5 Predvolené bezpečnostné hrozby vo WordPress a ako ich opraviť

Zabezpečenie WordPress

WordPress je veľmi populárny softvér s úplne otvoreným zdrojom. Skvelá vec, ktorá sa týka zabezpečenia, je skutočnosť, že existuje veľká komunita, ktorá s ňou spolupracuje a ktorá dokáže prostredníctvom vlastného riešenia CMS odhaliť chyby a bezpečnostné riziká rýchlejšie ako by sa dalo. (Ťažkosti sa dajú zistiť o slabých stránkach, keď je jedným zo spôsobov, ako zistiť, skutočne zneužité slabiny a vďaka veľkej používateľskej základni je objav oveľa pravdepodobnejší.)


Nevýhodou je, že hackeri so zlými úmyslami vedia presne, ako sa vaše webové stránky zostavujú. Na váš web už majú „plán“. A ak sa v jadre, témach alebo doplnkoch, ktoré používate, vyskytnú nejaké slabiny, budú to vedieť, a to bez toho, aby získali prístup k zadnej časti vášho webu..

V tomto príspevku vám ukážem, ako opraviť 5 bezpečnostných hrozieb, ktoré sa vyskytujú v akejkoľvek úplne predvolenej inštalácii programu WordPress. (Ak ste už podnikli určité preventívne opatrenia, možno zistíte, že ste už opravili jedno alebo dve, ale je dôležité opraviť všetkých päť, aby ste minimalizovali riziko hacknutia.)

Vaše stránky ukazujú, že používate verziu WordPress plus verziu

Verzia WordPress

Predvolená verzia programu WordPress bude obsahovať riadky kódu, ktoré poskytnú informácie o tom, že vaše stránky sú vytvorené pomocou programu WordPress, dokonca až po verziu pre ľudí, ktorí vedia, kde hľadať. V závislosti od témy sa môže dokonca zobraziť vizuálne na každej stránke vášho webu.

Dôvodom, prečo by to mohlo byť bezpečnostné riziko, je to, že ľudia môžu zacieliť vaše stránky iba z dôvodu, že sú postavené na WordPress. Ak niekto nájde slabinu zabezpečenia v jadre, téme alebo doplnku WordPress, môže nájsť cestu na vaše stránky, aby ju využil. Zatiaľ čo ak ste úspešne skryli, že vaše stránky boli vytvorené pomocou WordPress, ľudia, ktorí vyhľadávajú weby WordPress pomocou robotov alebo prehľadávačov, by boli podvedení v tom, že si myslia, že vaše stránky nie sú životaschopným cieľom..

Ako to vyriešiť:
Tento problém môžete vyriešiť pomocou doplnku Hide My WP Plugin. Pomocou tohto užitočného doplnku sa môžete vyhnúť zbytočnej prevádzke na vašom serveri a zároveň zostať v bezpečí pred útokmi, ktoré sa špecificky zameriavajú na stránky WordPress..

Každý vie, kde sa nachádza vaša prihlasovacia stránka / správcovská oblasť

Prihlásenie do WordPress

Ak stále dokazujete, že používate WordPress (aka, ak ho aktívne nezakrývate napríklad pomocou doplnku, ako je napríklad Hide My WP), ľudia so zlými úmyslami už vedia, kde sa pokúsia o útok hrubou silou na vaše stránky..

Ako to vyriešiť:
Aby sme túto hrozbu napravili a drasticky znížili šance na hackerstvo a znížili stres servera, musíme zabrániť škodlivým ľuďom a robotom v prístupe na našu prihlasovaciu stránku..

Existujú dva hlavné spôsoby, ako to dosiahnuť. Fyzické umiestnenie svojej prihlasovacej stránky môžete zmeniť na niečo iné pomocou doplnku (alebo niekoľkých riadkov kódu), alebo môžete obmedziť prístup na svoju prihlasovaciu stránku a oblasť správ pomocou IP adries. Môžete to urobiť pomocou doplnku určeného pre túto konkrétnu vec alebo pomocou bezpečnostného doplnku, ako je Sucuri, Wordfence, iThemes Security Pro alebo Zabezpečenie a brána Firewall typu všetko v jednom.

WordPress má predvolenú predponu tabuľky, ktorú používajú všetci

Predpona tabuľky WordPress

Predpona tabuľky je to, čo sa nachádza pred názvami tabuliek v databáze. Namiesto používateľov by so štandardnou predponou WordPress išlo o wp_users. Ak použijete predvolenú predponu tabuľky, ľudia uľahčia prístup k vášmu webu využitím možných slabých stránok SQL injekcie. Pretože presne vedia, kam do databázy vložiť informácie, aby potom získali prístup na vaše stránky.

Vlastne som mal jeden z mojich webových stránok napadnutý kvôli injekcii sql, takže je to veľmi reálna hrozba, ktorú musíte prijať proti protiopatreniam..

Ako to vyriešiť:
Našťastie je veľmi ľahké túto hrozbu odstrániť. Ak ste už WordPress nainštalovali pomocou predvolenej predpony wp_, môžete ho ľahko zmeniť pomocou doplnku, ako je Sucuri. Pred použitím tejto možnosti musíte najprv zálohovať svoju databázu, pretože existuje malá šanca, že sa niečo pokazí. Môžete to urobiť kliknutím na tlačidlo. Potom si môžete vybrať novú predponu alebo jednoducho nechať Sucuri náhodne vygenerovať novú predponu.

Poznámka: Ak iba inštalujete WordPress prvýkrát, môžete ho zmeniť v inštalačnom rozhraní.

WordPress Témy a Plugin súbory sú editovateľné cez informačný panel

Editor doplnkov WordPress

Problém je v tom, že ak hacker získa prístup na vaše webové stránky, môže spôsobiť veľa škody. Môžu spôsobiť, že váš web napadne iných ľudí škodlivým softvérom (ktorý by mohol skončiť tým, že sa váš web dostane na čiernu listinu spoločnosti Google a deindexuje ju z vyhľadávacích nástrojov), znehodnotí váš web alebo ľahko otvorí zadné vrátka..

Ako to vyriešiť:
Tento riadok kódu môžete pridať do súboru wp-config.php:

define ('DISALLOW_FILE_EDIT', true);

Alebo použite bezpečnostný doplnok, ktorý to urobí za vás (v podstate vloží iba tento riadok kódu za vás). Jediným problémom je, že existujú doplnky, ktoré umožňujú ľuďom zapnúť a vypnúť túto schopnosť, takže veľmi špecializovaný hacker by mohol nainštalovať doplnok, zapnúť doplnok a získať prístup k úpravám kódu bez prístupu FTP..

Ak chcete byť veľmi dôkladní a chrániť proti tomu, môžete zakázať všetky aktualizácie / inštalácie doplnkov a tém pridaním tohto riadku kódu do súboru wp-config.php:

define ('DISALLOW_FILE_MODS', true);

Ale samozrejme by to znamenalo, že by ste museli zmeniť svoju hodnotu na nepravdivé vždy, keď ste chceli aktualizovať alebo nainštalovať doplnok alebo tému (túto možnosť v skutočnosti neodporúčame, pretože udržiavanie aktuálnosti tém a doplnkov je jedným z najlepších spôsobov aby vaše stránky boli menej zraniteľné).

WordPress má veľmi otvorené nastavenia brány Firewall, ktoré umožňujú povoliť útokom aj známe škodlivé roboty

Servery Firewallu WordPress

Predvolené nastavenia brány firewall WordPress sú v skutočnosti na liberálnej strane. To znamená, že niektoré nevhodné roboty a iní nežiaduci návštevníci dostanú zelenú.

Ako to vyriešiť:
Môžete to vylepšiť inštaláciou základných pravidiel brány firewall 5G na čiernej listine, buď ich skopírovaním ručne do súboru .htaccess (nájdete ho tu) alebo inštaláciou tento doplnok, alebo použite bezpečnostný doplnok na lepšiu optimalizáciu pravidiel vo vašom .htaccess.

Neobmedzené pokusy o prihlásenie do WordPress

Aj keď predvolené nastavenie je skutočne neobmedzené pokusy o prihlásenie, možno ste sa rozhodli obmedziť pokusy o prihlásenie, keď ste na svoje stránky nainštalovali WordPress. Ak ste to však neurobili, ide o neuveriteľne ľahkú opravu.

Ako to vyriešiť:
Jednoducho nainštalujte Doplnok Limit pokusov o prihlásenie. Alebo, ak používate hosting WPEngine, jedná sa o funkciu, ktorú už pre vás vstavali – nie je potrebný žiadny doplnok! Ak už chránite svoju prihlasovaciu oblasť povolením prístupu iba k svojim adresám IP na dasbhboard, nemusíte to robiť. Ale ak ste len skryli adresu svojej prihlasovacej stránky, je to pekná dvojitá ochrana pred možnými útokmi hrubou silou.

záver

Kybernetická kriminalita rýchlo rastie a internet sa stáva domovom pre viac zločincov ako v „skutočnom svete“. V niektorých krajinách sa to už stalo. A zatiaľ čo z väčšej časti ide o podvody s kreditnými kartami a bankami, existuje tu stále viac hackerov a ako vlastníci webových stránok musíme chrániť seba a svoje stránky čo najlepšie, ako vieme..

Aj keď predvolená inštalácia programu WordPress má určité slabiny, krása programu WordPress je skutočne taká ľahká, že môžete vyriešiť takmer všetky svoje problémy s webom, vrátane bezpečnostných hrozieb uvedených v tomto príspevku. Okrem toho, že máte jedinečné používateľské meno a silné heslo, inštaláciou bezpečnostného doplnku, úpravou niektorých nastavení a prípadne vložením riadku kódu alebo dvoch, už môžete výrazne znížiť riziko, že vaše stránky budú napadnuté malwarom alebo napadnuté malvérom..

Podnikli ste nejaké opatrenia na zvýšenie bezpečnosti vášho webu WordPress? Aký druh? Radi by sme počuli niektoré z vašich tipov a trikov! Dajte nám vedieť v komentároch.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map