Kuinka suojata WordPress (2020)

WordPress on yksi suosituimmista sisällönhallintajärjestelmistä siellä ja syystä. Sitä on helppo käyttää, sille on saatavana tuhansia teemoja ja laajennuksia, ja voit luoda minkä tahansa tyyppisiä verkkosivustoja sen avulla. Ei siis ole ihme, että WordPress toimii 35,1% kaikista verkkosivustoista internetissä.


Mutta sen suosio tulee kustannuksin. Hakkerit kohdistavat usein WordPressiin. Mukaan Sucuri, vuonna 2018 90% kaikista verkkosivustojen siivouspyynnöistä kuului WordPressille, mikä on 7% enemmän kuin vuonna 2017.

Verkkosivustojen hakkertrendikertomus 2018 - Sucuri

Sinänsä WordPress-verkkosivustosi suojaamisen tulisi olla luettelon kärjessä riippumatta siitä, onko sinulla henkilökohtainen salkku, yrityssivusto tai verkkokauppa.

Kun kyse on WordPress-tietoturvasta, käyttäjät jakautuvat yleensä kahteen leiriin: niihin, jotka suhtautuvat turvallisuuteen vakavasti ja jotka toteuttavat varotoimenpiteitä, ja niihin, jotka uskovat tai toivovat, ettei sitä koskaan tapahdu heille, koska heidän sivustonsa ei ole tarpeeksi tärkeä.

Vieraile verkkosivustossa paremmin ymmärtääksesi verkkosivustoihin liittyvien turvallisuusongelmien vakavuutta Internet Live -tilastosivu joskus. Siellä voit nähdä tarkan määrän verkkosivustoja, joita on hakkeroitu päivittäin, ja jopa katsella niiden määrän nousevan reaaliajassa.

Verkkosivusto hakkeroitu reaaliajassa

Contents

22 vaihetta WordPress-verkkosivustosi suojaamiseksi

Noudata alla olevia vinkkejä ja suojaa WordPress-verkkosivusto estääksesi sivustosi loppumisesta yhdeksi Internet Live -tilastotilaksi..

1. Valitse hosting-yritys, jolla on suojausominaisuudet

Ensimmäinen askel kohti WordPress-verkkosivustosi turvaamista on sijoittaa isäntäyritykseen, joka toteuttaa asianmukaiset suojausominaisuudet. Tämä sisältää tuen uusimmalle PHP-, MySQL- ja Apache-versiolle sekä palomuurin ja ympärivuorokautisen tietoturvavalvonnan.

Jos mahdollista, valitse isäntäyritys, joka suorittaa päivittäisiä varmuuskopioita ja säännöllisiä haittaohjelmien tarkistuksia. Voit jopa löytää hosting-yrityksiä, jotka käyttävät erilaisia ​​DDOS-ennaltaehkäisytoimenpiteitä.

Isäntäyritys on yleensä ensimmäinen seinä hakkereiden on murtauduttava läpi pääsemään sivustoosi, joten investoimalla enemmän etukäteen ja ostamalla kalliimpi hosting-suunnitelma kannattaa varmasti. Suosittelemme valitsemalla hallittu WordPress-palveluntarjoaja.

2. Käytä vahvoja salasanoja

Varmista, että WordPress-verkkosivustosi ja isäntätilin alueen salasanat ovat molemmat turvallisia. Käytä isojen ja pienten kirjainten, numeroiden ja symbolien yhdistelmää vahvan salasanan saamiseksi. Voit myös käyttää salasananhallintaa, kuten LastPass, luoda ja tallentaa sinulle suojattuja salasanoja.

3. Ohita järjestelmänvalvojan käyttäjänimi

WordPress asetti oletus käyttäjänimen järjestelmänvalvojana ja useimmat käyttäjät eivät koskaan vaivanneet muuttaa sitä. Seurauksena on, että järjestelmänvalvoja on yleensä ensimmäinen käyttäjän hakkerit, jotka yrittävät aloittaessaan raa’an joukkohyökkäyksen.

Sinänsä, sinun ei pitäisi koskaan käyttää järjestelmänvalvojan käyttäjänimeä WordPress-verkkosivustollasi. Jos olet asentanut äskettäin WordPress-verkkosivustosi, joudut todennäköisesti asettamaan oman käyttäjänimen. Mutta jos olet pitkäaikainen WordPress-käyttäjä, saatat silti käyttää järjestelmänvalvojan käyttäjänimeä.

Luo tässä tapauksessa uusi järjestelmänvalvojan käyttäjänimi sivustollesi siirtymällä Käyttäjät> Lisää uusi ja valitsemalla vahva käyttäjänimi ja salasana. Aseta rooli järjestelmänvalvojaksi ja napsauta sitten Lisää uusi käyttäjä nappi.

Järjestelmänvalvojan tilin luominen

Kirjaudut sitten sisään näillä uusilla valtuustiedoilla ja poistat vanhan järjestelmänvalvojan käyttäjän. Muista määrittää kaikki sisältö uudelle järjestelmänvalvojan käyttäjälle ennen vanhan poistamista.

4. Käytä avustaja- tai editoritiliä postittaaksesi sivustollesi

Jos haluat viedä yllä olevan kärjen askeleen pidemmälle, harkitse avustajan tai toimittajatilin luomista lisätäksesi uusia viestejä ja artikkeleita sivustoosi. Näin tekeminen hakkereille vaikeuttaa vahingoittamista sivustollesi, koska avustajilla ja toimittajilla ei yleensä ole järjestelmänvalvojan oikeuksia.

Luodaan toimittajatili

5. Käytä varmuuskopiolaajennusta

Jos et vielä varmuuskopioi verkkosivustoasi, sinun on aloitettava heti. Varmuuskopiointijärjestelmä auttaa sinua palauttamaan sivustosi, jos tapahtuu pahinta ja sivustosi lopulta hakkeroidaan.

Luo verkkosivustollesi säännöllinen varmuuskopiointityökalu, kuten UpdraftPlus, kuten laajennus, älä unohda tallentaa varmuuskopiotiedostoja ulkopuolelle varmistaaksesi, että nämä tiedostot eivät myöskään päädy saastuneisiin.

6. Kovetta hallintoalue

Järjestelmänvalvoja-alueen kovettumiseksi sinun on vaihdettava järjestelmänvalvojan oletus-URL-osoite ja rajoitettava epäonnistuneiden kirjautumisyritysten määrää, ennen kuin käyttäjä on lukittu pois sivustostasi.

Oletuksena verkkosivustosi järjestelmänvalvojan URL näyttää tältä: yourdomain.com/wp-admin. Hakkerit tietävät tämän ja yrittävät käyttää tätä URL-osoitetta suoraan, jotta he pääsevät sivustoosi.

Voit muuttaa tätä URL-osoitetta esimerkiksi laajennuksella WPS piilota kirjautuminen.

WPS piilota kirjautuminen

Voit rajoittaa epäonnistuneiden kirjautumisyritysten lukumäärää Sisäänkirjautumisen lukituslaajennus.

Kirjaudu sisään LockDown

7. Pidä tiedostot ajan tasalla

Kuten aiemmin mainitsimme, vanhentuneet tiedostot aiheuttavat turvallisuusriskin, koska ne tekevät sivustostasi alttiita muille hyväksikäytöille. Siksi päivitykset on asennettava heti, kun ne julkaistaan.

Kun olet siellä, muista säännöllisesti käydä läpi asennetut laajennukset ja poistaa käytöstä ja poistaa laajennukset, joita et enää käytä.

8. Suojaa tietokoneesi

Saatat miettiä, mitä tietokoneellasi on tekemistä verkkosivustosi kanssa. Jos tietokoneesi on viruksen tartuttama ja pääset sivustoosi tai lataat tiedostoja sille, ne saastuneet tiedostot voivat saastuttaa myös verkkosivustosi. Lyhyesti sanottuna haluat varmistaa:

  • Vältä pääsyä sivustoosi julkisissa Wi-Fi-verkoissa
  • Asenna virustorjuntaohjelma ja varmista, että se on ajan tasalla

9. Muuta tietokannan etuliitettä

Toinen WordPress-hakkereiden tosiasia on, että tietokannan etuliite on asetettu arvoon wp. Tämän vuoksi heidän on helppo arvata taulukon etuliite ja käyttää automatisoituja SQL-injektioita päästäksesi sivustoosi.

Tietokannan etuliitteen muuttaminen on manuaalinen prosessi, johon sisältyy wp-config.php tiedosto ja taulukon nimien muuttaminen phpMyAdminilla. Varmista ennen muutoksen tekemistä, että varmuuskopioit sivustosi ennaltaehkäisevästi.

Muokkaus wp-config

Sinun on kirjauduttava sisään hosting-tilillesi ja käytettävä cPanel-sovellusta tai mitä tahansa ohjauspaneelia, jota isäntäsi käyttää. Siirry sitten tiedostonhallintaohjelmaan ja etsi wp-config.php tiedosto WordPress-hakemistossa.

Etsi taulukon etuliite, joka näyttää tältä: $ table_prefix jota seuraa = merkki ja itse taulukon etuliite. Korvaa oletusmerkkijono omalla etuliitteellä numeroiden, alaviivojen ja kirjainten yhdistelmällä kuten:

$ table_prefix = ‘hgwp_3456_’;

Kun olet muokannut wp-config.php tiedosto, poistu File Managerista ja päästä phpMyAdmin-sovellukseen, jotta voit muuttaa kaikkia taulukon nimiä. Tämän tekeminen manuaalisesti voi olla työlästä, koska muokattavia taulukkoja on yhteensä 11. Sen sijaan voit syöttää SQL-kyselyn siirtymällä SQL-välilehdelle

suoritetaan SQL-kysely

Syötä sitten tämä:

RENAME-taulukko `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME-taulukko `wp_kommentit` -` hgwp_3456_kommentit`;

RENAME-taulukko `wp_links` TO` hgwp_3456_links`;

RENAME-taulukko `wp_options` TO` hgwp_3456_options ';

RENAME-taulukko `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME-taulukko `wp_posts` TO` hgwp_3456_posts`;

RENAME-taulukko `wp_terms` -` hgwp_3456_terms`;

RENAME-taulukko `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME-taulukko `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME-taulukko `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME-taulukko `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME-taulukko `wp_users` TO` hgwp_3456_users`;

Vaikka yllä olevan kyselyn pitäisi muuttaa tietokannan etuliitettä kaikkialla, on hyvä ajaa suorittaa uusi kysely varmistaaksesi, että kaikki muut vanhan tietokannan etuliitettä käyttävät tiedostot päivitetään:

VALITSE * LÄHELLÄ `hgwp_3456_options` WHERE` vaihtoehto_nimi `LIKE '% wp_%'

Haluat myös etsiä theermetasta ja korvata jäljellä olevat vanhat etuliitteet uudella:

VALITSE * LÄHELLÄ `hgwp_3456_usermeta` Missä` meta_key` LIKE '% wp_%'

10. Kovetta .htaccess- ja wp-config.php-tiedostot

.htaccess ja wp-config.php ovat WordPress-asennuksen tärkeimpiä tiedostoja. Sinun on siis varmistettava, että ne ovat turvallisia ja suojattuja.

Lisää vain alla olevat koodit .htaccess-tiedostoosi # BEGIN WordPress- ja # END WordPress-tunnisteiden ulkopuolelle, jotta muutokset eivät korvaudu jokaisella uudella päivityksellä.



jotta sallia, kieltää

kieltää kaikki





jotta sallia, kieltää

kieltää kaikki





tilata kieltää, sallia

Kieltävät kaikki

# salli pääsyn IP-osoitteeltani

sallia vuodesta 192.168.1.1

Yllä olevat katkelmat suojaavat wp-config- ja .htaccess-tiedostoja sekä rajoittavat pääsyä WP-login.php kuvaruutu.

Lisää vielä lopuksi katkelma PHP-tiedoston suorittamisen estämiseksi:



kieltää kaikki

11. Tarkista ja muuta tiedostojen käyttöoikeudet

Kun olet valmis turvaamaan .htaccess ja wp-config.php tiedosto, pysy hiukan pidempään cPanelissa ja tarkista WordPress-verkkosivustosi tiedostojen ja kansioiden tiedostooikeudet.

Tiedoston käyttöoikeudet

Mukaan WordPress-koodeksi, oikeudet tulisi asettaa seuraavasti:

  • Kaikkien hakemistojen tulisi olla 755 tai 750
  • Kaikkien tiedostojen on oltava 644 tai 640
  • wp-config.php pitäisi olla 600

Jos asetukset ovat erilaiset, hakkerit voivat helposti lukea sisältöä sekä muuttaa tiedostojen ja kansioiden sisältöä, mikä voi johtaa sivustosi hakkerointiin, samoin kuin muiden saman palvelimen muiden sivustojen hakkerointiin..

12. Käytä kaksifaktorista todennusta

Harkitse laajennuksen käyttöä kuten Google Authenticator määrittää kaksifaktorinen todennus sivustollesi. Tämä tarkoittaa, että salasanan syöttämisen lisäksi sinun on myös annettava mobiilisovelluksen luoma koodi kirjautuaksesi sivustoosi. Tämä voi pysäyttää raa’at joukkohyökkäykset, joten on hyvä idea perustaa se nyt.

Google Authenticator

13. Poista XML-RPC käytöstä

XML-RPC antaa sivustollesi luoda yhteyden WordPress-mobiilisovelluksiin ja laajennuksiin, kuten Jetpackiin. Valitettavasti se on myös WordPress-hakkerit suosikki, koska he voivat väärinkäyttää tätä protokollaa suorittaakseen useita komentoja kerralla ja päästäksesi sivustoosi. Käytä pluginia kuten Poista XML-RPC-laajennus käytöstä poistaaksesi tämän ominaisuuden käytöstä.

Poista XML-RPC käytöstä

14. Käytä HTTPS: tä ja SSL: tä

Internet on herättänyt blogitekstejä ja artikkeleita HTTPS-protokollan tärkeydestä ja lisännyt SSL-suojausvarmenteita sivustoosi jo kauan sitten.

HTTPS tarkoittaa Hypertext Transfer Protocol Secure -suojaa, kun taas SSL tarkoittaa Secure Socket Layers -suojainta. Lyhyesti sanottuna, HTTPS antaa vierailijan selaimelle luoda turvallisen yhteyden isäntäpalvelimeesi (ja siten sivustosi). HTTPS-protokolla suojataan SSL: n kautta. Yhdessä HTTPS ja SSL varmistavat, että kaikki vierailijoiden selaimen ja sivustosi väliset tiedot ovat salattuja.

Molempien käyttäminen sivustollasi parantaa pelkästään sivustosi turvallisuutta, mutta se hyödyttää myös hakukoneitasi, luo luottamusta kävijöihisi ja parantaa tulosprosenttiasi.

Ota yhteyttä palveluntarjoajaasi ja kysy mahdollisuudesta hankkia SSL-varmenne tai osoita sinulle kohti hyvämaineista yritystä, josta voit ostaa sen.

15. Poista teema- ja laajennusten muokkaaminen käytöstä WordPress-hallintapaneelin kautta

Mahdollisuus muokata teema- ja laajennustiedostoja suoraan WordPress-hallintapaneelissa on kätevä, kun sinun on nopeasti lisättävä koodirivi. Mutta se tarkoittaa myös, että kuka tahansa sivustollesi kirjautuva voi käyttää näitä tiedostoja.

Poista tämä ominaisuus käytöstä lisäämällä seuraava koodi omaan koodiin wp-config.php file:

// Estä tiedoston muokkaaminen

define ('DISALLOW_FILE_EDIT', tosi);

16. Siirrä wp-config.php-tiedosto muuhun kuin WWW-hakemistoon

Kuten aiemmin mainittiin, wp-config.php tiedosto on yksi WordPress-asennuksen tärkeimmistä tiedostoista. Vaikeuta pääsyä siirtämällä se juurihakemistosta muuhun kuin www-osoitteeseen.

  1. Ensinnäkin, kopioi sisältö wp-config.php tiedosto uuteen tiedostoon ja tallenna se nimellä wp-config.php.
  1. Mene takaisin vanhaan wp-config.php tiedosto ja lisää koodirivi alla:
  1. Lataa ja tallenna uusi wp-config.php tiedosto toiseen kansioon.

17. Vaihda WordPress-suojausavaimet

WordPress-suojausavaimet vastaavat käyttäjän evästeisiin tallennettujen tietojen salaamisesta. Ne sijaitsevat wp-config.php arkistoi ja näyttävät tältä:

define ('AUTH_KEY', 'laita oma lauseesi tänne');

define ('SECURE_AUTH_KEY', 'laita yksilöivä lauseesi tänne');

define ('LOGGED_IN_KEY', 'laita yksilöllinen lauseesi tänne');

define ('NONCE_KEY', 'laita yksilöivä lauseesi tänne');

define ('AUTH_SALT', 'laita oma lauseesi tänne');

define ('SECURE_AUTH_SALT', 'laita yksilöivä lauseesi tänne');

define ('LOGGED_IN_SALT', 'laita yksilöivä lauseesi tänne');

define ('NONCE_SALT', 'laita oma lauseesi tänne');

Käytä WordPress suolaavaingeneraattori muuttaa niitä ja tehdä sivustosi turvallisemmaksi.

18. Poista virheraportointi käytöstä

Virheraportoinnista on hyötyä vianmäärityksessä ja sen määrittämisessä, mikä tietty laajennus tai teema aiheuttaa virheen WordPress-verkkosivustollasi. Kun järjestelmä ilmoittaa virheestä, se näyttää myös palvelinpolun. Sanomattakin on selvää, että tämä on täydellinen tilaisuus hakkereille selvittää, kuinka ja missä he voivat hyödyntää sivustosi haavoittuvuuksia..

Voit poistaa tämän käytöstä lisäämällä alla olevan koodin omaan wp-config.php file:

error_reporting (0);

@ini_set ('näyttö_virheet', 0);

19. Poista WordPress-versionumero

Jokainen, joka etsii verkkosivustosi lähdekoodia, voi kertoa mitä WordPress-versiota käytät. Koska jokaisella WordPress-versiolla on julkisia muutoslogeja, joissa on yksityiskohtainen luettelo virheistä ja suojauskorjauksista, ne voivat helposti määrittää, mitkä tietoturva-aukot he voivat hyödyntää.

WordPress-versio

Onneksi ratkaisu on helppo. Voit poistaa WordPress-versionumeron muokkaamalla teeman function.php-tiedostoa ja lisäämällä seuraavan:

poista toiminta ('wp_head', 'wp_generator');

20. Käytä suojausotsikoita

Toinen tapa suojata WordPress-verkkosivustosi on toteuttaa suojausotsikot. Tyypillisesti ne asetetaan palvelintasolle hakkerointiin liittyvien hyökkäysten estämiseksi ja tietoturvahaavoittuvuuksien vähentämiseksi. Voit lisätä ne itse muuttamalla teemaasi functions.php tiedosto.

Suojausotsikot

Ristiin kirjoitetut hyökkäykset

Lisää seuraava koodi sallittuun sisältöön, skriptiin, tyyleihin ja muihin lähteisiin sallittuihin luetteloihin:

otsikko ('Sisällön suojaus-politiikka: oletus-src https:');

Tämä estää selainta lataamasta haitallisia tiedostoja.

Iframe napsauttaminen

Lisää alla oleva rivi ohjeita selainta olemaan antamatta sivua kehykseen: otsikko ('X-Frame-Options: SAMEORIGIN');

X-XSS-Protection ja X-Content-Type-Options

Lisää seuraavat rivit estääksesi XSS-hyökkäykset ja sano Internet Explorerille, että se ei halua mime-tyyppejä

otsikko ('X-XSS-suojaus: 1; tila = lohko');

otsikko ('X-Content-Type-Options: nosniff');

Ota HTTPS käyttöön

Lisää alla oleva koodi ohjeita selainta käyttämään vain HTTPS: ää:

otsikko ('Tiukka-Kuljetus-Turvallisuus: max-ikä = 31536000; include Subdomains; preload');

Eväste HTTP-Vain ja Suojattu -lipulla WordPressissä 

Pyydä selainta luottamaan vain palvelimen asettamaan evästeeseen ja että eväste on saatavana SSL-kanavien kautta lisäämällä seuraava:

@ini_set ('session.cookie_httponly', totta);

@ini_set ('session.cookie_secure', tosi);

@ini_set ('session.use_only_cookies', tosi);

Jos et halua lisätä näitä otsikoita manuaalisesti, harkitse esimerkiksi laajennuksen käyttöä Suojausotsikot. Riippumatta siitä, minkä menetelmän valitset toteuttaa suojausotsikot, testaa ne käyttämällä https://securityheaders.io verkkosivustolle ja kirjoittamalla sivustosi URL-osoitteen.

21. Estä kuuma linkitys

Pikalinkitys ei sinänsä ole tietoturvaloukkausta, mutta koska se viittaa toiseen verkkosivustoon, joka käyttää sivustosi URL-osoitetta osoittamaan suoraan kuvaan tai muuhun mediatiedostoon, sitä pidetään varkautena. Sellaisenaan hotlink-linkitys voi johtaa odottamattomiin kustannuksiin paitsi siksi, että joudut käsittelemään laillisia seurauksia, myös koska hosting-laskusi voi mennä katon läpi, jos kuvasi varastanut sivusto saa paljon liikennettä.

Lisää alla oleva koodi .htaccess-tiedostoosi, jos käytät Apache-palvelinta, ja korvaa valeverkkotunnus todellisella verkkotunnuksella:

RewriteEngine päälle

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Vaihtoehtoisesti, jos käytät NGINX-palvelimia, haluat muokata konfigurointitiedostoasi seuraavalla:

sijainti ~. (gif | png | jpe? g) $ {

valid_referers yksikään ei ole estänyt ~ .google. ~ .Bing. ~ .yahoo verkkotunnuksesi.com * .omaverkkotunnuksesi.com;

if ($ invalid_referer) {

paluu 403;

}

}

22. Kirjaudu ulos joutokäyttäjät

Tämän oppaan viimeinen vinkki sivuston tietoturvan parantamiseksi on, että käyttämättömät käyttäjät kirjautuvat ulos käyttämättömyyden jälkeen. Voit käyttää laajennusta kuten Passiivinen uloskirjautuminen lopettaa passiiviset istunnot automaattisesti.

Passiivinen uloskirjautuminen

Tämä on välttämätöntä, koska jos kirjaudut sisään verkkosivustoosi lisätäksesi uuden blogiviestin ja saadaksesi huomion muihin tehtäviin, istuntosi voidaan kaapata ja hakkerit voivat väärinkäyttää tilannetta tartuttaaksesi sivustosi. Vielä tärkeämpää on lopettaa passiiviset istunnot, jos sivustollasi on useita käyttäjiä.

Kuinka toipua hakata

Yllä olevat turvatoimet ovat loistava tapa suojata sivustosi. Mutta entä jos sivustosi hakkeroidaan joka tapauksessa? Tässä on muutama vaihe, jota sinun on noudatettava, jos verkkosivustosi hakkeroidaan.

1. Vahvista hakkerointi ja vaihda salasanasi

Jos sivustosi hakkeroitiin, älä paniikki. Tämä ei auta sinua ja teko on tehty, joten on tärkeää toimia nopeasti. Aloita tarkistamalla sivustosi ja katso, voitko kirjautua sisään kojelautaan. Tarkista, ohjaako sivustosi toiseen sivustoon vai näetkö epäilyttäviä tai outoja linkkejä tai mainoksia.

Vaihda salasanasi välittömästi ja siirry seuraavaan vaiheeseen.

2. Ota yhteyttä hosting-yritykseesi

Ota yhteyttä isäntään ja kerro heille, että sivustosi on hakkeroitu. Niiden avulla voit tunnistaa hakkeroinnin lähteen. Jotkut isännät puhdistavat myös sivustosi ja poistavat haitallisen koodin ja tiedostot.

Palauta sivustosi varmuuskopion avulla

Jos olet huolellisesti varmuuskopioinut sivustosi, etsi varmuuskopio ennen hakkerointia ja käytä sitä sivustosi palauttamiseen. Vaikka saatat menettää osan sisällöstä, voit saada sivustosi toimimaan niin kuin se oli ennen hyökkäystä.

3. Tarkista sivustosi haittaohjelmien varalta

Käytä Sucurin ilmaista skanneria skannataksesi sivustosi haittaohjelmien varalta ja tunnistamaan vahingoittuneet tiedostot. Voit myös valita heidän sivustonsa puhdistuspalvelun, jos et tiedä miten poistaa haittaohjelmat itse.

4. Tarkista sivustosi käyttäjät

Kirjaudu WordPress-verkkosivustoosi ja siirry kohtaan Käyttäjät> Kaikki käyttäjät. Varmista, että ei ole käyttäjiä, joiden ei pitäisi olla paikalla, ja poista heidät tarvittaessa.

5. Vaihda salaiset avaimet

Luo uusia suojausavaimia yllä mainitulla WordPress-suolaavaingeneraattorilla ja lisää ne wp-config.php-tiedostoosi. Koska nämä avaimet salaavat salasanasi, hakkerit pysyvät kirjautuneina sisään, kunnes heidän evästeensä ovat kelvottomia. Uudet suojausavaimet tekevät juuri tämän ja pakottavat hakkerit pois sivustoltasi.

6. Palkkaa ammattilainen

Lopuksi palkkaa ammattilainen puhdistamaan hakkerointi ja poistamaan haittaohjelmat sivustoltasi. Muista, että hakkerit voivat piilottaa haittakoodit useisiin tiedostoihin, joten jos et ole kokenut haittaohjelmien poistamista, tartunnan saaneen tiedoston on helppo unohtaa. Tämän ansiosta hakkerit voivat helposti hakkeroida sivustosi uudelleen, joten ammattilaisten palkkaaminen on erittäin suositeltavaa.

7 yleisintä WordPress-haavoittuvuustyyppiä

Ennen kuin jatkamme tämän artikkelin luomista, puhutaan huoneessa olevasta norsusta: onko WordPress suojattu? Vastaus tähän kysymykseen on kyllä. WordPress-ohjelmiston ydin on turvallinen ja WordPressin takana oleva yritys ottaa tietoturvaa vakavasti.

Heidän turvallisuusjoukkue Aluksella on 50 asiantuntijaa, joihin kuuluu johtavia kehittäjiä ja turvallisuustutkijoita, jotka työskentelevät kulissien takana varmistaakseen, että WordPress on suojattu.

Itse asiassa suurin osa tietoturvaongelmista ja riskeistä johtuu inhimillisistä virheistä yhdessä tietoturvahaavoittuvuuden kanssa.

WordPress-haavoittuvuuksia on seitsemän tyyppiä, joista sinun on oltava tietoinen:

  • Vanhentuneet WordPress-tiedostot
  • Takaovi hyödyntää
  • Pharma-hakkerit
  • Heikot salasanat
  • Haitalliset uudelleenohjaukset
  • Haavoittuvuudet isäntäalustalla
  • Palvelunestohyökkäykset

Mennään heidän yli ja selitetään mitä ne ovat.

1. Vanhentuneet WordPress-tiedostot

Vanhentuneet WordPress-tiedostot viittaavat WordPress-versio-, teema- ja laajennustiedostoihin. Ne aiheuttavat turvallisuusriskin, koska ne jättävät sivustosi alttiiksi muille haavoittuvuuksille, kuten takaoven hyväksikäytöille ja lääketieteellisille hakkereille.

Sinänsä sinun on siis varmistettava, että WordPress-asennus on ajan tasalla sekä teema ja laajennukset. Sinun tulisi ottaa päivitykset käyttöön ennakoivasti, kun ne julkaistaan, koska niihin ei sisälly vain uusia ominaisuuksia, vaan ne sisältävät myös erilaisia ​​tietoturva- ja virhekorjauksia.

2. Takaoven hyväksikäyttö

Kun kyse on takaportin hyväksikäytöstä, hakkerit hyödyntävät vanhentuneita WordPress-tiedostoja päästäkseen sivustoosi. Vanhentuneiden tiedostojen lisäksi ne voivat päästä sivustoosi myös SFTP: n, FTP: n ja vastaavien kautta.

Kun heillä on pääsy sivustoosi, he saastuttavat sivustosi ja voivat saastuttaa myös muita sivustoja, jotka ovat samassa palvelimessa kuin sivustosi. Takaovi-injektiot näyttävät tavallisilta WordPress-tiedostoilta kokemattomalle käyttäjälle. Mutta kulissien takana he hyödyntävät vanhentuneiden tiedostojen virheitä päästäkseen tietokantaan ja tuhotavat sivustosi sekä tuhannet muut sivustot.

3. Pharma Hacks

Pharma-hakkerit tarkoittavat vanhentuneiden WordPress-tiedostojen haavoittuvuuksien hyödyntämistä, kun hakkeri lisää koodin tiedostoihin. Kun koodi on lisätty, hakukoneet näyttävät lääketuotteiden mainoksia verkkosivustosi sijasta. Tämä voi johtaa hakukoneiden merkitsemään verkkosivustosi roskapostiksi.

4. Heikot salasanat

Heikot salasanat saattavat olla helppo muistaa, mutta niiden avulla hakkerit voivat myös helposti päästä sivustoosi raa'an hyökkäyksen avulla. Julma voimahyökkäys tapahtuu, kun hakkeri käyttää taustalla olevia automatisoituja skriptejä yrittääkseen erilaisia ​​käyttäjän ja salasanan yhdistelmiä, kunnes he löytävät toimivan yhdistelmän.

5. Haitalliset uudelleenohjaukset

Samoin kuin vanhentuneiden tiedostojen ja FTP- tai SFTP-protokollan käyttämisessä sellaisen koodin syöttämiseen, joka johtaa farmasekin hakkerointiin tai takaoven hyödyntämiseen, hakkerit käyttävät WordPress-asennuksen .htaccess-tiedostoa ohjaamaan kävijöitä haitalliselle verkkosivustolle..

Vierailijasi voivat sitten päätyä virukseen tai joutua tietojenkalastelun saaliin.

6. Hosting-alustan haavoittuvuudet

Joskus verkkosivustosi turvallisuus saattaa vaarantua, koska käytät isäntäyritystä, jolla ei ole suojausominaisuuksia, kuten palomuuri tai tiedostojen valvonta. Näin on yleensä halvempien isännöintipalveluntarjoajien tapauksessa, mikä tarkoittaa, että halvemman isäntävalinnan valitseminen maksaa ironisesti, jos sivustosi hakkeroidaan..

Muista, että halvemmat isäntäalustat aiheuttavat myös suuremman tietoturvariskin, koska sivustosi voi saada tartunnan tai hakkeroitu hakkereiden hyödyntäessä saman palvelimen isännöimän toisen sivuston haavoittuvuuksia..

7. Palvelunestohyökkäykset

Palvelunestohyökkäykset tai DDOS-hyökkäykset ovat vaarallisimpia uhkia mille tahansa verkkosivuston omistajalle. DDOS-hyökkäyksessä hakkeri hyödyntää virheitä ja virheitä koodissa, mikä aiheuttaa sivustosi käyttöjärjestelmän muistin häviämisen. DDOS-hyökkäykset vähentävät yleensä paljon sivustoja, jotka käyttävät tiettyä alustaa, kuten WordPress.

Nyt kun tiedät, mitkä ovat WordPressiin liittyvät yleiset haavoittuvuudet, siirrymme eteenpäin vinkkeihin, parhaisiin käytäntöihin ja tietosuojaa koskeviin suosituksiin, jotka auttavat suojaamaan WordPress-sivustosi.

Käärimistä

WordPress on tehokas ja suosittu CMS, jonka avulla jokaisen on helppo luoda verkkosivusto. Mutta koska se on niin suosittu, se on myös hakkereiden suosikki kohde. Onneksi on olemassa useita vaiheita, jotka voit suorittaa WordPress-sivustosi suojelemiseksi. Jos noudatat tämän artikkelin vinkkejä, sinulla on hyvät mahdollisuudet luoda turvallinen WordPress-verkkosivusto.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map