Perioadă cu atacuri intensive
Deasemenea și modurile de atac sunt mai violente. Din experiența proprie, vă relatăm detalii despre aceste atacuri, dar înainte, să vedem cum să ne protejăm.
Actualizarea plugin-urilor
Prin intermediul acestora se poate penetra website-ul cu ușurință.
Atenție! Nu este de ajuns să îl dezactivăm dacă nu îl folosim, acesta fiind iîn continuare accesibil. Așadar, ce nu folosim, ștergem, iar ce folosim ținem actualizat.
Cele mai des întâlnite plugin-uri, lăsa-te neatinse de la instalare sau cu probleme de securitate sunt: Akismet, și Contact Form 7, Tema folosită/cumpărată.
Autentificare
Autentificarea cu 2 factori (Two Factor Authentication sau 2FA). Această aplicație se instalează atât pe website, cât și pe telefonul mobil.
Pentru autentificarea în website, pe telefonul mobil se generează o cheie unică (one-time key), cu ajutorul căreia ne putem autentifica.
Importanța Serverului (Hostingului)
Hosting-ul nostru are obligația de a ne oferi ultimele versiuni de PHP, de a ne pune la dispoziție diferite opțiuni de securitate (ModSecurity, Naxsi, DoS Atack, etc).
WordPress-ul și plugin-urile nu funcționează corespunzător fără PHP actualizat și reprezintă și un risc de securitate.
Exemple de malware și erori generate
În imaginea alaturată putem vedea snippetul de cod care se referă la această eroare. De obicei acestea sunt introduse în fișierele plugin-urilor neactualizate.
Infectare cu Generic Malware
Acest snippet de cod, modifică SEO și redirecționează către anumite site-uri țință, alese de răuvoitori.
Wordpress este una din cele mai răspândite platforme CMS și blogging, ceea ce o face și una dintre cele mai atacate.
Din experiența proprie, voi enumera câțiva pași, care ar trebui să vă ferească de pătrunderea intrușilor în website-ul vostru.
1. Alegerea parolei de logare. Din grabă sau comoditate, avem tendința de a folosi o parola intuitivă pentru noi, să nu o uităm (Ex: numele site-ului și anul în care suntem, ‘website2018’) – mare greșeală. Este chiar cea mai importantă parolă pentru WordPress. Pagina de logare în WordPress se termină întotdeauna cu ‘/wp-login.php’ sau ‘/wp-admin.php’, o informație mai mult decât necesară pentru atacatorii noștri. De aceea parola trebuie aleasă cu grijă, formată din multe litere, cifre si semne speciale. O bună soluție ar fi să folosiți un simplu program online de generare, gratuit (https://passwords-generator.org/)
2. Putem folosi plugin-uri gratuite sau plătite, care să ne ajute în această privință. Recomand și folosesc următoarele:
- Wordfence. Este unul din cele mai cunoscute, oferă o bună securitate, chiar și varianta ‘free’. Principalele caracteristici sunt: te anunță în email când cineva s-a logat sau încearcă să se logheze în website, blochează ip-urile, limitează numărul de încercări de logare, etc
- Unloq. Schimbă pagina de logare din ‘/wp-login.php’ în ‘/unloq’. Utilizatorul nu se poate conecta decât prin acceptul de pe smartphone, de îndată ce aplicația este instalată (iOS sau Android)
- Hide WP Admin and Login. După cum sugerează și numele, acesta poate ascunde și schimba adresa de logare, de exemplu în ‘/contulmeu’
3. Schimbarea parolei o dată la 6 luni. Este bine din când în când să schimbăm parola, deorece, în timp, aceasta se poate descoperi și prin alte metode. De exemplu, altcineva se conectează la computerul tău, browser-ul îți salvează parolele, acestea devin vulnerabile.
4. Actualizează WordPress-ul permanent. Fiecare versiune nouă vine inclusiv cu actualizări de securitate, vulnerabilități găsite și reparate ale versiunilor anterioare.
5. Nu în ultimul rând, este important să avem minim un backup prezent întotdeauna. Fie că folosim plugin-uri, dev-uri sau alte metode, putem repara rapid orice eroare survenită asupra website-ului.