Rumah Jam keamanan Jauhkan penyerang dari situs wordpress Anda

Jauhkan penyerang dari situs wordpress Anda

Video: Tips Optimasi SEO On Page di Blog WordPress / Blogger "Cara Membuat Postingan Berkualiitas SEO " (Desember 2024)

Video: Tips Optimasi SEO On Page di Blog WordPress / Blogger "Cara Membuat Postingan Berkualiitas SEO " (Desember 2024)
Anonim

Sebagai platform manajemen konten, WordPress sangat populer di kalangan pengguna karena sangat mudah digunakan. Masalahnya, ini juga menjadi sasaran populer bagi para penjahat dan penyerang. Jika Anda memiliki situs WordPress, Anda perlu mengambil beberapa langkah dasar untuk mengamankan situs Anda.

DDoS dengan WordPress

Meskipun selalu ada kekhawatiran bahwa situs WordPress Anda dapat diretas untuk menyajikan malware ke pengunjung situs Anda, atau mengarahkan mereka ke situs yang cerdik di tempat lain di Web, Anda juga tidak ingin mengetahui bahwa situs Anda digunakan untuk meluncurkan serangan terhadap situs lain. Awal pekan ini, perusahaan keamanan Sucuri melaporkan bahwa lebih dari 162.000 situs WordPress telah ditipu untuk berpartisipasi dalam serangan penolakan layanan yang didistribusikan terhadap situs lain.

Masalahnya, situs tersebut tidak dibajak atau terinfeksi untuk membentuk botnet. Para penyerang menyalahgunakan Pingbacks, fitur yang sangat sah di WordPress, untuk membanjiri situs yang ditargetkan dengan lalu lintas yang tidak diinginkan. Pingbacks digunakan oleh satu situs WordPress untuk memberi tahu situs lain ketika sebuah posting terhubung dengan mereka. Dalam serangan yang diamati oleh Sucuri, penyerang menipu situs agar mengirim permintaan Pingback ke URL target yang sama, yang mudah dilakukan karena Pingback diaktifkan secara default di WordPress. Situs yang ditargetkan tiba-tiba dibombardir dengan permintaan Pingback, yang pada dasarnya dipasang pada serangan DdoS.

Jika Anda menjalankan WordPress, Anda harus mempertimbangkan mematikan Pingbacks untuk memastikan situs Anda tidak dapat digunakan untuk menyerang situs lain. Fitur ini memberi tahu Anda ketika orang lain berbicara tentang Anda, yang merupakan penambah ego yang bagus, tetapi apakah layak untuk terus disalahgunakan? Sucuri memiliki saran tentang cara memblokir pingback di situsnya.

WordPress bocor

Dave Lewis, seorang advokat keamanan senior dengan Akamai Technologies, menggunakan Google untuk menemukan lebih dari 111.000 situs WordPress yang cadangan datanya dapat diakses dari Internet. Daftar itu termasuk "segala macam situs web dari situs musik independen ke kantor dokter dan bahkan beberapa situs web pemerintah, " tulis Lewis di blog CSO-nya. Tumpukan berisi informasi terperinci tentang basis data, yang dapat digunakan penyerang untuk meluncurkan serangan lain, tetapi juga potensi kebocoran data Anda.

Jelas, cadangan tidak boleh diakses dari Internet. Jika cadangan berjalan secara lokal di server yang sama WordPress diinstal, maka plugin dari Wordfence atau Sucuri dapat memblokir akses yang tidak sah, kata Lewis.

WordPress yang ketinggalan jaman

Tugas yang paling penting untuk administrator WordPress adalah tetap mengikuti pembaruan perangkat lunak, tidak hanya untuk platform inti, tetapi untuk setiap plugin yang berjalan di situs. WordPress versi lama selalu diserang, terutama plugin. "Peretas jahat selalu mencari cara untuk menginfeksi pengguna komputer, dan teknik apa yang lebih baik daripada mengkompromikan situs web yang ada dan sah serta menumbangkannya sedemikian rupa sehingga secara diam-diam menginfeksi pengguna komputer ketika mereka mengunjunginya, " kata konsultan keamanan Graham Cluley.

Penyerang dapat mengeksploitasi kelemahan yang belum ditonton untuk melakukan injeksi SQL atau serangan skrip lintas situs. Kelemahan ini juga dapat dieksploitasi untuk menginfeksi situs dengan malware. Sebagian besar, masalah-masalah ini umumnya merupakan hasil dari masalah dengan plugin, bukan platform perangkat lunak inti, membuatnya semakin penting bahwa plugin diperbarui secara teratur.

Penting untuk mencatat perbedaan antara situs yang dihosting di situs WordPress.com dan situs WordPress yang berjalan di server lain. Tim di balik WordPress membuat perangkat lunak selalu mutakhir di WordPress.com, sehingga setiap pengguna tidak perlu melakukannya. Situs yang dihosting sendiri mengharuskan pemilik situs untuk tetap di atas tambalan dan pembaruan untuk memastikan perangkat lunak tetap terkini.

Jika Anda akan menjalankan WordPress, tetap di depan para penyerang dengan menjaga situs Anda diperbarui secara teratur.

Jauhkan penyerang dari situs wordpress Anda