WordPress on ylivoimaisesti suosituin sisällönhallintajärjestelmä, ja se toimii miljoonien erilaisten verkkosivustojen käytössä. Se on avoimen lähdekoodin ohjelmisto, mikä tarkoittaa, että sen lähdekoodi on julkisesti saatavilla ja sitä voi muokata melkein kuka tahansa, jolla on riittävä tietotaito.

Vaikka WordPress-laajennuksia ja teemoja voi ostaa, niitä on saatavilla ilmaiseksi kymmeniä tuhansia. Kuten arvata saattaa, tämä ei tule ilman huonoja puoliaan. Joten kuinka haavoittuvia WordPress-sivustot ovat? Entä sen teemat ja lisäosat? Ja miten voit suojata sivustosi?

Kuinka haavoittuvainen WordPress on?

Helmikuussa 2022 Jetpack havaitsi, että toimittajan AccessPress Themes (tunnetaan myös nimellä Access Keys) suositut teemat ja laajennukset vaarantuivat. Tutkijat huomasivat haavoittuvuuden vahingossa löydettyään epäilyttävän koodin vaarantuneelta verkkosivustolta. Lisätutkimuksen jälkeen he huomasivat useimmat AccessPress-laajennukset ja jokainen teema sisälsi saman koodin.

Myöhemmin kävi ilmi, että AccessPress Themes joutui kyberhyökkäyksen uhriksi syyskuussa 2021, jolloin hakkerit ruiskuttivat takaoven.

instagram viewer
myyjän laajennuksissa ja teemoja.

AccessPress päivitti ja siivosi lopulta tuotteensa, mutta oletettavasti tuhannet käyttäjät olivat alttiina hyökkäyksille pitkän aikaa.

Onko WordPress-laajennuksilla ja -teemoilla haavoittuvuuksia?

Jetpackin havainnot osoittavat, kuinka haavoittuvainen WordPress voi olla. Mutta tämä ei ollut yksittäistapaus.

Maaliskuussa 2021 esim. Wordfence paljasti merkittäviä haavoittuvuuksia kahdessa WordPress-laajennuksessa, joita onnistuneesti hyödynnettynä hyökkääjä olisi voinut vallata verkkosivuston. Haavoittuvuudet löydettiin Elementor- ja WP Super Cache -laajennuksista. Elementor on verkkosivustojen rakentaja, jota käytetään yli seitsemällä miljoonalla verkkosivustolla, kun taas WP Super Cache on suosittu välimuistilaajennus.

Helmikuussa 2022 as Hakukonepäiväkirja Yhdysvaltain hallituksen haavoittuvuustietokanta ja WordPress-tietoturvatutkijat varoittivat kymmenien WordPress-laajennusten vakavista haavoittuvuuksista.

Näistä laajennuksista yhdeksää käytettiin yli 1,3 miljoonalla verkkosivustolla: ylätunnisteen alatunnisteen koodinhallinta, mainoksen lisäys - Ad Manager ja AdSense-mainokset, ponnahdusikkunoiden rakennustyökalu, haittaohjelmien torjunta Suojaus ja Brute-Force-palomuuri, WP-sisällön kopiointisuojaus ja ei hiiren oikeaa napsautusta, tietokannan varmuuskopiointi WordPressille, GiveWP, lataushallinta ja edistynyt tietokanta Puhdistaja.

Kuinka suojata WordPress-sivustosi

Voisi olettaa, että nämä haavoittuvuudet korjataan tai poistetaan aina, kun ne havaitaan, mutta näin ei todellisuudessa ole.

Tutkimus osoitteesta Patchstack havaitsi, että vuonna 2021 ilmoitettujen WordPress-haavoittuvuuksien määrä lisääntyi 150 prosenttia vuoteen 2020 verrattuna – ja 29 prosenttia haavoittuvuuksista ei saanut korjausta. Patchstack havaitsi myös, että vain 0,58 prosenttia raportoiduista puutteista oli WordPress-ytimessä, mikä tarkoittaa, että haavoittuvuuksia löytyy lähes aina laajennuksista.

On erittäin tärkeää varmistaa, että kaikki käyttämäsi laajennukset ovat ajan tasalla, samoin kuin itse WordPress-ydin.

Ennen kuin lataat ja asennat laajennuksen, varmista, että teet ensin vähän tutkimusta. Tarkista, kuinka monta asennusta laajennuksella on, lue arvosteluja verkosta, katso milloin se on viimeksi päivitetty ja tarkista, onko se testattu uusimmalla WordPress-ytimellä. Tämä vie vain muutaman minuutin, mutta se voi säästää sinut monilta ongelmilta tiellä.

Vaihtoehtoisesti voit käyttää WPScan, joka on melko yksinkertainen ja tehokas WordPress-haavoittuvuuksien skanneri. Tätä työkalua voidaan käyttää myös laajennuksen etsimiseen nimellä. Ilmainen versio mahdollistaa jopa 25 API-pyyntöä päivässä.

Onneksi jotkin laajennukset on suunniteltu suojaamaan WordPress-sivustoasi tunkeilijoilta. Login LockDown, Wordfence, BulletProof Security ovat joitakin parhaista WordPressin suojauslaajennukset tänään. Login LockDown on täysin ilmainen, kun taas kahdella muulla on perus-ilmaisia ​​malleja.

WordPressin turvallisuusvinkit

Niin haavoittuva kuin WordPress voikin olla, perusturvatoimenpiteiden noudattaminen auttaa estämään ja torjumaan kyberhyökkäyksiä.

Ainutlaatuisten kirjautumistietojen ja kaksivaiheisen todennuksen käyttämisen, kaikkien ohjelmistojen ajan tasalla pitämisen, teemanimien ja kirjautumistietojen piilottamisen pitäisi olla WordPress-tietoturvahygieniasi perusta.

Kuinka suojata WordPress-verkkosivustosi 5 yksinkertaisessa vaiheessa

Lue Seuraava

JaaTweetJaaSähköposti

Liittyvät aiheet

  • Turvallisuus
  • Internet
  • Verkkoturvallisuus
  • Wordpress-laajennukset
  • Wordpress
  • Wordpress Teemat

Kirjailijasta

Damir Mujezinovic (23 artikkelia julkaistu)

Damir on freelance-kirjoittaja ja toimittaja, jonka työ keskittyy kyberturvallisuuteen. Kirjoittamisen lisäksi hän pitää lukemisesta, musiikista ja elokuvista.

Lisää Damir Mujezinovicilta

tilaa uutiskirjeemme

Liity uutiskirjeemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja eksklusiivisia tarjouksia!

Klikkaa tästä tilataksesi