Springe zum Hauptinhalt

So schützen Sie Ihre Website vor bösartigen Plugins

Divi: das am einfachsten zu verwendende WordPress-Theme

Divi: Das beste WordPress-Theme aller Zeiten!

Mehr 901.000 Downloads, Divi ist das beliebteste WordPress-Theme der Welt. Es ist vollständig, einfach zu bedienen und enthält mehr als 62-freie Vorlagen. [Empfohlen]


Das alte Sprichwort "Sie bekommen, wofür Sie bezahlen" gilt für fast jedes Unternehmen in jeder Branche, einschließlich des Premium-WordPress-Plugin-Marktes.

Premium-Plugins bieten in der Regel eine Vielzahl von Funktionen und erweitern die Funktionalität von WordPress sprunghaft. Und da sie aus der Entwickler-Community stammen, vertrauen ihnen viele Leute, insbesondere diejenigen, die neu im Spiel sind, ohne zu zögern. Leider kann dies Ihre Website für bösartige Plugins öffnen. sowohl die so codierten als auch die nachträglich von Dritten korrigierten.

Wie sehen bösartige Plugins aus?

An der Oberfläche sehen bösartige Plugins ziemlich genau so aus wie legitime Plugins, was ziemlich frustrierend ist, ich weiß. Sie funktionieren im Allgemeinen so, wie sie sollten und so, wie Sie es möchten. Wo sie sich unterscheiden, ist jedoch oft tief in ihrem Code vergraben.

Es bedeutet nicht, dass die Entwickler für Sie da sind. Ich meine, es gibt wahrscheinlich certains mit weniger als moralischen Absichten, aber die meiste Zeit sind es Plugins, die völlig über dem Brett stehen, die von Hackern heruntergeladen, manipuliert und dann wieder heruntergeladen werden, damit andere Leute ihre eigenen Websites herunterladen und unwissentlich infizieren können.

Sucuri-BlogLaut Denis Sinegubko vom Sucuri-Blog gibt es einige gängige Arten von bösartigem Code, die in diese Plugins eingefügt werden.

Ein Angreifer kann beispielsweise Funktionen in den Code des Plugins aufnehmen, die einen neuen Benutzer mit einem bekannten Benutzernamen und Passwort erstellen und ihn so konfigurieren, dass er sich selbst eine E-Mail sendet, wenn eine Site das Plugin installiert hat. Dann können sie zu einer eindeutigen Adresse gehen, die sie auf dem Server dieser Site festlegen, sich anmelden und tun, was sie wollen, beispielsweise persönliche Informationen stehlen oder bösartige Dateien herunterladen. Die Möglichkeiten sind leider endlos.

Oft werden diese Zeilen bösartigen Codes vergraben. Sie sind kommentiert und maskiert. Selbst wenn Sie also wissen, wie ein gut geschriebenes Plugin aussehen soll, wird das Durcharbeiten des Codes nicht viel verraten. Zumindest nicht auf den ersten Blick. Sie müssen wissen, wonach Sie suchen, um den Schaden zu erkennen und Zeile für Zeile wirklich zu graben.

Oder sie sind in verschlüsselten Codeblöcken versteckt. Dies ist noch schwieriger zu erkennen, da es bei Premium-Plugins ganz normal ist, Teile von verschlüsseltem Code zu haben. Die Entwickler tun dies, um es den Leuten zu erschweren, Algorithmen und Details zur Erstellung des Plugins zu stehlen.

Erstellen Sie ganz einfach Ihre Website mit Elementor

Mit Elementor können Sie auf einfache Weise jedes Website-Design mit einem professionellen Look erstellen. Zahlen Sie nicht mehr teuer für das, was Sie selbst tun können. [Kostenlos]

Es macht Sinn, oder? Aber als Sinegubko an einer infizierten Site arbeitete, wurde er gebeten, all diese verschlüsselten Codeblöcke zu entschlüsseln. In diesem Fall war das Plugin, das sich als infiziert herausstellte, SEOPresser. Dieses Plugin kostet normalerweise mindestens 47 US-Dollar, aber auf der infizierten Site lief eine kostenlose Version, die höchstwahrscheinlich illegal heruntergeladen wurde. SEOPresser ist ein großartiges Plugin und das sollte seine Entwickler überhaupt nicht beeinflussen. Es zeigt vielmehr nur, dass jedes Plugin das Potenzial hat, zum Vorteil von Angreifern gehackt und manipuliert zu werden.

Der von Sinegubko entschlüsselte Codeblock, um die Blaupause für die Einrichtung eines gefälschten Benutzernamens und Passworts zu entschlüsseln, sah so aus:
Sucuri Code bösartige Plugins

Wie werden Plugins infiziert?

Schädliche Plugins infiziertIn den meisten Fällen enthalten vollkommen legitime Plugins bösartigen Code durch einen Prozess namens Patching.

Diese Plugins werden auf Websites gekauft und / oder gestohlen, gepatcht und neu geladen, die „kostenlose Downloads“ von Premium-Plugins anbieten. Abgesehen von den moralischen Implikationen des kostenlosen Herunterladens von Premium-Plugins ist dies völlig, vollständig, 100% nicht es ist es wert.

Während jemand, der nach Freebies sucht, vielleicht denken könnte, dass die Leute, die diese raubkopierten Plugins herunterladen, es aus der Güte ihres Herzens im Robin-Hood-Stil tun, ist dies wahrscheinlich nicht der Fall. Gar nicht.

Wie Sinegubko schreibt: „Warum sollte jemand seine Zeit damit verbringen, Software zu stehlen und sie dann auf verschiedenen Websites und Foren zu veröffentlichen, wo er sich nicht einmal auf Werbeeinnahmen verlassen kann? "

Ausgezeichnete Frage, auf die es eine noch bessere Antwort bietet: Diese Leute erwarten, dass sie einige der Websites nutzen können, auf denen diese Plugins installiert werden. Aber bevor das passiert, haben sie dem Code Hintertür-Zugriff, Malware, Spam, versteckte Links oder andere unangenehme Dinge hinzugefügt.

Suchst du nach den besten WordPress Themes und Plugins?

Laden Sie die besten Plugins und WordPress-Themes auf Envato herunter und erstellen Sie ganz einfach Ihre Website. Schon mehr als 49.720.000 Downloads. [EXCLUSIVE]

So verhindern Sie, dass infizierte Plugins Ihre Website beeinträchtigen

Jetzt, wo Sie angesichts dieses bösartigen Plugin-Geschäfts praktisch in Ihren Stiefeln zittern, können Sie lernen, proaktiver zu sein, um sie davon abzuhalten, sich Ihrer Website zu nähern. Hier sind vier Möglichkeiten, sich besser zu schützen:

1. Verwenden Sie WordPress.org für kostenlose Plugins

Kein Wenn, kein Aber – wenn das Plugin kostenlos ist, solltest du es aus dem WordPress.org Plugin-Verzeichnis herunterladen. Wieso den? Denn jedes enthaltene kostenlose Plugin muss den strengen Inklusionsrichtlinien von WordPress entsprechen. Sie nehmen die Qualität jedes Plugins sehr ernst und schließen diejenigen nicht ein, die bestimmte grundlegende Standards nicht erfüllen.

Während WordPress in der Vergangenheit seine Lücken hatte, ist es größtenteils ein sehr sicherer Ort, um Plugins herunterzuladen.

2. Verwenden Sie Entwicklerseiten nur für Premium-Plugins

Laden Sie keine kostenlosen oder Premium-Plugins von zufälligen Websites herunter, auf die Sie stoßen. Klicken Sie nicht auf verdächtige Download-Links in Diskussionsthreads. Wenn Sie ein Plugin finden, das Sie herunterladen möchten, suchen Sie bei Google nach seinem Namen und suchen Sie auf der Website des Entwicklers. Dies ist der einzige Ort, an dem Sie darüber nachdenken sollten, ein Premium-Plugin herunterzuladen.

Und denken Sie darüber nach: Wenn Sie ein Plugin kaufen, möchten Sie, dass der Entwickler den Überblick behält und seine Website sicher ist, um auch Ihre persönlichen Daten zu schützen. Es führt einfach kein Weg daran vorbei.

3. Recherchiere die Entwickler gründlich

Nach bösartigen Plug-In-Entwicklern suchenOkay, also ja, Sie sollten Premium-Plugins nur von Entwickler-Websites herunterladen. Aber damit endet Ihr Job nicht unbedingt. Wenn Sie noch nie von einem Entwickler gehört haben, ist es immer eine gute Idee zu studieren, was sie sind. Recherchiere ein wenig.

Welche anderen Plugins haben sie erstellt? Welchen Ruf haben sie in der WordPress-Community, wenn überhaupt? Haben Leute Bewertungen ihrer früheren Arbeit hinterlassen? Nutzen Sie all dies, um Ihre Entscheidung abzuwägen, bevor Sie sich zum Kauf und Download eines Plugins verpflichten.

4. Niemals Plugins stehlen

Obwohl es selbstverständlich sein sollte, muss ich es trotzdem hier einschließen: Niemals Premium-Plugins stehlen oder „kostenlose“ Versionen von Premium-Plugins herunterladen. Letzteres ist so ziemlich das gleiche wie das erste - jemand anderes hat es einfach zuerst gestohlen. Ernsthaft, nicht!

Wenn Sie nur legitime Kopien von Plugins herunterladen, können Sie all diese „gepatchten“ Plugin-Aktivitäten im Voraus vermeiden und Ihnen den Ärger und die Peinlichkeit ersparen, sie später zu bereinigen.

Fazit

Ich weiß, was du denkst. Hacker finden immer einen Weg, um Websites zu infiltrieren. Und es ist absolut wahr. Sie sind besonders schlau und finden Wege, Websites über Plugins, Themes und sogar den WordPress-Administrator zu hacken. Aber nur weil er pouvez Das bedeutet nicht, dass Sie nicht alles in Ihrer Macht Stehende tun sollten, um dies zu verhindern. Hoffentlich halten Sie Ihre Website sauber, indem Sie eine klare Vorstellung davon haben, wie bösartige Plugins aussehen und die obigen Tipps befolgen.

Erstellen Sie einfach Ihren Online-Shop

Laden Sie kostenlos WooCommerce herunter, die besten E-Commerce-Plugins, um Ihre physischen und digitalen Produkte auf WordPress zu verkaufen. [Empfohlen]

Haben Sie auf Ihrer Website verdächtige Aktivitäten entdeckt, von denen Sie später festgestellt haben, dass sie auf ein Plugin zurückzuführen sind? Wenn ja, wie haben Sie das Problem gelöst? Ich würde mich freuen, eure Tipps und Ratschläge in den Kommentaren zu hören.

Bildquelle: 顔 な し, NIAID, Nomadenmädchen

Quelle Link

Dieser Artikel enthält Kommentare 0

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Akismet, um unerwünschte Inhalte zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verwendet werden.

Zurück nach oben
0 Aktien
Aktie
tweet
Registrieren