NettsikkerhetSikkerhetTeknologi og merWeb og WordPress

Topp 10 WordPress sikkerhetssårbarheter og måter å fikse dem på

1
Innhold Gjemme seg
1 Usikker webhotell
Måte å fikse dette problemet
2 Bruke svakt passord
Måte å fikse dette problemet
3 Oppdaterer ikke WordPress
Måte å fikse dette problemet
4 SQL-injeksjon
Måte å fikse dette problemet
5 Å glemme å sikre WordPress-konfigurasjonsfilen
Måte å fikse dette problemet
6 Oppdaterer ikke plugins eller temaer
Måte å fikse dette problemet
7 Bruke vanlig FTP
Måte å fikse dette problemet
8 Ikke endre WordPress-tabellprefikset
Måte å fikse dette problemet
9 Skadelig programvare
Måte å fikse dette problemet
10 Feil filtillatelser
Måte å fikse dette problemet
Siste tanker

Dette sitatet er godt nok til å gi deg ideen om sikkerhetsproblemer som finner sted over hele verden. Faktisk er nettstedssikkerhet et emne som har gitt nettstedeierne søvnløse netter i lang tid. Ingen har vært i stand til å oppnå 100 % sikkerhet for bedriftssiden deres.

I følge en undersøkelse utført av Juniper Research vil nettkriminalitet koste bedrifter over 2 billioner dollar innen 2019. Dette er en alarmerende statistikk, og den viser at dag for dag å sikre et nettsted blir svært vanskelig. Samtidig må du finne måtene å sikre nettstedet ditt på, siden det inneholder de viktigste dataene dine så vel som den sensitive informasjonen.

Som dere alle vet, driver WordPress 31 % av internett, og derfor er det veldig tydelig at WordPress-plattformen vil stå overfor det høyeste antallet nettsikkerhetsproblemer. De fleste av brukerne stoler på denne fantastiske plattformen, og det er derfor de har bygget sine forretningssider på det.

Imidlertid, ifølge en undersøkelse utført av Sucuri, er WordPress den mest infiserte nettstedsplattformen for 2018.

Derfor blir det viktig for dere alle å være klar over ulike sikkerhetssårbarheter i WordPress og måtene å fikse dem på. Så la oss komme i gang og analysere hver sårbarhet én etter én.

Det er to typer selskaper: de som har blitt hacket, og de som ennå ikke vet at de er blitt hacket.

– John Chambers

Topp 10 WordPress sikkerhetssårbarheter

  1. Usikker webhotell
  2. Bruker svakt passord
  3. Oppdaterer ikke WordPress
  4. SQL-injeksjon
  5. Glemte å sikre WordPress-konfigurasjonsfilen
  6. Oppdaterer ikke plugins eller temaer
  7. Bruker vanlig FTP
  8. Endrer ikke WordPress-tabellprefikset
  9. Skadevare
  10. Feil filtillatelser

1 Usikker webhotell

Dette er kanskje en av de største grunnene til at WordPress-nettsteder lett blir infisert. Som alle de andre nettstedene, er WordPress-nettstedet også vert på serveren. Noen ganger er det som skjer at hostingleverandørselskapene ikke sikrer plattformen sin. I den typen scenario er det stor sjanse for at WordPress-nettstedet ditt kan bli angrepet av en utenforstående.

Måte å fikse dette problemet

Den beste måten å fikse dette problemet på er å være vert for WordPress-nettstedet ditt på noen av de førsteklasses vertsplattformene. Her er en liste over beste WordPress-vertsleverandører som du kan bruke for bedriftens nettsted.

Beste WordPress-vertsleverandører

  • Bluehost
  • HostGator
  • SiteGround
  • DreamHost
  • InMotion Hosting

2 Bruke svakt passord

Passord er en så viktig del av WordPress-nettstedets sikkerhet. Du må alltid sørge for at du bruker et sterkt passord for WordPress-kontoen din. I følge en undersøkelse utført av WPTemplate, blir 8 % av WordPress-nettsteder rundt om i verden hacket på grunn av ukepassord. Et ukespassord kan gi enkel tilgang til følgende ting:

  • WP administratorkonto
  • C-panelkonto
  • FTP-konto
  • Din WordPress-database

Det er derfor det blir ekstremt viktig å ha et sterkt passord for WordPress-nettstedet ditt.

Måte å fikse dette problemet

  • Lag et komplekst passord

    En av måtene du kan fikse dette problemet på er ved å lage et komplekst passord for nettstedet ditt. Prøv alltid å bruke kombinasjonen av alfabet, tall, spesialtegn osv. for å lage et passord. Det vil hjelpe deg å lage et sterkt passord som ikke lett kan gjettes.

  • Bruk A Password Manager

    Den andre måten å fikse dette problemet på er ved å bruke passordbehandlerne. En passordbehandling er en applikasjon som lar deg lagre alle passordene dine på ett sted og deretter administrere dem via et hovedpassord. USP for enhver passordbehandler er at de har en autofyll-funksjonalitet.

    Her er en liste over noen beste passordbehandlere:

    • LastPass
    • 1Passord
    • Dashlane

  • Tofaktorautentisering

    Dette er en av de beste måtene å beskytte WordPress-nettstedet ditt mot passordstjeling. I et scenario med tofaktorautentisering, hvis en angriper er i stand til å gjette passordet til WordPress-nettstedet ditt, vil han/hun ikke logge inn på nettstedet ditt. Han/hun vil kreve en sikkerhetskode som sendes til mobilen din. På denne måten vil du kunne beskytte nettstedet ditt.

    Det er viktige måter å sette opp tofaktorautentisering på i WordPress:

    1. SMS-bekreftelse
    2. Google Authenticator-appen

3 Oppdaterer ikke WordPress

Det er mange brukere som føler seg komfortable med en av WordPress-versjonene, og derfor oppdaterer de ikke WordPress-versjonen med jevne mellomrom. Hovedårsaken bak det er at de frykter at det vil ødelegge nettstedet deres. Hver ny versjon av WordPress kommer imidlertid med reparasjoner for sikkerhetsfeil, og det er derfor det blir viktig for deg å oppdatere nettstedet ditt.

Måte å fikse dette problemet

Se alltid etter den nyeste versjonen av WordPress og prøv å holde nettstedet ditt oppdatert. Dette vil minimere sjansene for eventuelle sikkerhetsproblemer. For de som frykter at oppdatering av WordPress vil skape et nettstedsammenbrudd kan ta sikkerhetskopi av nettstedet deres. Så hvis den nye versjonen ikke fungerer i henhold til dine krav, kan du alltid gå tilbake.

4 SQL-injeksjon

SQL Injection er en av de eldste metodene for å få tilgang til nettstedet. Som dere alle vet, er SQL et språk som brukes til å jobbe med WordPress-databasen, og det er derfor hackerne i denne typen angrep injiserer SQL-kommandoer på nettstedet ditt for å hente informasjonen. Hackere blir smarte dag for dag, og de kommer med en ny SQL-injeksjon hver dag eller den andre. Så, som nettstedeier, bør du være klar over måtene å bli kvitt dette problemet på.

Måte å fikse dette problemet

  • Skann etter SQL-injeksjonssårbarhet

    Du bør sjekke for SQL-injeksjonsproblemer på WordPress-nettstedet ditt med jevne mellomrom. Dette kan imidlertid være en svært vanskelig oppgave å utføre manuelt, og det er derfor du bør bruke noen sikkerhetsskanneverktøy for det formålet. Her er en liste over de beste sikkerhetsskanneverktøyene:

    • WordPress sikkerhetsskanning
    • SiteCheck juice
    • WPScan

  • Legge til en kode i .htaccess-filen

    En annen måte å forhindre SQL-injeksjon på er å legge til en bestemt kode i .htaccess-filen. .htaccess er en konfigurasjonsfil som brukes på webserverne, og ved å endre den delen vil du derfor kunne begrense tilgangen til utenforstående til din WordPress-database.

    Legg til følgende kode i .htaccess-filen:

    RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]

5 Å glemme å sikre WordPress-konfigurasjonsfilen

WordPress-konfigurasjonsfilen (wp-config.php) består av påloggingsinformasjon for WordPress-databasen. Derfor, hvis noen utenforstående får tilgang til denne filen, kan han/hun stjele informasjonen din og forårsake skade på nettstedet ditt. Derfor blir det nødvendig at du gjør alt for å beskytte denne filen.

Måte å fikse dette problemet

En av de enkleste måtene å beskytte filen wp-config.php på er å endre .htaccess og begrense tilgangen. For det formålet legger du bare til følgende kodebit i .htaccess-filen din:

<files wp-config.php>
order allow,deny
deny from all
</files>

6 Oppdaterer ikke plugins eller temaer

Akkurat som kjernen i WordPress, er det viktig å bruke den nyeste versjonen av pluginene eller temaene på WordPress-nettstedet. Bruk av en utdatert versjon av et hvilket som helst plugin eller tema kan gjøre nettstedet ditt sårbart for sikkerhetstrusler. I følge en undersøkelse utført av WPWhiteSecurity, skyldes 54% av globale WordPress-sårbarheter plugins.

Måte å fikse dette problemet

Se alltid etter oppdateringen i noen av pluginene og temaene dine. Sørg for at du bruker den nyeste versjonen som er tilgjengelig på WordPress. Ved å følge denne metoden vil du minimere sjansene for sikkerhetstrusler på WordPress-nettstedet ditt.

7 Bruke vanlig FTP

For de som ikke vet, brukes FTP-kontoer til å laste opp en fil på serveren din ved hjelp av en FTP-klient. De fleste av vertsleverandørene støtter FTP-tilkobling ved å bruke forskjellige typer protokoller: Enkel FTP, SFTP eller SSH.

De fleste eiere av WordPress-nettsteder gjør feilen ved å bruke vanlig FTP. Nå, det som skjer i en vanlig FTP er at passordet ditt sendes til serveren i ukryptert form. Så alle som kan hacke serveren kan få enkel tilgang til WordPress-nettstedet ditt.

Måte å fikse dette problemet

I stedet for å bruke FTP, kan du velge SFTP eller SSH. Du trenger ikke å endre FTP-klienten for det formålet. Bare endre protokollen til ‘SFTP-SSH' mens du kobler til nettstedet ditt. Ved å bruke denne protokollen vil du kunne sende passordet til serveren i en kryptert form som minimerer risikoen for sikkerhetsproblemer.

8 Ikke endre WordPress-tabellprefikset

Som dere alle vet, starter alle WordPress-tabeller som er opprettet i databasen som standard med et prefiks kalt ks29so_. De fleste av WordPress-utviklerne bryr seg ikke om å endre dette prefikset, da de føler at det ikke kommer til å påvirke nettstedets ytelse.

I takt med det gjør dette prefikset ditt WordPress-nettsted sårbart for sikkerhetsproblemene. Årsaken bak det er at en angriper enkelt kan gjette navnet på WordPress-databasetabellene dine. Derfor bør du prøve å gjenoppta dette problemet så snart som mulig.

Måte å fikse dette problemet

I stedet for å bruke standardprefikset for WordPress-databasetabellene, bør du definere ditt eget prefiks som er komplisert i naturen slik at noen ikke kan gjette det. Du kan endre prefikset til WordPress-databasetabellene dine ved installasjonstidspunktet. Så husk alltid det punktet. Etter det vil du ikke få sjansen til å endre prefikset.

Slik kan du endre WordPress-databaseprefikset for å forbedre sikkerheten:

9 Skadelig programvare

Malware er en forkortelse for skadelig programvare. Med andre ord kan du si at det er kode som brukes for å få tilgang til en nettside på en uautorisert måte. Et hacket nettsted indikerer tydelig at en skadelig programvare har blitt injisert. Nå, hvis du vil gjenkjenne skadelig programvare på nettstedet, kan du prøve å se på nylig endrede filer.

Det kan være mange typer malware-infeksjoner på nettet, men for WordPress er fire store malware-infeksjoner som er oppført nedenfor:

  • Bakdører
  • Drive-by-nedlastinger
  • Pharma hacks
  • Ondsinnede omdirigeringer
Måte å fikse dette problemet

Eventuelle skadelige problemer kan enkelt identifiseres ved å søke i den nylig endrede filen og deretter fjerne den filen fra WordPress-nettstedet ditt. Den andre måten å håndtere dette problemet på er å installere en fersk versjon av WordPress eller ved å gjenopprette WordPress-nettstedet fra den siste sikkerhetskopien. Begge disse metodene vil hjelpe deg med å minimere sikkerhetssårbarhetene.

10 Feil filtillatelser

Filtillatelser er settet med regler som brukes av webserveren. Det hjelper serveren din med å kontrollere tilgangen til filen din på WordPress-nettstedet ditt. Noen ganger er det som skjer at brukeren angir feil filtillatelser som lar angriperne få tilgang til filen og endre den i henhold til deres krav, noe som kan forårsake stor skade på WordPress-nettstedet ditt.

Måte å fikse dette problemet

Den beste måten å fikse dette problemet på er ved å angi riktig filtillatelse for WordPress-nettstedet ditt. Filtillatelsen på ethvert WordPress-nettsted bør være som oppført nedenfor:

  • 755 eller 750 for alle kataloger
  • 644 eller 640 for filer
  • 600 for wp-config.php

Ved å angi disse tillatelsene vil du kunne begrense tilgangen til WordPress-nettstedet ditt, noe som vil hjelpe deg å sikre det fra angriperne.

Siste tanker

Sikkerhet har vært et hovedanliggende for nettstedeierne gjennom årene. Selv etter at så mye forskning er utført på dette området, har ingen vært å stable kravet om å være 100% sikker. Dette viser kompleksitetsnivået man må forholde seg til mens man arbeider med denne problemstillingen.

Med dette i betraktning har vi forsøkt å gi deg de 10 beste WordPress-sikkerhetssårbarhetene og måtene å fikse dem på, som helt sikkert vil hjelpe deg i nær fremtid.

Hva er dine tanker om dette emnet? Nevn dem i kommentarfeltet vår. Takk skal du ha!

Opptakskilde: instantshift.com
Kan hende du også liker Mer fra forfatteren

Dette nettstedet bruker informasjonskapsler for å forbedre din opplevelse. Vi antar at du er ok med dette, men du kan velge bort det hvis du ønsker det. jeg aksepterer Mer informasjon