See tsitaat on piisavalt hea, et anda teile aimu turvaprobleemidest, mis kogu maailmas toimuvad. Tegelikult on veebisaitide turvalisus teema, mis on saidi omanikele juba pikka aega unetuid öid pakkunud. Keegi pole suutnud oma ettevõtte saidi jaoks 100% turvalisust saavutada.

Juniper Researchi uuringu kohaselt läheb küberkuritegevus ettevõtetele 2019. aastaks maksma üle 2 triljoni dollari. See on murettekitav statistika ja näitab, et iga päevaga on veebisaidi turvamine muutumas väga keeruliseks. Samal ajal peate leidma viise oma saidi kaitsmiseks, kuna see sisaldab nii teie kõige olulisemaid andmeid kui ka tundlikku teavet.

Nagu te kõik teate, kasutab WordPress 31% Internetist ja seetõttu on väga selge, et WordPressi platvorm seisab silmitsi kõige suurema arvu veebiturbeprobleemidega. Enamik kasutajaid usaldab seda imelist platvormi ja seetõttu on nad oma ärisaidid sellele üles ehitanud.

Sucuri läbiviidud uuringu kohaselt on WordPress aga 2018. aasta enim nakatunud veebisaidiplatvorm.

Seetõttu on teie kõigi jaoks oluline olla teadlik erinevatest WordPressi turvaaukudest ja nende parandamise viisidest. Niisiis, alustame ja analüüsime iga haavatavust ükshaaval.

On kahte tüüpi ettevõtteid: need, keda on häkitud, ja need, kes veel ei tea, et neid on häkitud.

– John Chambers

WordPressi 10 parimat turvaauku

Ebaturvaline veebimajutus
Nõrga parooli kasutamine
WordPressi ei värskendata
SQL-i süstimine
WordPressi konfiguratsioonifaili turvalisuse unustamine
Pluginaid ega teemasid ei värskendata
Kasutades tavalist FTP-d
Ei muuda WordPressi tabeli eesliidet
Pahavara
Valed failiõigused

1 Ebaturvaline veebimajutus

See on võib-olla üks suurimaid põhjuseid, miks WordPressi veebisaidid kergesti nakatuvad. Nagu kõik teised veebisaidid, hostitakse ka WordPressi veebisaiti serveris. Mõnikord juhtub see, et hostingu pakkujad ei kaitse oma platvormi. Sellise stsenaariumi korral on kõik võimalused, et teie WordPressi veebisaiti võib rünnata kõrvalseisja.

Selle probleemi lahendamise viis

Parim viis selle probleemi lahendamiseks on hostida oma WordPressi veebisaiti mõnel tipptasemel hostimisplatvormil. Siin on nimekiri parimatest WordPressi hostimise pakkujatest, mida saate oma ettevõtte veebisaidi jaoks kasutada.

Parimad WordPressi hostimise pakkujad

Bluehost
HostGator
SiteGround
DreamHost
InMotioni hostimine

2 Nõrga parooli kasutamine

Paroolid on teie WordPressi veebisaidi turvalisuse oluline osa. Peate alati veenduma, et kasutate oma WordPressi konto jaoks tugevat parooli. WPTemplate'i läbi viidud uuringu kohaselt häkitakse nädala parooli tõttu 8% WordPressi veebisaitidest üle maailma. Nädala parool võimaldab hõlpsat juurdepääsu järgmistele asjadele.

WP administraatori konto
C-paneeli konto
FTP konto
Teie WordPressi andmebaas

Seetõttu muutub WordPressi veebisaidi jaoks tugeva parooli omamine äärmiselt oluliseks.

Selle probleemi lahendamise viis

Vormige keeruline parool

Üks selle probleemi lahendamise viise on oma saidi jaoks keeruka parooli moodustamine. Parooli tegemiseks proovige alati kasutada tähestiku, numbrite, erimärkide jne kombinatsiooni. See aitab teil luua tugeva parooli, mida pole lihtne ära arvata.
Kasutage paroolihaldurit

Teine viis selle probleemi lahendamiseks on paroolihaldurite kasutamine. Paroolihaldur on rakendus, mis võimaldab salvestada kõik oma paroolid ühte kohta ja seejärel hallata seda põhiparooli kaudu. Iga paroolihalduri USP on see, et neil on automaatse täitmise funktsioon.

Siin on nimekiri parimatest paroolihalduritest:
- LastPass
- 1 Parool
- Dashlane
Kahefaktoriline autentimine

See on üks parimaid viise oma WordPressi veebisaidi kaitsmiseks paroolide varastamise eest. Kahefaktorilise autentimise stsenaariumi korral, kui mõni ründaja suudab teie WordPressi veebisaidi parooli ära arvata, ei pea ta teie saidile sisse logima. Ta vajab turvakoodi, mis saadetakse teie mobiiltelefoni. Sel viisil saate oma veebisaiti kaitsta.

Kahefaktorilise autentimise seadistamiseks WordPressis on mitu peamist viisi:
1. SMS-iga kinnitamine
2. Google Authenticatori rakendus

3 WordPressi ei värskendata

Paljud kasutajad tunnevad end mõne WordPressi versiooniga mugavalt ja seetõttu ei värskenda nad oma WordPressi versiooni regulaarselt. Peamine põhjus on see, et nad kardavad, et see rikub nende veebisaiti. Kuid iga WordPressi uus versioon sisaldab turvavigade parandusi ja seetõttu on teie jaoks oluline oma veebisaiti värskendada.

Selle probleemi lahendamise viis

Kontrollige alati WordPressi uusimat versiooni ja proovige oma veebisaiti värskendada. See vähendab turvaprobleemide tõenäosust. Need, kes kardavad, et WordPressi värskendamine põhjustab saidi rikke, võivad teha oma veebisaidi varukoopia. Seega, kui uus versioon ei tööta teie vajaduste kohaselt, saate alati tagasi pöörduda.

4 SQL-i süstimine

SQL-i süstimine on üks vanimaid meetodeid veebisaidile juurdepääsu saamiseks. Nagu te kõik teate, on SQL keel, mida kasutatakse WordPressi andmebaasiga töötamiseks, ja seetõttu süstivad häkkerid seda tüüpi rünnakute korral teie saidile teabe hankimiseks SQL-i käske. Häkkerid muutuvad iga päevaga targaks ja nad teevad iga päev uut SQL-i. Seega peaksite veebisaidi omanikuna teadma, kuidas sellest probleemist lahti saada.

Selle probleemi lahendamise viis

Otsige SQL-i sisestamise haavatavust

Peaksite oma WordPressi veebisaidil regulaarselt kontrollima SQL-i süstimise probleemi. Selle käsitsi täitmine võib aga olla väga keeruline ja seetõttu peaksite sel eesmärgil kasutama mõningaid turvaskannimise tööriistu. Siin on parimate turvaskannimise tööriistade loend:
- WordPressi turvakontroll
- SiteChecki mahlad
- WPScan

Koodi lisamine oma .htaccess-faili

Teine viis SQL-i süstimise vältimiseks on lisada oma .htaccess-faili konkreetne kood. .htaccess on konfiguratsioonifail, mida kasutatakse veebiserverites ja seetõttu saate selle osa muutmisega piirata kõrvaliste juurdepääsu oma WordPressi andmebaasile.

Lisage oma .htaccess-faili järgmine kood:

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]

5 WordPressi konfiguratsioonifaili turvalisuse unustamine

WordPressi konfiguratsioonifail (wp-config.php) sisaldab WordPressi andmebaasi sisselogimismandaate. Seega, kui mõni kõrvaline inimene pääseb sellele failile juurde, võib ta varastada teie teavet ja teie veebisaiti kahjustada. Seetõttu on vajalik, et teeksite selle faili kaitsmiseks kõik endast oleneva.

Selle probleemi lahendamise viis

Üks lihtsamaid viise faili wp-config.php kaitsmiseks on faili .htaccess muutmine ja juurdepääsu piiramine. Selleks lisage lihtsalt oma htaccess-faili järgmine koodilõik:

<files wp-config.php>
order allow,deny
deny from all
</files>

6 Pluginaid või teemasid ei värskendata

Nii nagu WordPressi tuum, on ka WordPressi veebisaidil oluline kasutada pistikprogrammide või teemade uusimat versiooni. Mis tahes pistikprogrammi või teema aegunud versiooni kasutamine võib muuta teie saidi turvaohtude suhtes haavatavaks. WPWhiteSecurity korraldatud uuringu kohaselt on 54% ülemaailmsetest WordPressi haavatavustest tingitud pistikprogrammidest.

Selle probleemi lahendamise viis

Kontrollige alati oma pistikprogrammi ja teemade värskendusi. Veenduge, et kasutate WordPressis saadaolevat uusimat versiooni. Seda metoodikat järgides vähendate oma WordPressi veebisaidi turvaohtude tõenäosust miinimumini.

7 Tavalise FTP kasutamine

Neile, kes ei tea, kasutatakse FTP-kontosid teie veebisaidi serverisse faili üleslaadimiseks FTP-kliendi abil. Enamik hostingu pakkujaid toetab FTP-ühendust, kasutades erinevat tüüpi protokolle: lihtne FTP, SFTP või SSH.

Enamik WordPressi veebisaitide omanikke teeb vea, kasutades tavalist FTP-d. Nüüd, mis juhtub tavalises FTP-s, on see, et teie parool saadetakse serverisse krüptimata kujul. Seega saavad kõik, kes saavad serverisse häkkida, hõlpsa juurdepääsu teie WordPressi veebisaidile.

Selle probleemi lahendamise viis

FTP kasutamise asemel saate valida SFTP või SSH valiku. Selleks ei pea te FTP-klienti muutma. Lihtsalt muutke oma veebisaidiga ühenduse loomise ajal protokolliks "SFTP-SSH". Seda protokolli kasutades saate saata parooli serverisse krüpteeritud kujul, mis minimeerib turvaprobleemide riski.

8 WordPressi tabeli eesliidet ei muuda

Nagu te kõik teate, algavad kõik teie andmebaasis loodud WordPressi tabelid vaikimisi eesliitega ks29so_. Enamik WordPressi arendajaid ei hooli selle eesliite muutmisest, kuna nad arvavad, et see ei mõjuta saidi jõudlust.

Sellega seoses muudab see eesliide teie WordPressi veebisaidi turvaprobleemide suhtes haavatavaks. Selle põhjuseks on see, et ründaja võib teie WordPressi andmebaasi tabelite nime hõlpsalt ära arvata. Seetõttu peaksite proovima selle probleemi võimalikult kiiresti ellu äratada.

Selle probleemi lahendamise viis

Selle asemel, et kasutada WordPressi andmebaasi tabelite vaikeprefiksit, tuleks defineerida oma olemuselt keeruline eesliide, et keegi ei saaks seda ära arvata. Saate installimise ajal oma WordPressi andmebaasi tabelite eesliiteid muuta. Nii et pidage seda punkti alati meeles. Pärast seda ei saa te eesliidet muuta.

Turvalisuse parandamiseks saate WordPressi andmebaasi eesliidet muuta järgmiselt.

9 Pahavara

Pahavara on pahatahtliku tarkvara lühend. Teisisõnu võite öelda, et see on kood, mida kasutatakse veebisaidile volitamata juurdepääsu saamiseks. Häkitud veebisait viitab selgelt, et on sisestatud pahavara. Kui soovite nüüd saidil pahavara ära tunda, proovige vaadata hiljuti muudetud faile.

Veebis võib olla mitut tüüpi pahavarainfektsioone, kuid WordPressi puhul on allpool loetletud neli peamist pahavara nakatumist.

Tagauksed
Drive-by allalaadimised
Pharma häkid
Pahatahtlikud ümbersuunamised

Selle probleemi lahendamise viis

Pahavaraprobleeme saab hõlpsasti tuvastada, otsides hiljuti muudetud failist ja eemaldades seejärel selle faili oma WordPressi veebisaidilt. Teine viis selle probleemi lahendamiseks on installida WordPressi värske versioon või taastada WordPressi veebisait oma hiljutisest varukoopiast. Mõlemad meetodid aitavad teil turvaauke minimeerida.

10 valed failiload

Failiõigused on reeglite kogum, mida veebiserver kasutab. See aitab teie serveril juhtida juurdepääsu teie WordPressi veebisaidil olevale failile. Nüüd juhtub mõnikord nii, et kasutaja määrab valed failiload, mis võimaldavad ründajatel failile juurde pääseda ja seda vastavalt oma nõuetele muuta, mis võib teie WordPressi veebisaidile suurt kahju põhjustada.

Selle probleemi lahendamise viis

Parim viis selle probleemi lahendamiseks on määrata oma WordPressi veebisaidi jaoks õige faililuba. Mis tahes WordPressi veebisaidi faililuba peaks olema järgmine:

755 või 750 kõigi kataloogide jaoks
644 või 640 failide jaoks
600 wp-config.php jaoks

Nende õiguste määramisel saate piirata juurdepääsu oma WordPressi veebisaidile, mis aitab teil seda ründajate eest kaitsta.

Viimased Mõtted

Turvalisus on aastate jooksul olnud veebisaitide omanike jaoks peamine murekoht. Isegi pärast seda, kui selles valdkonnas on nii palju uuringuid läbi viidud, pole keegi 100% turvalisuse väidet kinnitanud. See näitab keerukuse taset, millega selle probleemiga töötades tuleb tegeleda.

Seda arvesse võttes oleme püüdnud teile pakkuda WordPressi 10 peamist turvaauku ja nende parandamise viise, mis on teile lähitulevikus kindlasti abiks.

Millised on teie mõtted sellel teemal? Mainige neid meie kommentaaride jaotises. Aitäh!

: instantshift.com