WordPress svetainių kūrimas ir apsauga

WordPress svetainių kūrimas ir apsauga

wordpress_dovanoti_svetainiu_kurimasŠią savaitę ir lietuviškoje interneto erdvėje pasirodė pranešimai apie DDoS WordPress tinklaraščių ataką. Kadangi naudojant šią platformą svetainių kūrimas yra ganėtinai populiarus (apie 17 procentų visų internetinių svetainių), ši žinia sulaukė nemažai atgarsių ir komentarų. Sunerimę vartotojai pradėjo ieškoti būdų, kaip apsaugoti savo web svetainę ir neprarasti jos kontrolės.

Iš besidominčiųjų srauto sprendžiame, kad nemažas skaičius web svetainių kūrėjų ne tik nepaminėjo klientams, kad tokia ataka yra galima, tačiau ir paliko atviras visas galimas spragas.

Taigi, ką daryti, kad apsaugoti savo WordPress svetainę nuo galimos atakos?

Aišku, visų pirma, svetainės kūrimo eigoje programuotojas turėjo pasirūpinti bent standartinio duomenų bazės priešdėlio (prefix) wp_ pakeitimu bei tinkamų htaccess patalpinimu. To neįgudęs vartotojas pats nepadarys.

Tiesiog būtina peržiūrėti Vartotojų sąrašą. Jei Jūsų vartotojo vardas yra admin, būtina susikurti naują vartotoją ir jam perleisti administratoriaus teises. Tuo tarpu vartotojui admin palikti elementarias skaitytojo teises. Bent šią ataką Jūsų svetainė tikrai atlaikys- botnet tinklas atakuos vartotoją admin, galbūt pritaikys jam slaptažodį, tačiau nieko iš to negaus- vartotojas jokių privilegijų neturi.

Dar vienas itin paprastas žingsnis, kuris, panašu, praėjusią savaitę išgelbėjo mūsų klientą- tai įskiepio Limit Login Attempts įdiegimas. Standartiškai WordPress platforma neturi jokių apribojimų- slaptažodžio pritaikymui botnet tinklas turi begalybę bandymų. Tinkamai sukonfigūravus šį įskiepį ataka nespės nė prasidėti- Jūsų svetainė „užsirakins“, o Jūs tą pat minutę būsite įspėti apie bandymą įsilaužti.

Share
Sėkmės :)

 

ATNAUJINIMAS:

panašu, kad įsilaužėliai svetaines pasirenka pagal raktinius žodžius. Įtariame, kad šį kartą jie naudoja ir DDOS bei WORDPRESS žodžių junginį. 2013.04.23 www.dovanoti.lt svetainė buvo „atakuota“ iš 12 IP adresų. Pagal užpuolimo pobūdį galima spręsti, kad tai nėra pilnai automatizuotas procesas- jį valdo žmogus, tad peršasi išvada, kad tinklalapių atakų mastas yra žymiai mažesnis, nei pranešama. Visa kita pasitvirtina- bandyta įsilaužti į admin vartotoją, laužiasi užkrėsti kompiuteriai iš įvairiausių šalių.

ddos_wordpress

Šis konkretus IP adresas yra Meksikoje

Dalinkis!