5 Standard säkerhetshot i WordPress och hur man fixar dem

WordPress Security

WordPress är en massivt populär, helt öppen källkod. Det fantastiska med det säkerhetsmässigt är att det finns ett enormt samhälle som arbetar med det, som kan upptäcka buggar såväl som säkerhetsrisker snabbare än man kan med en intern CMS-lösning. (Det är svårt att ta reda på svagheter när ett sätt att ta reda på det faktiskt är att utnyttja svagheten, och att ha en enorm användarbas gör upptäckten mycket mer trolig.)


Nackdelen är att hackare med dåliga avsikter vet exakt hur din webbplats är byggd. De har redan ‘blåkopia’ på din webbplats. Och om det finns några svagheter i kärnan, teman eller plugins som du använder, är det något de kommer att kunna veta utan att någonsin få tillgång till backend på din webbplats.

Så i det här inlägget ska jag visa dig hur du fixar 5 säkerhetshot som finns i alla standardinstallationer av WordPress. (Om du redan har vidtagit några försiktighetsåtgärder kan du upptäcka att du redan har fixat en eller två, men det är viktigt att fixa alla fem för att minimera din risk att bli hackad.)

Din webbplats visar att du använder WordPress, plus versionen

WordPress-version

Standardversionen av WordPress kommer att ha kodrader som ger bort att din webbplats är byggd med WordPress, även ned till versionen för personer som vet vart de ska titta. Beroende på temat kan det till och med visas visuellt på varje sida på din webbplats.

Anledningen till att detta kan vara en säkerhetsrisk är att människor kan rikta in sig på din webbplats av någon annan anledning än att den är byggd på WordPress. Om någon hittar en säkerhetssvaghet i WordPress-kärnan, ett tema eller plugin, kan de hitta vägen till din webbplats för att utnyttja det. Medan om du framgångsrikt hade dolt att din webbplats byggdes med WordPress, skulle människor som söker efter WordPress-webbplatser som använder bots eller crawlers luras att tro att din webbplats inte var ett genomförbart mål.

Hur du fixar det:
För att fixa detta kan du använda Hide My WP Plugin. Med detta användbara lilla plugin kan du undvika onödig trafik på din server och samtidigt förbli säker från attacker som specifikt riktar sig till WordPress-webbplatser.

Alla vet var din inloggningssida / administratörsområde finns

WordPress-inloggning

Om du fortfarande visar att du använder WordPress (alias, inte aktivt döljer det genom att till exempel använda ett plugin som Hide My WP), kommer personer med dåliga avsikter redan veta var de kan försöka ett brute-force-attack på din webbplats.

Hur du fixar det:
För att fixa detta hot, och drastiskt minska chansen att bli hackad och för att minska server stress, måste vi hindra skadliga människor och bots från att nå vår inloggningssida.

Det finns två huvudsakliga sätt att göra detta. Du kan antingen ändra den fysiska platsen för din inloggningssida till något annat med hjälp av ett plugin (eller några koderader), eller så kan du begränsa åtkomsten till din inloggningssida och adminområdet med IP-adresser. Du kan göra detta med ett plugin tillägnad denna speciella sak, eller med en säkerhetsplugin som Sucuri, Wordfence, iThemes Security Pro eller Allt i ett WP-säkerhet och brandvägg.

WordPress har ett standardtabelfix som alla använder

WordPress Table Prefix

Ett tabellprefix är det som kommer framför namnen på tabeller i din databas. I stället för användare, med det vanliga WordPress-prefixet, skulle det vara wp_users. Om du använder standardtabell-prefixet gör det det enklare för människor att få åtkomst till din webbplats genom att utnyttja eventuella sql-injektionssvagheter. Eftersom de vet exakt var de ska infoga information i din databas för att sedan få åtkomst till din webbplats.

Jag hade faktiskt hackat en av mina webbplatser på grund av sql-injektion, så detta är ett mycket verkligt hot som du måste vidta motåtgärder mot.

Hur du fixar det:
Tack och lov är det mycket enkelt att ta bort detta hot. Om du redan har installerat WordPress med standardprefixet wp_ kan du enkelt ändra det med ett plugin som Sucuri. Först måste du säkerhetskopiera din databas innan du använder det alternativet eftersom det finns en mindre chans att något går fel. Du kan göra detta genom att klicka på en knapp. Då kan du välja ett nytt prefix, eller helt enkelt låta Sucuri slumpmässigt generera det nya prefixet för dig.

Obs! Om du bara installerar WordPress för första gången kan du ändra det i installationsgränssnittet.

WordPress Theme & Plugin-filer kan redigeras via instrumentpanelen

WordPress Plugin Editor

Problemet med detta är att om en hackare får åtkomst till din webbplats kan de göra mycket skada. De kan göra att din webbplats infekterar andra människor med skadlig programvara (vilket kan avslutas med att din webbplats sätts på Googles svarta lista och avindekseras från sökmotorer), fördjupar din webbplats eller enkelt öppnar bakdörrar.

Hur du fixar det:
Du kan antingen lägga till den här raden i din wp-config.php-fil:

definiera ('DISALLOW_FILE_EDIT', sant);

Eller använd ett säkerhetsplugin för att göra det åt dig (som bara kommer att infoga den kodraden för dig). Det enda problemet är att det finns plugins som gör det möjligt för människor att slå på och stänga av denna möjlighet, så en mycket dedikerad hacker kanske kan installera ett plugin, sätta på plugin och sedan få tillgång till redigeringskod utan FTP-åtkomst.

Om du vill vara extremt noggrann och skydda mot detta kan du inaktivera alla plugin- och temainformationer / installation genom att lägga till den här kodraden till wp-config.php:

definiera ('DISALLOW_FILE_MODS', sant);

Men uppenbarligen skulle detta innebära att du måste ändra dess värde till falsk varje gång du ville uppdatera eller installera ett plugin eller ett tema (vi rekommenderar inte det här alternativet, eftersom att hålla teman och plugins uppdaterade är ett av de bästa sätten för att säkerställa att din webbplats är mindre sårbar).

WordPress har mycket öppna brandväggsinställningar som kan tillåta även kända skadliga bots att försöka attacker

WordPress Firewall Serrings

Standard brandväggsinställningarna för WordPress är faktiskt på den liberala sidan. Detta innebär att vissa otymma bots och andra oönskade besökare får grönt ljus.

Hur du fixar det:
Du kan göra det bättre genom att installera de grundläggande 5G-svartlistväggsreglerna, genom att antingen kopiera den manuellt till din .htaccess-fil, (du hittar den här) eller genom att installera den här plugin, eller använd ett säkerhetsplugin för att bättre optimera reglerna i din .htaccess.

Obegränsade WordPress-inloggningsförsök

Medan standardinställningen verkligen är obegränsade inloggningsförsök kan du ha valt att begränsa inloggningsförsök när du installerade WordPress på din webbplats. Om du inte gjorde det är det dock en otroligt enkel lösning.

Hur du fixar det:
Installera bara Begränsa plugin för inloggningsförsök. Eller om du använder WPEngine-värd är detta en funktion som de redan har inbyggt för dig – ingen plugin krävs! Om du redan skyddar ditt inloggningsområde genom att bara låta dina egna IP-adresser få åtkomst till dashbordet behöver du inte göra det. Men om du bara gömde din inloggningssides adress är det ett trevligt dubbelt skydd mot potentiella brute-force attacker.

Slutsats

Cyberbrott växer snabbt och internet är på väg att bli hem för fler brottslingar än “den verkliga världen.” I vissa länder har detta redan hänt. Och även om mycket av detta är kreditkorts- och banksvindel, finns det ett växande antal hackare där ute, och som webbplatsägare måste vi skydda oss själva och våra webbplatser så bra vi kan.

Medan en standardinstallation av WordPress har några svagheter, är WordPress skönhet verkligen i det lätthet som du kan lösa i stort sett alla dina problem med din webbplats, inklusive de säkerhetshot som nämns i det här inlägget. Utöver att ha ett unikt användarnamn och ett starkt lösenord, genom att installera ett säkerhetsplugin, redigera vissa inställningar och kanske sätta in en kod eller två, kan du redan betydligt minska risken för att din webbplats blir hackad eller infekterad med skadlig programvara.

Har du vidtagit några åtgärder för att förbättra säkerheten på din WordPress-webbplats? Vilken sort? Vi skulle gärna höra några av dina tips och tricks! Låt oss veta i kommentarerna.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map