是时候放弃对WordPress网站?

随着WordPress变成了安全的瑞士奶酪,也许是时候停止使用WordPress在线,开始使用更容易保护的内容了

zodman / Flickr的

Malwarebytes的报告Cyber​​heistNews和其他来源,一个出人意料的大波黑客已经创下成千上万的WordPress网站(描述为“古怪的WordPress的黑客”只是以配合的头条来自Buzzfeed风格)。这些攻击被描述为:

Malwarebytes的高级安全研究员杰罗姆·塞古拉在周三发表的一篇博客文章中写道:“WordPress网站被注入了大量的流氓代码,这些代码会无声地重定向到似乎有广告的域名。”“这是一种干扰(和欺诈),因为广告中充斥着更多的代码,会把访问者送到核开发工具包。”

核漏洞利用工具包,这是一个非常复杂的机制分析,并与浏览器的交互和传递的恶意软件,是用来传播Cryptowall勒索其中,作为网站所有者,是你不希望发放或作为一个受感染的网站的用户,你不想合同。

在这一点上,我需要包括处理勒索软件的强制性规则:

  1. 请确保您有备份
  2. 请确保您的备份都可以恢复
  3. 不处理ransomers或支付赎金
  4. 报告赎金企图联邦调查局互联网犯罪投诉中心(IC3)
  5. 了解如何受到感染,然后孔堵塞
  6. 更新您的网络安全计划

我必须指出,去年美国联邦调查局的发言人一样,事实上,说以下关于Cryptowall:

该勒索软件是很好的......说实话,我们经常建议人们只需交纳赎金。

这是一个糟糕的建议,从实际的角度来看(即使你付钱,你的数据也可能不会被解密),从道德的角度来看(付钱给拉姆索姆会鼓励更多的人质劫持)。不,没有理由不能够从备份中恢复您的文件并忽略赎金要求。我离题了……

wordpress徽标hoz rgb 维基百科

现在WordPress已经变得非常容易被黑客攻击,因为它是开源的,因此非常容易被理解,它运行着大约30%的网站,并且,考虑到第三方添加的范围之广(主题、插件等),确保任何给定的安装都是防黑客的是相当困难的。“啊!”你可能会嘀咕,“确保WordPress和你的插件是最新的是答案吗?”Well, my friend, you might like to think so but it seems this latest wave of hacking WordPress may involve one or more零日漏洞。WordPress生态系统的规模和复杂性造就了所谓的“大”攻击表面

我跑了多少WordPress的供电网站,并在其中一人我最近启用的插件的电子邮件功能的通知叫404至301。这个插件通过其更改为通过重定向不存在的内容的请求产生的404错误301,302,307服务器端重定向。我之前并没有启用电子邮件通知功能,因为几年前我试了一个月,这个插件并没有产生任何提醒。但是,当我最近启用通知功能时,我惊讶地发现,黑客可能会寻找各种类型的内容,比如/404.php/wp-content/themes/fonts/fontawesome-webfont.svg?v=4.1.0,/wp-includes/SimplePie/Net/IPv7.php。这些可能都是潜在的漏洞,这些请求主要来自德国、荷兰和俄罗斯,但t他特定的网站被WordFence(悍是我一年前写的吗),到目前为止,那么好;我们依然不打折扣。

顺便说一句,如果你正在寻找一个备份解决方案,你的WordPress网站考虑上升气流插件其中可以使用的存储目的地手动或自动包括S3,升降梭箱,谷歌驱动器,Rackspace公司,FTP,SFTP,WebDAV和电子邮件和备份任一的整个范围。它也可以由于具有安装的上升气流复制和迁移站点,两次,它救了我的熏肉。而为了增加安全性,你可能会考虑安装插件漏洞它会检查已安装的插件对插件的已知安全问题的列表,并警告你,当新的问题出现。

但考虑到黑客攻击的风险,其范围从网站污损,通过敏感数据被盗,成为恶意软件到您的访客的来源,你要问自己,如果你仍然买得起有效的时间和精力,确保您的网站和,更重要的是,如果敏感数据可能会暴露,你能负担得起的补救和可能的诉讼风险?注意网络保险,这听起来像对灾难良好的对冲,可能无法正常工作,除非你能证明你已经行使“适当照顾”的东西给所涉及的问题,可能会非常棘手。

博客1 维基百科

那么,另一种选择是什么?答案可能是一个“平面网站”;例如,一个站点没有数据库和后端代码,而是一堆静态HTML、CSS和客户端JavaScript,可以被锁定,并很容易检查未经授权的修改。您仍然需要服务器端服务来处理诸如表单提交之类的事情,但是需要使用第三方服务,例如JotForm所以去除大部分运行自己的后端服务的漏洞

对于WordPress网站,您可以创建网站的本地或其它安全的版本(即不能公开访问),然后将其保存为静态HTML文件,并上传这些到您的公共网站。这可能会或可能无法正常工作取决于各种因素,但绝对值得尝试的网站没有动态的内容,在运行时间取决于后端服务(见创建一个动态网站的静态副本其中讨论涉及的陷阱);它也会让你的网站更快!

还有一些插件自动创建从WordPress的设施,如静态内容真静简单地静态这可能是有用的(我必须指出,我也没有尝试过,所以如果你有什么想法,什么可行,什么不可行,请让我知道)。

我也一直在寻找那个跳过整个WordPress的方面,并生成模板内容平坦一些有趣的替代品。如果你还没有采取一看杰奇仙人掌(后一种方法只适用于OS X)并且您正在启动一个新的Web项目,这些方法绝对值得考虑。有关更多工具选项,请查看StaticGen,一个伟大的静态站点生成器列表。

思考?建议?发给我通过电子邮件反馈或评论,然后关注我推特脸谱网

加入对网络世界的社有个足球雷竞技app区脸谱网LinkedIn对最重要的话题发表评论。
有关:

纪秉盟是一个作家,记者,和神秘男子。对于超过30年,吉布斯已经通过计算机行业的沼泽涉水。

版权所有©2016Raybet2

IT薪资调查:结果是