Tämä lainaus on riittävän hyvä antamaan sinulle käsityksen turvallisuusongelmista, joita esiintyy kaikkialla maailmassa. Itse asiassa verkkosivustojen turvallisuus on aihe, joka on antanut unettomia öitä sivuston omistajille jo pitkään. Kukaan ei ole pystynyt saavuttamaan 100 %:n turvallisuutta yrityssivustolleen.

Juniper Researchin tekemän tutkimuksen mukaan tietoverkkorikollisuus maksaa yrityksille yli 2 biljoonaa dollaria vuoteen 2019 mennessä. Tämä on hälyttävä tilasto, ja se osoittaa, että verkkosivuston turvaaminen on päivä päivältä erittäin vaikeaa. Samalla sinun on löydettävä tapoja suojata sivustosi, sillä se sisältää tärkeimmät tietosi sekä arkaluontoiset tiedot.

Kuten kaikki tiedätte, WordPress käyttää 31 prosenttia Internetistä, ja siksi on hyvin selvää, että WordPress-alusta kohtaa eniten verkkoturvaongelmia. Suurin osa käyttäjistä luottaa tähän upeaan alustaan, ja siksi he ovat rakentaneet yrityssivustonsa sen varaan.

Sucurin tekemän tutkimuksen mukaan WordPress on kuitenkin saastunein verkkosivustoalusta vuodelle 2018.

Siksi on tärkeää, että te kaikki olette tietoisia erilaisista WordPressin tietoturvahaavoittuvuuksista ja tavoista korjata ne. Joten aloitetaan ja analysoidaan jokainen haavoittuvuus yksitellen.

On olemassa kahdenlaisia yrityksiä: niitä, jotka on hakkeroitu, ja niitä, jotka eivät vielä tiedä, että heidät on hakkeroitu.

– John Chambers

WordPressin 10 parasta tietoturvahaavoittuvuutta

Turvaton Web Hosting
Heikon salasanan käyttäminen
Ei päivitetä WordPressiä
SQL-injektio
Unohda suojata WordPress-määritystiedosto
Ei päivitetä laajennuksia tai teemoja
Käytä tavallista FTP:tä
Ei muuta WordPress-taulukon etuliitettä
Haittaohjelma
Virheelliset tiedostooikeudet

1 Turvaton verkkopalvelu

Tämä on ehkä yksi suurimmista syistä, miksi WordPress-sivustot saavat helposti tartunnan. Kuten kaikki muutkin sivustot, myös WordPress-sivusto isännöi palvelimella. Joskus tapahtuu, että isännöintipalveluntarjoajayritykset eivät suojaa alustaansa. Tällaisessa tilanteessa on kaikki mahdollisuudet, että ulkopuolinen hyökkää WordPress-verkkosivustoosi.

Tapa korjata tämä ongelma

Paras tapa korjata tämä ongelma on isännöidä WordPress-verkkosivustoasi joillakin huippuluokan isännöintialustoilla. Tässä on luettelo parhaista WordPress-isännöintipalveluntarjoajista, joita voit käyttää yrityksesi verkkosivustolle.

Parhaat WordPress-isännöintipalveluntarjoajat

Bluehost
HostGator
SiteGround
DreamHost
InMotion Hosting

2 Heikon salasanan käyttäminen

Salasanat ovat tärkeä osa WordPress-verkkosivustosi turvallisuutta. Sinun on aina varmistettava, että käytät vahvaa salasanaa WordPress-tilillesi. WPTemplaten tekemän tutkimuksen mukaan 8 % WordPress-sivustoista ympäri maailmaa hakkeroidaan viikon salasanan takia. Viikon salasanalla pääsee helposti seuraaviin asioihin:

WP-järjestelmänvalvojan tili
C-Panelin tili
FTP-tili
WordPress-tietokantasi

Siksi on erittäin tärkeää, että sinulla on vahva salasana WordPress-verkkosivustollesi.

Tapa korjata tämä ongelma

Muodosta monimutkainen salasana

Yksi tapa korjata tämä ongelma on muodostaa monimutkainen salasana sivustollesi. Yritä aina käyttää aakkosten, numeroiden, erikoismerkkien jne. yhdistelmää salasanan luomiseen. Se auttaa sinua tekemään vahvan salasanan, jota ei voi arvata helposti.
Käytä Password Manageria

Toinen tapa korjata tämä ongelma on käyttää salasananhallintaohjelmia. Salasanojen hallinta on sovellus, jonka avulla voit tallentaa kaikki salasanasi yhteen paikkaan ja hallita niitä sitten pääsalasanan avulla. Minkä tahansa salasananhallinnan USP on, että niissä on automaattinen täyttötoiminto.

Tässä on luettelo parhaista salasanojen hallinnasta:
- LastPass
- 1 Salasana
- Dashlane
Kaksitekijäinen todennus

Tämä on yksi parhaista tavoista suojata WordPress-verkkosivustosi salasanavarkauksilta. Kaksivaiheisessa todennusskenaariossa, jos joku hyökkääjä pystyy arvaamaan WordPress-verkkosivustosi salasanan, hänen ei tarvitse kirjautua sisään sivustollesi. Hän tarvitsee turvakoodin, joka lähetetään matkapuhelimeesi. Tällä tavalla voit suojata verkkosivustosi.

On olemassa suuria tapoja määrittää kaksivaiheinen todennus WordPressissä:
1. SMS-vahvistus
2. Google Authenticator -sovellus

3 Ei päivitetä WordPressiä

Monet käyttäjät tuntevat tyytyväisyytensä johonkin WordPress-versiosta, ja siksi he eivät päivitä WordPress-versiotaan säännöllisin väliajoin. Suurin syy siihen on se, että he pelkäävät, että se rikkoisi heidän verkkosivustonsa. Jokainen uusi WordPress-versio sisältää kuitenkin korjauksia tietoturvavirheisiin, ja siksi sinun on tärkeää päivittää verkkosivustosi.

Tapa korjata tämä ongelma

Tarkista aina uusin WordPress-versio ja yritä pitää verkkosivustosi ajan tasalla. Tämä minimoi tietoturvaongelmien mahdollisuudet. Ne, jotka pelkäävät, että WordPressin päivittäminen aiheuttaa sivuston hajoamisen, voivat ottaa varmuuskopion verkkosivustostaan. Joten jos uusi versio ei toimi tarpeidesi mukaan, voit aina palata takaisin.

4 SQL-injektio

SQL-injektio on yksi vanhimmista tavoista päästä verkkosivustolle. Kuten kaikki tiedätte, SQL on kieli, jota käytetään työskentelemään WordPress-tietokannan kanssa, ja siksi tämäntyyppisissä hyökkäyksissä hakkerit ruiskuttavat SQL-komentoja sivustoosi tietojen hakemiseksi. Hakkerit ovat tulossa älykkäiksi päivä päivältä ja he tekevät uuden SQL-injektion joka päivä. Joten verkkosivuston omistajana sinun tulee olla tietoinen tavoista päästä eroon tästä ongelmasta.

Tapa korjata tämä ongelma

Etsi SQL-injektion haavoittuvuus

Sinun tulee tarkistaa SQL Injection -ongelma WordPress-verkkosivustoltasi säännöllisesti. Tämä voi kuitenkin olla erittäin vaikea tehtävä suorittaa manuaalisesti, ja siksi sinun tulee käyttää joitain suojaustarkistustyökaluja tähän tarkoitukseen. Tässä on luettelo parhaista suojaustarkistustyökaluista:
- WordPress-tietoturvatarkistus
- SiteCheck-mehut
- WPScan

Koodin lisääminen .htaccess-tiedostoosi

Toinen tapa estää SQL-injektio on lisätä tietty koodi .htaccess-tiedostoon. .htaccess on konfiguraatiotiedosto, jota käytetään web-palvelimilla ja siksi muuttamalla tätä osaa voit rajoittaa ulkopuolisten pääsyä WordPress-tietokantaasi.

Lisää seuraava koodi .htaccess-tiedostoosi:

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]

5 Unohda suojata WordPress-määritystiedosto

WordPress-määritystiedosto (wp-config.php) sisältää WordPress-tietokannan kirjautumistiedot. Siksi, jos joku ulkopuolinen saa pääsyn tähän tiedostoon, hän voi varastaa tietosi ja vahingoittaa verkkosivustoasi. Siksi on välttämätöntä, että teet kaikkesi tämän tiedoston suojaamiseksi.

Tapa korjata tämä ongelma

Yksi yksinkertaisimmista tavoista suojata wp-config.php-tiedosto on muokata .htaccess-tiedostoa ja rajoittaa pääsyä. Lisää tätä tarkoitusta varten seuraava katkelma .htaccess-tiedostoosi:

<files wp-config.php>
order allow,deny
deny from all
</files>

6 Ei päivitetä laajennuksia tai teemoja

Aivan kuten WordPressin ydin, on tärkeää käyttää WordPress-verkkosivuston laajennuksien tai teemojen uusinta versiota. Minkä tahansa laajennuksen tai teeman vanhentuneen version käyttäminen voi tehdä sivustostasi haavoittuvan tietoturvauhkille. WPWhiteSecurityn tekemän tutkimuksen mukaan 54 % maailmanlaajuisista WordPressin haavoittuvuuksista johtuu laajennuksista.

Tapa korjata tämä ongelma

Tarkista aina päivitys mistä tahansa laajennuksestasi ja teemoistasi. Varmista, että käytät viimeisintä saatavilla olevaa WordPress-versiota. Noudattamalla tätä menetelmää minimoit WordPress-verkkosivustosi tietoturvauhkien mahdollisuudet.

7 Tavallisen FTP:n käyttäminen

Niille, jotka eivät tiedä, FTP-tilejä käytetään tiedoston lataamiseen verkkosivustosi palvelimelle FTP-asiakasohjelman avulla. Suurin osa isännöintipalveluntarjoajista tukee FTP-yhteyttä käyttämällä erilaisia protokollia: yksinkertainen FTP, SFTP tai SSH.

Suurin osa WordPress-verkkosivustojen omistajista tekee virheen käyttämällä tavallista FTP:tä. Nyt tavallisessa FTP:ssä tapahtuu, että salasanasi lähetetään palvelimelle salaamattomassa muodossa. Joten jokainen, joka osaa hakkeroida palvelimen, pääsee helposti WordPress-verkkosivustollesi.

Tapa korjata tämä ongelma

FTP:n sijaan voit valita SFTP- tai SSH-vaihtoehdon. Sinun ei tarvitse vaihtaa FTP-asiakasta tätä tarkoitusta varten. Vaihda vain protokollaksi "SFTP-SSH", kun muodostat yhteyden verkkosivustoosi. Käyttämällä tätä protokollaa voit lähettää salasanan palvelimelle salatussa muodossa, mikä minimoi tietoturvaongelmien riskin.

8 Ei muuta WordPress-taulukon etuliitettä

Kuten kaikki tiedätte, oletuksena kaikki tietokantaan luodut WordPress-taulukot alkavat etuliitteellä nimeltä ks29so_. Suurin osa WordPress-kehittäjistä ei välitä tämän etuliitteen muuttamisesta, koska heidän mielestään se ei vaikuta sivuston suorituskykyyn.

Jatkuvasti tämä etuliite tekee WordPress-verkkosivustostasi haavoittuvan tietoturvaongelmille. Syynä tähän on se, että hyökkääjä voi helposti arvata WordPress-tietokantataulujesi nimet. Siksi sinun tulee yrittää elvyttää tämä ongelma mahdollisimman pian.

Tapa korjata tämä ongelma

Sen sijaan, että käyttäisit WordPressin tietokantataulukoiden oletusetuliitettä, sinun tulee määrittää oma etuliite, joka on luonteeltaan monimutkainen, jotta kukaan ei voi arvata sitä. Voit muuttaa WordPress-tietokantataulujesi etuliitettä asennuksen yhteydessä. Muista siis se kohta aina. Sen jälkeen et saa mahdollisuutta vaihtaa etuliitettä.

Näin voit muuttaa WordPress-tietokannan etuliitettä turvallisuuden parantamiseksi:

9 Haittaohjelmat

Haittaohjelmat on lyhenne sanoista haittaohjelmat. Toisin sanoen voit sanoa, että se on koodi, jota käytetään pääsyyn verkkosivustolle luvatta. Hakkeroitu verkkosivusto osoittaa selvästi, että haittaohjelma on injektoitu. Jos haluat nyt tunnistaa haittaohjelmia sivustolla, yritä tarkastella äskettäin muutettuja tiedostoja.

Verkossa voi olla monenlaisia haittaohjelmatartuntoja, mutta WordPressissä alla on lueteltu neljä suurta haittaohjelmatartuntaa:

Takaovet
Drive-by-lataukset
Pharman hakkerit
Haitalliset uudelleenohjaukset

Tapa korjata tämä ongelma

Haittaohjelmaongelmat voidaan helposti tunnistaa etsimällä äskettäin muokatusta tiedostosta ja poistamalla tiedosto WordPress-verkkosivustoltasi. Toinen tapa käsitellä tätä ongelmaa on asentaa uusi WordPress-versio tai palauttaa WordPress-verkkosivusto viimeisimmästä varmuuskopiostasi. Molemmat menetelmät auttavat sinua minimoimaan tietoturva-aukkoja.

10 Virheelliset tiedostooikeudet

Tiedoston käyttöoikeudet ovat sääntöjoukko, jota verkkopalvelin käyttää. Se auttaa palvelintasi hallitsemaan pääsyä tiedostoosi WordPress-verkkosivustollasi. Nyt joskus tapahtuu, että käyttäjä asettaa virheellisiä tiedostooikeuksia, joiden avulla hyökkääjät voivat käyttää tiedostoa ja muokata sitä vaatimustensa mukaan, mikä voi aiheuttaa suurta vahinkoa WordPress-verkkosivustollesi.

Tapa korjata tämä ongelma

Paras tapa korjata tämä ongelma on määrittää oikeat tiedostooikeudet WordPress-verkkosivustollesi. Minkä tahansa WordPress-verkkosivuston tiedostooikeuden tulee olla alla lueteltu:

755 tai 750 kaikille hakemistoille
644 tai 640 tiedostoille
600 wp-config.php:lle

Asettamalla nämä käyttöoikeudet, voit rajoittaa pääsyä WordPress-verkkosivustollesi, mikä auttaa sinua suojaamaan sen hyökkääjiltä.

Lopulliset ajatukset

Turvallisuus on ollut verkkosivustojen omistajien ensisijainen huolenaihe vuosien ajan. Senkin jälkeen, kun tällä alalla on tehty niin paljon tutkimusta, kukaan ei ole väittänyt 100 %:n turvallisuutta. Tämä osoittaa, kuinka monimutkaisia asioita on käsiteltävä tämän ongelman parissa.

Tämän huomioon ottaen olemme yrittäneet tarjota sinulle 10 parasta WordPress-tietoturvahaavoittuvuutta ja tapoja korjata ne, jotka varmasti auttavat sinua lähitulevaisuudessa.

Mitä mieltä olet tästä aiheesta? Mainitse ne kommenttiosiossa. Kiitos!

: instantshift.com