5 Domyślne zagrożenia bezpieczeństwa w WordPress i jak je naprawić

Zabezpieczenia WordPress

WordPress jest bardzo popularnym, całkowicie otwartym oprogramowaniem. Wspaniałą rzeczą w zakresie bezpieczeństwa jest to, że istnieje ogromna społeczność, która z nim współpracuje, która jest w stanie wykryć zarówno błędy, jak i zagrożenia bezpieczeństwa szybciej niż można to zrobić dzięki wewnętrznemu rozwiązaniu CMS. (Trudno jest dowiedzieć się o słabościach, kiedy jednym ze sposobów jest faktyczne wykorzystanie słabości, a posiadanie dużej liczby użytkowników znacznie zwiększa prawdopodobieństwo odkrycia).


Minusem jest to, że hakerzy o złych intencjach dokładnie wiedzą, jak zbudowana jest Twoja strona internetowa. Mają już „plan” na Twojej stronie. A jeśli są jakieś słabe strony w rdzeniu, motywach lub wtyczkach, których używasz, mogą to wiedzieć bez uzyskiwania dostępu do zaplecza Twojej witryny.

W tym poście pokażę, jak naprawić 5 zagrożeń bezpieczeństwa, które występują w każdej całkowicie domyślnej instalacji WordPress. (Jeśli już podjąłeś pewne środki ostrożności, może się okazać, że naprawiłeś już jeden lub dwa, ale ważne jest, aby naprawić wszystkie pięć, aby zminimalizować ryzyko włamania).

Twoja witryna pokazuje, że korzystasz z WordPressa oraz wersji

Wersja WordPress

Domyślna wersja WordPress będzie zawierała wiersze kodu, które podają, że twoja witryna została zbudowana przy użyciu WordPress, nawet w wersji dla osób, które wiedzą, gdzie szukać. W zależności od motywu może nawet być wyświetlany wizualnie na każdej stronie witryny.

Może to stanowić zagrożenie bezpieczeństwa, ponieważ ludzie mogą kierować reklamy na Twoją witrynę wyłącznie z tego powodu, że jest ona oparta na WordPress. Jeśli ktoś znajdzie słabość zabezpieczeń w rdzeniu WordPress, motywie lub wtyczce, może znaleźć drogę do Twojej witryny, aby to wykorzystać. Podczas gdy z powodzeniem ukryłeś, że twoja strona została zbudowana za pomocą WordPress, ludzie, którzy szukają witryn WordPress za pomocą botów lub robotów, mogą oszukać, że twoja strona nie jest realnym celem.

Jak to naprawić:
Aby to naprawić, możesz użyć wtyczki Hide My WP. Dzięki tej pomocnej małej wtyczce możesz uniknąć niepotrzebnego ruchu na serwerze, a jednocześnie być bezpiecznym przed atakami ukierunkowanymi na witryny WordPress.

Wszyscy wiedzą, gdzie znajduje się Twoja strona logowania / obszar administracyjny

Logowanie do WordPress

Jeśli nadal pokazujesz, że używasz WordPressa (czyli nie aktywnie go ukrywasz, na przykład za pomocą wtyczki takiej jak Hide My WP), osoby o złych zamiarach będą już wiedziały, gdzie podjąć próbę ataku siłowego na twoją stronę.

Jak to naprawić:
Aby naprawić to zagrożenie i drastycznie zmniejszyć szanse na włamanie do sieci oraz zmniejszyć obciążenie serwera, musimy powstrzymać złośliwych ludzi i botów przed wejściem na naszą stronę logowania.

Istnieją dwa główne sposoby, aby to zrobić. Możesz albo zmienić fizyczną lokalizację strony logowania na coś innego, używając wtyczki (lub kilku linii kodu), albo możesz ograniczyć dostęp do strony logowania i obszaru administracyjnego według adresów IP. Możesz to zrobić za pomocą wtyczki poświęconej tej konkretnej rzeczy lub za pomocą wtyczki zabezpieczającej, takiej jak Sucuri, Wordfence, iThemes Security Pro lub All In One WP Security & Firewall.

WordPress ma domyślny prefiks tabeli, którego wszyscy używają

Prefiks tabeli WordPress

Prefiks tabeli występuje przed nazwami tabel w bazie danych. Zamiast użytkowników ze standardowym prefiksem WordPress byłby to wp_users. Jeśli użyjesz domyślnego prefiksu tabeli, łatwiej będzie uzyskać dostęp do Twojej witryny, wykorzystując możliwe słabości zastrzyku SQL. Ponieważ wiedzą dokładnie, gdzie wprowadzić informacje do bazy danych, aby uzyskać dostęp do witryny.

Zrobiłem włamanie do jednej z moich stron internetowych z powodu zastrzyku sql, więc jest to bardzo realne zagrożenie, że należy podjąć środki zaradcze przeciwko.

Jak to naprawić:
Na szczęście bardzo łatwo jest usunąć to zagrożenie. Jeśli WordPress został już zainstalowany przy użyciu domyślnego prefiksu wp_, możesz go łatwo zmienić za pomocą wtyczki takiej jak Sucuri. Najpierw musisz wykonać kopię zapasową bazy danych, zanim skorzystasz z tej opcji, ponieważ istnieje niewielka szansa, że ​​coś pójdzie nie tak. Możesz to zrobić jednym kliknięciem przycisku. Następnie możesz wybrać nowy prefiks lub po prostu pozwolić Sucuri losowo wygenerować nowy prefiks.

Uwaga: jeśli instalujesz WordPress po raz pierwszy, możesz to zmienić w interfejsie instalacyjnym.

Pliki motywów i wtyczek WordPress można edytować za pomocą pulpitu nawigacyjnego

Edytor wtyczek WordPress

Problem polega na tym, że jeśli haker uzyska dostęp do Twojej witryny, może wyrządzić wiele szkód. Mogą sprawić, że Twoja witryna zainfekuje inne osoby złośliwym oprogramowaniem (co może skończyć się umieszczeniem Twojej witryny na czarnej liście Google i usunięciem indeksów z wyszukiwarek), uszkodzeniem Twojej witryny lub łatwym otwieraniem tylnych drzwi.

Jak to naprawić:
Możesz dodać ten wiersz kodu do pliku wp-config.php:

zdefiniować („DISALLOW_FILE_EDIT”, prawda);

Lub skorzystaj z wtyczki bezpieczeństwa, aby zrobić to za Ciebie (która w zasadzie wstawi tylko ten wiersz kodu za Ciebie). Jedynym problemem jest to, że istnieją wtyczki, które pozwalają ludziom włączać i wyłączać tę zdolność, więc bardzo oddany haker może być w stanie zainstalować wtyczkę, włączyć wtyczkę, a następnie uzyskać dostęp do edycji kodu bez dostępu FTP.

Jeśli chcesz być bardzo dokładny i chronić się przed tym, możesz wyłączyć wszystkie aktualizacje / instalację wtyczek i motywów, dodając ten wiersz kodu do wp-config.php:

Zdefiniuj („DISALLOW_FILE_MODS”, prawda);

Ale oczywiście oznacza to, że za każdym razem, gdy chcesz aktualizować lub instalować wtyczkę lub motyw, musisz zmienić jego wartość na false (naprawdę nie zalecamy tej opcji, ponieważ aktualizowanie motywów i wtyczek jest jednym z najlepszych sposobów aby upewnić się, że Twoja witryna jest mniej wrażliwa).

WordPress ma bardzo otwarte ustawienia zapory ogniowej, które pozwalają nawet znanym złośliwym botom próbować ataków

Firewall Serial WordPress

Domyślne ustawienia zapory ogniowej WordPress są po stronie liberalnej. Oznacza to, że niektórzy nieproszeni boty i inni niechciani goście otrzymują zielone światło.

Jak to naprawić:
Możesz to poprawić, instalując podstawowe reguły czarnej listy zapory 5G, kopiując go ręcznie do pliku .htaccess (można go znaleźć tutaj) lub instalując ta wtyczka, lub użyj wtyczki bezpieczeństwa, aby lepiej zoptymalizować reguły w swoim .htaccess.

Nieograniczone próby logowania do WordPress

Chociaż ustawieniem domyślnym są w rzeczywistości nieograniczone próby logowania, być może zdecydowałeś się ograniczyć próby logowania podczas instalacji WordPress na swojej stronie. Jeśli tego nie zrobiłeś, jest to niezwykle łatwa naprawa.

Jak to naprawić:
Po prostu zainstaluj Limit logowania próbuje wtyczki. Lub, jeśli korzystasz z hostingu WPEngine, jest to funkcja, którą już dla Ciebie wbudowali – nie jest wymagana wtyczka! Jeśli już chronisz swój obszar logowania, zezwalając tylko na dostęp do pulpitu nawigacyjnego swoim własnym adresom IP, nie musisz tego robić. Ale jeśli tylko ukryłeś adres swojej strony logowania, jest to dobra podwójna ochrona przed potencjalnymi atakami siłowymi.

Wniosek

Cyberprzestępczość gwałtownie rośnie, a Internet jest w drodze do domu większej liczby przestępców niż „prawdziwego świata”. W niektórych krajach tak się już stało. Mimo że znaczna część tego dotyczy oszustw związanych z kartami kredytowymi i bankami, rośnie liczba hakerów, a jako właściciele witryn internetowych musimy chronić siebie i nasze witryny najlepiej, jak potrafimy.

Podczas gdy domyślna instalacja WordPressa ma pewne słabości, piękno WordPressa jest naprawdę łatwe, dzięki czemu można rozwiązać prawie każdy problem z witryną, w tym zagrożenia bezpieczeństwa wspomniane w tym poście. Oprócz posiadania unikalnej nazwy użytkownika i silnego hasła, instalując wtyczkę bezpieczeństwa, edytując niektóre ustawienia i być może wstawiając wiersz kodu lub dwa, możesz już znacznie zmniejszyć ryzyko włamania się do witryny lub zainfekowania jej złośliwym oprogramowaniem.

Czy podjąłeś jakieś środki w celu poprawy bezpieczeństwa swojej witryny WordPress? Jaki rodzaj? Chcielibyśmy usłyszeć niektóre z twoich wskazówek i wskazówek! Daj nam znać w komentarzach.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map