Jak strony internetowe są hackowane?

Jako właściciel witryny WordPress wiesz już, że bezpieczeństwo odgrywa dużą rolę w ochronie Twoich operacji przed włamaniami i złośliwymi atakami. Ale jak dokładnie strony internetowe zostają zhakowane? Jaki jest proces, w którym hakerzy próbują, i często z powodzeniem, usuwać witryny WordPress za pomocą swoich ataków?

Mimo że sieć rozrosła się skokowo w ciągu ostatnich kilku dekad, niewiele zmieniło się w sposobie, w jaki strony są hakowane przez złych aktorów. A najważniejszą rzeczą, którą powinieneś zrobić, aby zapewnić bezpieczeństwo swojej witrynie i odwiedzającym, jest pełne zrozumienie, czym są te niezmienne zaufanie, abyś mógł być o krok przed nimi.

W tym obszernym przewodniku pokażemy dokładnie, w jaki sposób strony zostały zhakowane, jakie są oznaki, że Twoja witryna została zhakowana, i wiele więcej. Spójrzmy.

Ogromna skala zhakowanych stron internetowych

Znacznie ponad 1,2 miliarda (z literą B) witryn internetowych stanowi dzisiejszą wersję sieci WWW. A jeśli założysz średni czas ładowania witryny wynoszący 3 sekundy, odwiedzenie każdej istniejącej witryny zajęłoby Ci ponad 160 lat, bez chwili odpoczynku.

Jest to niesamowicie potężna sieć, nad którą żaden pojedynczy podmiot nie jest w stanie bezpiecznie czuwać. Chociaż usługi takie jak Bezpieczne przeglądanie Google starają się ostrzegać użytkowników przed witrynami, które mogą być niebezpieczne. Obecnie każdego dnia dostarcza użytkownikom ponad 3 miliony takich ostrzeżeń.

I to mniej więcej tyle, ile łącznie liczą populacje Los Angeles i Nowego Jorku.

Mówiąc najprościej, strony internetowe zawsze będą wielkim celem dla osób o złych intencjach. A ogólny wpływ każdego włamania będzie druzgocący dla Twojej firmy.

Ale są dobre wieści.

Chociaż istnieje duże zagrożenie, które jest szkodliwe i uporczywe, nasza świadomość nas, w połączeniu z użyciem odpowiednich narzędzi, znacznie przyczyni się do zapewnienia, że ​​nasze witryny pozostaną bezpieczne przed atakami.

Jak strony internetowe są hackowane? Trzy podstawowe sposoby

W ciągu ostatnich trzech dekad internetu widzimy, że hacki prawie zawsze trafiają do trzech różnych kategorii:

1. Kontrola dostępu
2. Luki w oprogramowaniu
3. Integracje z innymi firmami

W rzeczywistości nie ma znaczenia, czy prowadzisz witrynę z listy Fortune 500, czy lokalny sklep obuwniczy — sposób, w jaki hakerzy podchodzą do swojego rzemiosła, będzie wyglądał niemal identycznie.

Różni się jednak to, w jaki sposób każda firma z osobna pozwala się na eksploatację.

• Duże organizacje często używają wymówki, mówiąc: „Myśleliśmy, że zabezpieczeniami zajmuje się ktoś inny”. Ten rodzaj mgły i nieporozumień jest powszechny w dużych, złożonych organizacjach.
• Małe firmy często uważają, że są zbyt małe, aby hakerzy chcieli je zaatakować. Często mają fałszywe założenie, że hakerzy ich nie dotkną. Dzięki temu łatwo stracić z oczu, ile tak naprawdę prywatnych informacji można pobrać nawet z najmniejszej strony internetowej.

W obu takich przypadkach hakerzy mają motywację i narzędzia do realizacji swoich celów w obszarach, w których nie ma zbyt dużej uwagi na bezpieczeństwo.

Środowiska internetowe mają dużo aktywności

Zanim zagłębimy się w specyfikacje każdego rodzaju hakowania, najpierw stwórzmy niezwykle ważne podstawy tego, jak faktycznie działa sieć.

Każda witryna internetowa opiera się na szeregu systemów, które są ze sobą połączone i współpracują ze sobą. Istnieją komponenty, takie jak DNS (serwery nazw domen), serwer WWW i infrastruktura, w której znajdują się różne serwery i łączy je z Internetem.

Nawet jeśli brzmi to stosunkowo prosto, podstawowy ekosystem jest dość złożony.

Tak wiele poszczególnych komponentów jest dostarczanych przez wyspecjalizowanych dostawców usług. Nawet jeśli otrzymujesz wiele różnych usług od jednego usługodawcy, wciąż istnieją niezliczone unikalne części równania, które działają samodzielnie.

Pomyśl o swojej witrynie jak o nowoczesnym pojeździe konsumenckim. Z zewnątrz wygląda solidnie i opływowo, ale pod spodem ma niezliczone ruchome części, dzięki którym wszystko działa.

Na potrzeby tego przewodnika nie jest ważne, abyś zrozumiał wszystkie szczegóły dotyczące działania Twojej witryny. Ale ważne jest, aby wiedzieć, że każdy z tych poszczególnych składników wpłynie na ogólne bezpieczeństwo witryny WordPress.

I każdy z nich może przyczynić się do zhakowania Twojej witryny.

1. Kontrola dostępu

Dotyczy to w szczególności procesu autoryzacji i uwierzytelniania. Mówiąc prościej, kontrola dostępu to sposób, w jaki logujesz się do swojej witryny WordPress.

A to wykracza poza sam sposób logowania się do panelu administracyjnego Twojej witryny. Jak już ustaliliśmy, istnieje wiele różnych powiązanych ze sobą loginów, które współpracują ze sobą za kulisami Twojej witryny.

Myśląc o kontroli dostępu, należy wziąć pod uwagę sześć konkretnych obszarów.

Jak ty:

• Zalogować się do swojego panelu hosta?
• Zalogować się do serwera (SSH, SFTP, FTP)?
• Zalogować się na swojej stronie?
• Zalogować się do swojego komputera osobistego?
• Zaloguj się do platform mediów społecznościowych?
• Przechowywać poświadczenia nazwy użytkownika i hasła dla każdej z tych zmiennych?

Zbyt łatwo przeoczyć kontrolę dostępu. Jednak każdy punkt dostępu może zaoferować hakerom dostęp do całego ekosystemu.

Haker zastosuje również szereg różnych taktyk, aby uzyskać dostęp do jednego niezabezpieczonego punktu logowania. Pomyśl o tym, jak o złodzieju domu sprawdzającym każde potencjalne wejście, a następnie przemycającym (lub nakłaniającym Cię) kopie kodów dostępu do domu lub kluczy.

• Ataki typu brute force są najłatwiejsze do przeprowadzenia i mogą być najskuteczniejszym sposobem. W przypadku ataku typu brute force haker próbuje odgadnąć potencjalną kombinację nazwy użytkownika i hasła, aby zalogować się jako wiarygodny użytkownik witryny.
• Ataki socjotechniczne zyskują na popularności. Haker tworzy strony phishingowe, które mają na celu nakłonienie użytkownika do dobrowolnego wprowadzenia kombinacji identyfikatora i hasła.
• Ataki Cross-Site Scripting (XSS) i Cross-Site Request Forgery (CSRF) obejmują przechwytywanie poświadczeń logowania użytkownika za pośrednictwem przeglądarki użytkownika.
• Wykorzystywane są również ataki typu Man in the Middle (MITM) . Dzięki temu nazwa użytkownika i hasło są łatwo przechwycone, gdy użytkownik pracuje w sieciach, które nie są w pełni bezpieczne.
• Keyloggery i dodatkowe złośliwe oprogramowanie monitorujące użytkowników śledzą dane wejściowe, a następnie zgłaszają je hakerowi, który zainfekował użytkownika.

Ale bez względu na rodzaj ataku, cel hakera jest zawsze taki sam: uzyskać bezpośredni dostęp do swojej witryny za pośrednictwem wiarygodnych loginów.

Niezależnie od stylu ataku, cel jest ten sam: uzyskać bezpośredni dostęp poprzez loginy.

Wtyczka iThemes Security zapewnia lepszą ochronę bezpieczeństwa użytkownika. Bezpieczeństwo Twojej witryny zależy od tego, czy Twoi użytkownicy mają bezpieczne logowanie przy użyciu silnych haseł. Dlatego iThemes Security oferuje użytkownikom wiele warstw zabezpieczeń, w tym uwierzytelnianie dwuskładnikowe, zaufane urządzenia z ochroną przed przejęciem sesji, logowanie bez hasła w celu weryfikacji tożsamości użytkowników i ochronę przed naruszeniem hasła. Możesz nawet przeprowadzać kontrole bezpieczeństwa użytkowników, aby szybko audytować i modyfikować najbardziej krytyczne elementy bezpieczeństwa użytkownika.

Kolejną warstwą bezpieczeństwa, którą dodaje iThemes Security, jest ochrona najbardziej atakowanej części Twojej witryny, ekranu logowania WordPress. iThemes Security oferuje dwa rodzaje ochrony przed atakami brute force, aby obserwować nieprawidłowe próby logowania do Twojej witryny. Gdy użytkownik lub bot wykona zbyt wiele kolejnych nieprawidłowych prób logowania, zostaną zablokowane i nie będą mogły podejmować kolejnych prób przez określony czas.

2. Luki w oprogramowaniu

W rzeczywistości zdecydowana większość właścicieli witryn WordPress nie jest w stanie usunąć luk w zabezpieczeniach dzisiejszego oprogramowania bez poprawki zalecanej im przez programistę. Problem polega na tym, że wielu programistów nie bierze pod uwagę zagrożeń, jakie pisany przez nich kod wprowadza do Twojej witryny.

Mały błąd, który nie ma zauważalnego wpływu na zamierzony UX (doświadczenie użytkownika), może zostać wykorzystany do tego, aby oprogramowanie robiło rzeczy, do których nie było przeznaczone. A najbardziej doświadczeni hakerzy postrzegają te błędy jako potencjalne luki w zabezpieczeniach.

Jednym z najczęstszych sposobów, w jaki to robią, jest użycie zniekształconego nagłówka POST lub zniekształconego Uniform Resource Locator (URL) do zainicjowania wielu różnych ataków.

Obejmują one:

• Remote Code Execution (RCE), które umożliwia całkowite zdalne przejęcie docelowej lokalizacji i systemu
• Zdalne/lokalne dołączanie plików (R/LFI), które wykorzystuje dane wprowadzone przez użytkownika w polach do przesyłania złośliwych plików do systemu
• SQL Injection (SQLi), który manipuluje polami wprowadzania tekstu za pomocą złośliwego kodu, który wysyła sekwencje ataków na serwer

Podobnie jak kontrola zasobów, luki w oprogramowaniu wykraczają poza zakres witryny. Te luki można znaleźć i wykorzystać w każdej połączonej technologii, na której opiera się witryna.

Większość obecnych witryn korzysta z kombinacji rozszerzeń stron trzecich, takich jak wtyczki i motywy WordPress, które są potencjalnymi punktami włamań hakerskich.

Ponieważ wrażliwe wtyczki, motywy i podstawowe wersje WordPressa stanowią największe zagrożenie bezpieczeństwa Twojej witryny, iThemes Security zaczyna skanować Twoją witrynę. Dzięki iThemes Security Site Scan będziesz wiedzieć, za każdym razem, kiedy wtyczka, motyw lub główna wersja WordPress w Twojej witrynie jest podatna na ataki i wymaga aktualizacji. A jeszcze lepiej… automatycznie uruchomi aktualizacje. Site Scan jest zasilany przez najbardziej wszechstronną dostępną bazę danych luk w zabezpieczeniach, dzięki czemu zawsze będziesz mieć najnowszą ochronę. Skanowanie witryny integruje się również z funkcją Bezpieczne przeglądanie Google, aby sprawdzić stan listy zablokowanych witryny oraz wszelkie znane złośliwe oprogramowanie lub podejrzane pliki.

Oto jak działa Skanowanie Witryny iThemes Security w celu ochrony Twojej witryny:

• Skanuje twoją witrynę dwa razy dziennie w poszukiwaniu luk — wtyczki, motywy i podstawowe wersje WordPress witryny są sprawdzane w bazie danych WPScan Vulnerability Database pod kątem najnowszych ujawnień luk w zabezpieczeniach.
• Automatycznie aktualizuje, jeśli dostępna jest poprawka bezpieczeństwa — w połączeniu z zarządzaniem wersjami iThemes Security automatycznie zaktualizuje wtyczkę, motyw lub podstawową wersję WordPress, jeśli ma lukę.
• Wysyła wiadomość e- mail, jeśli skanowanie witryny wykryje usterkę — możesz otrzymać raport e-mailem, jeśli Twoja witryna korzysta z podatnych na ataki wersji wtyczki, motywu lub rdzenia WordPress. Dostosuj adresy e-mail, które otrzymują wyniki skanowania.

3. Usługi i integracje stron trzecich

Wreszcie istnieją exploity, które pojawiają się za pośrednictwem usług i integracji stron trzecich.

Najczęściej przyjmą one formę reklam w sieci reklamowej, co prowadzi do ataków złośliwych reklam.

Te hacki będą obejmować usługi, z których korzystasz w swojej witrynie i hostingu, w tym zmienne, takie jak CDN (sieć dystrybucji treści).

Integracje i usługi innych firm zapewniają wystarczające połączenia między różnymi częściami zarządzania witryną. W rzeczywistości jest to jedna rzecz, którą ludzie uwielbiają w opcjach rozszerzalnych systemów zarządzania treścią, takich jak WordPress, Drupal i Joomla.

Ale wzajemne powiązania zapewniają również punkty, które hakerzy mogą wykorzystać.

Jednym z największych problemów jest to, w jaki sposób hakerzy wykorzystują te usługi i integracje w sposób, który wykracza poza możliwości kontrolowania ich przez właściciela witryny. Jako twórca witryn lub menedżer pokładasz mnóstwo zaufania w zewnętrznych dostawcach, gdy decydujesz się na korzystanie z jednej z ich integracji.

I oczywiście wielu z nich pilnie dba o zabezpieczenie swoich integracji.

Ale podobnie jak w przypadku innych rzeczy, istnieje nieodłączne ryzyko. I jest to coś, na co hakerzy zawsze mają oko.

Jednym ze sposobów, w jaki iThemes Security chroni dostęp osób trzecich, są bezpieczne hasła aplikacji dla XML-RPC i REST API. Ta aktualizacja umożliwia korzystanie z uwierzytelniania nazwy użytkownika/hasła dla żądań REST API, dzięki czemu można zablokować REST API (zgodnie z naszymi zaleceniami), jednocześnie zezwalając na połączenie zewnętrznym narzędziom korzystającym z REST API.

Ochrona witryny przed włamaniem

Bezpieczeństwo witryny WordPress ma znaczenie. Dużą częścią bezpieczeństwa witryny WordPress jest edukacja i świadomość. A samo przeczytanie tego przewodnika ułatwi Ci zabezpieczenie witryny.

Idąc dalej, musisz podjąć konkretne kroki. A naszym celem jest pomóc Ci je osiągnąć. Niestety, dopiero po tym, jak coś już poszło nie tak, tak wielu właścicieli witryn w końcu poważnie podchodzi do kwestii bezpieczeństwa.

Zamiast tego, dlaczego nie wyprzedzić bólu i podjąć następujące kroki, aby nie dopuścić do tego:

1. Skorzystaj z zasad obrony w głębi. Wiąże się to z budowaniem warstw zabezpieczających, takich jak cebula. Każda praktyka utrudnia hakerom dostanie się do twojego ekosystemu.
2. Wykorzystaj najlepszą praktykę najmniej uprzywilejowaną. Upewnij się, że ograniczasz to, na co pozwala logowanie każdego użytkownika witryny.
3. Twórz uwierzytelnianie dwuskładnikowe i uwierzytelnianie wieloskładnikowe, gdziekolwiek możesz. To dodatkowo zabezpieczy te konkretne punkty dostępu użytkownika.
4. Użyj zapory sieciowej. To zdziała cuda w ograniczaniu sposobu, w jaki hakerzy próbują wykorzystywać luki w oprogramowaniu.
5. Zaplanuj tworzenie kopii zapasowych na bieżąco. Pobierz i zainstaluj wtyczkę BackupBuddy WordPress jako swoje rozwiązanie. W ten sposób, jeśli Twoja witryna zostanie kiedykolwiek zhakowana, będziesz w stanie ją odzyskać za pomocą kilku kliknięć.
6. Uzyskaj perspektywę głównych wyszukiwarek. Narzędzia Bing dla webmasterów i Google Search Console dostarczają przydatnych raportów na temat tego, jak oceniają bezpieczeństwo Twojej witryny.

Najlepszym sposobem na pokrycie tych baz bezpieczeństwa jako właściciel witryny WordPress jest użycie wtyczki iThemes Security Pro.

Następnie zrozum, że nie ma niezawodnego sposobu na zachowanie 100% bezpieczeństwa przez cały czas. Narzędzia, które stosujesz w swoim środowisku internetowym, znacznie zmniejszą ogólne ryzyko. Ale bezpieczeństwo nie jest pojedynczym działaniem lub wydarzeniem. To seria działań.

A wszystko zaczyna się od świetnego narzędzia, takiego jak iThemes Security Pro, które pomoże Ci najlepiej zabezpieczyć witrynę.

Teraz, gdy wiesz, co robić i czego szukasz, bez wątpienia natkniesz się na jeden ze scenariuszy bezpieczeństwa, które omówiliśmy w tym przewodniku. Ale teraz będziesz wiedział lepiej, co zrobić, aby rozwiązać problem.

Najlepsza wtyczka bezpieczeństwa WordPress do zabezpieczania i ochrony WordPressa

WordPress obsługuje obecnie ponad 40% wszystkich stron internetowych, więc stał się łatwym celem dla hakerów o złych zamiarach. Wtyczka iThemes Security Pro eliminuje zgadywanie z zabezpieczeń WordPress, aby ułatwić zabezpieczanie i ochronę witryny WordPress. To tak, jakby zatrudniać pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.

Uzyskaj iThemes Security Pro

Kristen Wright

Kristen pisze samouczki, które pomagają użytkownikom WordPressa od 2011 roku. Jako dyrektor ds. marketingu w iThemes, poświęca się pomaganiu w znalezieniu najlepszych sposobów tworzenia, zarządzania i utrzymywania skutecznych witryn WordPress. Kristen lubi też prowadzić dzienniki (sprawdź jej projekt poboczny, The Transformation Year !), wędrować i biwakować, stepować aerobik, gotować i codzienne przygody z rodziną, mając nadzieję na bardziej obecne życie.