Kako osigurati WordPress (2020)

WordPress je jedan od najpopularnijih sustava za upravljanje sadržajem vani i sa dobrim razlogom. Jednostavan je za upotrebu, na raspolaganju su mu tisuće tema i dodataka i s njim možete stvoriti bilo koju vrstu web mjesta. Stoga nije čudo što WordPress omogućava 35,1% svih web stranica na internetu.


Ali, njegova popularnost dolazi skupo. WordPress često napadaju hakeri. Prema Sucuri, u 2018. godini 90% svih zahtjeva za čišćenje web mjesta pripadalo je WordPressu, što je 7% više u odnosu na 2017. godinu.

Izvješće o hacku za web mjesto 2018. - Sucuri

Kao takav, osiguranje web stranice WordPress trebalo bi biti na vrhu popisa, bilo da imate osobni portfelj, poslovnu web stranicu ili internetsku trgovinu.

Kada je u pitanju sigurnost WordPress-a, korisnici obično padaju u dva tabora: oni koji ozbiljno shvaćaju sigurnost i poduzimaju mjere predostrožnosti i oni koji vjeruju ili se nadaju da im se to nikada neće dogoditi jer njihova web stranica nije dovoljno važna..

Da biste bolje razumjeli ozbiljnost sigurnosnih problema povezanih s web stranicama, obavezno posjetite stranicu Stranica internetske statistike uživo ponekad. Tamo svaki dan možete vidjeti točan broj hakiranih web stranica i čak gledati kako se taj broj povećava u stvarnom vremenu.

Web stranica hakirana u stvarnom vremenu

Contents

22 koraka za osiguravanje web stranice WordPress

Da biste spriječili da vaša web lokacija postane kao jedna od web lokacija Internet Live Stats, slijedite donje savjete i osigurajte svoju WordPress web stranicu.

1. Odlučite se za hosting tvrtku sa sigurnosnim značajkama

Prvi korak prema osiguranju vaše web stranice WordPress je ulaganje u hosting tvrtku koja implementira odgovarajuće sigurnosne značajke. To uključuje podršku za najnoviju verziju PHP-a, MySQL-a i Apache-a, kao i vatrozid i nadzor sigurnosti 24/7..

Ako je moguće, odaberite tvrtku za hosting koja svakodnevno vrši sigurnosne kopije i redovne skeniranja zlonamjernog softvera. Možete čak pronaći i tvrtke za hosting koje zapošljavaju razne mjere sprječavanja DDOS-a.

Vaša hosting tvrtka obično je prvi zidni hakeri koji moraju probiti se kako bi pristupili vašoj web stranici, tako da ulaganje više unaprijed i kupnja skupljeg hosting plana definitivno će se isplatiti. Preporučujemo odabir upravljanog davatelja usluga WordPress.

2. Koristite jake lozinke

Provjerite jesu li lozinke za web mjesto WordPress, kao i područje vašeg hosting računa, sigurne. Upotrijebite kombinaciju velikih i malih slova, brojeva i simbola kako biste došli do snažne lozinke. Možete koristiti i upravitelj lozinki kao što je LastPass za generiranje i spremanje sigurnih lozinki za vas.

3. Iskopajte korisničko ime administratora

WordPress se koristio za postavljanje zadanog korisničkog imena kao administrator, a većina korisnika nikada se nije trudila promijeniti ga. Kao rezultat toga, administrator je obično prvi hakeri za korisničko ime koji će pokušati kad izvedu grubi napad.

Kao takav, nikad ne biste trebali koristiti korisničko ime administratora za svoju web stranicu WordPress. Ako ste nedavno instalirali svoju web stranicu WordPress, vjerojatno ste morali postaviti svoje korisničko ime. Ali ako ste dugogodišnji WordPress korisnik, možda ćete i dalje koristiti korisničko ime administratora.

Ako je to slučaj, napravite novo korisničko ime za administraciju za svoju web lokaciju na Korisnici> Dodaj novo i odabir snažnog korisničkog imena i lozinke. Postavite ulogu Administratoru, a zatim kliknite ikonu Dodajte novog korisnika dugme.

Izrada računa administratora

Tada ćete se prijaviti s tim novim vjerodajnicama i izbrisati starog administratora. Ne zaboravite dodijeliti sav svoj sadržaj svom novom korisniku administratora prije nego što ga izbrišete.

4. Upotrijebite račun suradnika ili urednika za objavu na svojoj web lokaciji

Ako želite da prethodno napišete gornji savjet, razmislite o stvaranju računa suradnika ili urednika kako biste na svoju web lokaciju dodali nove postove i članke. Ako to učinite, hakeri će teže napraviti štetu na vašoj web lokaciji, jer saradnici i urednici obično nemaju administratorske povlastice..

Stvaranje računa urednika

5. Koristite sigurnosni dodatak

Ako još ne izrađujete sigurnosnu kopiju web stranice, morate početi odmah. Sustav izrade sigurnosnih kopija pomoći će vam da obnovite web mjesto ako se dogodi najgore, a vaše web mjesto završi hakiranjem.

Upotrijebite dodatak poput UpdraftPlus da biste kreirali redovan raspored sigurnosnih kopija za svoje web mjesto i ne zaboravite pohraniti datoteke sigurnosnih kopija izvan web mjesta kako biste osigurali da te datoteke ne završe i zaražene..

6. Otvrdnite administrativno područje

Kada je riječ o stvrdnjavanju administrativnog područja, morat ćete promijeniti zadani administratorski URL i ograničiti broj neuspjelih pokušaja prijave prije nego što korisnik bude zaključan sa vaše web lokacije..

Prema zadanom će administratorski URL za vašu web lokaciju izgledati ovako: yourdomain.com/wp-admin. Hakeri to znaju i pokušati će pristupiti ovom URL-u izravno kako bi dobili pristup vašoj web stranici.

Ovaj URL možete promijeniti pomoću dodatka poput WPS Sakrij prijavu.

WPS Sakrij prijavu

Što se tiče ograničenja broja neuspjelih pokušaja prijave, možete koristiti Dodatak za zaključavanje prijave.

LockDown za prijavu

7. Ažurirajte datoteke

Kao što smo već spomenuli, zastarjele datoteke predstavljaju sigurnosni rizik jer vašu web lokaciju ostavljaju ranjivom na druge podvige. Zbog toga morate instalirati ažuriranja čim se objave.

Dok ste u njemu, budite sigurni da redovito prolazite instalirane dodatke i deaktivirajte i izbrišite dodatke koje više ne upotrebljavate.

8. Zaštitite svoje računalo

Možda se pitate kakve veze ima vaše računalo s vašom web stranicom. Ako je vaše računalo zaraženo virusom i pristupite vašoj web stranici ili na nju učitavate datoteke, te zaražene datoteke mogu zaraziti i vašu web stranicu. Ukratko, želite biti sigurni da:

  • Izbjegavajte korištenje javnih Wi-Fi mreža za pristup svojoj web lokaciji
  • Instalirajte antivirusni softver i provjerite je li ažuriran

9. Promijenite svoj prefiks baze podataka

Još jedna činjenica koju su WordPress hakeri dobro znali je da je vaš prefiks baze podataka postavljen na wp. Ova činjenica im olakšava nagađanje prefiksa tablice i korištenje automatiziranih SQL injekcija za pristup vašem web mjestu.

Promjena prefiksa baze podataka ručni je postupak koji uključuje uređivanje vašeg wp-config.php datoteke i promjena imena tablica pomoću phpMyAdmin. Prije izmjene obavezno napravite sigurnosnu kopiju web stranice kao preventivnu mjeru.

Uređivanje wp-config

Morat ćete se prijaviti na svoj hosting račun i pristupiti svom cPanelu ili bilo kojoj upravljačkoj ploči koju domaćin koristi. Zatim pristupite Upravitelju datoteka i pronađite svoj wp-config.php datoteku u direktoriju WordPress.

Pronađite liniju prefiksa tablice koja izgleda ovako: $ table_prefix iza čega slijedi znak = i sam prefiks tablice. Zamijenite zadani niz vlastitim prefiksom pomoću kombinacije brojeva, podvlaka i slova poput:

$ table_prefix = ‘hgwp_3456_’;

Kada završite s uređivanjem wp-config.php datoteku, izađite iz Upravitelja datoteka i pristupite phpMyAdmin kako biste mogli promijeniti sva imena tablice. Ručno radite to može biti zamorno jer postoji 11 tablica koje trebate urediti. Umjesto toga, možete unijeti SQL upit tako da otvorite karticu SQL

izvođenje SQL upita

Zatim unesite ovo:

RENAME tablica `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME tablica `wp_comments` TO` hgwp_3456_comments`;

RENAME tablica `wp_links` TO` hgwp_3456_links`;

RENAME tablica `wp_options` TO` hgwp_3456_options`;

RENAME tablica `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME tablica `wp_posts` TO` hgwp_3456_posts`;

RENAME tablica `wp_terms` TO` hgwp_3456_terms`;

RENAME tablica `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME tablica `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME tablica `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME tablica `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME tablica `wp_users` TO` hgwp_3456_users`;

Iako bi gornji upit posvuda trebao mijenjati prefiks baze podataka, dobra je ideja pokrenuti još jedan upit kako bi bili sigurni da se ostale datoteke pomoću starog prefiksa baze podataka ažuriraju:

ODABERITE * IZ `hgwp_3456_options` GDJE` option_name` LIKE '% wp_%'

Također ćete tražiti theusermeta i zamijeniti sve preostale prefikse novim:

ODABERITE * IZ `hgwp_3456_usermeta` GDJE` meta_key` LIKE '% wp_%'

10. Otvrdnite .htaccess i wp-config.php datoteke

.htaccess i wp-config.php su najvažnije datoteke u vašoj WordPress instalaciji. Kao takvi, morate biti sigurni i zaštićeni.

Jednostavno dodajte kodove dolje u svoju .htaccess datoteku, izvan oznaka # BEGIN WordPress i # END WordPress kako biste osigurali da se promjene ne napišu sa svakom novom nadogradnjom.



narediti dopustiti, zanijekati

zanijekati od svih





narediti dopustiti, zanijekati

zanijekati od svih





narediti zanijekati, dopustiti

Negirajte od svih

# dopusti pristup s moje IP adrese

dopustiti od 192.168.1.1

Gornji isječci zaštitit će vaš wp-config i .htaccess kao i ograničiti pristup wp-login.php zaslon.

Na kraju, dodajte isječak dolje da spriječite izvršavanje PHP datoteka:



zanijekati od svih

11. Provjerite i promijenite dopuštenja datoteka

Kad završite sa osiguravanjem .htaccess i wp-config.php datoteke, ostanite još malo na cPanelu i provjerite dopuštenja datoteka za datoteke i mape na vašem web mjestu WordPress.

Dozvole datoteka

Prema WordPress kodeks, dozvole trebaju biti postavljene na sljedeći način:

  • Svi bi imenici trebali biti 755 ili 750
  • Sve datoteke trebaju biti 644 ili 640
  • wp-config.php bi trebao biti 600

Ako su vaše postavke drugačije, hakeri mogu lako pročitati sadržaj, kao i promijeniti sadržaj datoteka i mapa što može dovesti do hakiranja vaše web lokacije kao i drugih web lokacija na istom poslužitelju.

12. Koristite dvofaktorsku provjeru autentičnosti

Razmislite o upotrebi dodatka poput Google Autentifikator za postavljanje dvofaktorske provjere autentičnosti za vašu web lokaciju. To znači da ćete, pored unosa zaporke, morati unijeti i kôd generiran mobilnom aplikacijom za prijavu na svoju web lokaciju. Ovo može zaustaviti brutalne napade, pa je dobro sada ga postaviti.

Google Autentifikator

13. Onemogućite XML-RPC

XML-RPC omogućava vašoj web stranici uspostavljanje veze s WordPress mobilnim aplikacijama i dodacima kao što je Jetpack. Nažalost, omiljeni su i WordPress hakeri jer oni mogu zloupotrebiti ovaj protokol da izvršavaju nekoliko naredbi odjednom i dobiju pristup vašoj web lokaciji. Upotrijebite dodatak poput Onemogući XML-RPC dodatak da biste onemogućili ovu značajku.

Onemogući XML-RPC

14. Koristite HTTPS i SSL

Internet se zamarao blogovima i člancima o važnosti HTTPS protokola i dodavanju sigurnosnih certifikata SSL na vaše web mjesto već duže vrijeme..

HTTPS označava Hypertext Transfer Protocol Secure, dok SSL označava slojeve sigurnih utičnica. Ukratko, HTTPS omogućava pregledniku posjetitelja da uspostavi sigurnu vezu s vašim hosting poslužiteljem (a samim tim i vašom web lokacijom). HTTPS protokol osiguran je putem SSL-a. Zajedno, HTTPS i SSL osiguravaju da su sve informacije između preglednika posjetitelja i vaše web stranice kriptirane.

Upotreba oba na vašoj web stranici ne samo da će povećati sigurnost vaše web stranice, već će također imati koristi od ranga vaše tražilice, uspostaviti povjerenje u posjetitelje i poboljšati stopu konverzije.

Razgovarajte sa svojim pružateljem usluga hostinga i raspitajte se o mogućnosti dobivanja SSL certifikata ili vas uputiti u smjeru ugledne tvrtke gdje ga možete kupiti.

15. Onemogućite uređivanje tema i dodataka putem nadzorne ploče programa WordPress

Imati mogućnost uređivanja svoje teme i datoteka dodataka unutar vaše WordPress nadzorne ploče prikladno je kad trebate brzo dodati liniju koda. Ali to također znači da svatko tko se prijavi na vašu web lokaciju može pristupiti tim datotekama.

Onemogućite ovu značajku dodavanjem sljedećeg koda u vaš wp-config.php datoteka:

// Onemogući uređivanje datoteke

define ('DISALLOW_FILE_EDIT', istina);

16. Pomaknite wp-config.php datoteku u imenik koji nije WWW

Kao što je spomenuto ranije wp-config.php datoteka je jedna od najvažnijih datoteka u vašoj WordPress instalaciji. Olakšajte pristup pomicanjem iz korijenskog direktorija u direktorij koji nije dostupan www.

  1. Za početak kopirajte sadržaj svog wp-config.php datoteku u novu datoteku i spremite je kao wp-config.php.
  1. Vrati se svom starom wp-config.php datoteku i dodajte liniju koda u nastavku:
  1. Prenesite i spremite novo wp-config.php datoteka u drugu mapu.

17. Promijenite WordPress sigurnosne tipke

WordPress sigurnosni ključevi odgovorni su za kriptiranje podataka pohranjenih u korisnikovim kolačićima. Smještene su u wp-config.php datoteka i izgleda ovako:

define ('AUTH_KEY', 'ovdje stavi svoju jedinstvenu frazu');

define ('SECURE_AUTH_KEY', 'stavi ovdje svoju jedinstvenu frazu');

define ('LOGGED_IN_KEY', 'stavi ovdje svoju jedinstvenu frazu');

define ('NONCE_KEY', 'stavi ovdje svoju jedinstvenu frazu');

define ('AUTH_SALT', 'ovdje stavi svoju jedinstvenu frazu');

define ('SECURE_AUTH_SALT', 'stavi ovdje svoju jedinstvenu frazu');

define ('LOGGED_IN_SALT', 'stavi ovdje svoju jedinstvenu frazu');

define ('NONCE_SALT', 'ovdje stavi svoju jedinstvenu frazu');

Koristiti Generator ključnih riječi za WordPress soli da biste ih promijenili i učinili vašu web lokaciju sigurnijom.

18. Onemogućite prijavljivanje grešaka

Izvještavanje o pogreškama korisno je za rješavanje problema i određivanje koji određeni dodatak ili tema uzrokuju pogrešku na vašem web mjestu WordPress. Međutim, nakon što sustav prijavi pogrešku, prikazat će se i put vašeg poslužitelja. Nepotrebno je reći da je ovo savršena prilika da hakeri otkriju kako i gdje mogu iskoristiti ranjivosti na vašoj web lokaciji.

To možete onemogućiti dodavanjem koda dolje na svoj wp-config.php datoteka:

error_reporting (0);

@ini_set ('display_errors', 0);

19. Uklonite broj verzije programa WordPress

Svi koji zaviruju u izvorni kôd vaše web stranice moći će reći koju verziju WordPressa koristite. Budući da svaka verzija WordPressa ima javne evidencije promjena koje detaljno prikazuju popis pogrešaka i sigurnosnih zakrpa, oni lako mogu odrediti koje sigurnosne rupe mogu koristiti.

Verzija WordPressa

Srećom, postoji jednostavno popravljanje. Broj verzije WordPress verzije možete ukloniti uređivanjem datoteke function.php teme teme i dodavanjem sljedećeg:

ukloniti prijenos ('wp_head', 'wp_generator');

20. Koristite Zaglavlja sigurnosti

Drugi način da osigurate svoju web stranicu WordPress je implementiranje zaglavlja sigurnosti. Obično se postavljaju na razini poslužitelja kako bi se spriječili napadi hakiranja i smanjio broj iskorištavanja sigurnosnih ranjivosti. Možete ih sami dodati modificiranjem teme svoje teme functions.php datoteka.

Zaglavlja sigurnosti

Križarski napadi

Na popis dopuštenih sadržaja, skripte, stilova i drugih izvora sadržaja dodajte sljedeći kôd:

zaglavlje ('Content-Security-Policy: default-src https:');

To će spriječiti preglednik da učita zlonamjerne datoteke.

Iframe klikanje

Dodajte redak u nastavku kako biste uputili preglednik da ne prikazuje stranicu u okviru: zaglavlje ('Opcije X-Frame: SAMEORIGIN');

X-XSS-zaštita i X-Content-Type-Options

Dodajte sljedeće retke kako biste spriječili XSS napade i recite Internet Exploreru da ne njuška mime

zaglavlje ('X-XSS-zaštita: 1; način = blok');

zaglavlje ('X-Content-Type-Options: nosniff');

Provedite HTTPS

Dodajte kôd dolje da biste naredili preglednik da koristi samo HTTPS:

zaglavlje ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload');

Kolačić s HTTPOnly i sigurnom zastavom u WordPressu 

Recite pregledniku da vjeruje samo kolačićima koje je postavio poslužitelj i da je kolačić dostupan preko SSL kanala dodavanjem sljedećeg:

@ini_set ('session.cookie_httponly', istina);

@ini_set ('session.cookie_secure', istina);

@ini_set ('session.use_only_cookies', istina);

Ako ove zaglave ne želite dodati ručno, razmislite o upotrebi dodatka poput Zaglavlja sigurnosti. Bez obzira koju metodu odlučite implementirati zaglavlja sigurnosti, testirajte ih koristeći ih https://securityheaders.io web mjesto i unos URL-a vaše web lokacije.

21. Spriječite vruće veze

Hotlinking sam po sebi nije narušavanje sigurnosti, ali s obzirom da se odnosi na drugu web stranicu koja upotrebljava URL vaše web lokacije kako bi izravno ukazala na sliku ili drugu medijsku datoteku, smatra se krađom. Kao takav, hotlinking može dovesti do neočekivanih troškova, ne samo zato što ćete se morati suočiti s pravnim posljedicama, već i zbog toga što vaš račun za hosting može proći kroz krov ako web lokacija koja je ukrala vašu sliku primi puno prometa.

Dodajte kôd u svoju .htaccess datoteku ako koristite Apache poslužitelj i zamijenite obrasnu domenu stvarnim imenom domene:

Prepiši ponovo

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Ako koristite NGINX poslužitelje, morat ćete izmijeniti svoju konfiguracijsku datoteku sa sljedećim:

lokacija ~. (gif | png | jpe? g) $ {

valid_referers nije blokiran ~ .google. -.Bing. ~ .yahoo yourdomain.com * .yourdomain.com;

ako ($ invalid_referer) {

povratak 403;

}

}

22. Odjavite se neaktivni korisnici

Posljednji savjet u ovom vodiču za povećanje sigurnosti vaše web stranice je odjava neaktivnih korisnika nakon razdoblja neaktivnosti. Možete koristiti dodatak poput Neaktivan odlazak da automatski prekine neaktivne sesije.

Neaktivan odlazak

To je potrebno jer ako se prijavite na svoju web stranicu kako biste dodali novi post na blogu i odvratili se od drugog zadatka, vašu sesiju mogu oteti i hakeri mogu zloupotrijebiti situaciju da zaraze vašu web lokaciju. Još je važnije prekinuti neaktivne sesije ako na web mjestu imate više korisnika.

Kako se oporaviti od haka

Gore navedene sigurnosne mjere odličan su način da osigurate svoju web lokaciju. Ali što ako se vaša web stranica ionako hakuje? Evo nekoliko koraka koje morate slijediti u slučaju hakiranja vaše web stranice.

1. Potvrdite Hack i promijenite lozinku

Ako je vaša web lokacija hakirana, prvo ne paničarite. Ovo vam neće pomoći i djelo je učinjeno, zato je važno brzo djelovati. Započnite provjerom svoje web lokacije i provjerite možete li se prijaviti na nadzornu ploču. Provjerite preusmjerava li vaša web lokacija na neku drugu web lokaciju ili vidite li sumnjive ili čudne veze ili oglase.

Promijenite zaporku odmah i prijeđite na sljedeći korak.

2. Stupite u kontakt sa svojim hosting tvrtkom

Obratite se svom domaćinu i obavijestite ih da je vaša web lokacija hakirana. Oni vam mogu pomoći identificirati izvor haka. Neki će domaćini također očistiti vašu web lokaciju i ukloniti zlonamjerni kôd i datoteke.

Upotrijebite sigurnosnu kopiju za vraćanje web lokacije

Ako ste bili marljivi za izradu sigurnosne kopije vaše web lokacije, pronađite sigurnosnu kopiju prije haka i upotrijebite je za obnavljanje web lokacije. Iako ćete možda izgubiti dio sadržaja, moći ćete podići web mjesto i funkcionirati kao što je bilo prije napada.

3. Skenirajte svoju web lokaciju zbog zlonamjernog softvera

Upotrijebite besplatni skener Sucurija za skeniranje vaše web lokacije zbog zlonamjernog softvera i prepoznavanje ugroženih datoteka. Možete se odlučiti i za njihovu uslugu čišćenja web mjesta ako ne znate kako sami ukloniti zlonamjerni softver.

4. Provjerite korisnike vaše web stranice

Prijavite se na svoju WordPress web stranicu i idite na Korisnici> Svi korisnici. Provjerite da nema korisnika koji ne bi trebali biti tamo i izbrišite ih ako je potrebno.

5. Promijenite svoje tajne tipke

Upotrijebite gore navedeni WordPress Salter Key Generator za generiranje novih sigurnosnih ključeva i dodajte ih u svoju wp-config.php datoteku. Budući da ti ključevi šifriraju vašu lozinku, hakeri će ostati prijavljeni dok njihovi kolačići ne budu proglašeni nevažećim. Novi sigurnosni ključevi učinit će upravo to i natjerati hakera na web lokaciju.

6. Unajmite profesionalca

Konačno, angažirajte stručnjaka koji će očistiti krađu i ukloniti zlonamjerni softver sa vaše web lokacije. Imajte na umu da hakeri mogu sakriti zlonamjerni kôd u više datoteka pa ako niste iskusili uklanjanje zlonamjernog softvera, lako ćete propustiti zaražene datoteke. To olakšava hakerima da ponovo hakiraju vašu web lokaciju, pa se vrlo preporučuje zapošljavanje profesionalca.

7 najčešćih vrsta ranjivosti WordPress-a

Prije nego što nastavimo dalje s ovim člankom, obratimo se slonu u sobi: je li WordPress siguran? Odgovor na to pitanje je da. Jezgra WordPress softvera je sigurna, a tvrtka koja stoji iza WordPressa sigurnost shvaća ozbiljno.

njihov sigurnosni tim broji 50 stručnjaka koji uključuju vodeće programere i sigurnosne istraživače koji rade iza scene kako bi WordPress bio siguran.

U stvari, većina sigurnosnih incidenata i rizika rezultat je ljudske pogreške uparene s prisutnošću sigurnosne ranjivosti.

Postoji sedam vrsta WordPress ranjivosti kojih morate biti svjesni:

  • Zastarele WordPress datoteke
  • Backdoor iskorištava
  • Pharma hacks
  • Slabe lozinke
  • Zlonamjerna preusmjeravanja
  • Ranjivosti na hosting hosting platformi
  • Odbijanje napada usluga

Prijeđimo ih i objasnimo što su točno.

1. Zastarjele WordPress datoteke

Zastarele WordPress datoteke odnose se na verziju WordPress-a, temu i datoteke dodataka. Oni predstavljaju sigurnosni rizik jer vašu web lokaciju ostavljaju izložene drugim ranjivostima, kao što su backdoor iskorištavanja i farmaceutski hakovi.

Kao takav, morate biti sigurni da je vaša WordPress instalacija ažurirana, kao i vaša tema i dodaci. Proaktivno biste trebali primijeniti ažuriranja jer su objavljena jer ona nude ne samo nove značajke, već uključuju i različite ispravke sigurnosti i programskih pogrešaka..

2. Backdoor iskorištavanja

Kada su u pitanju backdoor iskorištavanja, hakeri će iskoristiti zastarjele WordPress datoteke kako bi stekli pristup vašoj web lokaciji. Osim zastarjelih datoteka, oni također mogu dobiti pristup vašoj web lokaciji putem SFTP-a, FTP-a i slično.

Nakon što dobiju pristup vašoj web stranici, oni će zaraziti vašu web lokaciju i mogu zaraziti i druge web lokacije koje se nalaze na istom poslužitelju kao i vaše web mjesto. Natrag injekcije izgledaju kao redovne WordPress datoteke neiskusnom korisniku. Ali iza kulisa iskorištavaju pogreške u zastarjelim datotekama kako bi pristupili vašoj bazi podataka i opustošili se na vašoj web lokaciji kao i tisućama drugih web stranica.

3. Pharma Hacks

Pharma hakeri odnose se na iskorištavanje ranjivosti u zastarjelim WordPress datotekama, gdje haker ubacuje kôd u te datoteke. Nakon umetanja koda tražilice umjesto web stranice prikazuju oglase za farmaceutske proizvode. To može rezultirati tako da tražilice vašu web lokaciju označe kao neželjenu poštu.

4. Slabe lozinke

Slabe se lozinke mogu lako zapamtiti, ali omogućuju i hakerima lakši pristup vašoj web lokaciji napadom grube sile. Napad na grubu silu događa se kada haker koristi automatizirane skripte koje se pokreću u pozadini za pokušaj različitih kombinacija korisničkog imena i lozinke dok ne pronađu radnu kombinaciju.

5. Zlonamjerne preusmjeravanja

Slično kao i korištenjem zastarjelih datoteka i FTP ili SFTP protokola za ubrizgavanje koda koji rezultira farmaceutskim hakanjem ili backdoor eksploatacijom, hakeri će koristiti .htaccess datoteku u vašoj WordPress instalaciji za preusmjeravanje posjetitelja na zlonamjernu web stranicu.

Tada vaši posjetitelji mogu završiti s virusom ili postati plijen phishinga.

6. Ranjivosti na Hosting Platformi

Ponekad bi mogla biti ugrožena sigurnost vaše web lokacije jer upotrebljavate hosting tvrtku koja nema sigurnosne značajke poput vatrozida ili nadzora datoteka. To je obično slučaj s jeftinijim pružateljima usluga hostinga, što znači da će odabir jeftinijeg domaćina, ironično, koštati više ako se web mjesto hakuje.

Imajte na umu da jeftinije hosting platforme također predstavljaju veći sigurnosni rizik jer se vaša web lokacija može zaraziti ili hakirati kao posljedica hakera koji iskorištavaju ranjivosti na drugoj web lokaciji koja se nalazi na istom poslužitelju.

7. Uskraćivanje napada usluga

Odbijanje napada ili DDOS napada jedna je od najopasnijih prijetnji za bilo kojeg vlasnika web mjesta. U DDOS napadu, haker će iskoristiti bugove i pogreške u kodu zbog čega će se preplaviti memorija operativnog sustava vaše web lokacije. DDOS napadi obično obore veliki broj web mjesta koja koriste određenu platformu, poput WordPressa.

Sada kada znate koje su zajedničke ranjivosti povezane s WordPressom, prijeđimo na savjete, najbolje prakse i sigurnosne preporuke koji će vam pomoći da osigurate svoju WordPress web lokaciju.

Završavati

WordPress je moćan i popularan CMS koji svima olakšava stvaranje web stranice. Ali zato što je tako popularna, omiljena je i meta hakera. Srećom, možete poduzeti nekoliko koraka da zaštitite svoju WordPress web lokaciju i ako slijedite savjete u ovom članku, bit ćete na putu da imate sigurnu WordPress web stranicu.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map