6 причин, по которым ваш сайт WordPress может быть уязвим для хакеров

Благодаря блестящим функциям и параметрам настройки, которые предоставляет WordPress, неудивительно, что почти 33% веб-сайтов используют WordPress CMS. Тем не менее, потенциальные проблемы с безопасностью — это то, что может аукнуться владельцами сайтов.

Фактически, из 8000 взломанных веб-сайтов, проанализированных в недавнем исследовании, 74% использовали WordPress.

Если вы используете веб-сайт WordPress, важно убедиться, что ваша безопасность правильно настроена, чтобы свести к минимуму риск.

Так что же лучше всего предпринять?

Следующие проблемы безопасности являются одними из наиболее важных и могут сделать ваш сайт WordPress уязвимым для хакеров. Важно определить эти проблемы и исправить их; сразу.

1. Незащищенный хостинг

Одним из основных ресурсов, который идет на создание веб-сайта, является веб-хостинг.

Ваш хостинг может повлиять на все, от производительности вашего сайта до его безопасности. Таким образом, крайне важно выбрать хостинг-провайдера, который предлагает адекватную безопасность.

При рассмотрении и анализе вариантов хостинга вам должны помочь следующие советы.

• • Пройдите все функции безопасности, которые он предоставляет.
  • Поймите, что когда дело доходит до хостинга, дорого не всегда значит лучше.
  • У некоторых провайдеров есть планы начального уровня, которые стоят столько же, сколько и высококлассные планы других хостинг-провайдеров. Это не всегда означает, что их можно сравнивать.
  • Знайте разницу между двумя самыми популярными видами хостинга.
    
    Общий хостинг:
    Услуга виртуального хостинга предлагает базовые проверки безопасности, которые могут обнаруживать вредоносные программы WordPress.
    Это также позволяет отслеживать посетителей, приходящих на ваш сайт. Это может помочь вам выявить вредоносных посетителей и заблокировать их IP-адреса.
    Главной особенностью виртуального хостинга является его способность размещать более одного веб-сайта, что также делает его намного дешевле, чем другие типы хостинга.
    
    Управляемый хостинг:
    Это служба хостинга, которая предоставляет брандмауэр для обеспечения безопасности наряду с обычным сканированием на наличие вредоносных программ.
    Некоторые провайдеры предлагают «Управляемые услуги хостинга», которые ограничивают доступ к файлам и папкам WordPress, чтобы обеспечить их безопасность.
    Например, WP-Engine запрещает изменения во всех файлах PHP, а Pantheon не разрешает запись в папки, кроме той, которая содержит данные темы и плагина.

• Тестовая поддержка клиентов:
  Поддержка клиентов — еще один фактор, который необходимо учитывать при сравнении хостинг-провайдеров.
  
  Будь то тривиальная проблема или полная поломка; если речь идет об хостинге, провайдер должен предложить полную поддержку клиентов.
  
  Чтобы узнать, насколько квалифицирована система поддержки поставщика, просто получите их контактные данные и свяжитесь с ними. Задайте им все свои вопросы и посмотрите, насколько они терпеливы и готовы к сотрудничеству при решении ваших проблем.
  
  Основываясь на этом опыте, вы получите представление о том, как они будут реагировать в случае нарушения безопасности. Это должно помочь вам решить, хотите ли вы покупать у них или нет.

Если вы уже приобрели тарифный план хостинга не у того провайдера, не волнуйтесь. Вам не нужно ждать, пока истечет срок действия вашего плана. Такие сервисы, как BlogVault и Migrate Guru, помогут вам без проблем перейти к другому хостинг-провайдеру.

2. Системные обновления

Как и любая другая CMS, WordPress требует регулярного обновления. Игнорирование этого может сделать ваш сайт WordPress потенциальной угрозой безопасности.

На самом деле, 80% сайтов WordPress, которые были взломаны, использовали устаревшие темы и/или плагины. Откровение, верно?

Будучи CMS с открытым исходным кодом, в которой тысячи разработчиков работают над различными темами и плагинами, означает, что ваша панель управления WordPress может получать множество обновлений в зависимости от используемых вами плагинов и тем.

Вы должны убедиться, что все основные темы и плагины обновлены до последней версии.

Шаги для обновления плагина:

• Откройте панель управления WordPress и перейдите в раздел «Плагины» > «Установленные плагины».
  
  
• Панель управления перенесет вас на страницу с установленными вами плагинами.
  
  Определите подключаемые модули, которые ожидают обновления, и нажмите «Обновить сейчас».

Точно так же вы можете обновлять темы на своем сайте почти таким же образом, перейдя в «Внешний вид»> «Темы».

Это также разблокирует последние функции, добавленные в тему/плагин/систему. Это помогает поддерживать безопасность и стабильность вашего сайта одновременно.

3. Пиратские темы или плагины

Хотя настройка веб-сайта WordPress не прожжет дыру в вашем кармане, сделать его эстетически привлекательным и богатым функциями можно, поскольку хорошая тема / плагин WordPress может стоить вам от 10 до 200 долларов.

Чтобы избежать этих «предположительно» непредвиденных затрат, веб-мастера часто выбирают более дешевый путь и используют обнуленные/пиратские плагины/темы, которые доступны бесплатно или по незначительной цене.

Каковы результаты этого?

Было несколько случаев, когда веб-сайт, использующий обнуленную тему, невольно предоставлял хакерам доступ к бэкдору через URL-адрес: http://www.example.xyz?backdoor=go .

Хакеры смогли получить доступ к сайту, поскольку URL-адрес активировал бэкдор на веб-сайт, создав новую учетную запись администратора WordPress со следующими учетными данными:

Имя пользователя: backdooradmin
Пароль: Pa55W0rd

Как правило, это результат дополнительного шорткода, который был добавлен в файл functions.php фактическим владельцем темы.

Чтобы уберечь свой сайт от таких рисков. Всегда приобретайте темы и плагины из официального репозитория WordPress или других надежных источников, таких как Theme Forest или Themeisle.

4. Фиктивные данные для входа

Страница входа по умолчанию:
Использование тех же старых имен пользователей и легко угадываемых паролей значительно облегчает жизнь хакерам, пытающимся проникнуть в серверную часть вашего сайта.

Как исправить?

• Проблема с логином и паролем:
  Попробуйте создать имя пользователя и пароль, которые вы не использовали в другой учетной записи.
  
  Обратите внимание, что очень важно иметь уникальное имя пользователя. Если имя пользователя легко угадать, единственное, что хакеру нужно будет узнать, это ваш пароль.
  
  Никогда не отображайте свое имя пользователя на своем веб-сайте. Сделать это было бы все равно, что дать хакерам личное приглашение полакомиться вашей панелью управления WordPress. Вместо этого используйте псевдоним или титул, отличный от имени пользователя. Проблема с URL-адресом страницы входа по умолчанию: www.yoursite.com/wp-admin
  
  Это самый простой и наиболее распространенный вариант URL-адреса страницы входа в WordPress, который делает ваш сайт уязвимым для хакеров.
  
  Большинство хакеров не атакуют вручную. Они программируют ботов для доступа к страницам входа и взламывают учетные данные целевых сайтов.
  
  Использование URL-адреса страницы входа по умолчанию уменьшит работу ботов и хакеров, пытающихся проникнуть на ваш сайт.
  
  Лучший выход — изменить URL-адрес входа по умолчанию.
  
  Например, изменение — www.yoursite.com/wp-admin на www.yoursite.com/welcometomysite.
  
  Для этого выполните следующие простые шаги.
  
  – Во-первых, сделайте полную резервную копию своего сайта WordPress с помощью UpdraftPlus.

  – Затем установите и активируйте плагин «Easy Hide Login» (это бесплатно).
  
  
  – Перейдите к настройкам плагина и отправьте свой выбор логина (например, «welcometomysite»).
  
  – Это изменит ваш адрес входа в WordPress с yoursite.com/wp-admin на yoursite.com/welcometomysite , и людям будет намного сложнее взломать ваш сайт.
  

  

5. Доступные для записи файлы PHP

Как и любая другая компьютерная программа в Интернете или вне его, веб-сайт WordPress также состоит из файлов и папок.

Одной из таких папок является папка «Загрузки». В этой папке хранятся все данные тем и плагинов для вашего сайта.

Потенциальные хакеры могут найти способ загрузить PHP-код в эту папку, чтобы получить доступ к вашему сайту.

Получив доступ с помощью этого метода, хакеры могут украсть контент, который вы планировали опубликовать в будущем, вместе с другими важными ресурсами, такими как адреса электронной почты из вашего списка рассылки. Они также могут продавать обратные ссылки с вашего сайта или использовать ваш контент для создания ссылок на свои сайты без вашего ведома. Или, что хуже всего, они могут уничтожить весь веб-сайт и отключить его.

Худшая часть этого типа взлома заключается в том, что вы не узнаете ни о чем из этого, пока ваш хостинг-провайдер или поисковая система не забанят ваш сайт.

Чтобы уберечь себя от этого, вы можете отключить выполнение PHP, выполнив следующие действия.

• Создайте файл .htaccess в папке «Загрузки» в корневом каталоге вашего сайта в cPanel.

• Создайте новый файл с помощью Блокнота (в Windows) или TextEdit (в Mac).
• Вставьте следующий код в этот файл и сохраните его как .htaccess (не как .htaccess.txt).
  
  # НАЧАТЬ WordPress
  
  RewriteEngine включен
  Переписать Базу /
  RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f
  RewriteCond %{REQUEST_FILENAME} !-d
  Правило перезаписи. /index.php [Л]
  # ЗАВЕРШИТЬ WordPress

• Загрузите этот файл в папку «Загрузки».
• Теперь у вас есть новый файл .htaccess специально для папки «Загрузки». Щелкните правой кнопкой мыши, чтобы отредактировать его, и вставьте следующий код.
  
  
  Порядок Разрешить, Запретить
  Запретить от всех
  
  

После выполнения вышеуказанных шагов ваш веб-сайт предотвратит выполнение любых посторонних файлов, состоящих из «PHP». Это изменение добавит еще один кирпичик к стене безопасности вашего сайта.

Также обратите внимание, что использование этого метода немного рискованно. Даже банальная ошибка может навредить вашему сайту. Итак, если вы не уверены в использовании cPanel, проконсультируйтесь с кем-нибудь, кто знает.

6. Отсутствие SSL-сертификата

Хотя http://yoursite.com и https://yoursite.com будут загружать одну и ту же веб-страницу, есть небольшая разница, которая может нарушить сделку.

SSL-сертификат.

Первый URL-адрес в приведенном выше примере не использует сертификат SSL, а второй пример.

Это может сильно повлиять на безопасность веб-сайта, поставив под угрозу связь между устройством посетителя и вашими веб-серверами.

Сертификат SSL шифрует информацию, поэтому к ней не может получить доступ никто, кроме предполагаемых получателей. Чтобы обезопасить свой сайт от таких утечек, рекомендуется установить SSL-сертификат как можно раньше.

Установка SSL-сертификата обычно проста и проста. Обычно вы можете купить сертификат SSL у своего хостинг-провайдера, но если они не продают услугу SSL, вам следует подумать о покупке у другого провайдера.

Получение сертификата SSL от вашего хостинг-провайдера также избавит вас от хлопот по установке. Они все настроят, и вам просто нужно перенаправить свои страницы с «http» на «https».

В итоге

Неспособность защитить ваш сайт WordPress от угроз безопасности может повредить вашему бизнесу несколькими способами. Неудивительно, что все веб-мастера должны уделять внимание безопасности веб-сайтов и иметь адекватный плагин и систему резервного копирования. Несмотря на все ваши усилия, если случится худшее и ваш сайт подвергнется злонамеренной атаке; UpdraftPlus может обеспечить безопасное и надежное резервное копирование и восстановление. Это поможет гарантировать, что на вашем веб-сайте всегда будет вся необходимая система безопасности, даже в случае взлома.

В этом посте вы прочитали о 6 лазейках, которые потенциально могут поставить под угрозу безопасность вашего сайта WordPress из-за хакеров. Надеюсь, эта статья помогла вам обезопасить свой сайт и вывести его безопасность на новый уровень.

Вайбхав Каккар

Сообщение 6 причин, по которым ваш сайт WordPress может быть уязвимым для хакеров, впервые появилось на UpdraftPlus. UpdraftPlus — Плагин резервного копирования, восстановления и миграции для WordPress.