6 powodów, dla których Twoja witryna WordPress może być podatna na ataki hakerów

Opublikowany: 2019-04-26

Dzięki znakomitym funkcjom i opcjom dostosowywania, które zapewnia WordPress, nie jest zaskoczeniem, że prawie 33% stron internetowych korzysta z WordPress CMS. Jednak potencjalne problemy z bezpieczeństwem to coś, co może wrócić do zgryzu właścicieli witryn.

W rzeczywistości z 8000 zhakowanych stron internetowych przeanalizowanych w ostatnim badaniu 74% korzystało z WordPressa.

Jeśli korzystasz z witryny WordPress, ważne jest, aby upewnić się, że zabezpieczenia są odpowiednio skonfigurowane, aby zminimalizować ryzyko.

Więc jaki jest najlepszy sposób działania?

Poniższe problemy z bezpieczeństwem są jednymi z najważniejszych i mogą narazić Twoją witrynę WordPress na ataki hakerów. Ważne jest, aby zidentyfikować te problemy i je naprawić; od razu.

1. Niezabezpieczona usługa hostingowa

Jednym z głównych zasobów związanych z tworzeniem strony internetowej jest hosting.

Od wydajności Twojej witryny po jej bezpieczeństwo, Twoja usługa hostingowa może na to wszystko wpłynąć. W związku z tym ważne jest, aby wybrać dostawcę usług hostingowych, który oferuje odpowiednie zabezpieczenia.

Gdy rozważasz i analizujesz opcje hostingu, poniższe wskazówki powinny Ci pomóc.

    • Przejrzyj wszystkie funkcje bezpieczeństwa, które zapewnia.
    • Zrozum, że jeśli chodzi o hosting, drogi nie zawsze oznacza lepszy.
    • Niektórzy dostawcy mają swoje podstawowe plany kosztujące tyle samo, co plany z wyższej półki innych dostawców hostingu. Nie zawsze oznacza to, że można je porównać.
    • Poznaj różnicę między dwoma najpopularniejszymi rodzajami usług hostingowych.

       Hosting współdzielony:
       Usługa hostingu współdzielonego oferuje podstawowe skanowanie bezpieczeństwa, które może wykryć złośliwe oprogramowanie WordPress.
       Pozwala także śledzić użytkowników odwiedzających Twoją witrynę. Może to pomóc w identyfikacji szkodliwych użytkowników i blokowaniu ich adresów IP.
       Główną atrakcją usługi hostingu współdzielonego jest możliwość hostowania więcej niż jednej witryny, co czyni ją znacznie tańszą niż inne typy hostingu.

       Zarządzany hosting:
       Jest to usługa hostingowa, która zapewnia zaporę ogniową dla bezpieczeństwa wraz z rutynowym skanowaniem złośliwego oprogramowania.
       Niektórzy dostawcy oferują „usługi hostingu zarządzanego”, które ograniczają dostęp do plików i folderów WordPress, aby zapewnić ich bezpieczeństwo.
       Na przykład WP-Engine zapobiega zmianom we wszystkich plikach PHP, podczas gdy Pantheon nie pozwala na zapisywanie w folderach poza folderem zawierającym dane motywu i wtyczki.
  • Przetestuj obsługę klienta:
     Obsługa klienta to kolejny czynnik, który należy wziąć pod uwagę przy porównywaniu dostawców usług hostingowych.

     Niezależnie od tego, czy jest to trywialny problem, czy całkowity awaria; jeśli chodzi o usługę hostingową, dostawca powinien oferować pełną obsługę klienta.

     Aby dowiedzieć się, jak wykwalifikowany jest system wsparcia dostawcy, po prostu uzyskaj jego dane kontaktowe i skontaktuj się z nim. Zadaj im wszystkie pytania i zobacz, jak cierpliwi i chętni są do współpracy, odpowiadając na Twoje obawy.

     Na podstawie tego doświadczenia dowiesz się, jak zareagują w przypadku naruszenia bezpieczeństwa. Powinno to pomóc Ci zdecydować, czy chcesz od nich kupować, czy nie.

Jeśli kupiłeś już plan hostingowy od złego dostawcy, nie martw się. Nie musisz czekać na wygaśnięcie planu. Usługi takie jak BlogVault i Migrate Guru mogą pomóc w migracji do różnych dostawców hostingu bez żadnych kłopotów.

2. Aktualizacje systemu

Jak każdy inny CMS, WordPress wymaga regularnej aktualizacji. Zignorowanie tego może spowodować, że Twoja witryna WordPress będzie potencjalnym zagrożeniem bezpieczeństwa.

W rzeczywistości 80% zhakowanych witryn WordPress korzystało z przestarzałych motywów i/lub wtyczek. Otwierające oczy, prawda?

Będąc CMS typu open source z tysiącami programistów pracujących nad różnymi motywami i wtyczkami, Twój pulpit nawigacyjny WordPress może otrzymywać wiele aktualizacji na podstawie używanych wtyczek i motywów.

Musisz upewnić się, że wszystkie podstawowe motywy i wtyczki są zaktualizowane do najnowszej wersji.

 Kroki aktualizacji wtyczki:

  • Otwórz pulpit WordPress i przejdź do Wtyczki > Zainstalowane wtyczki
  • Pulpit nawigacyjny przeniesie Cię na stronę wyświetlającą zainstalowane wtyczki.

     Zidentyfikuj oczekujące wtyczki i aktualizacje, a następnie kliknij „Aktualizuj teraz”.

Podobnie możesz aktualizować motywy w swojej witrynie w podobny sposób, przechodząc do opcji Wygląd > Motywy.

Odblokuje to również najnowsze funkcje dodane do motywu/wtyczki/systemu. Pomaga to jednocześnie zachować bezpieczeństwo i stabilność Twojej witryny.

3. Pirackie motywy lub wtyczki

Chociaż skonfigurowanie witryny WordPress nie wypali Ci dziury w kieszeni, dzięki czemu będzie ona estetyczna i bogata w funkcje, ponieważ dobry motyw/wtyczka WordPress może kosztować od 10 do 200 USD.

Aby uciec od tych „rzekomo” nieproszonych kosztów, webmasterzy często wybierają tańszą drogę i używają zerowych/pirackich wtyczek/motywów, które są dostępne za darmo lub po znikomych cenach.

Jakie są tego skutki?

Odnotowano wiele przypadków, w których witryna korzystająca z motywu zerowego nieświadomie przyznała hakerom dostęp do backdoora za pośrednictwem adresu URL: http://www.example.xyz?backdoor=go

 Hakerzy mogli uzyskać dostęp do witryny, ponieważ adres URL uruchomił backdoora do witryny, tworząc nowe konto administratora WordPress z następującymi danymi uwierzytelniającymi:

 Nazwa użytkownika: backdooradmin
 Hasło: Pa55W0rd

Jest to zazwyczaj wynikiem dodatkowego krótkiego kodu, który został dodany do pliku functions.php przez faktycznego właściciela motywu.

Aby uchronić Twoją witrynę przed takimi zagrożeniami. Zawsze kupuj motywy i wtyczki z oficjalnego repozytorium WordPressa lub innych zaufanych źródeł, takich jak Theme Forest lub Themeisle.

4. Dane logowania fikcyjnego

Domyślna strona logowania:
 Używanie tych samych starych nazw użytkownika i łatwych do odgadnięcia haseł znacznie ułatwia życie hakerom próbującym dostać się do zaplecza Twojej witryny.

Jak naprawić?

  • Problem z nazwą użytkownika i hasłem:
     Spróbuj utworzyć nazwę użytkownika i hasło, których nie używałeś na innym koncie.

     Pamiętaj, że bardzo ważne jest posiadanie unikalnej nazwy użytkownika. Jeśli nazwa użytkownika jest łatwa do odgadnięcia, jedyną rzeczą, którą będzie musiał dowiedzieć się haker, jest Twoje hasło.

     Pamiętaj, aby nigdy nie wyświetlać swojej nazwy użytkownika w swojej witrynie. Zrobienie tego byłoby jak danie hakerom osobistego zaproszenia do ucztowania na pulpicie WordPress. Zamiast tego użyj pseudonimu lub tytułu innego niż nazwa użytkownika. Problem z domyślnym adresem URL strony logowania: www.twojastrona.com/wp-admin

     Jest to najłatwiejszy i najczęstszy wybór adresu URL strony logowania WordPress, który naraża Twoją witrynę na ataki hakerów.

     Większość hakerów nie atakuje ręcznie. Programują boty, aby uzyskać dostęp do stron logowania i łamać dane logowania do docelowych witryn.

     Korzystanie z domyślnego adresu URL strony logowania zmniejszy pracę botów i hakerów próbujących dostać się do Twojej witryny.

     Najlepszym wyjściem jest zmiana domyślnego adresu URL logowania.

     Na przykład zmiana – www.twojawitryna.com/wp-admin na www.twojawitryna.com/welcometomywitryna

     Aby to zrobić, wykonaj te proste kroki.

     – Najpierw wykonaj pełną kopię zapasową witryny WordPress za pomocą UpdraftPlus.

    – Następnie zainstaluj i aktywuj wtyczkę „Easy Hide Login” (za darmo).
    – Przejdź do ustawień wtyczki i prześlij wybrany przez siebie slug logowania (np. „welcometomysite”).

     – Spowoduje to zmianę adresu logowania do WordPressa z yoursite.com/wp-admin na yoursite.com/welcometomysite i znacznie utrudni włamanie do Twojej witryny.


 5. Zapisywalne pliki PHP

Podobnie jak każdy inny program komputerowy w sieci lub poza nią, witryna WordPress również składa się z plików i folderów.

Jednym z tych folderów jest folder „Przesłane”. Ten folder przechowuje wszystkie dane motywów i wtyczek dla Twojej witryny.

Potencjalni hakerzy mogą znaleźć sposób na przesłanie kodu PHP do tego folderu, aby uzyskać dostęp do Twojej witryny.

Gdy hakerzy uzyskają dostęp za pomocą tej metody, mogą ukraść treści, które planowałeś opublikować w przyszłości, a także inne ważne zasoby, takie jak adresy e-mail z Twojej listy mailingowej. Mogą również sprzedawać linki zwrotne z Twojej witryny lub wykorzystywać Twoje treści do tworzenia linków do swoich witryn bez Twojej wiedzy. A co najgorsze, mogą zniszczyć całą witrynę i ją usunąć.

Najgorszą częścią tego typu włamań jest to, że nie będziesz wiedział o niczym, dopóki Twój dostawca hostingu lub wyszukiwarka nie zbanuje Twojej witryny.

Aby się przed tym uchronić, możesz wyłączyć wykonywanie PHP, wykonując następujące kroki.

  • Utwórz plik .htaccess w folderze „Uploads” w katalogu głównym witryny w cPanel.

  • Utwórz nowy plik za pomocą Notatnika (w systemie Windows) lub TextEdit (w systemie Mac).
  • Wklej następujący kod do tego pliku i zapisz go jako .htaccess (nie jako .htaccess.txt).

     # ROZPOCZNIJ WordPress

     RewriteEngine włączony
     Przepisz bazę /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     Przepisz regułę . /indeks.php [L]
     # KONIEC WordPress
  • Prześlij ten plik do folderu „Przesłane”.
  • Teraz masz nowy plik .htaccess przeznaczony specjalnie dla Twojego folderu „Przesłane”. Kliknij prawym przyciskiem myszy, aby go edytować i wklej następujący kod.


     Zamów Zezwól, Odrzuć
     Odmowa od wszystkich

Po wykonaniu powyższych kroków Twoja strona internetowa uniemożliwi wykonywanie jakichkolwiek obcych plików zawierających 'PHP'. Ta zmiana doda kolejną cegiełkę do ściany bezpieczeństwa Twojej witryny.

Pamiętaj też, że korzystanie z tej metody jest nieco ryzykowne. Nawet błahy błąd może uszkodzić Twoją witrynę. Jeśli więc nie masz pewności co do korzystania z cPanel, skonsultuj się z kimś, kto jest.

6. Brak certyfikatu SSL

Chociaż http://yoursite.com i https://yoursite.com ładują tę samą stronę internetową, istnieje niewielka różnica, która może zerwać umowę.

Certyfikat SSL.

Pierwszy adres URL w powyższym przykładzie nie używa certyfikatu SSL, podczas gdy drugi przykład tak.

 Może to znacznie wpłynąć na bezpieczeństwo witryny, narażając komunikację między urządzeniem odwiedzającego a Twoimi serwerami internetowymi.

Certyfikat SSL szyfruje informacje, dzięki czemu nikt poza zamierzonymi odbiorcami nie ma do nich dostępu. Aby zabezpieczyć swoją witrynę przed takimi wyciekami, zaleca się jak najszybsze zainstalowanie certyfikatu SSL.

 Instalacja certyfikatu SSL jest zwykle prosta i łatwa do wykonania. Zwykle możesz kupić certyfikat SSL od swojego dostawcy hostingu, ale jeśli nie sprzedaje usługi SSL, powinieneś rozważyć zakup od innego dostawcy.

Uzyskanie certyfikatu SSL od dostawcy hostingu pozwoli również zaoszczędzić kłopotów związanych z instalacją. Skonfigurują wszystko i wystarczy przekierować strony „http” na „https”.

W podsumowaniu

Brak zabezpieczenia witryny WordPress przed zagrożeniami bezpieczeństwa może zaszkodzić Twojej firmie na wiele sposobów. Nie jest niespodzianką, że wszyscy webmasterzy muszą zwracać uwagę na bezpieczeństwo witryny i mieć odpowiednią wtyczkę i system do tworzenia kopii zapasowych. Pomimo wszelkich starań, jeśli zdarzy się najgorsze, a Twoja witryna zostanie poddana złośliwemu atakowi; UpdraftPlus może zapewnić bezpieczną opcję tworzenia kopii zapasowych i przywracania. Pomoże to zapewnić, że Twoja witryna zawsze będzie miała wszystkie ważne zabezpieczenia, nawet w przypadku włamania.

W tym poście przeczytałeś o 6 lukach, które mogą potencjalnie zagrozić bezpieczeństwu Twojej witryny WordPress z powodu hakerów. Mamy nadzieję, że ten artykuł pomógł Ci zabezpieczyć witrynę i przenieść ją na wyższy poziom.

By Vaibhav Kakkar

6 powodów, dla których Twoja witryna WordPress może być podatna na ataki hakerów, pojawiło się najpierw w UpdraftPlus. UpdraftPlus – Wtyczka do tworzenia kopii zapasowych, przywracania i migracji dla WordPress.