Pistlerinde durabileceğiniz 3 genel WordPress saldırısı
WordPress’in güvenli ve istikrarlı olmasını sağlamak için binlerce saat harcanmış olsa da, varsayılan platformun hala saldırılara karşı savunmasız olan bazı yönleri vardır. Saldırının ne olduğunu bulmak çok önemlidir, böylece güvenliğinizi artırmak ve ihtiyaç duyulan huzuru sağlamak için adımlar atabilirsiniz. Önceki makalede tartıştığımız gibi, kod enjeksiyon saldırıları, siteler arası komut dosyası ve SQL enjeksiyonu gibi birçok web sitesi sahibi için yüksek öncelikli bir endişe. Neyse ki, sitenizi bu sızmadan korumak, yalnızca bir veya iki kod görüntüsü ile birlikte bazı makul tekniklerin kullanılması durumdur.
Bu yazıda, resmi WordPress geliştirici web sitesinden talimatlar alacağız ve platformun karşılaşması gereken en yaygın saldırılardan bazılarını gerçekleştireceğiz. Ayrıca, nasıl düzelteceğimizi de tartışacağız. Başlayalım! WordPress’in hackerlarla savaşmak için ne yaptığı
Güvenlik sayfalarında, WordPress ekibi potansiyel bilgisayar korsanlarının giriş noktasını kapatma taahhüdünü açıkça özetliyor. Bunlar şunları içerir:
Ek güncellemeler ve düzenli noktalar aracılığıyla onarımlar neredeyse sürekli olarak sunulmak.
Kullanıcıları rutin güncellemeyi yüklemeye teşvik eden geriye dönük uyumluluk taahhüdü. Tüm bu çabalar dışında, WordPress – her web uygulaması ve içerik yönetim sistemi (CMS) gibi – izinsiz girişi durdurmak için hala yardıma ihtiyaç duyar. İyi haber şu ki, bu tamamen sizin kontrolünüzde olan bir şey. 3 Genel WordPress saldırıları Yukarıda bahsettiğimiz gibi, pistlerinde durabileceğiniz, tamamen güvenli olabilecek bir platform yoktur. Bu bölümde, WordPress geliştirme ekibine göre en yaygın üç saldırıyı tartışacağız ve bunu nasıl önleyebileceğinizi tartışacağız.
1. İlk Siteler Arası Komut Dosyası (XSS), siteler arası komut dosyası (XSS), OWASP’nin ilk on güvenlik riskinden biridir, bu nedenle özellikle düşünülmelidir. Bu, ‘enjeksiyon’ saldırı grubunun bir üyesidir ve JavaScript, iletişim formları ve diğer kullanıcı giriş alanları gibi savunmasız dinamik site öğeleri aracılığıyla yayınlandığında ortaya çıkar. 2013 yılında Yahoo’yu hedefleyen ciddi bir XSS saldırısından önemli bir durum meydana geldi. Bu saldırı, kullanıcı hesabını bilgisayar korsanlarının elinde yapar. Tahmin edebileceğiniz gibi, XSS saldırıları işletmenize (veya müşterinize) müşteri güvenini büyük ölçüde azaltabilir. Bu nedenle, bu tür saldırıları önlemek için gerekli harekete geçmek bir öncelik olmalıdır. Neyse ki, sadece çıktınızı doğru bir şekilde kaldırarak ve istenmeyen verileri silerek XSS’yi silebilirsiniz.
Bu html parçasını alın, örneğin: <div class = "” /> esc_url () işlevi özellikle WordPress için ve XSS saldırılarını önlemek için belirli karakterleri değiştirin. Başka bir örnek için şu snippet’e bakın: $ permited_html = dizi (‘A’ => dizi (
‘Href’ => dizi (),
‘Başlık’ => Array ()
),
‘Br’ => dizi (),
‘Em’ => dizi (),
‘güçlü’ => dizi (),,
);
echo wp_kses ($ Custom_Content, $ izin verilen_html); Burada, wp_kses (), yalnızca bir dizede görünen belirli HTML öğelerine ve özniteliklerine izin vermek için kullanılmıştır.
Bunlar, WordPress’in kendi projenizdeki XSS ile savaşmak için yararlı olan iki özel işlevidir. Bunu ve benzeri eylemleri kullanmak, sitenizin güvenliğini sıkılaştırmanın akıllı bir yoludur. 2. SQL enjeksiyonu SQL enjeksiyonu XSS ile yakından ilişkilidir, çünkü sanitasyon çabalarınıza dayanarak savunmasız giriş noktaları gerektirir. Bununla birlikte, buradaki fark, bu saldırıların ölümcül olabilecek veritabanınızı doğrudan etkilemesidir. SQL enjeksiyonu herhangi bir bölgeyi, özellikle 2009’da NASA’yı etkileyebilir. Neyse ki, WordPress, SQL enjeksiyon saldırılarını önlemeyi nispeten kolaylaştırır.
Standart WordPress API, SQL enjeksiyonundan girilen verilerin korunmasına yardımcı olmak için bir dizi işlev sağlar. Örneğin, add_post_meta (), INSERT’i SQL komutuna kullanmanın güvenli bir yolunu sunar, yani veritabanı çağrıları kodunuza manuel olarak eklemenize gerek yoktur. Tabii ki, bazı SQL sorgularınız bu kadar basit olmayacak ve yangının bunu hesaplamaması olasılığı var. Bu durumda, WPDB sınıfına geçmek istersiniz. Aşağıdakiler nasıl çalıştığına dair bir örnek: $ wpdb-> get_var ($ wpdb-> hazırlık (“Foo = %s ve status = %d burada bir şey seçin”,
$ name, // niteliksiz dize (işlev sizin için sanitasyon yapacaktır)
$ Durum // İnanılmaz tamsayılar (işlev sizin için sanitasyon yapacak)
)); Gördüğünüz gibi, çalıştırmadan önce SQL kuyruğundan çıkan $ wpdb-> prepare () işlevini kullandık. Bu sadece buzdağının tepesi ve SQL enjeksiyon saldırılarını durdurmaya yardımcı olmak için WordPress Hood’un altında daha fazlası.
3. Çapraz yer taleplerinin tahrif edilmesi (CSRF) Son olarak, CSRF – konuşulan “deniz sörfü” var. Kısacası, burası, saldırgan tarafından seçilen eylemleri yapmak için aldatılmasının farkında olmayan kullanıcı. Bu saldırının nasıl çalıştığını anlamak için, çadırın altındaki basit isteklerin nasıl çalıştığını (bağlantıları tıklamak gibi) nasıl düşünmek daha iyidir. Sonunda, bu istek iki türden biridir: Get veya Post. Birincisi sayfa için bir istek ve sonuncusu verilerin sunucuya gönderilmesidir. Google’da aramanın yanıtı almaya başladığı WordPress için Google aramasını düşünün ve WordPress araması bir yazı isteğidir. CSRF, bunun kullanıcı onayı olmadan gerçekleştiği zamandır. YouTube, bu saldırıdan vazgeçen birçok web sitesinden biridir ve önde gelen bir site savunmasız olabilirse, sitenizi olabildiğince güvenli tutmak için elinizden gelen her şeyi yapmalısınız. Buradaki çözüm ‘nonces’ – tek kullanımlık güvenlik kullanmaktır URL’yi korumak için tasarlanmış jetonlar ve infiltred olmayacak şekilde form. Bu kod örneğine bakın:
Burada, formumuza nonce eklemek için wp_nonce_field () işlevini kullandık. Bu, kullanıcıların beklendiği gibi harekete geçmeyi (yani form gönderme) ve ön tarafta yapmaları gereken hiçbir şey olmadığını garanti edecektir.
Doğrulama Nonce, herhangi bir özel parametre ayarı gerektirmez, ancak girdi eylemleri ve nonc’unuzu daha güvenli hale getirebilecek adlarla ilgili seçenekler vardır. Dahası, URL’ye nonles eklemek için işlevler ve AJAX isteği için ideal özel format da vardır. Sonuç Web’in yaklaşık% 30’unu destekleyen platformlar sağlam olmalıdır ve bu gerçekten WordPress için geçerlidir. Ancak,%100 güvenliği garanti edebilecek bir platform yoktur. Bazı saldırılar WordPress web sitesini felç edebilir, bu nedenle kötü kullanıcıların web sitenizi hacklemekte zorluk çekmesini sağlamak için elinizden geleni yapmanız gerekir. Başlamak için üç genel WordPress saldırısı ve bunları nasıl düzelteceğimizi gördük. Her birini hızlı bir şekilde özetleyelim:
Siteler arası komut dosyası: Bu saldırı, çıktınızı doğru bir şekilde kaldırarak düzeltilebilir.
SQL Enjeksiyonu: Bu ilgili saldırı, SQL veritabanınıza erişmek için zayıf veri sanitasyonu kullanır.
Cross -Site isteklerinin tahrif edilmesi: WordPress Noness, kullanıcı eylemlerini doğrulamaya yardımcı olabilir ve geçerli olduğunu garanti edebilir.
Hiç bu güvenlik açığından birinden etkilendiniz mi ve evet ise, sonuç nedir? Hikayenizi aşağıdaki yorumlar bölümünde paylaşın! Üstün Görüntü: DimitrisVetsikas1969.
