So finden SQL-Injektionen in WordPress
Mit nur einen kleinen Fehler im Code eines WordPress-Theme oder Plugin kann ein Hacker auf Ihre Website zugreifen und es zu verunstalten, stehlen von Informationen über Benutzer oder sogar löschen Sie den Inhalt Ihrer Website. Hacker sind am erfolgreichsten mit WordPress-Sites verwenden eine Methode namens SQL-Injection, wo die Hacker das Programm WordPress, zum Ausführen von Befehlen auf dem Datenbankserver in seiner nativen strukturierte Abfragesprache verleitet. Alle SQL-Injection-Angriffen können verhindert werden, mithilfe einer Programmiertechnik, die in WordPress integriert ist.
WordPress: Hacker's Ziel
WordPress macht man aus allen sechs Seiten im Internet. Ein primärer Grund für seine Popularität ist die Möglichkeit auf einfache Weise das Layout anpassen und erweitern die Funktionalität einer WordPress-Website mithilfe der Community entwickelte Themes und Plugins. Die große Beliebtheit von WordPress macht es eine automatische Ziel für Hacker. Was es noch attraktiver macht, ist das Potenzial, die die Themen und Plugins von weniger erfahrenen Programmierern entwickelt eine Website erleichtern wird zu hacken, und dass diejenigen, die ihre eigenen WordPress-Websites--etwa die Hälfte aller WordPress-Websites--host wird nicht ausreichend Sicherheit auf ihren Webservern zum Schutz gegen Hacker.
SQL-Injection-Angriffe
Die gängigste Methode, die eine WordPress-Website gehackt wird ist mithilfe von SQL-Injection, obwohl es völlig vermeidbar ist. Mit SQL-Injection betrügt ein Hacker das System zum Ausführen von SQL-Befehle an die WordPress-Datenbank durch Anfügen von ihnen eingegebenen Benutzerdaten. Programmierer erstellen SQL Injektion Risiken durch Schreiben von Code, die Benutzereingaben akzeptiert und übergibt die Eingabe wörtlich in der Datenbank in eine SQL-Anweisung. Das Risiko kann gelöscht werden, mit der "vorbereiten" Funktion in WordPress, wenn Sie SQL-Datenbank-Befehle mit Benutzereingaben mischen.
Automatische Erkennung von Schwachstellen
Sie können Software, die Ihre WordPress-Site für SQL-Injection-Schwachstellen überprüft, wenn Sie gerade mit einer Sicherheitsprüfung erst sind zu helfen suchen und eliminieren von SQL-Injection-Schwachstellen. Das Öffnen Web Application Security-Projekt empfiehlt zwei Tools: OWASPs eigenen SQLiX und SQLMap, ein open-Source-Penetrationstests-Werkzeug (Links im Mittel). Nachdem Sie ein Tool herunterladen, lesen Sie das OWASP Hinweise dafür. Beide Programme haben viele Befehlszeilenparameter-Optionen, die Steuern, wie die Software testet Ihre Website WordPress.
Was zum Audit
Sicher sein, dass Ihre Website WordPress anfällig für SQL-Injection-Angriff ist nicht die einzige Möglichkeit ist, den Quellcode zu überwachen. Aufgrund der Wachsamkeit, mit der WordPress-Entwickler den Kern-Quellcode für Schwachstellen überwachen, ist es wahrscheinlich Schwächen sind im Code, den Sie erstellt haben oder in den Quellcode für ein Thema oder Plugin, den du verwendest. Verwenden Sie den Editor in das Themes-Modul, um den Quellcode für jede Programmdatei in Ihrem Thema zu überprüfen. Achten Sie besonders auf alle Anpassungen, die Sie geschrieben haben. Verwenden Sie den Editor in das Plugins-Modul, um den Source-Code für jedes Plugin zu überprüfen, die Sie aktiviert haben.
Gewusst wie: überwachen
Führen Sie eine Groß-/Kleinschreibung Suche im Source-Code für jede der folgenden SQL-Befehle: "Erstellen", "ALTER", "DROP", "SELECT", "UPDATE", "Löschen", "Einfügen" und "Kürzen." Wenn der Befehl Daten aus einer Variablen mit Daten, die aus Benutzereingaben kommen können enthält hätte, ersetzt den Befehl mit einer Version, die die "vorbereiten"-Funktion von WordPress bereitgestellte verwendet... Die vorbereiten-Funktion reinigt Daten und verhindert, dass böswillige SQL-Befehle für die Datenbank ausgeführt wird. Z. B. ersetzen: "$wpdb -> Abfrage (" DELETE FROM $wpdb -> Postmeta wo Post_id = $User_selected_post ");" mit "$wpdb -> Abfrage (vorzubereiten (" DELETE FROM $wpdb -> Postmeta wo Post_id = %d ", $user_selected_post));" (ohne Anführungszeichen).
Strom an der Releases zu bleiben
Eine der wichtigsten Aufgaben zum Schutz gegen SQL-Injection und andere Arten von Angriffen durch Hacker ist es, sicherzustellen, dass Ihr System auf dem neuesten Stand ist. Wenn eine Sicherheitslücke entdeckt wurde, im Kern WordPress-System oder in einem Thema oder Plugin, die aktiv gepflegt wird, wird der Autor eine neue Version veröffentlichen. Immer wenn eine neue WordPress-Version verfügbar ist, sollten Sie sichern Sie die Datenbank und die neue Version zu installieren. Wenn das Thema, das Sie verwenden oder Plugins, die Sie aktiviert haben Aktuelles ausgeben, sollten Sie sichern Sie die Datenbank und die Updates zu installieren. Das WordPress-Dashboard zeigt deutlich, wenn WordPress, Themes und Plugins Neuerscheinungen haben Sie noch nicht installiert.