Securitate WordPress

WordPress este o aplicație software extrem de populară, complet deschisă. Ceea ce este excelent în ceea ce privește securitatea este că există o comunitate uriașă care lucrează cu ea, care sunt capabili să descopere erorile, precum și riscurile de securitate mai repede decât s-ar putea cu o soluție CMS internă. (Este greu să afli despre punctele slabe când un mod de a afla este de fapt exploatarea slăbiciunii și faptul că o bază uriașă de utilizatori face descoperirea mult mai probabilă.)


Dezavantajul este că hackerii cu intenții proaste știu exact cum este construit site-ul dvs. web. Au deja „modelul” pe site-ul dvs. Și dacă există probleme slabe, teme sau pluginuri pe care le utilizați, acesta va fi un lucru pe care îl vor putea ști fără să obțină acces la backend-ul site-ului dvs..

Așadar, în această postare, vă voi arăta cum să remediați 5 amenințări de securitate care sunt prezente în orice instalare implicită a WordPress. (Dacă ați luat deja unele măsuri de precauție, s-ar putea să aflați că ați stabilit deja una sau două, dar este important să remediați toate cele cinci pentru a reduce riscul de a fi hacked.)

Site-ul dvs. arată că utilizați WordPress, plus versiunea

Versiunea WordPress

Versiunea implicită a WordPress va avea linii de cod care să ofere faptul că site-ul dvs. este construit folosind WordPress, chiar și până la versiunea pentru persoanele care știu unde să caute. În funcție de temă, poate fi chiar afișat vizual pe fiecare pagină a site-ului.

Motivul pentru care acesta ar putea fi un risc pentru securitate, este că oamenii ar putea viza site-ul dvs. fără alt motiv decât faptul că este construit pe WordPress. Dacă cineva găsește o slăbiciune în materie de securitate în nucleul WordPress, o temă sau un plugin, ar putea găsi drumul către site-ul dvs. pentru a exploata asta. Întrucât, dacă ai fi ascuns cu succes faptul că site-ul tău a fost construit cu WordPress, persoanele care caută site-uri WordPress folosind roți sau crawlere ar fi păcălit să creadă că site-ul tău nu este o țintă viabilă.

Cum să o rezolvați:
Pentru a remedia acest lucru, puteți utiliza pluginul Hide My WP. Cu acest mic plugin util, puteți evita traficul inutil pe serverul dvs. și, în același timp, să rămâneți în siguranță împotriva atacurilor care vizează în mod special site-urile WordPress.

Toată lumea știe unde este localizată pagina dvs. de conectare / zona de administrare

Logare WordPress

Dacă tot arătați că utilizați WordPress (de asemenea, nu îl ascundeți activ, de exemplu, utilizând un plugin precum Ascundeți WP-ul meu), persoanele cu intenții proaste vor ști deja unde să încerce un atac cu forță brută pe site-ul dvs..

Cum să o rezolvați:
Pentru a remedia această amenințare și pentru a reduce drastic șansele de a fi hacked și pentru a reduce stresul serverului, trebuie să oprim persoanele rău intenționate și roboții să ajungă la pagina noastră de autentificare.

Există două modalități principale de a face acest lucru. Puteți schimba locația fizică a paginii de conectare la altceva folosind un plugin (sau câteva linii de cod), sau puteți limita accesul la pagina de conectare și la zona de administrare prin adrese IP. Puteți face acest lucru cu un plugin dedicat acestui lucru sau cu un plugin de securitate precum Sucuri, Wordfence, iThemes Security Pro sau Securitate All Fire One și Firewall.

WordPress are un prefix de tabel implicit pe care îl folosește toată lumea

Prefix tabel WordPress

Un prefix de tabel este ceea ce vine înainte de numele tabelelor din baza de date. În loc de utilizatori, cu prefixul standard WordPress, ar fi wp_users. Dacă utilizați prefixul tabelului implicit, este mai ușor pentru persoanele să acceseze site-ul dvs. prin exploatarea posibilelor deficiențe de injecție sql. Pentru că știu exact unde să vă injectați informațiile în baza de date pentru a avea acces la site-ul dvs..

De fapt, unul dintre site-urile mele internet a fost hacked din cauza injecției sql, așa că aceasta este o amenințare foarte reală pentru care trebuie să luați măsuri contra.

Cum să o rezolvați:
Din fericire, este foarte ușor să elimini această amenințare. Dacă ați instalat deja WordPress folosind prefixul implicit wp_, îl puteți modifica cu ușurință folosind un plugin precum Sucuri. În primul rând, trebuie să faceți backup pentru baza de date înainte de a utiliza această opțiune, deoarece există șanse mici de a nu merge ceva. Puteți face acest lucru cu apăsarea unui buton. Apoi puteți alege un prefix nou sau pur și simplu lăsați Sucuri să genereze la întâmplare noul prefix pentru dvs..

Notă: Dacă doar instalați WordPress pentru prima dată, îl puteți schimba în interfața de instalare.

Fișierele cu temă și plugin WordPress pot fi modificate prin intermediul tabloului de bord

Editor de pluginuri WordPress

Problema cu aceasta este că, dacă un hacker primește acces la site-ul dvs. web, poate face multe daune. Acestea pot face ca site-ul dvs. web să infesteze alte persoane cu malware (care s-ar putea încheia odată cu introducerea site-ului dvs. pe lista neagră a Google și deindexed de pe motoarele de căutare), să șterge site-ul dvs. sau să se deschidă cu ușurință în aer liber.

Cum să o rezolvați:
Puteți adăuga această linie de cod în fișierul dvs. wp-config.php:

define („DISALLOW_FILE_EDIT”, adevărat);

Sau utilizați un plugin de securitate pentru a face acest lucru pentru dvs. (practic va insera doar acea linie de cod pentru dvs.). Singura problemă este că există plugin-uri care permit oamenilor să activeze și să dezactiveze această capacitate, astfel încât un hacker foarte dedicat ar putea fi capabil să instaleze un plugin, să pornească pluginul și apoi să aibă acces la codul de editare fără acces FTP..

Dacă doriți să fiți extrem de minuțios și să vă protejați împotriva acestui lucru, puteți dezactiva toate actualizările / instalarea pluginului și a temei adăugând această linie de cod la wp-config.php:

define („DISALLOW_FILE_MODS”, adevărat);

Dar, evident, acest lucru ar însemna că ar trebui să schimbați valoarea este falsă de fiecare dată când doriți să actualizați sau să instalați un plugin sau o temă (nu recomandăm cu adevărat această opțiune, deoarece păstrarea temelor și a pluginurilor la zi este una dintre cele mai bune metode pentru a vă asigura că site-ul dvs. este mai puțin vulnerabil).

WordPress are setări de firewall foarte deschise care pot permite chiar și roboților rău cunoscuți să încerce atacuri

Serbări firewall WordPress

Setările implicite ale firewall-ului WordPress sunt de fapt pe partea liberală. Aceasta înseamnă că unii roboți nesăbuși și alți vizitatori nedoriti obțin o lumină verde.

Cum să o rezolvați:
Puteți îmbunătăți acest lucru prin instalarea regulilor de bază pentru firewall-ul 5G pentru lista neagră, fie copiindu-l manual în fișierul dvs. .htaccess (îl puteți găsi aici), fie instalând acest plugin, sau utilizați un plugin de securitate pentru a optimiza mai bine regulile din .htaccess.

Încercări nelimitate de conectare WordPress

În timp ce setarea implicită este într-adevăr încercări de autentificare nelimitate, este posibil să fi ales să limitezi încercările de autentificare atunci când ai instalat WordPress pe site-ul tău. Dacă nu ați făcut-o, însă, este o soluție incredibil de ușoară.

Cum să o rezolvați:
Pur și simplu instalați dispozitivul Limitați pluginul tentative de autentificare. Sau, dacă utilizați găzduire WPEngine, aceasta este o caracteristică pe care au fost deja încorporate pentru dvs. – nu este necesar niciun plugin! Dacă vă protejați deja zona de conectare, permițând doar propriilor dvs. adrese IP să acceseze tabloul de bord, nu va trebui să faceți acest lucru. Dar dacă ați ascuns doar adresa paginii dvs. de conectare, este o protecție dublă față de atacurile potențiale brute.

Concluzie

Criminalitatea cibernetică crește rapid, iar internetul este pe cale să devină acasă pentru mai mulți infractori decât „lumea reală”. În unele țări, acest lucru sa întâmplat deja. Și, în timp ce o mare parte din aceasta este o carte de credit și o fraudă bancară, există un număr din ce în ce mai mare de hackeri acolo, iar ca proprietari de site-uri web trebuie să ne protejăm pe noi înșine și pe site-urile noastre cât de bine putem.

În timp ce o instalare implicită a WordPress are unele puncte slabe, frumusețea WordPress este într-adevăr în ușurința căreia puteți rezolva practic orice problemă cu site-ul dvs., inclusiv amenințările de securitate menționate în acest post. Dincolo de a avea un nume de utilizator unic și o parolă puternică, prin instalarea unui plugin de securitate, editarea unor setări și poate introducerea unei linii de cod sau două, puteți deja reduce semnificativ riscul ca site-ul dvs. să fie hacked sau infestat cu malware.

Ați luat măsuri pentru îmbunătățirea securității site-ului dvs. WordPress? Ce fel? Ne-ar plăcea să auzim câteva dintre sfaturile și trucurile tale! Vă rugăm să ne informați în comentarii.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me