ให้ผู้โจมตีอยู่ห่างจากเว็บไซต์ของคุณ

ในฐานะที่เป็นแพลตฟอร์มการจัดการเนื้อหา WordPress เป็นที่นิยมอย่างมากในหมู่ผู้ใช้เพราะมันใช้งานง่าย สิ่งนี้คือมันเป็นเป้าหมายยอดนิยมสำหรับอาชญากรและผู้โจมตีด้วย หากคุณมีไซต์ WordPress คุณต้องทำตามขั้นตอนพื้นฐานเพื่อทำให้ไซต์ของคุณปลอดภัย

DDoS ด้วย WordPress

ในขณะที่มีความกังวลอยู่เสมอว่าไซต์ WordPress ของคุณสามารถแฮ็คเพื่อให้บริการมัลแวร์แก่ผู้เข้าชมเว็บไซต์ของคุณหรือเปลี่ยนเส้นทางพวกเขาไปยังเว็บไซต์ที่หลบอื่นในเว็บคุณยังไม่ต้องการทราบว่าเว็บไซต์ของคุณกำลังถูกใช้งาน เปิดการโจมตีกับเว็บไซต์อื่น ๆ เมื่อต้นสัปดาห์ที่ผ่านมา บริษัท รักษาความปลอดภัย Sucuri รายงานว่ามีเว็บไซต์ WordPress มากกว่า 162, 000 แห่งถูกหลอกให้เข้าร่วมในการโจมตีแบบปฏิเสธการให้บริการกับเว็บไซต์อื่น

สิ่งที่เกิดขึ้นคือเว็บไซต์ไม่ได้ถูกแย่งชิงหรือติดเชื้อไปเป็นบอทเน็ต ผู้โจมตีใช้ Pingbacks ในทางที่ผิดซึ่งเป็นคุณสมบัติที่สมบูรณ์แบบใน WordPress ทำให้เว็บไซต์เป้าหมายมีปริมาณการใช้งานที่ไม่พึงประสงค์ Pingbacks ใช้โดยไซต์ WordPress หนึ่งไซต์เพื่อแจ้งไซต์อื่น ๆ เมื่อมีการโพสต์ลิงก์กับพวกเขา ในการโจมตีที่สังเกตโดย Sucuri ผู้โจมตีหลอกให้ไซต์ส่งคำขอ Pingback ไปยัง URL เป้าหมายเดียวกันซึ่งทำได้ง่ายเนื่องจาก Pingback เปิดใช้งานโดยค่าเริ่มต้นใน WordPress เว็บไซต์เป้าหมายถูกจู่โจมทันทีด้วยคำขอ Pingback ซึ่งส่วนใหญ่ติดตั้งเพื่อการโจมตี DdoS

หากคุณใช้งาน WordPress คุณควรพิจารณาปิด Pingbacks เพื่อให้แน่ใจว่าเว็บไซต์ของคุณไม่สามารถใช้โจมตีเว็บไซต์อื่นได้ คุณลักษณะนี้จะแจ้งเตือนคุณเมื่อมีคนอื่นพูดถึงคุณซึ่งเป็นอีโก้บูสเตอร์ที่ดี แต่มันคุ้มค่าไหมที่จะต้องถูกทำร้าย ซูกุริมีคำแนะนำเกี่ยวกับวิธีการบล็อก pingbacks ในเว็บไซต์

WordPress ที่รั่วไหล

Dave Lewis ผู้ให้การสนับสนุนด้านความปลอดภัยระดับสูงกับ Akamai Technologies ใช้ Google เพื่อค้นหาเวิร์ดเพรสไซต์มากกว่า 111, 000 แห่งที่สามารถเข้าถึงการสำรองฐานข้อมูลจากอินเทอร์เน็ต รายการดังกล่าวรวมถึง "เว็บไซต์ทุกประเภทตั้งแต่เว็บไซต์เพลงอิสระไปจนถึงสำนักงานแพทย์และแม้แต่บางเว็บไซต์ของรัฐบาล" Lewis เขียนลงในบล็อก CSO ของเขา ดัมพ์มีข้อมูลโดยละเอียดเกี่ยวกับฐานข้อมูลซึ่งผู้โจมตีสามารถใช้เพื่อเปิดการโจมตีอื่น ๆ แต่ยังอาจมีการรั่วไหลของข้อมูลของคุณ

เห็นได้ชัดว่าการสำรองข้อมูลไม่ควรเข้าถึงได้จากอินเทอร์เน็ต หากมีการติดตั้งการสำรองข้อมูลภายในเครื่องบนเซิร์ฟเวอร์เดียวกัน WordPress ปลั๊กอินจาก Wordfence หรือ Sucuri สามารถบล็อกการเข้าถึงที่ไม่ได้รับอนุญาต Lewis กล่าว

WordPress เก่า

งานที่สำคัญที่สุดสำหรับผู้ดูแลระบบ WordPress คือการปรับปรุงซอฟต์แวร์ให้ทันสมัยอยู่เสมอไม่ใช่เฉพาะแพลตฟอร์มหลัก แต่สำหรับปลั๊กอินแต่ละตัวที่ทำงานบนเว็บไซต์ WordPress รุ่นที่ล้าสมัยอยู่ภายใต้การโจมตีอย่างต่อเนื่องโดยเฉพาะอย่างยิ่งปลั๊กอิน “ แฮกเกอร์ประสงค์ร้ายมักจะมองหาวิธีที่จะทำให้ผู้ใช้คอมพิวเตอร์ติดเชื้อและมีเทคนิคใดที่ดีไปกว่าการประนีประนอมเว็บไซต์ที่มีอยู่ที่ถูกต้องตามกฎหมาย Graham Cluley

ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องที่ไม่มีข้อได้เปรียบเพื่อทำการฉีด SQL หรือการโจมตีด้วยสคริปต์ข้ามไซต์ ข้อบกพร่องยังสามารถถูกนำไปใช้เพื่อติดไซต์ที่มีมัลแวร์ ส่วนใหญ่ปัญหาเหล่านี้มักเกิดจากปัญหาเกี่ยวกับปลั๊กอินไม่ใช่แพลตฟอร์มซอฟต์แวร์หลักทำให้ยิ่งสำคัญยิ่งขึ้นว่าปลั๊กอินจะได้รับการอัปเดตเป็นประจำ

สิ่งสำคัญคือให้สังเกตความแตกต่างระหว่างไซต์ที่โฮสต์บน WordPress.com และไซต์ WordPress ที่ทำงานบนเซิร์ฟเวอร์อื่น ทีมงานที่อยู่เบื้องหลัง WordPress คอยอัปเดตซอฟต์แวร์บน WordPress.com เพื่อให้ผู้ใช้แต่ละคนไม่ต้องทำ ไซต์ที่โฮสต์ด้วยตนเองต้องการให้เจ้าของไซต์อยู่ด้านบนของแพตช์และอัปเดตเพื่อให้แน่ใจว่าซอฟต์แวร์ยังคงเป็นปัจจุบัน

หากคุณกำลังจะใช้งานเวิร์ดเพรสให้ล้ำหน้าผู้โจมตีด้วยการทำให้ไซต์ของคุณอัปเดตเป็นประจำ