Czy wiesz jakie typy ataków hakerskich na strony WordPress były najpopularniejsze w 2019 roku? Firma Sucuri, tworząca m.im. rozwiązania dla podniesienia zabezpieczeń WordPress opublikowała niedawno swój raport. Wymienia w nim ataki hakerskie WordPress, które odnotowała przy pomocy swoich narzędzi i na podstawie zgłoszeń otrzymanych przez użytkowników.
Popularne ataki hakerskie WordPress
Według raportu, do najpopularniejszych metod włamywaczy należą:
-
SEO spam
Hakerzy uzyskują nieautoryzowany dostęp do strony i zamieszczają na niej linki, reklamy, obrazki lub inne treści niezwiązane z tematyką strony (np. treści porno, reklamy środków na potencję, lekarstwa na raka).
-
Cross Site Scripting (XSS)
Sztuczka polegająca na oszukaniu przeglądarki użytkownika odwiedzającego stronę, aby uruchomiła złośliwy kod JavaScript z zainfekowanej witryny zewnętrznej. W rezultacie użytkownik widzi np. niechciane pop-upy lub jest narażony na wyciek danych osobowych, czy sesji logowania.
-
Wstrzyknięcia SQL
Dotyczą wszystkich stron opierających się o bazy danych (w tym WordPress). Haker wykorzystuje formularze kontaktowe lub pola wyszukiwania na stronie, aby za ich pomocą wgrać do bazy danych złośliwy kod. Może dzięki temu np. wykraść dane użytkowników, loginy, hasła lub nawet informacje o płatnościach.
-
Ataki siłowe (brute force)
Hakerzy wykorzystują zautomatyzowane skrypty próbujące odgadnąć login i hasło użytkowników. Ich skuteczność oparta jest głównie na słabych hasłach użytkowników – krótkich i łatwych do odgadnięcia. Skryty te często korzystają z metody słownikowej, czyli dobierają popularne słowa i kombinacje cyfr.
-
Ataki DDoS
Polegają na generowaniu ogromnego ruchu na atakowanej stronie za pomocą wcześniej zainfekowanych komputerów i smartfonów (zwanych botnetem). W efekcie ataku, serwer zostaje przeciążony wielomilionowymi próbami wyświetlenia strony i wyłącza się. Celem tych ataków jest po prostu wyłączenie atakowanej strony.
-
Backdoory
Luki w oprogramowaniu, przez które hackerzy mogą uzyskać dostęp do strony www. Wyobraź sobie, że montujesz drzwi antywłamaniowe w domu, ale złodziej ma dorobione klucze. Zauważysz włamanie, ale nie dowiesz się, którędy włamywacz dostał się do domu. W przypadku WordPress, backdoory pojawiają się najczęściej w zainfekowanych wtyczkach. Pobieraj je zawsze ze zweryfikowanego źródła.
-
Phishing
To metoda wyłudzania danych dostępowych metodami socjologicznymi. Np. wysyłanie e-maili do użytkowników z linkiem mających wykonać jakąś czynność dla użytkownika. W rzeczywistości wykradane są dane logowania. W 2019 najczęstszymi celami były serwisy Netflix i PayPal. Zauważono też liczne ataki na konta użytkowników w Microsoft czy Apple.
-
Mailing
Hakerzy po włamaniu się na stronę, instalują na niej złośliwe skrypty, które wykorzystując moc obliczeniową serwera rozsyłają spam po całym świecie.
-
Kradzież kart kredytowych
To bardziej cel niż metoda. Liczba prób kradzieży rośnie każdego roku.
-
Ułomności wtyczek
W tym przypadku nie można mówić o wyrafinowanym ataku hakerskim. Ataki możliwe są tutaj głównie dzięki niedbalstwu właścicieli stron internetowych. Nieaktualizowane wtyczki, motywy i rozszerzenia nie mają szans przeciwko atakom. Dlatego ich aktualizowanie jest krytyczne z punktu widzenia bezpieczeństwa. Nawet jeśli hakerzy wykorzystają błędy w kodzie, to developerzy zazwyczaj szybko reagują i wydają swoje aktualizacje, które należy niezwłocznie stosować na stronie.
Pamiętaj więc
Twoje bezpieczeństwo w sieci zależy głównie od Twojej świadomości. Jeśli jeszcze nie czytałeś – zajrzyj koniecznie do mojego wpisu ile wtyczek można instalować w WordPress. Odpowiedź na to pytanie jest kluczowa dla bezpieczeństwa Twojej strony.