5 Заплахи за сигурността по подразбиране в WordPress и как да ги поправим

Защита на WordPress

WordPress е масово популярен, напълно отворен код на софтуер. Страхотното нещо за това, което е важно за сигурността, е, че има огромна общност, която работи с него, които са в състояние да откриват грешки, както и рискове за сигурността по-бързо, отколкото може би с вътрешно CMS решение. (Трудно е да разбереш за слабостите, когато един от начините да разбереш всъщност е използването на слабостта, а наличието на огромна база от потребители прави откриването много по-вероятно.)


Недостатъкът е, че хакерите с лоши намерения знаят точно как е изграден уебсайтът ви. Те вече имат „чертеж“ към вашия сайт. И ако има някакви слабости в ядрото, темите или плъгините, които използвате, това е нещо, което те ще могат да знаят, без изобщо да получат достъп до задния сайт на вашия сайт.

Така че в тази публикация ще ви покажа как да коригирате 5 заплахи за сигурността, които присъстват във всяка напълно инсталирана инсталация на WordPress. (Ако вече сте взели някои предпазни мерки, може да откриете, че вече сте поправили една или две, но е важно да оправите всичките пет, за да сведете до минимум риска от хакване.)

Вашият сайт показва, че използвате WordPress, плюс версията

Версия на WordPress

Версията на WordPress по подразбиране ще има редове от код, които раздават, че вашият сайт е изграден с помощта на WordPress, дори до версията на хората, които знаят къде да търсят. В зависимост от темата, тя може дори да бъде показана визуално на всяка страница на вашия уебсайт.

Причината това може да представлява риск за сигурността е, че хората могат да се насочват към вашия сайт без друга причина освен това, че той е изграден на WordPress. Ако някой намери слабост в сигурността в ядрото на WordPress, тема или плъгин, той може да намери своя път към вашия сайт, за да го използва. Докато ако успешно сте скрили, че вашият сайт е създаден с WordPress, хората, които търсят сайтове в WordPress, използвайки ботове или роботи, ще бъдат подмамени да мислят, че вашият сайт не е жизнеспособна цел.

Как да го поправим:
За да коригирате това, можете да използвате Pidegin Hide My WP. С този полезен малък плъгин можете да избегнете ненужния трафик на вашия сървър и в същото време да останете в безопасност от атаки, насочени конкретно към WordPress сайтове.

Всеки знае къде се намира вашата страница за вход / административна зона

WordPress Вход

Ако все още показвате, че използвате WordPress (известен още като, че не го криете активно, например използвайки плъгин като Hide My WP), хората с лоши намерения вече ще знаят къде да опитат груба атака на вашия сайт.

Как да го поправим:
За да коригираме тази заплаха и драстично да намалим шансовете за хакване и да намалим стреса на сървъра, трябва да спрем злонамерените хора и ботовете да достигнат до нашата страница за вход.

Има два основни начина за това. Можете или да промените физическото местоположение на вашата страница за вход на нещо друго, като използвате плъгин (или няколко реда код), или можете да ограничите достъпа до вашата страница за вход и администраторска област чрез IP адреси. Можете да направите това с плъгин, посветен на това конкретно нещо, или с приставка за сигурност като Sucuri, Wordfence, iThemes Security Pro или Всичко в едно WP сигурност и защитна стена.

WordPress има префикс на таблица по подразбиране, който всички използват

Префикс за таблица на WordPress

Префиксът на таблицата е това, което идва преди имената на таблиците във вашата база данни. Вместо потребители със стандартния префикс WordPress, това ще бъде wp_users. Ако използвате префикса на таблицата по подразбиране, той улеснява хората да получат достъп до вашия сайт, като използват възможни слабости в инжектирането на sql. Тъй като те знаят точно къде да въвеждат информация във вашата база данни, за да получат достъп до вашия сайт.

Всъщност имах хакнат един от сайтовете ми поради инжектиране на sql, така че това е много реална заплаха, че трябва да предприемете мерки за противодействие.

Как да го поправим:
За щастие е много лесно да премахнете тази заплаха. Ако вече сте инсталирали WordPress, използвайки префикса wp_ по подразбиране, можете лесно да го промените с помощта на приставка като Sucuri. Първо, трябва да архивирате базата си данни, преди да използвате тази опция, тъй като има малка вероятност нещо да се обърка. Можете да направите това с натискането на бутон. След това можете да изберете нов префикс или просто да оставите Sucuri произволно да генерира новия за вас префикс.

Забележка: Ако просто инсталирате WordPress за първи път, можете да го промените в инсталационния интерфейс.

Темите за WordPress и темите за плъгини могат да се редактират чрез таблото за управление

WordPress Plugin Editor

Проблемът с това е, че ако хакер получи достъп до вашия уебсайт, той може да нанесе много щети. Те могат да накарат уебсайта ви да заразява други хора със злонамерен софтуер (което може да завърши с това, че сайтът ви ще бъде поставен в черния списък на Google и деиндексиран от търсачките), да зачерпи уебсайта ви или лесно да се отвори на заден план.

Как да го поправим:
Можете или да добавите този ред код към вашия wp-config.php файл:

define ('DISALLOW_FILE_EDIT', вярно);

Или използвайте плъгин за защита, за да го направите вместо вас (който по принцип ще вмъкне само този ред код за вас). Единственият проблем е, че има плъгини, които позволяват на хората да включват и изключват тази способност, така че много специализиран хакер може да може да инсталира плъгин, да го включи и след това да получи достъп до редактиране на код без достъп до FTP.

Ако искате да бъдете изключително задълбочени и да се предпазите от това, можете да деактивирате всички актуализации / инсталации на плъгини и теми, като добавите този ред код към wp-config.php:

define ('DISALLOW_FILE_MODS', вярно);

Но очевидно това би означавало, че ще трябва да променяте стойността си на фалшив всеки път, когато искате да актуализирате или инсталирате приставка или тема (ние наистина не препоръчваме тази опция, тъй като поддържането на теми и приставки е един от най-добрите начини за да се гарантира, че вашият сайт е по-малко уязвим).

WordPress има много отворени настройки на защитната стена, които могат да позволят дори известни злонамерени ботове да атакуват атаки

WordPress защитни стени

Настройките на защитната стена по подразбиране на WordPress всъщност са от либералната страна. Това означава, че някои нежелани ботове и други нежелани посетители получават зелена светлина.

Как да го поправим:
Можете да направите това по-добре, като инсталирате основните правила за защитна стена на черен списък от 5G, като го копирате ръчно във вашия .htaccess файл (можете да го намерите тук) или като инсталирате този плъгин, или използвайте приставка за защита, за да оптимизирате по-добре правилата във вашия .htaccess.

Неограничени опити за влизане в WordPress

Въпреки че настройката по подразбиране наистина е неограничен опит за вход, може да сте избрали да ограничите опитите за влизане, когато инсталирате WordPress на вашия сайт. Ако обаче не сте го направили, това е невероятно лесно поправяне.

Как да го поправим:
Просто инсталирайте Ограничете входа за опити за плъгин. Или, ако използвате хостинг на WPEngine, това е функция, която те вече са вградени за вас – не се изисква добавка! Ако вече защитавате зоната си за вход, като разрешавате само на собствените си IP адреси да имат достъп до панела за управление, няма да е необходимо да правите това. Но ако просто скрихте адреса на страницата си за вход, това е хубава двойна защита от евентуални груби атаки.

заключение

Кибер престъпността бързо се разраства и интернет е на път да стане дом за повече престъпници, отколкото „реалният свят“. В някои страни това вече се е случило. И макар че голяма част от това е измама с кредитни карти и банки, все повече нараства хакерите и като собственици на уебсайтове трябва да защитаваме себе си и сайтовете си възможно най-добре..

Докато инсталирането на WordPress по подразбиране има някои слабости, красотата на WordPress наистина е в лекотата, на която можете да решите почти всичките си проблеми със своя сайт, включително заплахите за сигурността, споменати в тази публикация. Освен, че имате уникално потребителско име и силна парола, като инсталирате приставка за защита, редактирате някои настройки и може би вмъквате ред или два кода, вече можете значително да намалите риска вашия сайт да бъде хакнат или да бъде заразен със злонамерен софтуер.

Взели ли сте някакви мерки за подобряване на сигурността на вашия WordPress сайт? Какъв вид? Ще се радваме да чуем някои от вашите съвети и трикове! Моля, уведомете ни в коментарите.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map