Задачи по "Программированию"
Автор: NICKET • Май 17, 2018 • Задача • 497 Слов (2 Страниц) • 454 Просмотры
Как всем известно, большинство сайтов подвергаются взлому. Но так, как На сегодняшний день в интернете работают на WordPress около 29% сайтов, поговорим о защите данной CMS.
Несколько шагов для защиты Вашего сайта:
1. Установка надёжного пароля
Важным ключевым моментов является подобрать сложный пароль к сайту админки. Будем откровенными, получить логин админа не трудно, так как по умолчанию первому пользователю предоставляются права администратора - злоумышленникам и требуется этот логин, а большинство владельцев сайтов используют стандартный логин admin. Но если же логин у Вас другой - узнать его не составит труда, достаточно к домену дописать ?author=1 и в адресной строке URL перебразуется в подобное: https://yoursite.com/author/login/ где login - логин первого пользователя. После того как злоумышленник узнал логин, следующим его действием будет подбор пароля. Если ему удастся подобрать пароль - он получит доступ к админке.
Чтобы это предотвратить, первым делом нужно создать нового пользователя со сложным паролем и предоставить ему все привилегии. Далее убрать роль администратора первого пользователя. То есть, если злоумышленник получит доступ к аккаунту - он ничего не сможет сделать.
Используйте плагины для защиты при авторизации. Чтобы ограничить количество попыток доступа используйте плагин Login LockDown или Limit Login Attempts. Этим самым Вы сможете блокировать IP адрес после неудачных попыток входа.
Используйте капчу при авторизации с помощью плагина Google Captcha.
2. Дос атака с помощюь файла load-scripts.php
Уязвимость которая существует и по сей день в версии WordPress 4.9.4.
Существует файл wp-admin/load-scripts.php который, по задумке разработчиков, предназначен для быстрой загрузки сайтов объединив несколько файлов JavaScript в один запрос. К сожалению файл доступен даже анонимному пользователю который может перечислить все файлы JavaScript подобным запросом https://your-site.com/wp-admin/load-scripts.php?c=1&load=editor,common,user-profile,media-widgets,media-gallery... тем самым создав нагрузку на сервер что может выдать статус ошибки 502/503/504.
Уязвимость обнаружил израильский исследователь в области безопасности Barak Tawily, и чтобы защититься от этой атаки он предложил пользователям использовать свою сборку
...