Cara Mengurangkan Risiko Keselamatan Plugin WordPress

November 9, 2017

Entri ini telah diposting di Tanya Wordfence WordPress Security pada 8 November 2017 oleh [DanMoen 10 Balasan

Ini adalah ansuran keempat dalam satu siri baru yang bermula bulan lepas. Anda boleh mengakses siaran sebelumnya di sini .

Persoalan hari ini datang dari Michela di Pordenone, Itali:

Plugin diperlukan untuk meningkatkan fungsi setiap laman web WP tetapi lebih banyak plugin kami menambah risiko yang lebih tinggi untuk potensi ancaman. Bagaimana kita boleh menghadkan risiko ini dan apa yang boleh kita lakukan untuk mengelakkan secara umum jenis serangan ini (melalui plugin yang dipasang)?

Ini adalah soalan yang hebat. Mengikut hasil tinjauan kami menerbitkan tahun lalu, plugin yang terdedah adalah cara teratas yang penyerang mendapat akses ke laman WordPress. Mengurangkan risiko keselamatan plugin anda adalah salah satu aspek yang paling penting untuk melindungi laman web anda. Terdapat beberapa perkara yang boleh anda lakukan untuk menghadkan risiko ini.

Gunakan sebagai Plugin Sedikit Sebagai Kemungkinan

Setiap plugin yang anda pasang di tapak web anda meningkatkan "permukaan serangan" anda. Anda menjalankan lebih banyak kod, jadi peluang anda untuk mempunyai kelemahan keselamatan yang dieksploitasi naik. Setiap plugin yang anda tambahkan ke tapak anda juga mewakili pemaju lain yang anda harapkan untuk memastikan anda selamat. Ini termasuk menulis kod selamat, bertindak balas dengan cepat kepada laporan kelemahan dan memelihara kepentingan terbaik anda.

Hanya Muat Turun Plugin Dari Laman Reputasi

Jika boleh, kami mencadangkan anda mengehadkan muat turun plugin anda ke direktori plugin WordPress.org rasmi. Pasukan sukarelawan yang hebat menguruskannya, di samping komuniti pengguna dan penyelidik keselamatan yang membantu.

Jika anda perlu memuat turun plugin dari laman web lain, anda boleh menggunakan petua ini untuk membantu menentukan sama ada laman web ini bereputasi:

  • Laman ini harus lulus "ujian mata": direka bentuk secara profesional dan menggunakan bahasa yang jelas untuk menggambarkan plugin
  • Cari nama syarikat yang sah di footer.
  • Syarat perkhidmatan dan dasar privasi tersedia.
  • Anda sepatutnya dapat mencari alamat hubungan fizikal di halaman kenalan atau dari segi perkhidmatan.
  • Jika anda menggunakan nama domain Google dalam sebutan (mis., "Example.com"), anda tidak boleh mencari sebarang laporan aktiviti berniat jahat. Menambah perkataan "malware," "mengeksploitasi" dan "kelemahan" pada carian anda mungkin mendedahkan maklumat tambahan.

 Gunakan data ringkasan untuk menilai risiko keselamatan plugin "width =" 299 "height =" 642 "/> </p>
<h3> Pilih Plugin yang Berpengaruh </h3>
<p> Direktori plugin WordPress.org menjadikannya sangat mudah untuk menilai plugin dengan menyediakan ringkasan bagus yang memberi anda hampir semua yang anda perlukan. Inilah yang kami cadangkan anda memberi perhatian kepada: </p>
<ul>
<li> Yang lebih baru-baru ini kemas kini terakhir, lebih baik. </li>
<li> Semak bilangan pemasangan aktif pemalam yang ada. Sesetengah plugin yang boleh dipercayai dan berguna mempunyai nombor pemasangan yang rendah, tetapi anda masih perlu memeriksa plugin dengan berhati-hati jika ia mempunyai pangkalan pemasangan yang rendah (di bawah 1,000 pemasangan aktif). Ia tidak boleh dikekalkan. </li>
<li> Ia sepatutnya serasi dengan versi WordPress semasa, walaupun sila ambil perhatian bahawa sejurus selepas pelepasan teras WordPress, banyak plugin yang bereputasi akan menunjukkan nilai "Ujian sehingga:" yang di belakang, sebagai penulis selesai menguji plugin mereka dengan versi WordPress terkini. </li>
<li> Penarafan penilaian purata sepatutnya cukup tinggi untuk memupuk keyakinan. Semakin tinggi penilaian, semakin baik, jelas. </li>
</ul>
<p> Anda juga mesti mengkaji secara berkala plugin anda yang dipasang untuk memastikan mereka mengekalkan kedudukannya yang baik. </p>
<h3> Padam Plugin Segera Apabila Anda Berhenti Menggunakannya </h3>
<p> Kami telah menulis dengan panjang lebar mengenai fakta bahawa cara terbaik <a href= untuk mengamankan data adalah untuk menyingkirkannya . Konsep yang sama berlaku untuk plugin WordPress: menghapuskan plugin mengurangkan risiko anda.

Jauhkan Plugin Anda Sehingga Tarikh

Kerentanan keselamatan sentiasa ditemui dalam plugin WordPress. Dalam banyak kes, butiran kerentanan akan dijadikan awam, yang bermaksud bahawa seluruh dunia diberikan maklumat yang diperlukan untuk mengeksploitasi kelemahan keselamatan. Sebenarnya, majoriti serangan yang kita lihat di laman WordPress adalah percubaan untuk mengeksploitasi lubang keselamatan yang terkenal, beberapa tahun yang lalu. Daripada mencari kerentanan baru, penyerang mencari pemilik laman web yang tidak menyimpan perkara terkini. Malangnya, mereka terus berjaya. Anda boleh tinggal di hadapan lengkung dengan hanya menjaga perkara terkini.

Banyak plugin seperti Wordfence termasuk ciri kemas kini automatik. Anda harus mengaktifkan ini sebagai banyak plugin yang anda boleh. Bagi mereka yang tidak boleh, anda harus mengemas kini kepada versi terkini secepat mungkin, terutamanya jika ia termasuk menetapkan keselamatan.

Gantikan Plugin Terbengkalai dan Dihapus

Pernahkah anda memulakan projek atau hobi dan mendapat bosan dengannya? Itu berlaku kepada pengarang plugin WordPress juga. Malah, ia berlaku banyak. Kembali pada bulan Mei, kami menulis post mengenai plugin terbengkalai dan mendapati bahawa, pada masa itu lebih 46% plugin tidak dikemas kini dalam lebih dari 2 tahun

Adakah itu bermakna bahawa ia termasuk kelemahan keselamatan? Kemungkinan besar tidak. Apa yang dimaksudkan ialah bahawa mereka mewakili risiko yang lebih tinggi daripada plugin yang diselenggarakan secara aktif. Kami mengesyorkan bahawa anda tidak menjalankan pemalam yang belum dikemas kini dalam masa 2 tahun.

Risiko lain untuk mengawasi adalah plugin yang telah dikeluarkan dari direktori plugin WordPress.org. Terdapat banyak sebab mengapa pasukan plugin WordPress mungkin mengeluarkan plugin, termasuk mempunyai kelemahan keselamatan yang belum ditetapkan. Oleh kerana dasar mereka tidak mendedahkan mengapa mereka mengeluarkan plugin, kami mengesyorkan agar anda segera mengalih keluar plugin dari tapak anda yang dikeluarkan dari direktori WordPress.org.

Musim bunga ini, kami menambah ciri yang memberi isyarat kepada anda apabila plugin telah ditinggalkan atau dialihkan dari WordPress.org .

Memasang Firewall WordPress

Setiap saat dan kemudian penyerang akan menemui kerentanan sifar hari dalam plugin WordPress dan mula menyerang tapak. Dalam kes ini, jika anda cukup malang menjalankan plugin yang rentan, mempunyai versi terkini yang dipasang tidak akan membantu melindungi laman web anda. Di sinilah firewall aplikasi web, atau WAF, masuk. Firewall Aplikasi Web memeriksa lalu lintas memukul tapak anda, menyaring permintaan yang berniat jahat

Firewall Wordfence termasuk satu set perlindungan yang mantap terhadap serangan yang paling biasa di laman web WordPress. Ini termasuk Suntikan SQL, Scripting Cross Site, Upload Fail yang Dimusnahkan, Direktori Traversal dan banyak lagi. Di samping itu, apabila kelemahan keselamatan baru muncul, penganalisis keselamatan kami dengan cepat membangunkan kod untuk melindungi ancaman khusus itu dalam bentuk "peraturan firewall." Peraturan firewall ini digunakan dalam masa sebenar kepada pelanggan Wordfence Premium melalui Feed Pertahanan Ancaman. Laman web percuma menerima mereka 30 hari kemudian.

Kami menulis secara mendalam mengenai bagaimana kerja firewall Wordfence pada awal tahun ini

Kesimpulan

Sebagai pemilik tapak WordPress, mengurus plugin anda adalah komponen kritikal untuk menjaga keselamatan tapak anda. Memahami risiko dan menguruskannya secara aktif adalah aktiviti yang berterusan. Dengan menggunakan kriteria yang teliti dalam memilih pemalam yang dipasang, memastikan pemalam anda yang telah dikemas kini ke versi terkini, dan menggunakan firewall aplikasi web yang mantap di laman web anda, anda boleh memastikan bahawa anda melakukan semua yang anda boleh untuk melindungi data tapak anda daripada penyerang berniat jahat.

Bagaimana anda memilih plugin yang akan dipasang di laman web anda? Bagaimana anda menilai siapa plugin yang selamat? Kami ingin mendengar pendapat anda di dalam komen di bawah.

Adakah anda menikmati siaran ini? Berkongsi!