebo přesměrování na jiné stránky.
Prevence před cross-site scripting útokem je používání bezpečných pluginů a šablon. Dále verifikovat a validovat vstupy, které ze stránek přichází. Dále například použít nástroje, který Váš web pravidelně zálohují a případně umí detekovat změny a identifikovat nebezečný kód.
Další prevence
Kromě pravidelné aktualizace Wordpressu, pluginů a šablon je důležité mít dobře zvládnutou správu Vašeho webu v podobě zálohování. Zálohování by mělo být provaděné pravidelně a ukládano na externí úložiště. Obnova by měla být možná rychle. Není nic horšího, než když Vám přijde klient na web, který je napadený malwarem. Takový klient může být z Vašeho webu automaticky přesměrovaný úplně někam jinam nebo jeho procházení Vašich stránek může být zpomalováno škodlivým kódem útočníka.
Možnost si spustit zálohu kdykoliv Vás ochrání i před nepovedenými úpravami Vašeho webu. Může se stát, že při úpravě nebo změně obsahu si v administraci smažete něco, co jste původně nechtěli a tím si web sami zničíte. Obnova ze zálohy Vás ochrání i před tím.
Pokud chcete mít zálohu svého webu pod kontrolou, můžete se už nyní registrovat do beta testování našeho zálohovacího nástroje BekitUp. V nejbližších týdnech Vám zašleme pozvánku a přístupy do beta verze na Váš e-mail.