WordPress to popularny system do tworzenia stron internetowych. Ale właśnie dlatego, że jest tak powszechny – jest też częstym celem ataków. Co gorsza, wielu „web developerów” nawet nie wie, że te rzeczy istnieją. Stawiają stronę, instalują kilka wtyczek i zostawiają klienta z nieświadomością. A potem wystarczy kilka minut i ktoś niepowołany może dostać się do panelu.
Widoczne loginy
WordPress domyślnie udostępnia dane użytkowników przez tzw. REST API. Oznacza to, że każdy – bez logowania – może wejść w odpowiedni link (np. /wp-json/wp/v2/users, czyli www.twojastrona.pl/wp-json/wp/v2/users) i zobaczyć nazwę użytkownika (czyli login do panelu administracyjnego).
Zagrożenie: skoro login jest znany, haker musi już tylko zgadnąć hasło. To jakby znał już połowę PIN-u do karty.
Brak limitu prób logowania
Domyślnie WordPress pozwala wpisywać hasło nieskończoną ilość razy. To oznacza, że ktoś może używać automatu, który co sekundę próbuje inne hasło – aż trafi.
Zagrożenie: tzw. atak siłowy (brute force), który może w końcu „złamać” hasło i dostać się do panelu.
Zbyt dużo wtyczek
Im więcej wtyczek, tym większe ryzyko. Nie wszystkie są aktualizowane, nie wszystkie są bezpieczne, a niektóre mogą się ze sobą „gryźć”.
Zagrożenie: konflikty, spowolnienie strony, otwarte furtki do ataków.
Domyślny login „admin”
Wiele osób zostawia domyślny login "admin", co sprawia, że hakerzy mają już połowę pracy za sobą. Wystarczy im teraz tylko hasło.
Zagrożenie: łatwe ataki typu „brute force”, czyli próby zgadnięcia hasła.