Jako zdaleka nejpopulárnější systém pro správu obsahu WordPress pohání miliony různých webů. Jedná se o software s otevřeným zdrojovým kódem, což znamená, že jeho zdrojový kód je veřejně přístupný a může jej upravovat prakticky každý, kdo má dostatečné know-how.

Ačkoli lze pluginy a témata WordPress zakoupit, desítky tisíc z nich jsou k dispozici zdarma. Jak by se dalo očekávat, neobejde se to bez stinných stránek. Jak jsou tedy weby WordPress zranitelné? A co jeho témata a pluginy? A jak můžete chránit své stránky?

Jak zranitelný je WordPress?

V únoru 2022 Raketový batoh zjistili, že byly ohroženy oblíbené motivy a pluginy od dodavatele AccessPress Themes (také známé jako Access Keys). Vědci zranitelnosti objevili náhodou poté, co objevili podezřelý kód na kompromitovaném webu. Po dalším zkoumání si uvědomili většinu pluginů AccessPress a každé téma obsahovalo stejný kód.

Později se ukázalo, že AccessPress Themes se stal obětí kybernetického útoku v září 2021, kdy hackeři nastrčili zadní vrátka. v pluginech dodavatele a témata.

instagram viewer

AccessPress nakonec aktualizoval a vyčistil své produkty, ale pravděpodobně byly tisíce uživatelů zranitelné vůči útokům po dlouhou dobu.

Mají pluginy a motivy WordPress chyby zabezpečení?

Zjištění Jetpacku podtrhují, jak zranitelný může být WordPress. Nebyl to ale ojedinělý případ.

V březnu 2021 např. Wordfence odhalil hlavní zranitelnosti dvou pluginů WordPress, které by v případě úspěšného zneužití umožnily útočníkovi ovládnout web. Chyby zabezpečení byly objeveny v pluginech Elementor a WP Super Cache. Elementor je tvůrce webových stránek používaný na více než sedmi milionech webových stránek, zatímco WP Super Cache je populární plugin pro ukládání do mezipaměti.

V únoru 2022, as Deník vyhledávače Vládní databáze zranitelností Spojených států a bezpečnostní výzkumníci WordPress varovali před vážnými zranitelnostmi v desítkách pluginů WordPress.

Devět z těchto pluginů bylo použito na více než 1,3 milionu webových stránek: Header Footer Code Manager, Ad Inserter – Ad Manager & AdSense Ads, Popup Builder, Anti-Malware Security and Brute-Force Firewall, WP Content Copy Protection & No Right Click, Backup Database for WordPress, GiveWP, Download Manager, and Advanced Database Čistič.

Jak zabezpečit svůj web WordPress

Dalo by se předpokládat, že tyto zranitelnosti jsou vždy opraveny nebo odstraněny, jakmile jsou objeveny, ale ve skutečnosti tomu tak není.

Výzkum z Patchstack zjistili, že v roce 2021 došlo k nárůstu o 150 procent hlášených zranitelností WordPress ve srovnání s rokem 2020 – a 29 procent z těchto zranitelností neobdrželo žádnou opravu. Patchstack také zjistil, že pouze 0,58 procenta hlášených chyb bylo v jádru WordPress, což znamená, že zranitelnosti se téměř vždy nacházejí v pluginech.

Je důležité zajistit, aby všechny pluginy, které používáte, byly aktuální, stejně jako samotné jádro WordPress.

Než si stáhnete a nainstalujete plugin, ujistěte se, že jste nejprve provedli malý průzkum. Zkontrolujte, kolik instalací má plugin, přečtěte si recenze online, podívejte se, kdy byl naposledy aktualizován, a zkontrolujte, zda byl testován s nejnovějším jádrem WordPress. Zabere to jen pár minut, ale může vám to ušetřit spoustu problémů.

Případně můžete použít WPScan, což je poměrně jednoduchý a účinný skener zranitelností WordPress. Tento nástroj lze také použít k vyhledání pluginu podle názvu. Bezplatná verze umožňuje až 25 požadavků API za den.

Naštěstí jsou některé pluginy ve skutečnosti navrženy tak, aby chránily váš web WordPress před vetřelci. Login LockDown, Wordfence, BulletProof Security jsou jedny z nejlepších Bezpečnostní pluginy WordPress dnes. Login LockDown je zcela zdarma, zatímco další dva mají základní, bezplatné modely.

Bezpečnostní tipy pro WordPress

Jakkoli může být WordPress zranitelný, přijetí základních bezpečnostních opatření vede k předcházení a odrážení kybernetických útoků.

Základem vaší hygieny zabezpečení WordPressu by mělo být používání jedinečných přihlašovacích údajů a dvoufaktorové autentizace, udržování veškerého softwaru v aktuálním stavu, skrývání názvů témat a přihlašovacích údajů.

Jak zabezpečit svůj web WordPress v 5 jednoduchých krocích

Přečtěte si další

PodíltweetPodílE-mailem

Související témata

  • Bezpečnostní
  • Internet
  • Online bezpečnost
  • Wordpress pluginy
  • Wordpress
  • Témata Wordpress

O autorovi

Damir Mujezinovic (23 zveřejněných článků)

Damir je spisovatel a reportér na volné noze, jehož práce se zaměřuje na kybernetickou bezpečnost. Kromě psaní se věnuje četbě, hudbě a filmu.

Více od Damira Mujezinoviče

Přihlaste se k odběru našeho newsletteru

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!

Chcete-li se přihlásit k odběru, klikněte sem