Cara Melindungi WordPress (2020)

WordPress adalah salah satu sistem pengurusan kandungan yang paling popular di luar sana dan dengan alasan yang baik. Mudah digunakan, terdapat ribuan tema dan pemalam yang tersedia untuknya, dan anda boleh membuat sebarang jenis laman web dengannya. Tidak hairanlah jika WordPress berkuasa 35.1% dari semua laman web dalam internet.


Tetapi, popularitinya datang dengan kos. WordPress sering menjadi sasaran penggodam. Menurut Sucuri, pada tahun 2018, 90% daripada semua permintaan pembersihan laman web adalah milik WordPress, peningkatan 7% dari tahun 2017.

Laporan Trend Hack Laman Web 2018 - Sucuri

Oleh itu, keselamatan laman web WordPress anda harus berada di bahagian atas senarai anda, sama ada anda mempunyai portfolio peribadi, laman web perniagaan atau kedai dalam talian.

Apabila berkaitan dengan keselamatan WordPress, pengguna biasanya masuk ke dalam dua kubu: orang yang memandang serius keselamatan dan mengambil langkah berjaga-jaga dan mereka yang percaya atau berharap perkara itu tidak akan berlaku kepada mereka kerana laman web mereka tidak cukup penting.

Untuk lebih memahami masalah keselamatan yang berkaitan dengan laman web, pastikan untuk mengunjungi laman web ini Halaman Statistik Langsung Internet kadangkala. Di sana, anda dapat melihat jumlah laman web yang digodam secara tepat setiap hari dan bahkan melihat jumlahnya meningkat dalam masa nyata.

Laman web digodam dalam masa nyata

Contents

22 Langkah untuk Melindungi Laman Web WordPress Anda

Untuk mengelakkan laman web anda menjadi salah satu laman web di Internet Live Stats, ikuti petua di bawah ini dan selamatkan laman web WordPress anda.

1. Pilih Syarikat Hosting Dengan Ciri Keselamatan

Langkah pertama untuk mengamankan laman web WordPress anda adalah melabur dalam syarikat hosting yang menerapkan ciri keselamatan yang betul. Ini termasuk sokongan untuk versi terbaru PHP, MySQL, dan Apache serta firewall dan pemantauan keselamatan 24/7.

Sekiranya boleh, pilih syarikat hosting yang melakukan backup setiap hari dan scan malware biasa. Anda bahkan boleh menemui syarikat hosting yang menggunakan pelbagai langkah pencegahan DDOS.

Syarikat hosting anda biasanya penggodam tembok pertama harus menerobos masuk untuk mengakses laman web anda sehingga melabur lebih awal dan membeli rancangan hosting yang lebih mahal pasti akan terbayar. Kami mengesyorkan memilih penyedia hosting WordPress yang diuruskan.

2. Gunakan Kata Laluan yang Kuat

Pastikan kata laluan untuk laman web WordPress dan juga kawasan akaun hosting anda selamat. Gunakan gabungan huruf besar dan kecil, angka, dan simbol untuk mendapatkan kata laluan yang kuat. Anda juga boleh menggunakan pengurus kata laluan seperti LastPass untuk menghasilkan dan menyimpan kata laluan selamat untuk anda.

3. Masukkan Nama Pengguna Pentadbir

WordPress digunakan untuk menetapkan nama pengguna lalai sebagai pentadbir dan kebanyakan pengguna tidak pernah peduli untuk mengubahnya. Hasilnya, admin biasanya penggodam nama pengguna pertama akan mencuba ketika mereka melancarkan serangan brute force.

Oleh itu, anda tidak boleh menggunakan nama pengguna pentadbir untuk laman web WordPress anda. Sekiranya anda baru-baru ini memasang laman web WordPress anda, kemungkinan anda harus menetapkan nama pengguna anda sendiri. Tetapi jika anda pengguna WordPress lama, anda mungkin masih menggunakan nama pengguna pentadbir.

Sekiranya demikian, buat nama pengguna pentadbir baru untuk laman web anda dengan pergi ke Pengguna> Tambah baru dan memilih nama pengguna dan kata laluan yang kuat. Tetapkan peranan kepada Pentadbir dan kemudian klik Tambahkan pengguna baru butang.

Membuat akaun pentadbir

Anda kemudian akan log masuk dengan kelayakan baru tersebut dan memadamkan pengguna pentadbir lama anda. Ingatlah untuk menetapkan semua kandungan anda kepada pengguna pentadbir baru anda sebelum menghapus yang lama.

4. Gunakan Akaun Penyumbang atau Penyunting untuk Menghantar Di Laman Web Anda

Sekiranya anda ingin mengambil petua di atas selangkah lebih jauh, pertimbangkan untuk membuat penyumbang atau akaun editor untuk menambahkan catatan dan artikel baru ke laman web anda. Melakukannya akan menyukarkan penggodam melakukan kerosakan di laman web anda kerana penyumbang dan penyunting biasanya tidak mempunyai hak pentadbir.

Membuat akaun editor

5. Gunakan Backup Plugin

Sekiranya anda belum membuat sandaran laman web anda, anda perlu segera memulakannya. Sistem sandaran akan membantu anda memulihkan laman web anda sekiranya yang terburuk berlaku dan laman web anda akhirnya diretas.

Gunakan pemalam seperti UpdraftPlus untuk membuat jadual sandaran biasa untuk laman web anda dan jangan lupa menyimpan fail sandaran di luar laman web untuk memastikan fail tersebut tidak akan dijangkiti juga.

6. Harden Kawasan Pentadbiran

Ketika menyusahkan kawasan pentadbir, anda perlu mengubah URL pentadbir lalai dan menghadkan jumlah percubaan log masuk yang gagal sebelum pengguna dikunci dari laman web anda.

Secara lalai, URL pentadbir untuk laman web anda akan kelihatan seperti ini: domainanda.com/wp-admin. Penggodam mengetahui perkara ini dan akan berusaha untuk mengakses URL ini secara langsung sehingga mereka dapat mengakses laman web anda.

Anda boleh menukar URL ini dengan plugin seperti WPS Sembunyikan Log Masuk.

WPS Sembunyikan Log Masuk

Sejauh membatasi jumlah percubaan masuk yang gagal, anda boleh menggunakan Log masuk pemalam turun.

Log Masuk LockDown

7. Pastikan Fail Terkini

Seperti yang telah kami sebutkan sebelumnya, fail yang lapuk menimbulkan risiko keselamatan kerana meninggalkan laman web anda rentan terhadap eksploitasi lain. Itulah sebabnya anda perlu memasang kemas kini sebaik sahaja dilepaskan.

Semasa anda menggunakannya, pastikan untuk kerap menggunakan plugin yang anda pasang dan nyahaktifkan dan hapus plugin yang tidak anda gunakan lagi.

8. Lindungi Komputer Anda

Anda mungkin tertanya-tanya apa kaitan komputer anda dengan laman web anda. Sekiranya komputer anda dijangkiti virus dan anda mengakses laman web anda atau memuat naik fail ke dalamnya, fail yang dijangkiti itu juga boleh menjangkiti laman web anda. Ringkasnya, anda ingin memastikan:

  • Elakkan menggunakan rangkaian Wi-Fi awam untuk mengakses laman web anda
  • Pasang perisian anti-virus dan pastikan ia terkini

9. Ubah Awalan Pangkalan Data Anda

Fakta lain yang terkenal oleh penggodam WordPress ialah awalan pangkalan data anda ditetapkan ke wp. Fakta ini memudahkan mereka meneka awalan jadual dan menggunakan suntikan SQL automatik untuk mendapatkan akses ke laman web anda.

Mengubah awalan pangkalan data anda adalah proses manual yang melibatkan penyuntingan wp-config.php fail dan menukar nama jadual menggunakan phpMyAdmin. Sebelum membuat perubahan, pastikan untuk membuat sandaran laman web anda sebagai langkah pencegahan.

Mengedit wp-config

Anda perlu log masuk ke akaun hosting anda dan mengakses cPanel anda atau panel kawalan mana yang digunakan host anda. Kemudian, akses Pengurus Fail dan cari wp-config.php fail dalam direktori WordPress.

Cari baris awalan jadual yang kelihatan seperti ini: $ table_prefix diikuti dengan tanda = dan awalan jadual itu sendiri. Ganti rentetan lalai dengan awalan anda sendiri menggunakan kombinasi nombor, garis bawah, dan huruf seperti:

$ table_prefix = ‘hgwp_3456_’;

Setelah selesai mengedit wp-config.php fail, keluar dari Pengurus Fail dan mengakses phpMyAdmin sehingga anda dapat menukar semua nama jadual. Melakukannya secara manual boleh membosankan kerana terdapat 11 jadual keseluruhan yang perlu anda edit. Sebaliknya, anda boleh memasukkan pertanyaan SQL dengan pergi ke tab SQL

menjalankan pertanyaan SQL

Kemudian masukkan ini:

RENAME table `wp_commentmeta` TO` hgwp_3456_commentmeta`;

RENAME table `wp_comments` TO` hgwp_3456_comments`;

RENAME table `wp_links` TO` hgwp_3456_links`;

RENAME table `wp_options` TO` hgwp_3456_options`;

RENAME table `wp_postmeta` TO` hgwp_3456_postmeta`;

RENAME table `wp_posts` TO` hgwp_3456_posts`;

RENAME table `wp_terms` TO` hgwp_3456_terms`;

RENAME table `wp_termmeta` TO` wp_a123456_termmeta`;

RENAME table `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME table `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

RENAME table `wp_usermeta` TO` hgwp_3456_usermeta`;

RENAME table `wp_users` TO` hgwp_3456_users`;

Walaupun pertanyaan di atas harus mengubah awalan pangkalan data anda di mana sahaja, ada baiknya menjalankan pertanyaan lain untuk memastikan sebarang fail lain yang menggunakan awalan pangkalan data lama dikemas kini:

PILIH * DARI `hgwp_3456_options` DI MANA` option_name` LIKE '% wp_%'

Anda juga ingin mencari theusermeta dan menggantikan awalan lama yang tinggal dengan yang baru:

PILIH * DARI `hgwp_3456_usermeta` DI MANA` meta_key` LIKE '% wp_%'

10. Kendalikan Fail .htaccess dan wp-config.php Anda

.htaccess dan wp-config.php adalah fail terpenting dalam pemasangan WordPress anda. Oleh itu, anda perlu memastikannya selamat dan dilindungi.

Cukup tambahkan kod di bawah ini ke fail .htaccess anda, di luar tag # BEGIN WordPress dan # END WordPress untuk memastikan perubahan tidak ditimpa dengan setiap kemas kini baru.



perintah membenarkan, menolak

menafikan dari semua





perintah membenarkan, menolak

menafikan dari semua





perintah menolak, membenarkan

Tolak dari semua

# izinkan akses dari alamat IP saya

membenarkan dari 192.168.1.1

Coretan di atas akan melindungi wp-config dan .htaccess anda serta menghadkan akses ke wp-login.php skrin.

Terakhir, tambahkan potongan di bawah untuk mengelakkan pelaksanaan fail PHP:



menafikan dari semua

11. Periksa dan Ubah Kebenaran Fail

Apabila anda selesai mengamankan .htaccess dan wp-config.php fail, tinggal lebih lama di cPanel anda dan periksa kebenaran fail untuk fail dan folder di laman web WordPress anda.

Kebenaran Fail

Mengikut Codex WordPress, kebenaran hendaklah ditetapkan seperti berikut:

  • Semua direktori mestilah 755 atau 750
  • Semua fail hendaklah berukuran 644 atau 640
  • wp-config.php hendaklah 600

Sekiranya tetapan anda berbeza, penggodam dapat membaca isi dengan mudah serta mengubah kandungan fail dan folder yang kemudian menyebabkan laman web anda diretas serta laman web lain di pelayan yang sama diretas.

12. Gunakan Pengesahan Dua Faktor

Pertimbangkan untuk menggunakan pemalam seperti Pengesah Google untuk menetapkan pengesahan dua faktor untuk laman web anda. Ini bermaksud bahawa selain memasukkan kata laluan anda, anda juga harus memasukkan kod yang dihasilkan oleh aplikasi mudah alih untuk log masuk ke laman web anda. Ini dapat menghentikan serangan brute-force jadi ada baiknya anda menyiapkannya sekarang.

Pengesah Google

13. Lumpuhkan XML-RPC

XML-RPC membolehkan laman web anda menjalin hubungan dengan aplikasi mudah alih dan pemalam WordPress seperti Jetpack. Malangnya, ini juga menjadi kegemaran penggodam WordPress kerana mereka boleh menyalahgunakan protokol ini untuk melaksanakan beberapa perintah sekaligus dan mendapatkan akses ke laman web anda. Gunakan pemalam seperti Lumpuhkan pemalam XML-RPC untuk melumpuhkan ciri ini.

Lumpuhkan XML-RPC

14. Gunakan HTTPS dan SSL

Internet telah dipenuhi dengan catatan blog dan artikel mengenai kepentingan protokol HTTPS dan menambahkan sijil keselamatan SSL ke laman web anda sejak beberapa lama sekarang.

HTTPS bermaksud Hypertext Transfer Protocol Secure sementara SSL bermaksud Secure Socket Layers. Ringkasnya, HTTPS membolehkan penyemak imbas pelawat membuat hubungan yang selamat dengan pelayan hosting anda (dan oleh itu, laman web anda). Protokol HTTPS dijamin melalui SSL. Bersama-sama, HTTPS dan SSL memastikan bahawa semua maklumat antara penyemak imbas pelawat dan laman web anda disulitkan.

Menggunakan kedua-duanya di laman web anda bukan sahaja akan meningkatkan keselamatan laman web anda, tetapi juga akan memberi manfaat kepada peringkat mesin pencari anda, menaruh kepercayaan pada pengunjung anda, dan tingkatkan kadar penukaran anda.

Bercakap dengan penyedia hosting anda dan tanyakan tentang kemungkinan memperoleh sijil SSL atau untuk menunjukkan anda ke arah syarikat yang mempunyai reputasi di mana anda boleh membelinya.

15. Lumpuhkan Penyuntingan Tema dan Pemalam Melalui Papan Pemuka WordPress Anda

Mempunyai pilihan untuk mengedit tema dan fail pemalam tepat di papan pemuka WordPress anda sangat berguna apabila anda perlu menambahkan sebaris kod dengan cepat. Tetapi ini juga bermaksud bahawa sesiapa sahaja yang masuk ke laman web anda dapat mengakses fail tersebut.

Lumpuhkan ciri ini dengan menambahkan kod berikut ke wp-config.php fail:

// Tidak membenarkan pengeditan fail

definisikan ('DISALLOW_FILE_EDIT', benar);

16. Pindahkan Fail wp-config.php ke Direktori Bukan WWW

Seperti yang disebutkan sebelumnya, wp-config.php fail adalah salah satu fail yang paling penting dalam pemasangan WordPress anda. Jadikannya lebih sukar untuk diakses dengan memindahkannya dari direktori root ke direktori yang tidak dapat diakses www.

  1. Sebagai permulaan, salin kandungan anda wp-config.php failkan ke dalam fail baru dan simpan sebagai wp-config.php.
  1. Kembali kepada yang lama wp-config.php fail dan tambahkan baris kod di bawah:
  1. Muat naik dan simpan yang baru wp-config.php failkan ke folder lain.

17. Tukar Kunci Keselamatan WordPress Anda

Kekunci keselamatan WordPress bertanggungjawab untuk menyulitkan maklumat yang disimpan dalam kuki pengguna. Mereka terletak di wp-config.php fail dan kelihatan seperti ini:

definisikan ('AUTH_KEY', 'letakkan ungkapan unik anda di sini');

definisikan ('SECURE_AUTH_KEY', 'letakkan frasa unik anda di sini');

definisikan ('LOGGED_IN_KEY', 'letakkan frasa unik anda di sini');

define ('NONCE_KEY', 'letakkan ungkapan unik anda di sini');

define ('AUTH_SALT', 'letakkan ungkapan unik anda di sini');

definisikan ('SECURE_AUTH_SALT', 'letakkan ungkapan unik anda di sini');

definisikan ('LOGGED_IN_SALT', 'letakkan frasa unik anda di sini');

define ('NONCE_SALT', 'letakkan frasa unik anda di sini');

Menggunakan Penjana Utama WordPress Salts untuk menukarnya dan menjadikan laman web anda lebih selamat.

18. Lumpuhkan Laporan Ralat

Pelaporan ralat berguna untuk menyelesaikan masalah dan menentukan plugin atau tema tertentu yang menyebabkan ralat di laman web WordPress anda. Namun, setelah sistem melaporkan kesalahan, sistem ini juga akan menunjukkan jalan pelayan anda. Tidak perlu dikatakan, ini adalah peluang yang tepat bagi penggodam untuk mengetahui bagaimana dan di mana mereka dapat memanfaatkan kelemahan di laman web anda.

Anda boleh mematikannya dengan menambahkan kod di bawah ini ke wp-config.php fail:

ralat_laporan (0);

@ini_set (‘display_errors’, 0);

19. Keluarkan Nombor Versi WordPress

Sesiapa yang melihat kod sumber laman web anda akan dapat mengetahui versi WordPress yang anda gunakan. Oleh kerana setiap versi WordPress mempunyai perubahan umum yang memperincikan senarai bug dan patch keselamatan, mereka dapat dengan mudah menentukan lubang keselamatan yang dapat mereka manfaatkan.

Versi WordPress

Nasib baik, ada penyelesaian yang mudah. Anda boleh membuang nombor versi WordPress dengan mengedit fail functions.php tema anda dan menambahkan yang berikut:

remove_action ('wp_head', 'wp_generator');

20. Gunakan Header Keselamatan

Cara lain untuk mengamankan laman web WordPress anda adalah dengan menerapkan tajuk keselamatan. Biasanya mereka ditetapkan pada tahap pelayan untuk mencegah serangan penggodaman dan mengurangkan jumlah eksploitasi kerentanan keselamatan. Anda boleh menambahkannya sendiri dengan mengubah suai tema anda fungsi.php fail.

Ketua Keselamatan

Serangan skrip silang

Tambahkan kod berikut untuk memasukkan kandungan, skrip, gaya, dan sumber kandungan lain yang dibenarkan:

header ('Content-Security-Policy: default-src https:');

Ini akan menghalang penyemak imbas memuatkan fail berniat jahat.

Clickjacking Iframe

Tambahkan baris di bawah untuk memberi arahan kepada penyemak imbas agar tidak membuat halaman dalam bingkai: pengepala (‘X-Frame-Options: SAMEORIGIN’);

X-XSS-Protection dan X-Content-Type-Options

Tambahkan baris berikut untuk mengelakkan serangan XSS dan beritahu Internet Explorer untuk tidak mengendus jenis mime

pengepala ('X-XSS-Protection: 1; mode = block');

pengepala ('X-Content-Type-Options: nosniff');

Menguatkuasakan HTTPS

Tambahkan kod di bawah untuk memerintahkan penyemak imbas hanya menggunakan HTTPS:

tajuk ('Ketat-Pengangkutan-Keselamatan: max-age = 31536000; includeSubdomains; preload');

Kuki dengan bendera HTTPHanya dan Selamat di WordPress 

Beritahu penyemak imbas hanya mempercayai kuki yang ditetapkan oleh pelayan dan bahawa kuki tersedia melalui saluran SSL dengan menambahkan yang berikut:

@ini_set ('session.cookie_httponly', benar);

@ini_set ('session.cookie_secure', benar);

@ini_set ('session.use_only_cookies', benar);

Sekiranya anda tidak mahu menambahkan tajuk ini secara manual, pertimbangkan untuk menggunakan pemalam seperti itu Ketua Keselamatan. Tidak kira kaedah mana yang anda pilih untuk menerapkan tajuk keselamatan, pastikan untuk mengujinya menggunakan https://securityheaders.io laman web dan memasukkan URL laman web anda.

21. Mencegah Hotlinking

Hotlinking bukanlah pelanggaran keselamatan, tetapi memandangkan ia merujuk kepada laman web lain yang menggunakan URL laman web anda untuk menunjuk secara langsung ke gambar atau fail media lain, ia dianggap pencurian. Oleh itu, pautan panas boleh menyebabkan kos yang tidak dijangka bukan hanya kerana anda harus menghadapi masalah undang-undang tetapi juga kerana bil hosting anda dapat melalui bumbung jika laman web yang mencuri gambar anda menerima banyak lalu lintas.

Tambahkan kod di bawah ke fail .htaccess anda jika anda menggunakan pelayan Apache dan ganti domain palsu dengan nama domain sebenar anda:

Tulis semulaEngine dihidupkan

Tulis semula%% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

Tulis semula Peraturan \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Sebagai alternatif, jika anda menggunakan pelayan NGINX, anda ingin mengubah fail konfigurasi anda dengan yang berikut:

lokasi ~. (gif | png | jpe? g) $ {

valid_referers tiada yang disekat ~ .google. ~ .bing. ~ .yahoo yourdomain.com * .domainanda.com;

jika ($ valid_referer) {

pulangan 403;

}

}

22. Log Keluar Pengguna Idle

Petua terakhir dalam panduan ini untuk meningkatkan keselamatan laman web anda adalah log keluar pengguna terbiar setelah tempoh tidak aktif. Anda boleh menggunakan pemalam seperti Log Keluar Tidak Aktif untuk menghentikan sesi yang tidak aktif secara automatik.

Log Keluar Tidak Aktif

Ini perlu kerana jika anda masuk ke laman web anda untuk menambahkan catatan blog baru dan terganggu oleh tugas lain, sesi anda dapat dirampas dan penggodam dapat menyalahgunakan keadaan untuk menjangkiti laman web anda. Lebih mustahak untuk menghentikan sesi yang tidak aktif sekiranya anda mempunyai banyak pengguna di laman web anda.

Cara Memulihkan Daripada Hack

Langkah-langkah keselamatan di atas adalah kaedah terbaik untuk mengamankan laman web anda. Tetapi bagaimana jika laman web anda diretas? Berikut adalah beberapa langkah yang harus diikuti sekiranya laman web anda diretas.

1. Sahkan Hack dan Tukar Kata Laluan Anda

Sekiranya laman web anda diretas, mulakan dahulu, jangan panik. Ini tidak akan membantu anda dan perbuatan itu dilakukan jadi penting untuk bertindak dengan cepat. Mulakan dengan memeriksa laman web anda dan lihat apakah anda boleh log masuk ke papan pemuka anda. Periksa sama ada laman web anda mengalihkan ke laman web lain atau jika anda melihat pautan atau iklan yang mencurigakan atau pelik.

Tukar kata laluan anda dengan segera dan kemudian teruskan ke langkah seterusnya.

2. Hubungi Syarikat Hosting Anda

Hubungi hos anda dan beritahu mereka bahawa laman web anda telah diretas. Mereka dapat membantu anda mengenal pasti sumber peretasan. Beberapa hos juga akan membersihkan laman web anda dan membuang kod dan fail jahat.

Gunakan Sandaran untuk Memulihkan Laman Web Anda

Sekiranya anda rajin membuat sandaran laman web anda, cari sandaran sebelum penggodaman dan gunakannya untuk memulihkan laman web anda. Walaupun anda mungkin kehilangan sebahagian kandungannya, anda akan dapat mengaktifkan dan menjalankan laman web anda seperti sebelum serangan itu berlaku.

3. Imbas laman web anda untuk perisian hasad

Gunakan pengimbas percuma Sucuri untuk mengimbas laman web anda untuk mencari perisian hasad dan mengenal pasti fail yang dikompromikan. Anda juga boleh memilih perkhidmatan pembersihan laman web mereka jika anda sendiri tidak tahu cara membuang perisian hasad tersebut.

4. Periksa Pengguna Laman Web Anda

Log masuk ke laman web WordPress anda dan pergi ke Pengguna> Semua Pengguna. Pastikan tidak ada pengguna yang tidak seharusnya berada di sana dan hapuskannya jika perlu.

5. Tukar Kunci Rahsia Anda

Gunakan Penjana Kunci Garam WordPress yang disebutkan di atas untuk menghasilkan kunci keselamatan baru dan menambahkannya ke fail wp-config.php anda. Oleh kerana kunci tersebut menyulitkan kata laluan anda, penggodam akan terus log masuk sehingga kuki mereka tidak sah. Kunci keselamatan baru akan berjaya dan memaksa penggodam keluar dari laman web anda.

6. Mengupah Profesional

Akhirnya, ambil profesional untuk membersihkan peretasan dan membuang perisian hasad dari laman web anda. Perlu diingat bahawa penggodam dapat menyembunyikan kod berbahaya dalam beberapa fail, jadi jika anda tidak berpengalaman dengan penghapusan perisian hasad, mudah melewatkan fail yang dijangkiti. Ini memudahkan penggodam untuk menggodam laman web anda sekali lagi jadi pengambilan profesional sangat disyorkan.

7 Jenis Kerentanan WordPress yang Paling Umum

Sebelum melangkah lebih jauh dengan artikel ini, mari kita bincangkan gajah di dalam bilik: adakah WordPress selamat? Jawapan untuk soalan itu adalah ya. Inti perisian WordPress adalah selamat dan syarikat di belakang WordPress memandang serius keselamatan.

Mereka pasukan keselamatan mempunyai 50 pakar dalam bidang ini termasuk pemaju utama dan penyelidik keselamatan yang berusaha di belakang tabir untuk memastikan bahawa WordPress selamat.

Sebenarnya, kebanyakan insiden dan risiko keselamatan adalah akibat kesalahan manusia yang berpasangan dengan adanya kerentanan keselamatan.

Terdapat tujuh jenis kelemahan WordPress yang perlu anda perhatikan:

  • Fail WordPress yang lapuk
  • Eksploitasi pintu belakang
  • Peretasan Pharma
  • Kata laluan yang lemah
  • Pengalihan berbahaya
  • Kerentanan dalam platform hosting
  • Serangan penolakan perkhidmatan

Mari kita teliti dan jelaskan sebenarnya.

1. Fail WordPress yang ketinggalan zaman

Fail WordPress yang lapuk merujuk kepada versi WordPress, tema dan fail pemalam. Mereka menimbulkan risiko keselamatan kerana membiarkan laman web anda terdedah kepada kelemahan lain seperti eksploitasi pintu belakang dan peretasan farmasi.

Oleh itu, anda perlu memastikan bahawa pemasangan WordPress anda terkini serta tema dan pemalam anda. Anda harus menerapkan kemas kini secara proaktif kerana dilancarkan kerana mereka bukan sahaja dilengkapi dengan ciri baru tetapi juga merangkumi pelbagai keselamatan dan perbaikan bug.

2. Eksploitasi Pintu Belakang

Ketika berkaitan dengan eksploitasi pintu belakang, penggodam akan memanfaatkan fail WordPress yang ketinggalan zaman untuk mendapatkan akses ke laman web anda. Selain fail yang lapuk, mereka juga dapat mengakses laman web anda melalui SFTP, FTP, dan sejenisnya.

Setelah mereka mengakses laman web anda, mereka akan menjangkiti laman web anda dan juga dapat menjangkiti laman web lain yang berada di pelayan yang sama dengan laman web anda. Suntikan pintu belakang kelihatan seperti fail WordPress biasa kepada pengguna yang tidak berpengalaman. Tetapi di sebalik tabir, mereka memanfaatkan bug dalam fail yang lapuk untuk mengakses pangkalan data anda dan menimbulkan kekacauan di laman web anda serta ribuan laman web lain.

3. Pharma Hacks

Peretasan Pharma merujuk kepada eksploitasi kerentanan dalam fail WordPress yang usang di mana penggodam memasukkan kod ke dalam fail tersebut. Setelah kod dimasukkan, enjin carian memaparkan iklan untuk produk farmasi dan bukannya laman web anda. Ini boleh mengakibatkan mesin pencari menandakan laman web anda sebagai spam.

4. Kata Laluan Lemah

Kata laluan yang lemah mungkin mudah diingat tetapi juga memudahkan peretas untuk mendapatkan akses ke laman web anda melalui serangan kekerasan. Serangan kekerasan berlaku apabila penggodam menggunakan skrip automatik yang berjalan di latar belakang untuk mencuba pelbagai kombinasi nama pengguna dan kata laluan sehingga mereka menemui kombinasi yang berfungsi.

5. Pengalihan Berniat jahat

Begitu juga dengan menggunakan fail usang dan protokol FTP atau SFTP untuk menyuntik kod yang mengakibatkan hack farmasi atau eksploitasi pintu belakang, penggodam akan menggunakan fail .htaccess dalam pemasangan WordPress anda untuk mengarahkan pengunjung anda ke laman web yang berniat jahat.

Pelawat anda kemudiannya boleh dijangkiti virus atau menjadi mangsa pancingan data.

6. Kerentanan dalam Platform Hosting

Kadang-kadang, keselamatan laman web anda mungkin terganggu kerana anda menggunakan syarikat hosting yang tidak mempunyai ciri keselamatan seperti firewall atau pemantauan fail. Ini biasanya berlaku dengan penyedia hosting yang lebih murah yang bermaksud bahawa memilih hos yang lebih murah, ironinya, akan dikenakan biaya lebih tinggi jika laman web anda diretas.

Perlu diingat bahawa platform hosting yang lebih murah juga menimbulkan risiko keselamatan yang lebih tinggi kerana laman web anda boleh dijangkiti atau digodam akibat penggodam mengeksploitasi kelemahan di laman web lain yang dihoskan di pelayan yang sama.

7. Serangan Penolakan Perkhidmatan

Serangan Penolakan Perkhidmatan atau serangan DDOS adalah salah satu ancaman paling berbahaya bagi mana-mana pemilik laman web. Dalam serangan DDOS, penggodam akan mengeksploitasi bug dan kesalahan kod yang menyebabkan memori sistem operasi laman web anda menjadi terbeban. Serangan DDOS biasanya akan menjatuhkan sebilangan besar laman web yang menggunakan platform tertentu, seperti WordPress.

Sekarang setelah anda mengetahui apa kelemahan umum yang berkaitan dengan WordPress, mari beralih ke petua, amalan terbaik dan cadangan keselamatan yang akan membantu anda mengamankan laman WordPress anda.

Mengakhiri

WordPress adalah CMS yang kuat dan popular yang memudahkan sesiapa sahaja membuat laman web. Tetapi kerana sangat popular, ia juga merupakan sasaran kegemaran penggodam. Nasib baik, ada beberapa langkah yang dapat anda lakukan untuk melindungi laman WordPress anda dan jika anda mengikuti petua dalam artikel ini, anda akan berada dalam perjalanan yang baik untuk memiliki laman web WordPress yang selamat.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map