5 Podrazumijevane sigurnosne prijetnje u WordPressu i način na koji ih možete popraviti

Sigurnost WordPressa

WordPress je masivno popularan, potpuno otvoren softver. Izvrsna stvar tog sigurnosnog uviđaja je da postoji ogromna zajednica koja radi s tim koja može brže i brže od sigurnosti otkriti sigurnosne rizike nego što bi to moglo biti sa internim CMS rješenjem. (Teško je saznati za slabosti kada je jedan od načina da se sazna zapravo iskorištavanje slabosti, a kad ima ogromnu korisničku bazu, otkriće postaje mnogo vjerojatnije.)


Loša strana je da hakeri sa lošim namjerama točno znaju kako je izgrađena vaša web stranica. Već imaju “nacrt” vaše web lokacije. A ako postoje neke slabosti u jezgri, temama ili dodacima koje koristite, to će moći znati bez da ikada dobiju pristup stražnjem dijelu svoje web lokacije.

Tako ću vam u ovom postu pokazati kako popraviti 5 sigurnosnih prijetnji prisutnih u bilo kojoj potpuno zadanoj instalaciji WordPress-a. (Ako ste već poduzeli neke mjere opreza, možda ćete otkriti da ste već popravili jednu ili dvije, ali važno je popraviti svih pet kako biste umanjili rizik od hakiranja.)

Vaša web lokacija pokazuje da upotrebljavate WordPress, plus verziju

Verzija WordPress-a

Zadana verzija WordPress-a imat će retke koda kojima je web lokacija izrađena pomoću WordPressa, čak i sve do verzije onima koji znaju gdje potražiti. Ovisno o temi, to se može čak i vizualno prikazati na svakoj stranici vaše web stranice.

Razlog zbog kojeg to može biti sigurnosni rizik je taj što ljudi mogu ciljati na vašu web stranicu iz bilo kojeg drugog razloga osim toga što je ona izgrađena na WordPressu. Ako netko pronađe slabost u sigurnosti u jezgri WordPress-a, temi ili dodatku, možda će pronaći svoj put do vaše web stranice kako bi to iskoristio. Dok ako ste uspješno sakrili da je vaša web lokacija sagrađena pomoću WordPressa, ljudi koji pretražuju WordPress web stranice pomoću botova ili indeksa, bi bili prevareni da misle da vaša web lokacija nije održiva meta.

Kako to riješiti:
Da biste to riješili, možete koristiti dodatak Sakrij moj WP. Pomoću ovog korisnog dodatka možete izbjeći nepotreban promet na vašem poslužitelju i istovremeno ostati siguran od napada koji posebno ciljaju WordPress stranice.

Svatko zna gdje se nalazi vaša stranica za prijavu / administrativno područje

Prijava za WordPress

Ako i dalje pokazujete da upotrebljavate WordPress (aka ga ne aktivno skrivate pomoću, na primjer, dodatka poput Hide My WP), ljudi s lošim namjerama već će znati gdje pokušati napad brutalnim silama na vašu web lokaciju.

Kako to riješiti:
Da bismo riješili ovu prijetnju i drastično smanjili šanse za hakiranje i smanjili stres na poslužitelju, moramo spriječiti zlonamjerne ljude i botove da dosegnu našu stranicu za prijavu..

Postoje dva glavna načina za to. Možete promijeniti fizičku lokaciju svoje stranice za prijavu na nešto drugo pomoću dodatka (ili nekoliko redaka koda) ili možete ograničiti pristup svojoj stranici za prijavu i administrativnom području prema IP adresama. To možete učiniti pomoću dodatka posvećenog ovoj konkretnoj stvari ili sigurnosnim dodatkom poput Sucurija, Wordfence, iThemes Security Pro ili Sve u jednom WP Sigurnost i vatrozid.

WordPress ima zadani prefiks tablice koji svi koriste

Prefiks tablice za WordPress

Prefiks tablice je ono što dolazi prije naziva tablica u vašoj bazi podataka. Umjesto korisnika, sa standardnim WordPress prefiksom bili bi wp_users. Ako koristite zadani prefiks tablice, ljudima ćete olakšati pristup vašoj web lokaciji iskorištavanjem mogućih sql slabosti ubrizgavanja. Jer oni točno znaju gdje ubaciti podatke u vašu bazu podataka kako bi potom dobili pristup vašoj web stranici.

Zapravo sam hakirao jednu od mojih web lokacija zbog injekcije sql, pa je ovo vrlo stvarna prijetnja zbog koje trebate poduzeti kontramjere.

Kako to riješiti:
Srećom vrlo je lako ukloniti ovu prijetnju. Ako ste već instalirali WordPress koristeći zadani prefiks wp_, lako ga možete promijeniti pomoću dodatka kao što je Sucuri. Prvo morate napraviti sigurnosnu kopiju baze podataka prije nego što upotrijebite tu mogućnost, jer postoji manja vjerojatnost da nešto pođe po zlu. To možete učiniti klikom na gumb. Tada možete odabrati novi prefiks ili jednostavno pustiti Sucuri da nasumično generira novi prefiks za vas.

Napomena: Ako prvi put instalirate WordPress, možete ga promijeniti u instalacijskom sučelju.

Datoteke WordPress tema i dodataka mogu se uređivati ​​putem nadzorne ploče

WordPress Editor dodataka

Problem s tim je što ako haker dobije pristup vašoj web stranici, može napraviti veliku štetu. Oni mogu učiniti vašu web lokaciju da zarazi druge ljude zlonamjernim softverom (što bi moglo završiti stavljanjem vaše web lokacije na Googleovu crnu listu i deindeksiranim tražilicama), prevariti vašu web stranicu ili se lako otvoriti na otvorenom.

Kako to riješiti:
Ovu liniju koda možete dodati u svoju wp-config.php datoteku:

define ('DISALLOW_FILE_EDIT', istina);

Ili koristite sigurnosni dodatak da to učinite za vas (koji će u osnovi umetnuti samo tu liniju koda). Jedini problem je što postoje dodaci koji ljudima omogućuju uključivanje i isključivanje ove mogućnosti, tako da će vrlo namjenski haker moći instalirati dodatak, uključiti dodatak i dobiti pristup uređivanju koda bez FTP pristupa.

Ako želite biti izuzetno temeljiti i zaštititi se od toga, možete onemogućiti sve nadogradnje / instalacije dodataka i tema dodavanjem ove linije koda u wp-config.php:

define ('DISALLOW_FILE_MODS', istina);

No očito bi to značilo da ćete morati mijenjati vrijednost u false kad god želite ažurirati ili instalirati dodatak ili temu (mi zaista ne preporučujemo ovu opciju, jer je ažuriranje tema i dodataka jedan od najboljih načina kako biste osigurali da je vaša web lokacija manje ranjiva).

WordPress ima vrlo otvorene postavke zaštitnog zida koje mogu dopustiti čak i poznatim zlonamjernim robotima da pokušaju napade

Naočale za vatrozid WordPressa

Zadane postavke vatrozida WordPressa zapravo su na liberalnoj strani. To znači da će neki nezanimljivi roboti i drugi neželjeni posjetitelji dobiti zeleno svjetlo.

Kako to riješiti:
To možete poboljšati instaliranjem osnovnih pravila zaštitnog zida na crnoj listi 5G, kopiranjem ručno u datoteku .htaccess (možete ih pronaći ovdje) ili instaliranjem ovaj dodatak, ili koristite sigurnosni dodatak za bolju optimizaciju pravila u vašem .htaccess.

Neograničeni pokušaji prijave na WordPress

Iako je zadana postavka doista neograničeni pokušaji prijave, možda ste odlučili ograničiti pokušaje prijave prilikom instaliranja WordPress-a na svoje web mjesto. Ako to niste učinili, to je nevjerojatno lako popraviti.

Kako to riješiti:
Jednostavno instalirajte Ograniči prijavu Pokušaji dodatka. Ili, ako koristite WPEngine hosting ovo je značajka koju su već ugradili za vas – dodatak nije potreban! Ako već zaštitite svoje područje za prijavu dopuštajući samo vlastitim IP adresama da pristupe upravljačkoj ploči, to nećete trebati. Ali ako ste samo sakrili adresu svoje stranice za prijavu, to je lijepa dvostruka zaštita od potencijalnih brutalnih napada.

Zaključak

Cyber ​​kriminal brzo raste i internet je na taj način što postaje dom više kriminalaca nego ‘stvarnog svijeta’. U nekim se zemljama to već dogodilo. I dok je ovo mnogo prijevara na kreditnim karticama i bankama, sve je veći broj hakera vani, pa kao vlasnici web stranica moramo zaštititi sebe i svoje web-lokacije najbolje što možemo.

Iako zadana instalacija WordPress-a ima neke nedostatke, ljepota WordPress-a je zaista u toj jednostavnosti pomoću koje možete riješiti gotovo sve svoje probleme s web mjesta, uključujući sigurnosne prijetnje spomenute u ovom postu. Osim što imate jedinstveno korisničko ime i jaku lozinku, instaliranjem sigurnosnog dodatka, uređivanjem nekih postavki i možda umetanjem retka koda ili dva, već možete značajno smanjiti rizik od hakiranja vaše web lokacije ili zaraze zlonamjernim softverom.

Jeste li poduzeli bilo kakve mjere da poboljšate sigurnost svoje WordPress stranice? Koja vrsta? Rado bismo čuli neke od vaših savjeta i trikova! Javite nam u komentarima.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me