Top 10 luk w zabezpieczeniach WordPress i sposobów ich naprawy

1

Ten cytat jest wystarczająco dobry, aby dać ci wyobrażenie o problemach bezpieczeństwa, które mają miejsce na całym świecie. W rzeczywistości bezpieczeństwo stron internetowych to temat, który od dawna spędza bezsenne noce właścicielom witryn. Nikt nie był w stanie zapewnić 100% bezpieczeństwa swojej witryny biznesowej.

Według ankiety przeprowadzonej przez Juniper Research cyberprzestępczość będzie kosztować firmy ponad 2 biliony dolarów do 2019 roku. To alarmująca statystyka, która pokazuje, że codzienne zabezpieczanie strony internetowej staje się bardzo trudne. Jednocześnie musisz znaleźć sposoby zabezpieczenia swojej witryny, ponieważ zawiera ona Twoje najważniejsze dane, a także informacje wrażliwe.

Jak wszyscy wiecie, WordPress obsługuje 31% Internetu i dlatego jest bardzo jasne, że platforma WordPress będzie borykać się z największą liczbą problemów związanych z bezpieczeństwem sieci. Większość użytkowników ufa tej wspaniałej platformie i dlatego zbudowali na niej swoje witryny biznesowe.

Jednak według badań przeprowadzonych przez Sucuri, WordPress jest najbardziej zainfekowaną platformą internetową w 2018 roku.

Dlatego ważne jest, aby wszyscy byli świadomi różnych luk w zabezpieczeniach WordPress i sposobów ich naprawy. A więc zacznijmy i przeanalizujmy każdą lukę po kolei.

Istnieją dwa rodzaje firm: te, które zostały zhakowane, i te, które jeszcze nie wiedzą, że zostały zhakowane.

— Johna Chambersa

Top 10 luk w zabezpieczeniach WordPressa

  1. Niebezpieczny hosting
  2. Używanie słabego hasła
  3. Brak aktualizacji WordPressa
  4. Wstrzyknięcie SQL
  5. Zapominanie o zabezpieczeniu pliku konfiguracyjnego WordPress
  6. Brak aktualizacji wtyczek lub motywów
  7. Korzystanie ze zwykłego FTP
  8. Brak zmiany prefiksu tabeli WordPress
  9. Złośliwe oprogramowanie
  10. Nieprawidłowe uprawnienia do plików

1 Niebezpieczny hosting

Jest to prawdopodobnie jeden z głównych powodów, dla których witryny WordPress są łatwo zainfekowane. Podobnie jak wszystkie inne strony internetowe, witryna WordPress jest również hostowana na serwerze. Czasami zdarza się, że dostawcy usług hostingowych nie zabezpieczają swojej platformy. W takim scenariuszu istnieje duże prawdopodobieństwo, że Twoja witryna WordPress może zostać zaatakowana przez osobę z zewnątrz.

Sposób rozwiązania tego problemu

Najlepszym sposobem rozwiązania tego problemu jest hostowanie witryny WordPress na niektórych z najlepszych platform hostingowych. Oto lista najlepszych dostawców usług hostingowych WordPress, których możesz użyć w swojej witrynie biznesowej.

Najlepsi dostawcy hostingu WordPress

  • Bluehost
  • HostGator
  • SiteGround
  • DreamHost
  • Hosting InMotion

2 Używanie słabego hasła

Hasła są tak kluczowym elementem bezpieczeństwa Twojej witryny WordPress. Zawsze musisz upewnić się, że używasz silnego hasła do swojego konta WordPress. Według badań przeprowadzonych przez WPTemplate, 8% witryn WordPress na całym świecie zostaje zhakowanych z powodu hasła tygodniowego. Tygodniowe hasło może zapewnić łatwy dostęp do następujących rzeczy:

  • Konto administratora WP
  • Konto C-Panel
  • Konto FTP
  • Twoja baza danych WordPressa

Dlatego posiadanie silnego hasła do witryny WordPress staje się niezwykle ważne.

Sposób rozwiązania tego problemu
  • Utwórz złożone hasło

    Jednym ze sposobów rozwiązania tego problemu jest utworzenie złożonego hasła do witryny. Zawsze staraj się używać kombinacji alfabetu, cyfr, znaków specjalnych itp. do tworzenia hasła. Pomoże Ci to stworzyć silne hasło, którego nie da się łatwo odgadnąć.

  • Skorzystaj z Menedżera haseł

    Innym sposobem rozwiązania tego problemu jest użycie menedżerów haseł. Menedżer haseł to aplikacja, która umożliwia przechowywanie wszystkich haseł w jednym miejscu, a następnie zarządzanie nimi za pomocą hasła głównego. USP każdego menedżera haseł polega na tym, że ma on funkcję automatycznego uzupełniania.

    Oto lista najlepszych menedżerów haseł:

    • Ostatnia przepustka
    • 1Hasło
    • Dashlane
  • Uwierzytelnianie dwuskładnikowe

    Jest to jeden z najlepszych sposobów ochrony witryny WordPress przed kradzieżą haseł. W scenariuszu uwierzytelniania dwuskładnikowego, jeśli jakiś atakujący jest w stanie odgadnąć hasło do Twojej witryny WordPress, nie będzie się logował do Twojej witryny. On / ona będzie wymagać kodu bezpieczeństwa, który zostanie wysłany na Twój telefon komórkowy. W ten sposób będziesz mógł chronić swoją stronę internetową.

    Istnieją główne sposoby konfigurowania uwierzytelniania dwuskładnikowego w WordPress:

    1. Weryfikacja SMS-em
    2. Aplikacja Google Authenticator

3 Brak aktualizacji WordPressa

Jest wielu użytkowników, którzy czują się komfortowo z jedną z wersji WordPress i dlatego nie aktualizują swojej wersji WordPress w regularnych odstępach czasu. Głównym powodem jest to, że obawiają się, że zepsułoby to ich stronę internetową. Jednak każda nowa wersja WordPress zawiera poprawki błędów bezpieczeństwa i dlatego tak ważna jest aktualizacja witryny.

Sposób rozwiązania tego problemu

Zawsze sprawdzaj najnowszą wersję WordPressa i staraj się aktualizować swoją witrynę. Zminimalizuje to ryzyko wystąpienia jakichkolwiek problemów z bezpieczeństwem. Dla tych, którzy obawiają się, że aktualizacja WordPress spowoduje awarię witryny, mogą wykonać kopię zapasową swojej witryny. Jeśli więc nowa wersja nie działa zgodnie z Twoimi wymaganiami, zawsze możesz wrócić.

4 Wstrzyknięcie SQL

SQL Injection to jedna z najstarszych metod uzyskiwania dostępu do serwisu. Jak wszyscy wiecie, SQL jest językiem używanym do pracy z bazą danych WordPress i dlatego w tego typu atakach hakerzy wprowadzają polecenia SQL do Twojej witryny, aby pobrać informacje. Hakerzy z dnia na dzień stają się sprytniejsi i każdego dnia wymyślają nowy wstrzyknięcie SQL. Tak więc, jako właściciel witryny, powinieneś być świadomy sposobów pozbycia się tego problemu.

Sposób rozwiązania tego problemu
  • Skanuj w poszukiwaniu luki w zabezpieczeniach SQL Injection

    Powinieneś regularnie sprawdzać, czy w Twojej witrynie WordPress nie występuje problem z wstrzykiwaniem SQL. Jednak może to być bardzo trudne zadanie do wykonania ręcznie i dlatego powinieneś użyć do tego celu niektórych narzędzi do skanowania bezpieczeństwa. Oto lista najlepszych narzędzi do skanowania bezpieczeństwa:

    • Skanowanie bezpieczeństwa WordPress
    • SiteCheck Soki
    • Skanowanie WPS
  • Dodawanie kodu do pliku .htaccess

    Innym sposobem zapobiegania SQL Injection jest dodanie określonego kodu do pliku .htaccess. .htaccess to plik konfiguracyjny używany na serwerach WWW, dlatego zmieniając tę ​​część, będziesz mógł ograniczyć dostęp osób postronnych do Twojej bazy danych WordPress.

    Dodaj następujący kod do pliku .htaccess:

    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
    RewriteRule ^(.*)$ - [F,L]
    RewriteCond %{QUERY_STRING} ../ [NC,OR]
    RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
    RewriteCond %{QUERY_STRING} tag= [NC,OR]
    RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
    RewriteCond %{QUERY_STRING} http:  [NC,OR]
    RewriteCond %{QUERY_STRING} https:  [NC,OR]
    RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
    RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*([|]|(|)||ê|"|;|?|*|=$).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*("|'|||{||).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
    RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
    RewriteRule ^(.*)$ - [F,L]

5 Zapominanie o zabezpieczeniu pliku konfiguracyjnego WordPress

Plik konfiguracyjny WordPress (wp-config.php) zawiera dane logowania do bazy danych WordPress. Dlatego jeśli ktoś z zewnątrz uzyska dostęp do tego pliku, może ukraść twoje informacje i spowodować uszkodzenie twojej witryny. Dlatego konieczne staje się zrobienie wszystkiego, co możliwe, aby chronić ten plik.

Sposób rozwiązania tego problemu

Jednym z najprostszych sposobów ochrony pliku wp-config.php jest modyfikacja pliku .htaccess i ograniczenie dostępu. W tym celu po prostu dodaj następujący fragment kodu do pliku .htaccess:


order allow,deny
deny from all

6 Brak aktualizacji wtyczek lub motywów

Podobnie jak rdzeń WordPress, ważne jest, aby używać najnowszej wersji wtyczek lub motywów w witrynie WordPress. Używanie przestarzałej wersji dowolnej wtyczki lub motywu może narazić Twoją witrynę na zagrożenia bezpieczeństwa. Według ankiety przeprowadzonej przez WPWhiteSecurity, 54% globalnych luk w zabezpieczeniach WordPressa wynika z wtyczek.

Sposób rozwiązania tego problemu

Zawsze sprawdzaj dostępność aktualizacji w dowolnej wtyczce i motywie. Upewnij się, że używasz najnowszej wersji dostępnej w WordPressie. Postępując zgodnie z tą metodologią, zminimalizujesz ryzyko zagrożeń bezpieczeństwa w swojej witrynie WordPress.

7 Korzystanie ze zwykłego FTP

Dla tych, którzy nie wiedzą, konta FTP służą do przesyłania plików na serwer Twojej witryny za pomocą klienta FTP. Większość dostawców hostingu obsługuje połączenia FTP przy użyciu różnych typów protokołów: Simple FTP, SFTP lub SSH.

Większość właścicieli witryn WordPress popełnia błąd, używając zwykłego FTP. To, co dzieje się w zwykłym FTP, polega na tym, że twoje hasło jest wysyłane na serwer w niezaszyfrowanej formie. Tak więc każdy, kto może zhakować serwer, może uzyskać łatwy dostęp do Twojej witryny WordPress.

Sposób rozwiązania tego problemu

Zamiast korzystać z FTP, możesz wybrać opcję SFTP lub SSH. W tym celu nie trzeba zmieniać klienta FTP. Po prostu zmień protokół na „SFTP-SSH” podczas łączenia się ze swoją witryną. Korzystając z tego protokołu, będziesz mógł przesłać hasło do serwera w postaci zaszyfrowanej, co minimalizuje ryzyko problemów z bezpieczeństwem.

8 Nie zmienianie prefiksu tabeli WordPress

Jak wszyscy wiecie, domyślnie wszystkie tabele WordPress utworzone w bazie danych zaczynają się od przedrostka o nazwie ks29so_. Większość programistów WordPress nie dba o zmianę tego prefiksu, ponieważ uważają, że nie wpłynie to na wydajność witryny.

W związku z tym ten prefiks sprawia, że ​​​​Twoja witryna WordPress jest podatna na problemy z bezpieczeństwem. Powodem tego jest to, że osoba atakująca może łatwo odgadnąć nazwę tabel bazy danych WordPress. Dlatego powinieneś spróbować przywrócić ten problem tak szybko, jak to możliwe.

Sposób rozwiązania tego problemu

Zamiast używać domyślnego prefiksu dla tabel bazy danych WordPress, powinieneś zdefiniować własny prefiks, który jest skomplikowany z natury, aby nikt nie mógł go odgadnąć. Możesz zmienić prefiks tabel bazy danych WordPress podczas instalacji. Więc zawsze pamiętaj o tym punkcie. Po tym nie będziesz mieć możliwości zmiany prefiksu.

Oto jak możesz zmienić prefiks bazy danych WordPress, aby poprawić bezpieczeństwo:

9 Złośliwe oprogramowanie

Malware to skrót oznaczający złośliwe oprogramowanie. Innymi słowy, można powiedzieć, że jest to kod, który służy do uzyskania dostępu do strony internetowej w sposób nieautoryzowany. Zhakowana witryna wyraźnie wskazuje, że wstrzyknięto złośliwe oprogramowanie. Teraz, jeśli chcesz rozpoznać złośliwe oprogramowanie na stronie, spróbuj spojrzeć na ostatnio zmienione pliki.

W sieci może występować wiele rodzajów infekcji złośliwym oprogramowaniem, ale w przypadku WordPress cztery główne infekcje złośliwym oprogramowaniem są wymienione poniżej:

  • Backdoory
  • Pobieranie z przejazdu
  • Hacki farmaceutyczne
  • Złośliwe przekierowania
Sposób rozwiązania tego problemu

Wszelkie problemy ze złośliwym oprogramowaniem można łatwo zidentyfikować, przeszukując ostatnio zmodyfikowany plik, a następnie usuwając go ze swojej witryny WordPress. Innym sposobem rozwiązania tego problemu jest zainstalowanie nowej wersji WordPress lub przywrócenie witryny WordPress z ostatniej kopii zapasowej. Obie te metody pomogą zminimalizować luki w zabezpieczeniach.

10 Nieprawidłowe uprawnienia do plików

Uprawnienia do plików to zestaw reguł, z których korzysta serwer WWW. Pomaga twojemu serwerowi kontrolować dostęp do twojego pliku na twojej stronie WordPress. Czasami zdarza się, że użytkownik ustawia nieprawidłowe uprawnienia do pliku, co umożliwia atakującym dostęp do pliku i modyfikację go zgodnie z ich wymaganiami, co może spowodować poważne szkody w Twojej witrynie WordPress.

Sposób rozwiązania tego problemu

Najlepszym sposobem rozwiązania tego problemu jest ustawienie odpowiednich uprawnień do pliku dla witryny WordPress. Uprawnienia do plików w dowolnej witrynie WordPress powinny być wymienione poniżej:

  • 755 lub 750 dla wszystkich katalogów
  • 644 lub 640 dla plików
  • 600 dla wp-config.php

Ustawiając te uprawnienia, będziesz mógł ograniczyć dostęp do swojej witryny WordPress, co pomoże ci zabezpieczyć ją przed atakującymi.

Końcowe przemyślenia

Bezpieczeństwo od lat stanowi główny problem dla właścicieli witryn. Nawet po przeprowadzeniu tak wielu badań w tej dziedzinie nikt nie twierdził, że jest w 100% bezpieczny. To pokazuje stopień skomplikowania, z jakim trzeba sobie radzić pracując nad tym zagadnieniem.

Biorąc to pod uwagę, staraliśmy się przedstawić 10 najważniejszych luk w zabezpieczeniach WordPress i sposoby ich naprawy, które z pewnością pomogą ci w najbliższej przyszłości.

Jakie są Twoje przemyślenia na ten temat? Wspomnij o nich w naszej sekcji komentarzy. Dziękuję Ci!

Źródło nagrywania: instantshift.com

Ta strona korzysta z plików cookie, aby poprawić Twoje wrażenia. Zakładamy, że nie masz nic przeciwko, ale możesz zrezygnować, jeśli chcesz. Akceptuję Więcej szczegółów