Ця цитата достатньо хороша, щоб дати вам уявлення про проблеми безпеки, які мають місце в усьому світі. Насправді безпека веб-сайтів – це тема, яка вже довгий час дарує безсонні ночі власникам сайтів. Ніхто не зміг досягти 100% безпеки для свого бізнес-сайту.

Відповідно до опитування, проведеного компанією Juniper Research, до 2019 року кіберзлочинність коштуватиме компаніям понад 2 трильйони доларів. Це тривожна статистика, яка показує, що день у день захистити веб-сайт стає дуже складно. У той же час вам потрібно знайти способи захистити свій сайт, оскільки він містить ваші найважливіші дані, а також конфіденційну інформацію.

Як ви всі знаєте, WordPress забезпечує 31% Інтернету, тому цілком очевидно, що платформа WordPress зіткнеться з найбільшою кількістю проблем веб-безпеки. Більшість користувачів довіряють цій чудовій платформі, і тому вони створили свої бізнес-сайти на ній.

Однак, згідно з дослідженням, проведеним Sucuri, WordPress є найбільш зараженою веб-платформою в 2018 році.

Тому всім вам стає важливо знати про різні вразливості системи безпеки WordPress і способи їх усунення. Отже, давайте почнемо та проаналізуємо кожну вразливість одну за одною.

Є два типи компаній: ті, які були зламані, і ті, які ще не знають, що вони були зламані.

– Джон Чемберс

10 найпопулярніших вразливостей безпеки WordPress

Небезпечний веб-хостинг
Використання слабкого пароля
Не оновлюється WordPress
SQL ін'єкція
Забули захистити файл конфігурації WordPress
Не оновлюються плагіни чи теми
Використання звичайного FTP
Не змінювати префікс таблиці WordPress
Шкідливе програмне забезпечення
Неправильні дозволи на файл

1 Незахищений веб-хостинг

Це, мабуть, одна з головних причин, чому веб-сайти WordPress легко заражаються. Як і всі інші веб-сайти, веб-сайт WordPress також розміщено на сервері. Іноді трапляється так, що компанії-провайдери хостингу не захищають свою платформу. За такого сценарію є всі шанси, що ваш веб-сайт WordPress може бути атакований сторонніми особами.

Спосіб вирішення цієї проблеми

Найкращий спосіб вирішити цю проблему — розмістити свій веб-сайт WordPress на одній із першокласних платформ хостингу. Ось список найкращих хостинг-провайдерів WordPress, які ви можете використовувати для свого бізнес-сайту.

Найкращі хостинг-провайдери WordPress

Bluehost
HostGator
SiteGround
DreamHost
Хостинг InMotion

2 Використання слабкого пароля

Паролі є ключовою частиною безпеки вашого веб-сайту WordPress. Вам завжди потрібно переконатися, що ви використовуєте надійний пароль для свого облікового запису WordPress. Згідно з дослідженням, проведеним WPTemplate, 8% веб-сайтів WordPress у всьому світі зазнають злому через неробочий пароль. Тижневий пароль може забезпечити легкий доступ до таких речей:

Обліковий запис адміністратора WP
Обліковий запис C-Panel
Обліковий запис FTP
Ваша база даних WordPress

Ось чому надзвичайно важливо мати надійний пароль для свого сайту WordPress.

Спосіб вирішення цієї проблеми

Сформуйте складний пароль

Один із способів вирішення цієї проблеми – створити складний пароль для свого сайту. Для створення пароля завжди намагайтеся використовувати комбінацію алфавіту, цифр, спеціальних символів тощо. Це допоможе вам створити надійний пароль, який нелегко вгадати.
Використовуйте менеджер паролів

Інший спосіб вирішити цю проблему – використовувати менеджери паролів. Менеджер паролів — це програма, яка дозволяє зберігати всі ваші паролі в одному місці, а потім керувати ними за допомогою головного пароля. USP будь-якого менеджера паролів полягає в тому, що він має функцію автоматичного заповнення.

Ось список найкращих менеджерів паролів:
- LastPass
- 1Пароль
- Дашлейн
Двофакторна автентифікація

Це один із найкращих способів захистити ваш веб-сайт WordPress від крадіжки пароля. У сценарії двофакторної автентифікації, якщо якийсь зловмисник зможе вгадати пароль вашого веб-сайту WordPress, він/вона не зможе увійти на ваш сайт. Він/вона потребує код безпеки, який буде надіслано на ваш мобільний телефон. Таким чином ви зможете захистити свій веб-сайт.

Існують основні способи налаштування двофакторної автентифікації в WordPress:
1. Перевірка SMS
2. Програма Google Authenticator

3 Не оновлюється WordPress

Є багато користувачів, які відчувають себе комфортно з однією з версій WordPress, тому вони не оновлюють свою версію WordPress через регулярні проміжки часу. Основна причина цього полягає в тому, що вони бояться, що це може зламати їхній веб-сайт. Однак кожна нова версія WordPress містить виправлення помилок безпеки, тому вам стає важливо оновлювати свій веб-сайт.

Спосіб вирішення цієї проблеми

Завжди перевіряйте наявність останньої версії WordPress і намагайтеся постійно оновлювати свій веб-сайт. Це зведе до мінімуму ймовірність будь-яких проблем із безпекою. Ті, хто боїться, що оновлення WordPress призведе до поломки сайту, можуть зробити резервну копію свого сайту. Отже, якщо нова версія не працює відповідно до ваших вимог, ви завжди можете повернутися до попередньої версії.

4 Впровадження SQL

SQL Injection є одним із найстаріших методів отримання доступу до веб-сайту. Як ви всі знаєте, SQL — це мова, яка використовується для роботи з базою даних WordPress, тому під час цього типу атак хакери вводять команди SQL на ваш сайт, щоб отримати інформацію. Хакери з кожним днем стають розумнішими, і кожен день придумують нову SQL-ін'єкцію. Отже, як власник веб-сайту, ви повинні знати, як позбутися цієї проблеми.

Спосіб вирішення цієї проблеми

Пошук уразливості SQL-ін’єкції

Вам слід регулярно перевіряти наявність проблем із впровадженням SQL на веб-сайті WordPress. Однак це може бути дуже складним завданням для виконання вручну, тому для цього слід використовувати деякі інструменти сканування безпеки. Ось список найкращих інструментів перевірки безпеки:
- Сканування безпеки WordPress
- Соки SiteCheck
- WPScan

Додавання коду до вашого файлу .htaccess

Ще один спосіб запобігти SQL-ін’єкції – додати певний код у ваш файл .htaccess. .htaccess — це файл конфігурації, який використовується на веб-серверах, тому, змінивши цю частину, ви зможете обмежити доступ сторонніх осіб до вашої бази даних WordPress.

Додайте такий код у свій файл .htaccess:

RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} ../ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
RewriteCond %{QUERY_STRING} http:  [NC,OR]
RewriteCond %{QUERY_STRING} https:  [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|ê|"|;|?|*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]

5 Забули захистити файл конфігурації WordPress

Файл конфігурації WordPress (wp-config.php) містить облікові дані для входу в базу даних WordPress. Таким чином, якщо сторонні особи отримають доступ до цього файлу, вони можуть викрасти вашу інформацію та завдати шкоди вашому веб-сайту. Тому необхідно зробити все можливе, щоб захистити цей файл.

Спосіб вирішення цієї проблеми

Одним із найпростіших способів захисту файлу wp-config.php є зміна .htaccess і обмеження доступу. Для цього просто додайте наступний фрагмент до свого файлу .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

6 Не оновлюються плагіни або теми

Як і для ядра WordPress, важливо використовувати останню версію плагінів або тем на веб-сайті WordPress. Використання застарілої версії будь-якого плагіна чи теми може зробити ваш сайт вразливим до загроз безпеці. Згідно з опитуванням, проведеним WPWhiteSecurity, 54% глобальних уразливостей WordPress пов’язані з плагінами.

Спосіб вирішення цієї проблеми

Завжди перевіряйте наявність оновлень у будь-якому плагіні та темі. Переконайтеся, що ви використовуєте останню версію, доступну на WordPress. Дотримуючись цієї методології, ви зведете до мінімуму ймовірність загроз безпеці на вашому веб-сайті WordPress.

7 Використання простого FTP

Для тих, хто не знає, облікові записи FTP використовуються для завантаження файлу на сервер вашого веб-сайту за допомогою клієнта FTP. Більшість хостинг-провайдерів підтримують FTP-з'єднання за різними типами протоколів: простий FTP, SFTP або SSH.

Більшість власників веб-сайтів WordPress роблять помилку, використовуючи звичайний FTP. Тепер у звичайному FTP ваш пароль надсилається на сервер у незашифрованому вигляді. Таким чином, кожен, хто може зламати сервер, може отримати легкий доступ до вашого сайту WordPress.

Спосіб вирішення цієї проблеми

Замість використання FTP ви можете вибрати варіант SFTP або SSH. Для цього не потрібно змінювати FTP-клієнт. Просто змініть протокол на «SFTP-SSH» під час підключення до свого веб-сайту. Використовуючи цей протокол, ви зможете надіслати пароль на сервер у зашифрованому вигляді, що мінімізує ризик проблем із безпекою.

8 Не змінюйте префікс таблиці WordPress

Як ви всі знаєте, за замовчуванням усі таблиці WordPress, створені у вашій базі даних, починаються з префікса ks29so_. Більшість розробників WordPress не піклуються про зміну цього префікса, оскільки вважають, що це не вплине на продуктивність сайту.

Крім того, цей префікс робить ваш сайт WordPress вразливим до проблем безпеки. Причина цього в тому, що зловмисник може легко вгадати назву ваших таблиць бази даних WordPress. Тому ви повинні спробувати відновити це питання якомога швидше.

Спосіб вирішення цієї проблеми

Замість того, щоб використовувати префікс за замовчуванням для таблиць бази даних WordPress, вам слід визначити власний префікс, складний за своєю природою, щоб ніхто не міг його вгадати. Ви можете змінити префікс таблиць бази даних WordPress під час встановлення. Тому завжди пам’ятайте про це. Після цього ви не зможете змінити префікс.

Ось як ви можете змінити префікс бази даних WordPress, щоб покращити безпеку:

9 Шкідливе програмне забезпечення

Зловмисне програмне забезпечення – це абревіатура від шкідливого програмного забезпечення. Іншими словами, можна сказати, що це код, який використовується для несанкціонованого доступу до веб-сайту. Зламаний веб-сайт чітко вказує на те, що було введено зловмисне програмне забезпечення. Тепер, якщо ви хочете розпізнати шкідливе програмне забезпечення на сайті, то спробуйте переглянути нещодавно змінені файли.

У мережі може бути багато типів зараження зловмисним програмним забезпеченням, але для WordPress чотири основні зараження зловмисним програмним забезпеченням перераховані нижче:

Backdoors
Безкоштовне завантаження
Фармацевтичні хаки
Зловмисне перенаправлення

Спосіб вирішення цієї проблеми

Будь-які проблеми зі зловмисним програмним забезпеченням можна легко виявити, виконавши пошук у нещодавно зміненому файлі та видаливши цей файл зі свого веб-сайту WordPress. Інший спосіб вирішення цієї проблеми — установити нову версію WordPress або відновити веб-сайт WordPress із останньої резервної копії. Обидва ці методи допоможуть мінімізувати вразливі місця безпеки.

10 Неправильні дозволи на файл

Права доступу до файлів – це набір правил, які використовує веб-сервер. Це допомагає вашому серверу контролювати доступ до вашого файлу на веб-сайті WordPress. Тепер іноді трапляється, що користувач встановлює неправильні дозволи на файл, що дозволяє зловмисникам отримати доступ до файлу та змінити його відповідно до своїх вимог, що може завдати серйозної шкоди вашому веб-сайту WordPress.

Спосіб вирішення цієї проблеми

Найкращий спосіб вирішити цю проблему – налаштувати правильний дозвіл файлу для вашого веб-сайту WordPress. Дозвіл на файл на будь-якому веб-сайті WordPress має бути таким, як зазначено нижче:

755 або 750 для всіх каталогів
644 або 640 для файлів
600 для wp-config.php

Встановивши ці дозволи, ви зможете обмежити доступ до свого веб-сайту WordPress, що допоможе вам захистити його від зловмисників.

Заключні думки

Протягом багатьох років безпека була головною проблемою для власників веб-сайтів. Навіть після багатьох досліджень, проведених у цій галузі, ніхто не стверджував, що він на 100% безпечний. Це показує рівень складності, з яким доводиться мати справу під час роботи з цією проблемою.

Беручи це до уваги, ми постаралися надати вам 10 основних вразливостей безпеки WordPress і способи їх усунення, які, безсумнівно, допоможуть вам у найближчому майбутньому.

Що ви думаєте з цього приводу? Згадайте їх у нашому розділі коментарів. Дякую!

Джерело запису: instantshift.com