Jak zabezpieczyć WordPress (2020)

WordPress jest jednym z najpopularniejszych systemów zarządzania treścią i nie bez powodu. Jest łatwy w użyciu, dostępne są dla niego tysiące motywów i wtyczek, dzięki czemu możesz tworzyć dowolne strony internetowe. Nic więc dziwnego, że WordPress ma moc 35,1% wszystkich stron internetowych w Internecie.


Ale jego popularność wiąże się z pewnymi kosztami. WordPress jest często atakowany przez hakerów. Według Sucuri, w 2018 r. 90% wszystkich żądań oczyszczenia witryn należało do WordPress, co stanowi wzrost o 7% w stosunku do 2017 r.

Raport trendu włamań do witryny internetowej 2018 - Sucuri

W związku z tym zabezpieczenie witryny WordPress powinno znajdować się na górze listy, niezależnie od tego, czy masz osobiste portfolio, witrynę biznesową czy sklep internetowy.

Jeśli chodzi o bezpieczeństwo WordPress, użytkownicy zwykle dzielą się na dwa obozy: tych, którzy traktują bezpieczeństwo poważnie i podejmują środki ostrożności oraz tych, którzy wierzą lub mają nadzieję, że nigdy im się to nie przydarzy, ponieważ ich witryna nie jest wystarczająco ważna.

Aby lepiej zrozumieć wagę problemów związanych z bezpieczeństwem związanych ze stronami internetowymi, odwiedź stronę Strona internetowa statystyk na żywo czasami. Tam możesz zobaczyć dokładną liczbę stron włamywanych każdego dnia, a nawet obserwować ich wzrost w czasie rzeczywistym.

Witryna włamana w czasie rzeczywistym

Contents

22 kroki do zabezpieczenia witryny WordPress

Aby Twoja witryna nie stała się jedną z witryn internetowych statystyk na żywo, postępuj zgodnie z poniższymi wskazówkami i zabezpiecz swoją witrynę WordPress.

1. Wybierz firmę hostingową z funkcjami bezpieczeństwa

Pierwszym krokiem w kierunku zabezpieczenia witryny WordPress jest inwestycja w firmę hostingową, która wdraża odpowiednie funkcje bezpieczeństwa. Obejmuje to obsługę najnowszej wersji PHP, MySQL i Apache, a także zaporę ogniową i monitorowanie bezpieczeństwa 24/7.

Jeśli to możliwe, wybierz firmę hostingową, która wykonuje codzienne kopie zapasowe i regularne skanowanie w poszukiwaniu złośliwego oprogramowania. Możesz nawet znaleźć firmy hostingowe, które stosują różne środki zapobiegawcze DDOS.

Twoja firma hostingowa to zazwyczaj pierwsza hakerzy na ścianie, którzy muszą przebić się, aby uzyskać dostęp do Twojej witryny, więc inwestowanie z góry i zakup droższego planu hostingowego na pewno się opłacą. Polecamy wybór zarządzanego dostawcy hostingu WordPress.

2. Użyj silnych haseł

Upewnij się, że hasła do witryny WordPress, a także obszar konta hostingowego są bezpieczne. Użyj kombinacji wielkich i małych liter, cyfr i symboli, aby uzyskać silne hasło. Możesz także użyć menedżera haseł, takiego jak LastPass, aby wygenerować i przechowywać dla ciebie bezpieczne hasła.

3. Porzuć nazwę użytkownika administratora

WordPress ustawiał domyślną nazwę użytkownika jako admin i większość użytkowników nigdy nie zadała sobie trudu, aby ją zmienić. W rezultacie admin jest zazwyczaj pierwszą próbą hakerów, którzy przeprowadzą atak brute force.

W związku z tym nigdy nie należy używać nazwy użytkownika admin dla swojej witryny WordPress. Jeśli niedawno zainstalowałeś swoją witrynę WordPress, prawdopodobnie musisz ustawić własną nazwę użytkownika. Ale jeśli jesteś wieloletnim użytkownikiem WordPress, być może nadal używasz nazwy użytkownika admin.

W takim przypadku utwórz nową nazwę użytkownika administratora dla swojej witryny, przechodząc do Użytkownicy> Dodaj nowy i wybierając silną nazwę użytkownika i hasło. Ustaw rolę administratora, a następnie kliknij Dodaj nowego użytkownika przycisk.

Tworzenie konta administratora

Następnie zalogujesz się przy użyciu tych nowych danych logowania i usuniesz starego administratora. Pamiętaj, aby przypisać całą zawartość nowemu administratorowi przed usunięciem starego.

4. Użyj konta współautora lub edytora, aby publikować w swojej witrynie

Jeśli chcesz pójść o krok dalej, rozważ utworzenie konta współpracownika lub edytora, aby dodać nowe posty i artykuły do ​​swojej witryny. Takie postępowanie utrudni hakerom wyrządzenie szkody w Twojej witrynie, ponieważ autorzy i redaktorzy zwykle nie mają uprawnień administratora.

Tworzenie konta edytora

5. Użyj wtyczki kopii zapasowej

Jeśli nie tworzysz jeszcze kopii zapasowej witryny, musisz zacząć od razu. System tworzenia kopii zapasowych pomoże przywrócić witrynę w najgorszym przypadku, a witryna zostanie zhakowana.

Użyj wtyczki, takiej jak UpdraftPlus, aby utworzyć regularny harmonogram tworzenia kopii zapasowych dla swojej witryny i nie zapomnij przechowywać plików kopii zapasowych poza witryną, aby upewnić się, że pliki te również nie zostaną zainfekowane.

6. Zaostrz obszar administracyjny

Jeśli chodzi o zaostrzanie obszaru administratora, musisz zmienić domyślny adres URL administratora i ograniczyć liczbę nieudanych prób logowania, zanim użytkownik zostanie zablokowany z Twojej witryny.

Domyślnie administrator URL Twojej witryny będzie wyglądał następująco: twojadomena.com/wp-admin. Hakerzy wiedzą o tym i spróbują uzyskać bezpośredni dostęp do tego adresu URL, aby uzyskać dostęp do Twojej witryny.

Możesz zmienić ten adres URL za pomocą takiej wtyczki WPS Ukryj login.

WPS Ukryj login

Jeśli chodzi o ograniczenie liczby nieudanych prób logowania, możesz użyć Zaloguj się Plugdown Lockdown.

Zaloguj się LockDown

7. Aktualizuj pliki

Jak wspomnieliśmy wcześniej, nieaktualne pliki stanowią zagrożenie bezpieczeństwa, ponieważ narażają Twoją witrynę na inne exploity. Dlatego musisz zainstalować aktualizacje, gdy tylko zostaną wydane.

W tym czasie regularnie przeglądaj zainstalowane wtyczki oraz dezaktywuj i usuwaj wtyczki, których już nie używasz.

8. Chroń swój komputer

Być może zastanawiasz się, co komputer ma wspólnego z twoją witryną. Jeśli Twój komputer jest zainfekowany wirusem i uzyskasz dostęp do swojej witryny lub prześlesz do niej pliki, zainfekowane pliki również mogą zainfekować Twoją witrynę. Krótko mówiąc, chcesz się upewnić:

  • Unikaj korzystania z publicznych sieci Wi-Fi, aby uzyskać dostęp do swojej witryny
  • Zainstaluj oprogramowanie antywirusowe i upewnij się, że jest aktualne

9. Zmień prefiks bazy danych

Innym faktem dobrze znanym przez hakerów WordPress jest to, że prefiks bazy danych jest ustawiony na wp. Ten fakt ułatwia im odgadnięcie prefiksu tabeli i użycie automatycznych zastrzyków SQL w celu uzyskania dostępu do Twojej witryny.

Zmiana prefiksu bazy danych jest procesem ręcznym, który wymaga edycji wp-config.php plik i zmiana nazw tabel za pomocą phpMyAdmin. Przed wprowadzeniem zmiany należy wykonać kopię zapasową witryny jako środek zapobiegawczy.

Edycja wp-config

Musisz zalogować się na swoje konto hostingowe i uzyskać dostęp do cPanel lub dowolnego panelu sterowania, z którego korzysta Twój host. Następnie przejdź do Menedżera plików i zlokalizuj swój wp-config.php plik w katalogu WordPress.

Znajdź wiersz prefiksu tabeli, który wygląda następująco: $ table_prefix po którym następuje znak = i sam prefiks tabeli. Zastąp ciąg domyślny własnym prefiksem, używając kombinacji cyfr, znaków podkreślenia i liter w następujący sposób:

$ table_prefix = „hgwp_3456_”;

Po zakończeniu edycji wp-config.php plik, zamknij Menedżera plików i uzyskaj dostęp do phpMyAdmin, aby móc zmienić wszystkie nazwy tabel. Wykonanie tego ręcznie może być żmudne, ponieważ w sumie istnieje 11 tabel, które należy edytować. Zamiast tego możesz wprowadzić zapytanie SQL, przechodząc do zakładki SQL

uruchomienie zapytania SQL

Następnie wprowadź to:

RENAME tabela `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME tabela `wp_comments` TO` hgwp_3456_comments`;

RENAME tabela `wp_links` TO` hgwp_3456_links`;

RENAME tabela `wp_options` TO` hgwp_3456_options`;

RENAME tabela `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME tabela `wp_posts` TO` hgwp_3456_posts`;

RENAME tabela `wp_terms` TO` hgwp_3456_terms`;

RENAME tabela `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME tabela `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME tabela `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME tabela `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME tabela `wp_users` TO` hgwp_3456_users`;

Chociaż powyższe zapytanie powinno wszędzie zmieniać prefiks bazy danych, dobrym pomysłem jest uruchomienie innego zapytania, aby upewnić się, że wszystkie inne pliki korzystające ze starego prefiksu bazy danych zostaną zaktualizowane:

WYBIERZ * Z `hgwp_3456_options` GDZIE` nazwa_opcji` LIKE '% wp_%'

Będziesz także chciał wyszukać użytkownika i zastąpić wszelkie stare stare prefiksy nowym:

WYBIERZ * Z `hgwp_3456_usermeta` GDZIE` meta_key` LIKE '% wp_%'

10. Zaostrz swoje pliki .htaccess i wp-config.php

.htaccess i wp-config.php są najważniejszymi plikami w instalacji WordPress. Dlatego musisz upewnić się, że są one bezpieczne i chronione.

Wystarczy dodać poniższe kody do pliku .htaccess, poza tagami # BEGIN WordPress i # END WordPress, aby upewnić się, że zmiany nie zostaną nadpisane przy każdej nowej aktualizacji.



pozwolenie na zamówienie, odmowa

Odmowa od wszystkich





pozwolenie na zamówienie, odmowa

Odmowa od wszystkich





odmowa zamówienia, zezwolenie

Odmowa od wszystkich

# zezwól na dostęp z mojego adresu IP

zezwolić od 192.168.1.1

Powyższe fragmenty chronią twoje wp-config i .htaccess, a także ograniczają dostęp do wp-login.php ekran.

Na koniec dodaj poniższy fragment kodu, aby uniemożliwić wykonanie pliku PHP:



Odmowa od wszystkich

11. Sprawdź i zmień uprawnienia do plików

Kiedy skończysz zabezpieczać swoje .htaccess i wp-config.php plik, zostań trochę dłużej w cPanel i sprawdź uprawnienia do plików i folderów w witrynie WordPress.

Uprawnienia do plików

Według Kodeks WordPress, uprawnienia należy ustawić w następujący sposób:

  • Wszystkie katalogi powinny mieć 755 lub 750
  • Wszystkie pliki powinny mieć format 644 lub 640
  • wp-config.php powinno mieć 600

Jeśli Twoje ustawienia są inne, hakerzy mogą łatwo odczytać zawartość, a także zmienić zawartość plików i folderów, co może doprowadzić do włamania do Twojej witryny, a także do innych witryn na tym samym serwerze..

12. Użyj uwierzytelniania dwuskładnikowego

Rozważ użycie wtyczki podobnej do Google Authenticator skonfigurować uwierzytelnianie dwuskładnikowe dla swojej witryny. Oznacza to, że oprócz podania hasła konieczne będzie także podanie kodu wygenerowanego przez aplikację mobilną, aby zalogować się na swojej stronie. Może to powstrzymać ataki siłowe, więc warto go teraz skonfigurować.

Google Authenticator

13. Wyłącz XML-RPC

XML-RPC pozwala twojej witrynie na nawiązanie połączenia z aplikacjami mobilnymi WordPress i wtyczkami takimi jak Jetpack. Niestety jest to również ulubieniec hakerów WordPress, ponieważ mogą nadużywać tego protokołu, aby wykonywać kilka poleceń jednocześnie i uzyskiwać dostęp do Twojej witryny. Użyj wtyczki podobnej do Wyłącz wtyczkę XML-RPC aby wyłączyć tę funkcję.

Wyłącz XML-RPC

14. Użyj HTTPS i SSL

Internet tętni życiem w blogach i artykułach na temat znaczenia protokołu HTTPS oraz dodawania certyfikatów bezpieczeństwa SSL do Twojej witryny od dłuższego czasu.

HTTPS oznacza Hypertext Transfer Protocol Secure, a SSL oznacza Secure Socket Layers. Krótko mówiąc, HTTPS pozwala przeglądarce użytkownika na nawiązanie bezpiecznego połączenia z serwerem hostingowym (a tym samym Twoją witryną). Protokół HTTPS jest zabezpieczony przez SSL. Razem HTTPS i SSL zapewniają, że wszystkie informacje między przeglądarką użytkownika a Twoją witryną są szyfrowane.

Korzystanie z obu tych funkcji w witrynie nie tylko zwiększy bezpieczeństwo witryny, ale także zwiększy pozycję w wyszukiwarce, zyska zaufanie użytkowników i poprawić współczynnik konwersji.

Porozmawiaj z dostawcą usług hostingowych i zapytaj o możliwość uzyskania certyfikatu SSL lub skieruj Cię w stronę renomowanej firmy, w której możesz go kupić.

15. Wyłącz edytowanie motywów i wtyczek za pomocą pulpitu WordPress

Możliwość edycji plików motywów i wtyczek bezpośrednio na pulpicie WordPress jest przydatna, gdy trzeba szybko dodać wiersz kodu. Ale oznacza to również, że każdy, kto loguje się na Twojej stronie, może uzyskać dostęp do tych plików.

Wyłącz tę funkcję, dodając następujący kod do swojego wp-config.php plik:

// Nie zezwalaj na edycję pliku

zdefiniować („DISALLOW_FILE_EDIT”, prawda);

16. Przenieś plik wp-config.php do katalogu innego niż WWW

Jak wspomniano wcześniej, wp-config.php Plik jest jednym z najważniejszych plików w instalacji WordPress. Utrudnij dostęp, przenosząc go z katalogu głównego do katalogu niedostępnego dla www.

  1. Na początek skopiuj zawartość swojego wp-config.php plik do nowego pliku i zapisz go jako wp-config.php.
  1. Wróć do swojego starego wp-config.php plik i dodaj wiersz kodu poniżej:
  1. Prześlij i zapisz nowy wp-config.php plik do innego folderu.

17. Zmień klucze bezpieczeństwa WordPress

Klucze bezpieczeństwa WordPress są odpowiedzialne za szyfrowanie informacji przechowywanych w plikach cookie użytkownika. Znajdują się w wp-config.php plik i wyglądać tak:

zdefiniuj („AUTH_KEY”, „wstaw tutaj swoją unikalną frazę”);

zdefiniuj („SECURE_AUTH_KEY”, „wstaw tutaj swoją unikalną frazę”);

zdefiniuj („LOGGED_IN_KEY”, „wstaw tutaj swoją unikalną frazę”);

zdefiniuj („NONCE_KEY”, „wstaw tutaj swoją unikalną frazę”);

zdefiniuj („AUTH_SALT”, „wstaw tutaj swoją unikalną frazę”);

zdefiniuj („SECURE_AUTH_SALT”, „wstaw tutaj swoją unikalną frazę”);

zdefiniuj („LOGGED_IN_SALT”, „wstaw tutaj swoją unikalną frazę”);

zdefiniuj („NONCE_SALT”, „wstaw tutaj swoją unikalną frazę”);

Użyj WordPress Salts Key Generator aby je zmienić i zwiększyć bezpieczeństwo witryny.

18. Wyłącz raportowanie błędów

Raportowanie błędów jest przydatne do rozwiązywania problemów i ustalania, która konkretna wtyczka lub motyw powoduje błąd w witrynie WordPress. Jednak gdy system zgłosi błąd, wyświetli również ścieżkę serwera. Nie trzeba dodawać, że jest to doskonała okazja dla hakerów, aby dowiedzieć się, jak i gdzie mogą wykorzystać luki w Twojej witrynie.

Możesz to wyłączyć, dodając poniższy kod do swojego wp-config.php plik:

raportowanie błędów (0);

@ini_set („display_errors”, 0);

19. Usuń numer wersji WordPress

Każdy, kto zerknie na kod źródłowy Twojej witryny, będzie w stanie stwierdzić, której wersji WordPress używasz. Ponieważ każda wersja WordPress ma publiczne dzienniki zmian, które wyszczególniają listę błędów i poprawek bezpieczeństwa, mogą łatwo określić, które dziury w zabezpieczeniach mogą wykorzystać.

Wersja WordPress

Na szczęście istnieje łatwa poprawka. Możesz usunąć numer wersji WordPress, edytując plik functions.php swojego motywu i dodając:

remove Działalności („wp_head”, „wp_generator”);

20. Użyj nagłówków bezpieczeństwa

Innym sposobem zabezpieczenia witryny WordPress jest wdrożenie nagłówków bezpieczeństwa. Zazwyczaj są one ustawiane na poziomie serwera, aby zapobiec atakom hakerów i zmniejszyć liczbę luk w zabezpieczeniach. Możesz dodać je samodzielnie, modyfikując motyw functions.php plik.

Nagłówki bezpieczeństwa

Ataki krzyżowe

Dodaj następujący kod do dozwolonej zawartości, skryptu, stylów i innych źródeł treści na białej liście:

nagłówek („Content-Security-Policy: default-src https:”);

Zapobiegnie to ładowaniu złośliwych plików przez przeglądarkę.

Clickjacking iframe

Dodaj wiersz poniżej, aby poinstruować przeglądarkę, aby nie renderowała strony w ramce: nagłówek („Opcje X-Frame: SAMEORIGIN”);

Ochrona X-XSS i opcje X-Content-Type

Dodaj następujące wiersze, aby zapobiec atakom XSS i powiedz programowi Internet Explorer, aby nie wąchał typów mimów

nagłówek („Zabezpieczenie X-XSS: 1; mode = block”);

nagłówek („Opcje X-Content-Type: nosniff”);

Wymuszaj HTTPS

Dodaj poniższy kod, aby poinstruować przeglądarkę, aby używała tylko HTTPS:

nagłówek („Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload”);

Pliki cookie z flagą HTTPOnly i Secure w WordPress 

Powiedz przeglądarce, aby ufała tylko plikowi cookie ustawionemu przez serwer i że plik cookie jest dostępny w kanałach SSL, dodając następujące elementy:

@ini_set ('session.cookie_httponly', prawda);

@ini_set ('session.cookie_secure', prawda);

@ini_set ('session.use_only_cookies', prawda);

Jeśli nie chcesz ręcznie dodawać tych nagłówków, rozważ użycie wtyczki podobnej do Nagłówki bezpieczeństwa. Niezależnie od wybranej metody implementacji nagłówków zabezpieczeń, należy je przetestować https://securityheaders.io witryna i wpisanie adresu URL witryny.

21. Zapobiegaj Hotlinkowaniu

Hotlinkowanie nie jest samo w sobie naruszeniem bezpieczeństwa, ale biorąc pod uwagę, że odnosi się do innej witryny używającej adresu URL witryny w celu wskazania bezpośrednio obrazu lub innego pliku multimedialnego, uważa się je za kradzież. W związku z tym hotlinkowanie może prowadzić do nieoczekiwanych kosztów, nie tylko dlatego, że będziesz musiał poradzić sobie z konsekwencjami prawnymi, ale także dlatego, że rachunek za hosting może przejść przez dach, jeśli witryna, która ukradła twój obraz, generuje duży ruch.

Dodaj poniższy kod do pliku .htaccess, jeśli korzystasz z serwera Apache, i zastąp fikcyjną domenę rzeczywistą nazwą domeny:

RewriteEngine on

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Alternatywnie, jeśli używasz serwerów NGINX, będziesz chciał zmodyfikować plik konfiguracyjny w następujący sposób:

lokalizacja ~. (gif | png | jpe? g) $ {

valid_referers none zablokowane ~ .google. ~ .bing. ~ .yahoo twojadomena.com * .twojadomena.com;

if ($ invalid_referer) {

zwrócić 403;

}

}

22. Wyloguj bezczynnych użytkowników

Ostatnią wskazówką w tym przewodniku, dotyczącą zwiększenia bezpieczeństwa witryny, jest wylogowanie bezczynnych użytkowników po okresie bezczynności. Możesz użyć wtyczki podobnej do Nieaktywne wylogowanie aby automatycznie kończyć nieaktywne sesje.

Nieaktywne wylogowanie

Jest to konieczne, ponieważ jeśli zalogujesz się na swojej stronie, aby dodać nowy post na blogu i rozproszy Cię inne zadanie, sesję można przejąć, a hakerzy mogą nadużyć sytuacji w celu zainfekowania witryny. Jeszcze ważniejsze jest zakończenie nieaktywnych sesji, jeśli w witrynie jest wielu użytkowników.

Jak odzyskać z włamania

Powyższe środki bezpieczeństwa to świetny sposób na zabezpieczenie witryny. Ale co jeśli Twoja witryna zostanie mimo to zhakowana? Oto kilka kroków, które należy wykonać w przypadku zhakowania Twojej witryny.

1. Potwierdź włamanie i zmień hasło

Jeśli Twoja witryna została zhakowana, po pierwsze, nie panikuj. To ci nie pomoże, a czyn jest skończony, dlatego ważne jest, aby działać szybko. Zacznij od sprawdzenia swojej witryny i sprawdź, czy możesz zalogować się do pulpitu nawigacyjnego. Sprawdź, czy witryna przekierowuje do innej witryny lub czy widzisz podejrzane lub dziwne linki lub reklamy.

Zmień hasło natychmiast, a następnie przejdź do następnego kroku.

2. Skontaktuj się z firmą hostingową

Skontaktuj się z hostem i powiadom go, że Twoja witryna została zaatakowana przez hakerów. Pomogą ci zidentyfikować źródło włamania. Niektóre hosty wyczyszczą również Twoją witrynę i usuną złośliwy kod i pliki.

Użyj kopii zapasowej, aby przywrócić witrynę

Jeśli starałeś się wykonać kopię zapasową witryny, znajdź kopię zapasową sprzed włamania i użyj jej do przywrócenia witryny. Możesz stracić część treści, ale możesz uruchomić swoją witrynę tak, jak była przed atakiem.

3. Przeskanuj swoją witrynę w poszukiwaniu złośliwego oprogramowania

Użyj bezpłatnego skanera Sucuri, aby przeskanować witrynę w poszukiwaniu złośliwego oprogramowania i zidentyfikować zainfekowane pliki. Możesz również wybrać usługę czyszczenia witryny, jeśli nie wiesz, jak samodzielnie usunąć złośliwe oprogramowanie.

4. Sprawdź użytkowników witryny

Zaloguj się do swojej witryny WordPress i przejdź do Użytkownicy> Wszyscy użytkownicy. Upewnij się, że nie ma użytkowników, którzy nie powinni tam być, i usuń ich w razie potrzeby.

5. Zmień swoje tajne klucze

Użyj wyżej wspomnianego generatora kluczy WordPress Salts, aby wygenerować nowe klucze bezpieczeństwa i dodać je do pliku wp-config.php. Ponieważ klucze te szyfrują Twoje hasło, hakerzy pozostaną zalogowani, dopóki ich pliki cookie nie zostaną unieważnione. Nowe klucze bezpieczeństwa właśnie to zrobią i zmuszą hakera do opuszczenia Twojej witryny.

6. Zatrudnij profesjonalistę

Na koniec zatrudnij profesjonalistę, który usunie włamanie i usunie złośliwe oprogramowanie ze swojej witryny. Pamiętaj, że hakerzy mogą ukrywać złośliwy kod w wielu plikach, więc jeśli nie masz doświadczenia w usuwaniu złośliwego oprogramowania, łatwo przegapić zainfekowany plik. Dzięki temu hakerzy mogą łatwo zhakować Twoją witrynę, dlatego wysoce zalecane jest zatrudnienie profesjonalisty.

7 najczęstszych rodzajów luk w zabezpieczeniach WordPress

Zanim przejdziemy dalej do tego artykułu, zwróćmy się do słonia w pokoju: czy WordPress jest bezpieczny? Odpowiedź na to pytanie brzmi: tak. Rdzeń oprogramowania WordPress jest bezpieczny, a firma stojąca za WordPress traktuje bezpieczeństwo poważnie.

Ich zespół bezpieczeństwa ma na pokładzie 50 ekspertów, w tym wiodących programistów i badaczy bezpieczeństwa, którzy pracują za kulisami, aby zapewnić bezpieczeństwo WordPress.

W rzeczywistości większość incydentów i zagrożeń związanych z bezpieczeństwem jest wynikiem błędu ludzkiego w połączeniu z obecnością luki w zabezpieczeniach.

Istnieje siedem rodzajów luk w zabezpieczeniach WordPress, o których musisz wiedzieć:

  • Nieaktualne pliki WordPress
  • Exploity Backdoor
  • Hacki farmaceutyczne
  • Słabe hasła
  • Złośliwe przekierowania
  • Luki w zabezpieczeniach platformy hostingowej
  • Ataki typu „odmowa usługi”

Omówmy je i wyjaśnijmy, jakie dokładnie są.

1. Nieaktualne pliki WordPress

Nieaktualne pliki WordPress odnoszą się do wersji WordPress, plików motywów i wtyczek. Stanowią zagrożenie bezpieczeństwa, ponieważ narażają Twoją witrynę na inne luki, takie jak exploity backdoor i włamania do farmaceutyków.

W związku z tym musisz upewnić się, że instalacja WordPress jest aktualna, a także motyw i wtyczki. Powinieneś proaktywnie stosować aktualizacje po ich wydaniu, ponieważ zawierają one nie tylko nowe funkcje, ale także różne zabezpieczenia i poprawki błędów.

2. Wykorzystuje backdoora

Jeśli chodzi o exploity backdoora, hakerzy wykorzystają nieaktualne pliki WordPress, aby uzyskać dostęp do Twojej witryny. Oprócz nieaktualnych plików mogą one również uzyskać dostęp do Twojej witryny za pośrednictwem SFTP, FTP i podobnych.

Po uzyskaniu dostępu do Twojej witryny zainfekują Twoją witrynę, a także zainfekują inne witryny znajdujące się na tym samym serwerze, co Twoja witryna. Niedoświadczony użytkownik wstrzykuje backdoora jak zwykłe pliki WordPress. Ale za kulisami wykorzystują błędy w nieaktualnych plikach, aby uzyskać dostęp do bazy danych i siać spustoszenie w witrynie, a także w tysiącach innych witryn.

3. Hacki farmaceutyczne

Hacki Pharma odnoszą się do luk w zabezpieczeniach przestarzałych plików WordPress, w których haker wstawia kod do tych plików. Po wstawieniu kodu wyszukiwarki wyświetlają reklamy produktów farmaceutycznych zamiast Twojej witryny. Może to spowodować, że wyszukiwarki oznaczą Twoją witrynę jako spam.

4. Słabe hasła

Słabe hasła mogą być łatwe do zapamiętania, ale również ułatwiają hakerom uzyskanie dostępu do Twojej witryny poprzez atak brutalną siłą. Atak brutalny ma miejsce, gdy haker korzysta ze zautomatyzowanych skryptów działających w tle, próbując różnych kombinacji nazwy użytkownika i hasła, dopóki nie znajdzie działającej kombinacji.

5. Złośliwe przekierowania

Podobnie jak przy użyciu przestarzałych plików i protokołu FTP lub SFTP do wstrzykiwania kodu, który powoduje włamanie do apteki lub atak typu backdoor, hakerzy wykorzystają plik .htaccess w instalacji WordPress do przekierowania odwiedzających na złośliwą stronę.

Twoi odwiedzający mogą wtedy skończyć się wirusem lub paść ofiarą phishingu.

6. Luki w zabezpieczeniach platformy hostingowej

Czasami bezpieczeństwo Twojej witryny może być zagrożone, ponieważ korzystasz z usług firmy hostingowej, która nie ma funkcji bezpieczeństwa, takich jak zapora sieciowa lub monitorowanie plików. Zwykle dzieje się tak w przypadku tańszych dostawców hostingu, co oznacza, że ​​wybranie tańszego hosta będzie, o ironio, kosztować więcej, jeśli Twoja witryna zostanie zhakowana.

Należy pamiętać, że tańsze platformy hostingowe stanowią również większe zagrożenie bezpieczeństwa, ponieważ witryna może zostać zainfekowana lub zhakowana w wyniku wykorzystania przez hakerów luk w zabezpieczeniach innej witryny, która jest hostowana na tym samym serwerze.

7. Ataki typu „odmowa usługi”

Ataki typu Denial of Service lub DDOS są jednym z najbardziej niebezpiecznych zagrożeń dla każdego właściciela witryny. W ataku DDOS haker wykorzystuje błędy i błędy w kodzie, powodując przeciążenie pamięci systemu operacyjnego witryny. Ataki DDOS zazwyczaj powodują upadek dużej liczby witryn korzystających z określonej platformy, takiej jak WordPress.

Teraz, gdy wiesz, jakie są typowe luki w zabezpieczeniach związane z WordPress, przejdźmy do wskazówek, najlepszych praktyk i zaleceń dotyczących bezpieczeństwa, które pomogą Ci zabezpieczyć witrynę WordPress.

Podsumowanie

WordPress to potężny i popularny CMS, który ułatwia tworzenie stron internetowych. Ale ponieważ jest tak popularny, jest również ulubionym celem hakerów. Na szczęście istnieje szereg kroków, które możesz podjąć, aby chronić swoją witrynę WordPress, a jeśli postąpisz zgodnie ze wskazówkami zawartymi w tym artykule, będziesz na dobrej drodze do stworzenia bezpiecznej witryny WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map