Noong nakaraang linggo, higit sa 200,000 mga site ng WordPress ang nabatid na maaaring nasa panganib sila ng pag-atake dahil sa isang plugin ng plugin na nagbibigay-daan sa mga hacker na maabutan ang mga website nang mabilis.


Ang plugin na pinag-uusapan ay Code Snippet – isang plugin ng WordPress na tumatakbo sa mga code ng PHP na mas malinis. Ibig sabihin nito sa iyo, bilang developer ng site, hindi na kailangang lumikha ng pasadyang mga snippet sa tema ng iyong website’s mga function .php file. Sa mini-plugin na ito, ang pag-andar ng iyong WordPress site ay pinahaba dahil may mas kaunting pag-load sa iyong website. Pinapanatili ng Code ng Snippet ang iyong .php file na malinis at pinapatakbo ang mga ito sa iyong site.

Gayunpaman, ang plugin ay natuklasan na magkaroon ng isang bug ng security firm na Wordfence. Papayagan ng bug ang mga hacker na mag-iniksyon ng isang code ng PHP nang malayuan nang walang pahintulot mula sa administrator. Kapag na-infiltrate ng site ang mga umaatake, maaari silang magsagawa ng mga nakakahamak na code mula sa kahit saan. Maaari pa silang lumikha ng mga karagdagang account sa administrator, mahawahan ang mga gumagamit ng site, at kunin ang mga pribadong data.

Natuklasan ng mga mananaliksik sa Wordfence na ang mga developer ay lumikha ng isang pinaka-secure na plugin at sinunod ang lahat ng tamang pamamaraan, ngunit mayroon pa ring kahinaan sa pag-import ng function na nangangahulugang madali ang kompromiso ng plugin..

Sa kabutihang palad, ang mga tagalikha ng plugin ay naayos ang kahinaan sa Enero 25, sa loob ng mga araw ng pagtuklas ng kapintasan ng seguridad. Sinumang gumagamit ng Code ng Snippet plugin ay dapat tiyakin na gumagamit sila ng bersyon 2.14.0. Kung gumagamit ka ng isang mas lumang bersyon ng plugin, ikaw, iyong website, at maging ang mga bisita sa iyong site ay maaaring masugatan sa pag-atake. I-update kaagad sa naka-patched na bersyon upang matiyak na ligtas ang iyong website.

Ayon sa nai-download na data ng pinakabagong update, halos 58,000 mga gumagamit ng plugin ang na-update ang kanilang plugin, ngunit ang 140,000 mga admin ay gumagamit pa rin ng lumang bersyon, nangangahulugang ang kanilang site ay nananatiling bukas sa isang madaling pag-atake.

Ang kamakailang kapintasan ay sinundan ng isa pang pag-atake sa libu-libong mga WordPress site na naapektuhan ng masamang JavaScript. Ang malisyosong JavaScript ay ipinatupad upang subukang maisulong ang mga spam website.

Sa pamamagitan ng mga kahinaan ng JavaScript, nagawa ng mga hacker na magpatupad ng JavaScript, na nagsimula ng isang loop at maraming mga pag-redirect “survey-para-regalo” mga website. Ang hindi nakakaisip na mga gumagamit ay maaaring malinlang sa pagsuko ng kanilang personal na impormasyon o hindi sinasadyang mai-install ang malisyosong software sa kanilang mga computer.

Si Sucuri, isang seguridad sa website at kumpanya ng pagtanggal ng website ng malware, ang unang napansin ang mga masasamang aktor na ito. Nagpalabas ng pahayag si Sucuri, “Sa kasamaang palad para sa mga may-ari ng website, ang nakahahamak na payong JavaScript na ito ay may kakayahang gumawa ng karagdagang mga pagbabago sa umiiral nang mga file ng tema ng WordPress sa pamamagitan ng /wp-admin/theme-editor.php file. Pinapayagan silang mag-iniksyon ng karagdagang malware, tulad ng isang PHP sa likod at mga tool sa hack, sa iba pang mga file ng tema upang maaari silang magpatuloy upang mapanatili ang hindi awtorisadong pag-access sa mga nahawaang website,”

Dahil ang mga hacker na ito ay nakamamatay sa paggamit ng mga tampok ng admin upang lumikha ng mga pekeng direktoryo, nagagawa nilang lumikha ng higit pang mga malware sa pamamagitan ng pag-compress ng zip ng mga file. Iniulat ni Sucuri na 2000 na mga site ang nahawahan. Upang matigil ang problema, si Sucuri “hinihikayat ang mga may-ari ng website na huwag paganahin ang pagbabago ng pangunahing mga folder ng block blockers mula sa pagpasok ng mga nakakahamak na file o kasama ang bilang bahagi ng WordPress hardening hardening at security pinakamahusay na kasanayan.”

Ang mga may-ari ng WordPress ay kailangang maging masigasig sa pagpapanatiling ligtas ang kanilang website mula sa mga hacker. Ayon kay Sucuri, ang mga account sa WordPress para sa 90% ng mga naka-kompromiso na website. Ang mga site ng Magento at Joomla ay nagkakaroon lamang ng 4.6% at 4.3% ng mga nakompromiso na site, ayon sa pagkakabanggit.

Ang dahilan kung bakit ang mahina ng WordPress sa mga pag-atake ay dahil sa manipis na katanyagan ng Content Management System (CMS). Sapagkat ang mga kapangyarihan ng WordPress sa maraming mga site at bukas na mapagkukunan, nangangahulugan ito na ang mga hacker ay makahanap ng mas maraming mga pagkakataon upang mapagsamantalahan ang mga hindi nagaganyak na mga gumagamit.

Ang isa sa mga pinakamadaling paraan na maaari mong mapanatiling ligtas ang iyong site ng WordPress ay sa pamamagitan ng regular na pag-update ng WordPress. Sa bawat bagong pagpapalabas ng mga tema, mga plugin, atbp, ang WordPress at ang seguridad nito ay pinabuting, at ang mga kahinaan ay naka-patched.

Iyon ang dahilan kung bakit ang ilang mga baguhan at kahit na nakaranas ng mga developer ng WordPress ay pinili na pinamamahalaang WordPress hosting. Mas madali itong i-update ang lahat ng mga plugin ng site dahil ang iyong hosting provider ay mag-aalaga ng pag-update ng lahat ng mga plugin para sa iyo. Kung hindi ka’alam kung ano ang kinakailangan upang mapanatili ang iyong website na na-update, isang magandang ideya na mamuhunan sa ganitong uri ng pagho-host.

Kung hindi ka’t may pinamamahalaang WordPress hosting, kailangan mong mapanatiling regular ang iyong site sa WordPress. Kapag ang isang nakakahamak na bug o kahinaan ay natuklasan, ang koponan ng suporta sa WordPress ay karaniwang magpapadala ng isang abiso sa iyo upang pilitin kang i-update ang iyong site.

Napakadaling i-update ang iyong WordPress site. Ang kailangan lang ay mag-click “pag-update” sa iyong dashboard, at karaniwang tatagal lamang ito ng ilang segundo upang matiyak na ang iyong site ay mananatiling ligtas. Maaari mo ring puntahan “Naka-install na Mga Plugin” at “Mga Lumalabas / Mga Tema” upang matiyak na gumagamit ka ng pinakabagong bersyon ng bawat plugin at tema. Ikaw’Makakakita nang madali kung alin ang wala sa oras. Ang paglaan ng ilang minuto upang gawin ito bawat pares ng linggo ay mahalaga sa seguridad ng iyong site.

Ang pagkakaroon ng isang secure na WordPress site doesn’imposible. Tiyaking panatilihing na-update ang iyong website upang mapanatili itong ligtas mula sa mga hacker.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me