6 motive pentru care site-ul dvs. WordPress poate fi vulnerabil la hackeri

Publicat: 2019-04-26

Cu caracteristicile geniale și opțiunile de personalizare pe care le oferă WordPress, nu este surprinzător faptul că aproape 33% dintre site-uri web folosesc WordPress CMS. Cu toate acestea, potențialele probleme de securitate sunt ceva care poate reveni la proprietarii de site-uri.

De fapt, din cele 8.000 de site-uri piratate analizate într-un studiu recent, 74% foloseau WordPress.

Dacă utilizați un site web WordPress, este important să vă asigurați că securitatea este configurată corect pentru a minimiza riscul.

Deci, care este cel mai bun curs de acțiune de luat?

Următoarele probleme de securitate sunt unele dintre cele mai vitale și ar putea lăsa site-ul dvs. WordPress vulnerabil în fața hackerilor. Este important să identificați aceste probleme și să le remediați; pe loc.

1. Serviciu de găzduire nesecurizat

Una dintre resursele majore pentru realizarea unui site web este gazduirea web.

De la performanța site-ului dvs. la securitatea acestuia, serviciul dvs. de găzduire poate afecta totul. Ca atare, este esențial să alegeți un furnizor de găzduire care oferă securitate adecvată.

Pe măsură ce vă gândiți și analizați opțiunile de găzduire, următoarele sfaturi ar trebui să vă ajute.

    • Parcurgeți toate caracteristicile de securitate pe care le oferă.
    • Înțelegeți că atunci când vine vorba de găzduire, scump nu înseamnă întotdeauna mai bine.
    • Unii furnizori au planurile lor entry-level care costă la fel de mult ca planurile high-end ale altor furnizori de găzduire. Acest lucru nu înseamnă întotdeauna că pot fi comparate.
    • Aflați diferența dintre cele mai populare două tipuri de servicii de găzduire.

       Gazduire partajata:
       Un serviciu de găzduire partajată oferă scanări de securitate de bază care pot detecta malware WordPress.
       De asemenea, vă permite să urmăriți vizitatorii care vin pe site-ul dvs. Acest lucru vă poate ajuta să identificați vizitatorii dăunători și să blocați adresele IP ale acestora.
       Principalul punct culminant al unui serviciu de găzduire partajată este capacitatea sa de a găzdui mai mult de un site web, ceea ce îl face, de asemenea, mult mai ieftin decât alte tipuri de găzduire.

       Găzduire gestionată:
       Acesta este serviciul de găzduire care oferă un firewall pentru securitate împreună cu o scanare de rutină a malware.
       Unii furnizori oferă „servicii de găzduire gestionate” care restricționează accesul la fișierele și folderele WordPress pentru a le menține în siguranță.
       De exemplu, WP-Engine previne modificări în toate fișierele PHP, în timp ce Pantheon nu permite scrierea în foldere, cu excepția celui care conține teme și date plugin.
  • Testați asistența pentru clienți:
     Asistența pentru clienți este un alt factor pe care trebuie să îl luați în considerare atunci când comparați furnizorii de găzduire.

     Fie că este o problemă banală sau o defecțiune completă; dacă este vorba despre serviciul de găzduire, furnizorul ar trebui să ofere asistență completă pentru clienți.

     Pentru a afla cât de calificat este sistemul de asistență al unui furnizor, pur și simplu obțineți detaliile de contact și contactați-i. Pune-le toate întrebările tale și vezi cât de răbdători și cooperanți sunt în timp ce abordează preocupările tale.

     Pe baza acestei experiențe, îți vei face o idee despre cum vor reacționa aceștia în cazul unei breșe de securitate. Acest lucru ar trebui să vă ajute să decideți dacă doriți să cumpărați de la ei sau nu.

Dacă ați achiziționat deja un plan de găzduire de la furnizorul greșit, nu vă faceți griji. Nu trebuie să așteptați ca planul să expire. Servicii precum BlogVault și Migrate Guru vă pot ajuta să migrați la diferiți furnizori de găzduire fără probleme.

2. Actualizări de sistem

Ca orice alt CMS, WordPress necesită actualizare regulată. Ignorarea acestui lucru ar putea face site-ul dvs. WordPress un potențial risc de securitate.

De fapt, 80% dintre site-urile WordPress care au fost sparte rulau teme și/sau plugin-uri învechite. Ochi care deschide, nu?

Fiind un CMS open source cu mii de dezvoltatori care lucrează pe diferite teme și pluginuri înseamnă că tabloul de bord WordPress poate primi multe actualizări pe baza pluginurilor și temelor pe care le utilizați.

Trebuie să vă asigurați că toate temele și pluginurile de bază sunt actualizate la cea mai recentă versiune.

 Pași pentru a actualiza un plugin:

  • Deschideți tabloul de bord WordPress și accesați Plugin-uri > Plugin-uri instalate
  • Tabloul de bord vă va duce la pagina care afișează pluginurile pe care le-ați instalat.

     Identificați pluginurile care sunt în așteptare și actualizați și faceți clic pe „actualizare acum”.

În mod similar, puteți actualiza temele de pe site-ul dvs. în același mod, accesând Aspect > Teme.

Acest lucru va debloca, de asemenea, cele mai recente funcții adăugate temei/pluginului/sistemului. Acest lucru ajută la menținerea securității și stabilității site-ului dvs. în același timp.

3. Teme sau plugin-uri piratate

În timp ce configurarea unui site web WordPress nu vă va face o gaură în buzunarul, făcându-l plăcut din punct de vedere estetic și bogat în caracteristici, deoarece o temă/plugin WordPress bun vă poate costa oriunde între 10 USD și 200 USD.

Pentru a scăpa de aceste costuri „presupus” neinvitate, webmasterii iau adesea calea mai ieftină și folosesc pluginuri/teme anulate/piratate, care sunt disponibile gratuit sau la prețuri neglijabile.

Care sunt rezultatele acestui lucru?

Au existat o serie de cazuri în care un site web care folosea o temă anulată a acordat fără să vrea acces din backdoor hackerilor prin adresa URL: http://www.example.xyz?backdoor=go

 Hackerii au reușit să acceseze site-ul, deoarece adresa URL a declanșat o ușă în spate către site, creând un nou cont de administrator WordPress cu următoarele acreditări:

 Nume de utilizator: backdooradmin
 Parola: Pa55W0rd

Acesta este, în general, rezultatul unui cod scurt suplimentar care a fost adăugat la fișierul functions.php de către proprietarul actual al temei.

Pentru a vă salva site-ul de astfel de riscuri. Achiziționați întotdeauna teme și pluginuri din depozitul oficial WordPress sau din alte surse de încredere, cum ar fi Theme Forest sau Themeisle.

4. Detalii de conectare false

Pagina de conectare implicită:
 Folosirea acelorași nume de utilizator vechi și a parolelor ușor de ghicit face viața mult mai ușoară hackerilor care încearcă să intre în back-end-ul site-ului dvs.

Cum se remediază?

  • Problemă cu numele de utilizator și parola:
     Încercați să creați un nume de utilizator și o parolă pe care nu le-ați folosit pentru alt cont.

     Vă rugăm să rețineți că este esențial să aveți un nume de utilizator unic. Dacă numele de utilizator este ușor de ghicit, singurul lucru pe care un hacker va trebui să-l afle este parola ta.

     Asigurați-vă că nu vă afișați niciodată numele de utilizator pe site-ul dvs. Pentru a face acest lucru, ar fi ca și cum le-ați oferi hackerilor o invitație personală de a se petrece pe tabloul de bord WordPress. În schimb, utilizați o poreclă sau un titlu diferit de numele de utilizator. Problemă cu adresa URL a paginii de conectare implicită: www.site-ul tău.com /wp-admin

     Aceasta este cea mai simplă și cea mai comună alegere a adresei URL a paginii de conectare WordPress, ceea ce vă lasă site-ul vulnerabil în fața hackerilor.

     Majoritatea hackerilor nu atacă manual. Ei programează roboți pentru a accesa paginile de conectare și pentru a sparge acreditările de conectare ale site-urilor țintă.

     Utilizarea adresei URL implicite a paginii de conectare va reduce munca pentru roboții și hackerii care încearcă să intre pe site-ul dvs.

     Cea mai bună cale de ieșire este schimbarea adresei URL implicite de conectare.

     De exemplu, schimbarea – www.yoursite.com/wp-admin în www.yoursite.com/welcometomysite

     Pentru a face acest lucru, urmați acești pași simpli.

     – Mai întâi, faceți o copie de rezervă completă a site- ului dvs. WordPress folosind UpdraftPlus.

    – Apoi instalați și activați pluginul „Easy Hide Login” (este gratuit).
    – Accesați setările pluginului și trimiteți opțiunea de conectare (cum ar fi „welcometomysite”).

     – Acest lucru vă va schimba adresa de conectare WordPress de la site-ul dumneavoastră.com/wp- admi n la site-ul dumneavoastră.com/ welcometomysite și va face mult mai dificil pentru oameni să vă pirateze site-ul.


 5. Fișiere PHP inscriptibile

La fel ca orice alt program de calculator de pe sau în afara web, un site web WordPress constă, de asemenea, din fișiere și foldere.

Unul dintre aceste foldere este folderul „Încărcări”. Acest folder stochează toate temele și datele pluginurilor pentru site-ul dvs.

Potențialii hackeri pot găsi o modalitate de a încărca un cod PHP în acest folder pentru a obține acces la site-ul dvs.

Odată ce hackerii au acces prin această metodă, ei pot fura conținut pe care plănuiai să îl publicați în viitor, împreună cu alte resurse importante, cum ar fi adresele de e-mail din lista dvs. de corespondență. De asemenea, aceștia pot vinde back-link-uri de pe site-ul dvs. sau pot folosi conținutul dvs. pentru a crea link-uri către site-urile lor fără știrea dvs. Sau, cel mai rău, pot distruge întregul site web și îl pot da jos.

Cea mai proastă parte a acestui tip de hack este că nu veți ști despre toate acestea până când furnizorul dvs. de găzduire sau un motor de căutare nu vă interzice site-ul.

Pentru a vă salva de acest lucru, puteți dezactiva execuția PHP prin următorii pași.

  • Creați un fișier .htaccess în folderul „Încărcări” din directorul rădăcină al site-ului dvs. în cPanel.

  • Creați un fișier nou cu Notepad (pe Windows) sau TextEdit (pe Mac).
  • Lipiți următorul cod în acest fișier și salvați-l ca .htaccess (nu ca .htaccess.txt).

     # ÎNCEPE WordPress

     RewriteEngine Pornit
     RewriteBase /
     RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
     RewriteCond %{REQUEST_FILENAME} !-d
     RewriteRule . /index.php [L]
     # Terminați WordPress
  • Încărcați acest fișier în folderul „Încărcări”.
  • Acum, aveți un nou fișier .htaccess special pentru folderul „Încărcări”. Faceți clic dreapta pentru a-l edita și lipiți următorul cod.


     Comanda Permite, Respinge
     Negați de la toți

După implementarea pașilor de mai sus, site-ul dvs. web va împiedica executarea oricăror fișiere străine constând în „PHP”. Această modificare va adăuga o altă cărămidă la peretele de securitate al site-ului dvs.

De asemenea, rețineți că utilizarea acestei metode este puțin riscantă. Chiar și o greșeală banală vă poate deteriora site-ul. Deci, dacă nu sunteți sigur despre utilizarea cPanel, consultați pe cineva care este.

6. Lipsa unui certificat SSL

În timp ce http://yoursite.com și https://yoursite.com vor încărca ambele aceeași pagină web, există o mică diferență care poate rupe afacerea.

Certificatul SSL.

Prima adresă URL din exemplul de mai sus nu folosește un certificat SSL, în timp ce al doilea exemplu este.

 Acest lucru poate afecta foarte mult securitatea unui site web, punând în pericol comunicarea dintre dispozitivul vizitatorului și serverele dvs. web.

Un certificat SSL criptează informațiile, astfel încât să nu poată fi accesate de nimeni, în afară de destinatarii vizați. Pentru a vă proteja site-ul împotriva unor astfel de scurgeri, este recomandabil să instalați cât mai curând posibil un certificat SSL.

 Instalarea unui certificat SSL este de obicei simplă și ușor de făcut. De obicei, puteți cumpăra un certificat SSL de la furnizorul dvs. de găzduire, dar dacă nu vând un serviciu SSL, ar trebui să vă gândiți să cumpărați de la alt furnizor.

Obținerea unui certificat SSL de la furnizorul dvs. de găzduire vă va scuti, de asemenea, de problemele instalării. Ei vor configura totul și trebuie doar să vă redirecționați paginile „http” la „https”.

În concluzie

Nu vă securizați site-ul WordPress împotriva amenințărilor de securitate vă poate afecta afacerea în mai multe moduri. Nu este deloc surprinzător faptul că toți webmasterii trebuie să acorde atenție securității site-ului și să aibă un plugin și un sistem de backup adecvat. În ciuda eforturilor depuse, dacă se întâmplă cel mai rău și site-ul dvs. suferă un atac rău intenționat; UpdraftPlus poate oferi o opțiune de backup și restaurare sigură și securizată. Acest lucru vă va ajuta să vă asigurați că site-ul dvs. are întotdeauna toate acele rețele de siguranță importante, chiar și în cazul unui hack.

În această postare, ați citit despre 6 lacune care ar putea pune în pericol securitatea site-ului dvs. WordPress din cauza hackerilor. Sperăm că acest articol v-a ajutat să vă securizați site-ul și să vă duceți securitatea la nivelul următor.

De Vaibhav Kakkar

Postarea 6 motive pentru care site-ul dvs. WordPress poate fi vulnerabil la hackeri a apărut prima pe UpdraftPlus. UpdraftPlus – Plugin de backup, restaurare și migrare pentru WordPress.