Як захистити WordPress (2020)

WordPress – одна з найпопулярніших систем управління вмістом там і з поважною причиною. Це простий у використанні, для нього доступні тисячі тем і плагінів, і ви можете створити з ним будь-який тип веб-сайту. Тож не дивно, що WordPress має повноваження 35,1% усіх веб-сайтів в інтернеті.


Але, його популярність приходить з вартістю. WordPress часто націлений на хакерів. Згідно з Сукурі, у 2018 році 90% усіх запитів на очищення веб-сайтів належало WordPress, що на 7% більше, ніж у 2017 році.

Звіт про тестування веб-сайту 2018 - Sucuri

Таким чином, безпека вашого веб-сайту WordPress повинна знаходитись у верхній частині списку, чи є у вас особистий портфель, бізнес-сайт або інтернет-магазин.

Що стосується безпеки WordPress, користувачі зазвичай потрапляють у два табори: тих, хто серйозно ставиться до безпеки та вживає запобіжних заходів, і тих, хто вірить чи сподівається, що з ними ніколи не трапиться, оскільки їх сайт недостатньо важливий..

Щоб краще зрозуміти гостроту проблем безпеки, пов’язаних із веб-сайтами, обов’язково завітайте на сторінку Сторінка статистики в Інтернеті іноді. Там ви можете бачити точну кількість веб-сайтів, зламаних щодня, і навіть спостерігати, як кількість збільшується в режимі реального часу.

Веб-сайт зламали в режимі реального часу

Contents

22 кроки для захисту вашого веб-сайту WordPress

Щоб ваш сайт не ставав одним із сайтів в Інтернет-статистиці Live Live, дотримуйтесь наведених нижче порад та закріпіть свій веб-сайт WordPress.

1. Виберіть хостинг-компанію з функціями безпеки

Перший крок до забезпечення вашого веб-сайту WordPress – це інвестування в хостинг-компанію, яка реалізує належні функції безпеки. Сюди входить підтримка останньої версії PHP, MySQL та Apache, а також брандмауер та моніторинг безпеки 24/7.

Якщо можливо, виберіть хостинг-компанію, яка здійснює щоденне резервне копіювання та регулярне сканування зловмисного програмного забезпечення. Можна навіть знайти хостингові компанії, які використовують різні заходи щодо запобігання DDOS.

Ваша хостингова компанія, як правило, першим настінним хакерам доводиться пробиватися, щоб отримати доступ до вашого сайту, тому вкладення коштів наперед та придбання більш дорогого хостингового плану обов’язково окупиться. Ми рекомендуємо вибір керованого хостинг-провайдера WordPress.

2. Використовуйте сильні паролі

Переконайтеся, що паролі для вашого веб-сайту WordPress, а також області облікового запису хостингу захищені. Використовуйте суміш з великих і малих літер, цифр та символів, щоб створити надійний пароль. Ви також можете використовувати менеджер паролів, як LastPass, щоб генерувати та зберігати захищені паролі для вас.

3. Виконайте ім’я користувача адміністратора

WordPress використовується для встановлення типового імені користувача як адміністратора, і більшість користувачів ніколи не намагалися його змінити. Як результат, адміністратор, як правило, першими хакерами користувачів спробують, коли вони запускають грубу силу атаки.

Таким чином, ви ніколи не повинні використовувати ім’я користувача адміністратора для вашого веб-сайту WordPress. Якщо ви нещодавно встановили свій веб-сайт WordPress, швидше за все, вам доведеться встановити власне ім’я користувача. Але якщо ви давно користувач WordPress, можливо, ви все ще будете використовувати ім’я користувача адміністратора.

Якщо це так, створіть нове ім’я адміністратора для свого веб-сайту, перейшовши на сторінку Користувачі> Додати нове а також вибір надійного імені користувача та пароля. Встановіть роль адміністратора і натисніть кнопку Додати нового користувача кнопка.

Створення облікового запису адміністратора

Після цього ви увійдете з цими новими обліковими записами та видалите свого старого адміністратора. Не забудьте призначити весь вміст новому користувачеві адміністратора, перш ніж видаляти старого.

4. Використовуйте обліковий запис учасника чи редактора для публікації на своєму сайті

Якщо ви хочете зробити крок вище, подумайте про створення облікового запису дописувача чи редактора, щоб додати на свій сайт нові публікації та статті. Якщо це зробити, хакерам буде складніше робити шкоду на вашому сайті, оскільки дописувачі та редактори зазвичай не мають прав адміністратора.

Створення облікового запису редактора

5. Використовуйте плагін резервного копіювання

Якщо ви ще не створюєте резервну копію свого веб-сайту, потрібно запустити його відразу. Система резервного копіювання допоможе відновити ваш сайт, якщо трапиться найгірше, і ваш сайт закінчиться злом.

Скористайтеся плагіном типу UpdraftPlus, щоб створити звичайний графік резервного копіювання для вашого веб-сайту, і не забудьте зберігати файли резервного копіювання за межами сайту, щоб ці файли також не заразилися..

6. Загартуйте область адміністратора

Що стосується загартовування області адміністратора, вам потрібно буде змінити URL-адресу адміністратора за замовчуванням і обмежити кількість невдалих спроб входу, перш ніж користувач буде заблокований з вашого сайту.

За замовчуванням URL-адреса адміністратора для вашого веб-сайту буде виглядати приблизно так: yourdomain.com/wp-admin. Хакери знають це і спробують отримати доступ до цієї URL-адреси безпосередньо, щоб вони могли отримати доступ до вашого сайту.

Ви можете змінити цю URL-адресу за допомогою додатка WPS Сховати вхід.

WPS Сховати вхід

Що стосується обмеження кількості невдалих спроб входу, ви можете використовувати Плагін блокування входу.

LockDown

7. Постійно підтримуйте файли

Як ми вже згадували раніше, застарілі файли становлять загрозу безпеці, оскільки вони залишають ваш сайт уразливим для інших подвигів. Ось чому вам потрібно встановити оновлення, як тільки вони виходять.

Поки ви перебуваєте в цьому, переконайтеся, що регулярно переглядаєте встановлені додатки та вимикаєте та видаляєте плагіни, якими ви більше не користуєтесь..

8. Захистіть свій комп’ютер

Вам може бути цікаво, що ваш комп’ютер має стосунок до вашого веб-сайту. Якщо ваш комп’ютер заражений вірусом, і ви отримуєте доступ до свого сайту або завантажуєте на нього файли, ці заражені файли також можуть заразити ваш веб-сайт. Коротше кажучи, ви хочете переконатися, що:

  • Уникайте використання громадських мереж Wi-Fi для доступу до вашого сайту
  • Встановіть антивірусне програмне забезпечення та переконайтесь, що воно актуальне

9. Змініть префікс бази даних

Ще один факт, який добре знають хакери WordPress, – це те, що префікс бази даних встановлений на wp. Цей факт дозволяє їм легко відгадати префікс таблиці та використовувати автоматизовані ін’єкції SQL для отримання доступу до вашого сайту.

Зміна префікса бази даних – це ручний процес, який включає редагування вашого wp-config.php файл та зміна імен таблиць за допомогою phpMyAdmin. Перш ніж внести зміни, не забудьте створити резервну копію свого веб-сайту як запобіжний захід.

Редагування wp-config

Вам потрібно буде увійти у свій обліковий запис хостингу та отримати доступ до свого cPanel або до тієї панелі управління, якою користується ваш хост. Потім перейдіть до файлового менеджера та знайдіть свій wp-config.php файл у каталозі WordPress.

Знайдіть рядок префіксу таблиці, який виглядає приблизно так: $ table_prefix після чого знак = і сам префікс таблиці. Замініть рядок за замовчуванням на свій власний префікс, використовуючи комбінацію цифр, підкреслень та букв, як:

$ table_prefix = ‘hgwp_3456_’;

Щойно ви закінчили редагування wp-config.php Файл, вийдіть із Менеджера файлів та отримайте доступ до phpMyAdmin, щоб Ви могли змінити всі назви таблиць. Робити це вручну може бути нудно, оскільки всього 11 таблиць потрібно редагувати. Натомість ви можете ввести запит SQL, перейшовши на вкладку SQL

запуск SQL-запиту

Потім введіть це:

Таблиця RENAME `wp_commentmeta` ДО` hgwp_3456_commentmeta`;

Таблиця RENAME `wp_comments` ДО` hgwp_3456_comments`;

RENAME таблиця `wp_links` ДО` hgwp_3456_links`;

RENAME таблиця `wp_options` ДО` hgwp_3456_options`;

Таблиця RENAME `wp_postmeta` ДО` hgwp_3456_postmeta`;

RENAME таблиця `wp_posts` ДО` hgwp_3456_posts`;

RENAME таблиця `wp_terms` ДО` hgwp_3456_terms`;

Таблиця RENAME `wp_termmeta` ДО` wp_a123456_termmeta`;

RENAME таблиця `wp_term_relationships` ДО` hgwp_3456_term_relationships`;

Таблиця RENAME `wp_term_taxonomy` ДО` hgwp_3456_term_taxonomy`;

Таблиця RENAME `wp_usermeta` ДО` hgwp_3456_usermeta`;

RENAME таблиця `wp_users` ДО` hgwp_3456_users`;

Хоча вищезазначений запит повинен змінювати префікс вашої бази даних скрізь, корисно запустити інший запит, щоб переконатися, що інші файли, що використовують старий префікс бази даних, оновлюються:

ВИБІР * ВІД `hgwp_3456_options` WHERE` ім'я_файла `LIKE '% wp_%'

Ви також захочете знайти theusermeta та замінити будь-які старі префікси на нові:

ВИБІР * ВІД `hgwp_3456_usermeta`, де` meta_key` LIKE '% wp_%'

10. Загартуйте файли .htaccess та wp-config.php

.htaccess і wp-config.php – це найважливіші файли вашої установки WordPress. Тому потрібно переконатися, що вони надійно захищені.

Просто додайте наведені нижче коди до вашого файлу .htaccess, поза тегами # BEGIN WordPress та # END WordPress, щоб гарантувати, що зміни не будуть перезаписані з кожним новим оновленням.



замовлення дозволяють, заперечують

заперечувати від усіх





замовлення дозволяють, заперечують

заперечувати від усіх





замовити відмовити, дозволити

Заперечувати від усіх

# дозволити доступ з моєї IP-адреси

дозволяють з 192.168.1.1

Викладені вище фрагменти захистять ваш wp-config та .htaccess, а також обмежать доступ до wp-login.php екран.

Нарешті, додайте фрагмент нижче, щоб запобігти виконанню файлів PHP:



заперечувати від усіх

11. Перевірте та змініть права доступу до файлів

Закінчивши безпеку .htaccess і wp-config.php файл, затримайтесь трохи більше у своєму cPanel і перевірте дозволи на файли на наявність файлів і папок на веб-сайті WordPress.

Дозволи файлів

Відповідно з WordPress кодекс, дозволи мають бути встановлені так:

  • У всіх каталогах має бути 755 або 750
  • У всіх файлах має бути 644 або 640
  • wp-config.php має бути 600

Якщо ваші налаштування відрізняються, хакери можуть легко читати вміст, а також змінювати вміст файлів і папок, що може призвести до злому вашого веб-сайту, а також інших сайтів на тому ж сервері.

12. Використовуйте двофакторну автентифікацію

Подумайте про використання додатка типу Google Authenticator налаштувати двофакторну автентифікацію для вашого сайту. Це означає, що крім введення пароля, вам доведеться також ввести код, сформований мобільним додатком, щоб увійти на свій сайт. Це може зупинити жорстокі атаки, тому добре налаштувати це зараз.

Google Authenticator

13. Вимкнення XML-RPC

XML-RPC дозволяє вашому сайту встановити зв’язок з мобільними додатками WordPress та плагінами, такими як Jetpack. На жаль, він також є улюбленим хакерами WordPress, оскільки вони можуть зловживати цим протоколом для виконання декількох команд одночасно та отримати доступ до вашого сайту. Використовуйте плагін типу Вимкнути плагін XML-RPC щоб вимкнути цю функцію.

Вимкнути XML-RPC

14. Використовуйте HTTPS та SSL

В Інтернеті гуляє повідомлення в блогах та статті про важливість протоколу HTTPS та додаються сертифікати безпеки SSL на ваш сайт вже досить давно..

HTTPS розшифровується як захищений протокол передачі гіпертексту, тоді як SSL – шари захищених сокетів. У двох словах, HTTPS дозволяє браузеру відвідувача встановити безпечне з’єднання з вашим хостинг-сервером (а отже, і вашим сайтом). Протокол HTTPS захищено за допомогою SSL. Разом HTTPS та SSL забезпечують шифрування всієї інформації між веб-переглядачем відвідувачів та вашим сайтом.

Використання обох на вашому сайті не тільки підвищить безпеку вашого веб-сайту, але й принесе користь рейтингу вашої пошукової системи, встановить довіру до відвідувачів та покращити показник конверсії.

Порадьтеся зі своїм провайдером хостингу та запитайте про можливість отримання сертифікату SSL або вкажіть вас у напрямку авторитетної компанії, де його можна придбати.

15. Вимкнення редагування теми та плагінів на панелі керування WordPress

Можливість редагувати тему та файли плагінів прямо на інформаційній панелі WordPress зручно, коли вам потрібно швидко додати рядок коду. Але це також означає, що кожен, хто заходить на ваш сайт, може отримати доступ до цих файлів.

Вимкніть цю функцію, додавши у свій код наступний код wp-config.php файл:

// Заборонити редагування файлів

define ('DISALLOW_FILE_EDIT', правда);

16. Перемістіть файл wp-config.php до каталогу, який не є WWW

Як згадувалося раніше, wp-config.php Файл є одним з найважливіших файлів у вашій установці WordPress. Увімкніть доступ до нього, перемістивши його з кореневого каталогу в каталог, не доступний www.

  1. Для початку скопіюйте вміст свого wp-config.php файл у новий файл і збережіть його як wp-config.php.
  1. Поверніться до старого wp-config.php файл та додайте рядок коду нижче:
  1. Завантажте та збережіть нове wp-config.php файл у іншу папку.

17. Змініть свої клавіші безпеки WordPress

Ключі безпеки WordPress відповідають за шифрування інформації, що зберігається у файлах cookie користувача. Вони розташовані в с wp-config.php файл і виглядати так:

define ('AUTH_KEY', 'поставте тут свою унікальну фразу');

define ('SECURE_AUTH_KEY', 'поставте тут свою унікальну фразу');

define ('LOGGED_IN_KEY', 'поставте тут свою унікальну фразу');

define ('NONCE_KEY', 'поставте тут свою унікальну фразу');

define ('AUTH_SALT', 'поставте тут свою унікальну фразу');

define ('SECURE_AUTH_SALT', 'поставте тут свою унікальну фразу');

define ('LOGGED_IN_SALT', 'поставте тут свою унікальну фразу');

define ('NONCE_SALT', 'поставте тут свою унікальну фразу');

Використовувати Генератор ключових солей WordPress щоб змінити їх і зробити ваш сайт більш захищеним.

18. Вимкнути повідомлення про помилки

Повідомлення про помилки корисно для усунення несправностей та визначення того, який конкретний плагін або тема викликає помилку на вашому веб-сайті WordPress. Однак, як тільки система повідомить про помилку, вона також відобразить шлях вашого сервера. Потрібно говорити, що це прекрасна можливість для хакерів дізнатися, як і де вони можуть скористатися вразливими місцями на вашому сайті.

Ви можете відключити це, додавши код нижче до свого wp-config.php файл:

error_reporting (0);

@ini_set ('display_errors', 0);

19. Видаліть номер версії WordPress

Кожен, хто загляне у вихідний код вашого веб-сайту, зможе сказати, яку версію WordPress ви використовуєте. Оскільки в кожній версії WordPress є загальнодоступні журнали змін, які детально описують список помилок та патчів безпеки, вони можуть легко визначити, якими отворами безпеки вони можуть скористатися.

Версія WordPress

На щастя, є просте виправлення. Ви можете видалити номер версії WordPress, відредагувавши файл function.php теми вашої теми та додавши таке:

видалити запускання ('wp_head', 'wp_generator');

20. Використовуйте заголовки безпеки

Ще один спосіб захистити веб-сайт WordPress - це реалізувати заголовки безпеки. Зазвичай вони встановлюються на рівні сервера, щоб запобігти хакерським атакам і зменшити кількість експлуатувань вразливості безпеки. Ви можете додати їх самостійно, змінивши тему теми function.php файл.

Заголовки безпеки

Перехресні сценарії

Додайте наступний код у список дозволеного вмісту, сценарію, стилів та інших джерел вмісту:

заголовок ('Content-Security-Policy: default-src https:');

Це запобіжить завантаженню браузера шкідливих файлів.

Iframe clickjacking

Додайте рядок нижче, щоб доручити браузеру не відображати сторінку у кадрі: заголовок ("Параметри X-Frame: SAMEORIGIN");

X-XSS-захист та X-вміст-тип-параметри

Додайте наступні рядки, щоб запобігти атакам XSS та скажіть Internet Explorer не нюхати типи mime

заголовок ('X-XSS-захист: 1; режим = блок');

заголовок ("Параметри X-Content-Type: Noniff");

Застосовуйте HTTPS

Додайте код нижче, щоб доручити браузеру використовувати тільки HTTPS:

заголовок ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload');

Файл cookie з HTTPOnly та безпечним прапором у WordPress 

Скажіть браузеру довіряти лише файлу cookie, встановленому сервером, і що файл cookie доступний через канали SSL, додавши наступне:

@ini_set ('session.cookie_httponly', правда);

@ini_set ('session.cookie_secure', правда);

@ini_set ('session.use_only_cookies', правда);

Якщо ви не хочете додавати ці заголовки вручну, спробуйте використовувати плагін типу Заголовки безпеки. Незалежно від того, який метод ви вибрали для впровадження заголовків безпеки, не забудьте протестувати їх за допомогою https://securityheaders.io веб-сайт та введення URL-адреси вашого веб-сайту.

21. Запобігання гарячих посилань

Гаряча посилання сама по собі не є порушенням безпеки, але, враховуючи, що вона посилається на інший веб-сайт, який використовує URL-адресу вашого веб-сайту для вказівки безпосередньо на зображення або інший медіа-файл, вважається крадіжкою. Таким чином, гаряча посилання може призвести до несподіваних витрат не тільки тому, що вам доведеться мати справу з юридичними наслідками, але і тому, що ваш рахунок на хостинг може пройти через дах, якщо сайт, який вкрав ваше зображення, отримує багато трафіку.

Додайте код нижче до свого файлу .htaccess, якщо ви використовуєте сервер Apache, і замініть фіктивний домен фактичним іменем домену:

ПерепишітьEngine на

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Крім того, якщо ви використовуєте сервери NGINX, вам потрібно змінити ваш конфігураційний файл за допомогою наступного:

розташування ~. (gif | png | jpe? g) $ {

valid_referers не заблоковано ~ .google. ~ .bing. ~ .yahoo yourdomain.com * .yourdomain.com;

if ($ invalid_referer) {

повернення 403;

}

}

22. Вихід із режиму очікування користувачів

Остання порада в цьому посібнику щодо підвищення безпеки вашого веб-сайту - це вихід із непрацюючих користувачів після періоду бездіяльності. Ви можете використовувати плагін типу Неактивний вихід автоматично припиняти неактивні сеанси.

Неактивний вихід

Це необхідно, тому що якщо ви увійдете на свій веб-сайт, щоб додати нову публікацію в блозі та відволіктися на інше завдання, ваш сеанс може бути викрадений, а хакери можуть зловживати ситуацією, щоб заразити ваш сайт. Ще важливіше припинити неактивні сеанси, якщо на вашому сайті є кілька користувачів.

Як відновити з зламу

Вищезазначені заходи безпеки - прекрасний спосіб захистити свій сайт. Але що робити, якщо ваш сайт все одно зламається? Ось декілька кроків, які слід виконати у випадку зламу вашого веб-сайту.

1. Підтвердьте хак і змініть пароль

Якщо ваш сайт був зламаний, спочатку не панікуйте. Це не допоможе вам, і справа зроблена, тому важливо діяти швидко. Почніть з перевірки свого сайту і побачите, чи можете ви увійти на свою приладну панель. Перевірте, чи ваш сайт переспрямовується на інший сайт чи ви бачите підозрілі чи дивні посилання чи оголошення.

Негайно змініть пароль і перейдіть до наступного кроку.

2. Зв'яжіться зі своєю компанією-хостингом

Зверніться до свого хоста і повідомте про те, що ваш сайт був зламаний. Вони можуть допомогти вам визначити джерело злому. Деякі хости також очистять ваш сайт та видалять шкідливий код та файли.

Використовуйте резервну копію для відновлення свого сайту

Якщо ви старанно створювали резервну копію свого веб-сайту, знайдіть резервну копію раніше, ніж зламати її, і скористайтеся нею для відновлення свого сайту. Незважаючи на те, що ви можете втратити частину вмісту, ви зможете налаштувати свій сайт і працювати так, як це було до нападу.

3. Скануйте свій сайт на наявність шкідливих програм

Використовуйте безкоштовний сканер Sucuri для сканування вашого сайту на наявність шкідливих програм та виявлення порушених файлів. Ви також можете обрати їх службу очищення веб-сайтів, якщо ви не знаєте, як видалити зловмисне програмне забезпечення самостійно.

4. Перевірте користувачів свого сайту

Увійдіть на свій веб-сайт WordPress та перейдіть на сторінку Користувачі> Усі користувачі. Переконайтеся, що немає користувачів, які не повинні бути там, і видаліть їх, якщо це необхідно.

5. Змініть свої секретні ключі

Використовуйте вищезгаданий генератор ключів WordPress Salts для створення нових ключів безпеки та додавання їх у файл wp-config.php. Оскільки ці ключі шифрують ваш пароль, хакери залишатимуться в системі, поки їх файли cookie не будуть визнані недійсними. Нові ключі безпеки зроблять саме це і витіснять хакера з вашого сайту.

6. Найміть професіонала

Нарешті, найміть професіонала для очищення зламу та видалення зловмисного програмного забезпечення зі свого сайту. Майте на увазі, що хакери можуть приховувати зловмисний код у кількох файлах, тому якщо ви не відчували видалення зловмисного програмного забезпечення, пропустити заражений файл легко. Це дозволяє хакерам знову зламати ваш сайт, тому найняти професіонала настійно рекомендується.

7 найпоширеніших типів вразливостей WordPress

Перш ніж продовжувати цю статтю, звернімось до слона в кімнаті: чи безпечно WordPress? Відповідь на це питання - так. Основою програмного забезпечення WordPress є безпека, і компанія, що стоїть за WordPress, серйозно ставиться до безпеки.

Їх команда безпеки У ньому працює 50 експертів, серед яких провідні розробники та дослідники з безпеки, які працюють за лаштунками, щоб забезпечити безпеку WordPress.

Насправді більшість інцидентів та ризиків із безпекою є наслідком помилок людини, пов'язаних із наявністю вразливості безпеки.

Існує сім типів уразливостей WordPress, про які потрібно знати:

  • Застарілі файли WordPress
  • Підвісні подвиги
  • Pharma hacks
  • Слабкі паролі
  • Зловмисні переадресації
  • Уразливості хостингової платформи
  • Відмова від службових атак

Перейдемо до них та пояснимо, що саме вони є.

1. Застарілі файли WordPress

Застарілі файли WordPress відносяться до версії WordPress, теми та файлів плагінів. Вони становлять загрозу безпеці, оскільки залишають ваш сайт підданим іншим вразливим ситуаціям, таким як екскурсії в задньому плані та крадіжки фармацевтів.

Таким чином, ви повинні переконатися, що ваша установка WordPress оновлена, а також ваша тема та додатки. Ви повинні активно застосовувати оновлення, оскільки вони випускаються, оскільки вони не тільки отримують нові функції, але вони також містять різні виправлення безпеки та помилок..

2. Підвісні подвиги

Що стосується запущених подвигів, хакери скористаються застарілими файлами WordPress, щоб отримати доступ до вашого сайту. Крім застарілих файлів, вони також можуть отримати доступ до вашого сайту через SFTP, FTP тощо.

Щойно вони отримають доступ до вашого сайту, вони заразить ваш сайт, а також можуть заразити інші сайти, які знаходяться на тому ж сервері, що і ваш сайт. Ін'єкції в задній план виглядають як звичайні файли WordPress для недосвідченого користувача. Але поза кадром вони використовують переваги помилок у застарілих файлах, щоб отримати доступ до вашої бази даних і спричинити хаос на вашому сайті, а також тисячі інших веб-сайтів.

3. Pharma Hacks

Pharma hacks посилаються на використання вразливостей у застарілих файлах WordPress, куди хакер вставляє код у ці файли. Після введення коду пошукові системи показують рекламу фармацевтичних продуктів замість вашого веб-сайту. Це може призвести до того, що пошукові системи позначать ваш веб-сайт як спам.

4. Слабкі паролі

Слабкі паролі можуть бути легко запам'ятовуються, але вони також полегшують хакерам отримати доступ до вашого сайту за допомогою грубої атаки. Напад грубої сили відбувається, коли хакер використовує автоматизовані сценарії, які працюють у фоновому режимі для спроб різних комбінацій імен користувача та пароля, поки вони не знайдуть робочу комбінацію.

5. Зловмисні перенаправлення

Аналогічно використанню застарілих файлів та протоколу FTP або SFTP для введення коду, що призводить до хакерства фармації або бекдорного подвигу, хакери використовуватимуть файл .htaccess у вашій установці WordPress, щоб перенаправити відвідувачів на шкідливий веб-сайт.

Потім ваші відвідувачі можуть стати вірусом або стати жертвою фішингу.

6. Уразливості хостингової платформи

Іноді безпека вашого веб-сайту може бути порушена, оскільки ви використовуєте хостинг-компанію, яка не має функцій захисту, таких як брандмауер або моніторинг файлів. Зазвичай це стосується дешевших хостингових провайдерів, а це означає, що вибір дешевшого хоста, як не дивно, коштуватиме вам дорожче, якщо ваш сайт буде зламаний.

Майте на увазі, що дешевші хостингові платформи також становлять більш високий ризик для безпеки, оскільки ваш сайт може заразитися або зламатись внаслідок хакерів, що використовують вразливості на іншому веб-сайті, розміщеному на тому ж сервері.

7. Відмова від нападів на обслуговування

Відмова від атак на службу або DDOS-атаки - одна з найнебезпечніших загроз для будь-якого власника веб-сайту. Під час атаки DDOS хакер використовує помилки та помилки в коді, викликаючи переповнення пам'яті операційної системи вашого сайту. Атаки DDOS зазвичай знищують велику кількість сайтів, які використовують певну платформу, наприклад WordPress.

Тепер, коли ви знаєте, які поширені вразливості пов’язані з WordPress, перейдемо до підказок, найкращих практик та рекомендацій щодо безпеки, які допоможуть вам захистити свій сайт WordPress.

Підведенню

WordPress - це потужна і популярна CMS, яка спрощує створення веб-сайту будь-кому. Але оскільки він настільки популярний, він також є улюбленою ціллю хакерів. На щастя, є кілька кроків, які ви можете вжити, щоб захистити свій сайт WordPress, і якщо ви будете дотримуватися порад у цій статті, ви будете на шляху до створення безпечного веб-сайту WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map