( Pixabay )

Recentemente gli hacker hanno tentato di conquistare decine di migliaia di siti WordPress sfruttando vulnerabilità significative, tra cui più plug-in zero-day che consentono loro di creare denaro da amministratori non autorizzati e di piantare backdoor.

Il raid sui siti WordPress è iniziato prendendo di mira un bug XSS salvato non autenticato zero-day trovato all’interno del plug-in Campi di pagamento flessibili per WooCommerce con 20.000 vivaci installazioni di ricercatori di NinTechNet.

Il team di sviluppo del plugin WP Desk, ha rilasciato il modello 2.3.2 per correggere il difetto di sicurezza attivamente combinato in un’ora dopo aver ricevuto il file di divulgazione da NinTechNet.

Modi per proteggere il tuo sito WordPress

È necessario impedire l’hacking del tuo sito poiché WordPress è uno dei sistemi di gestione dei contenuti (CMS) più popolari là fuori che è vulnerabile da una violazione della sicurezza. Ecco alcuni suggerimenti su come proteggere la tua pagina dagli hack di WordPress.

Usa password complesse

Molti siti Web WordPress vengono hackerati perché gli hacker trovano un modo per conoscere le credenziali del sito Web, noto come attacchi di forza bruta-i rischi di aggressione a forza bruta si riducono notevolmente quando si utilizzano password complesse.

La creazione di password complesse e complesse è un ottimo modo per impedire che si verifichino hacking. Più plug-in e applicazioni richiedono un nome utente e una password, come accessi wp-admin, database, FTP / sFTP, ecc. Può essere difficile persino ricordare dozzine di password senza annotarle o utilizzare la stessa password in tutta la scheda (nessuno dei quali è raccomandato).

Usa il principio del minimo privilegio

Non delegare l’accesso a utenti e sviluppatori di cui non ti fidi completamente. Se davvero dovessi fornire l’accesso, assicurati di limitarlo. Concedi il set di privilegi più basso possibile per le attività di ogni utente. E non appena il loro lavoro è completo, si consiglia di interrompere immediatamente l’accesso. Queste sono le azioni dietro principio del minimo privilegio.

Mantieni i plugin di WordPress sicuri e aggiornati

WordPress stesso è stabile con gli sviluppatori che sostituiscono continuamente il CMS, oltre a un’ampia rete che aiuta a stabilizzarlo attraverso la pubblicazione di plugin per migliorare tali sforzi. L’installazione di troppi plug-in senza essere sicuri che siano stabili può comportare la vulnerabilità di WordPress o la violazione del tuo sito Web WordPress.

Anche se mettere plugin sicuri può aiutare ad alleviare l’onere di alcune attività e persino aggiungere funzionalità interessanti ed eccellenti alla tua pagina Web WordPress, alla fine, quei plugin possono essere usati per attaccarti.

Prevenire un hack di WordPress con un firewall per siti Web

WordPress ha rappresentato oltre il 90% di tutti i CMS hackerati nel 2018, secondo un rapporto. I clienti a volte non possono aggiornare la loro versione di WordPress a causa di plug-in o temi obsoleti. Ciò può lasciare un sito Web WordPress responsabile di attacchi di hacker.

Si consiglia di abilitare un firewall WordPress per correggere la pagina Web. Un’ottima scelta per impedire che il tuo sito Internet WordPress venga hackerato è abilitare un Web Application Firewall (WAF).

Un WAF è essenzialmente un passaggio per il traffico che visita il tuo sito Web, filtrando le richieste terribili (tentativi di hacking, exploit, DoS, ecc.) E consentendo a quelli migliori di passare.

Attacchi a WordPress siti

Le campagne cercano di compromettere i siti Web WordPress sfruttando le ultime patch o le vulnerabilità zero-day nei plug-in sono di gran moda di recente con un sacco di siti Web scoperti per assalti.

BleepingComputer segnalati in vista di questa settimana che gli aggressori tentano di compromettere o cancellare i siti WordPress sfruttando varianti senza patch dei plug-in Demo Importer, Profile Builder e Duplicator di ThemeGrill con una quantità dichiarata di 1.250.000 installazioni attive.

La scorsa settimana, gli sviluppatori hanno scoperto un giorno zero nel plug-in WordPress Addons ThemeREX con una quantità stimata di oltre 40.000 installazioni vivaci. L’hacker è stato anche attivamente sfruttato in una campagna di marketing che aveva l’obiettivo finale di creare fatture dell’amministratore e occupare completamente i siti Web vulnerabili.

Gli aggressori possono anche prendere di mira altri difetti essenziali del plugin WordPress. La scappatoia includeva i molteplici bug nel plugin di consenso sui cookie GDPR di WordPress utilizzato da oltre 700.000 siti Web che potevano iniettare codice JavaScript dannoso. L’eccessivo livello di gravità della richiesta di contraffazione (CSRF) tra pagine Web nel plug-in Snippet di codice con oltre 200.000 installazioni consentirebbe anche agli hacker di assumere il sito online.

Ultimo ma non meno importante, due vulnerabilità scoperte nel plug-in WordPress WP Database Reset open plug-in potrebbero essere abusate da hacker per l’acquisizione completa del sito Web e il ripristino del database se le installazioni non sono aggiornate.

Link alla fonte

LEAVE A REPLY

Please enter your comment!
Please enter your name here