Топ-6 уязвимостей WordPress

Уязвимости ВордпрессЕсли у вас есть Вордпресс сайт, то вам нужно подумать о его безопасности. Точно так же, как вы закрываете дверь дома или устанавливаете сигнализацию, ваш сайт должен быть хорошо защищен.

По статистике, большинство взломов Вордпресс сайтов можно было бы избежать, если бы их владельцы использовали хотя бы минимальные рекомендации по безопасности Вордпресс.

В этой статье вы узнаете о 6 самых распространенных уязвимостях WordPress, которыми хакеры пользуются в первую очередь для взлома сайтов.

Содержание:

  1. Старые версии ПО
  2. Логин и пароль
  3. Хостинг
  4. Взломы PHP
  5. Софт из ненадежных источников
  6. Не-SSL подключение

1. Старые версии ПО

Когда вы используете устаревшие версии Вордпресс, плагинов или тем, есть вероятность, что это ПО содержит известные уязвимости, описание которых находится в открытом доступе.

Хакботы обходят тысячи сайтов в час и запрашивают версии используемого софта. Если в ответах находится устаревшая версия ПО с известной уязвимостью, бот взламывает такой сайт по уже известной методике.

Это самый популярный метод взлома сайтов.

Обновления софта — это не только новый функционал или исправление багов, но и исправления найденных уязвимостей. Последняя версия ПО не содержит известных уязвимостей.

Обновляйте Вордпресс, плагины и темы вручную или автоматически. Это гарантирует, что вы получите последние исправления безопасности, которые защитят сайт от уязвимостей.

К тому же автоматическое обновление сокращает время, которое вы тратите на обслуживание сайта.

2. Логин и пароль

Слабый логин и пароль — второй по популярности способ взлома сайтов. Сначала хакеры приходят на страницу авторизации, потому что здесь находится самый простой способ попасть в админку сайта.

Если вы используете стандартный логин Admin, Administrator, Root, имя домена и так далее, или тот же логин, что и имя пользователя, который можно найти в подписи Автора на Страницах или Постах, то хакеры уже знают половину информации для входа на сайт.

Вторая половина — подобрать пароль. В Интернете есть списки самых популярных паролей. Например, этот список из 10.000 самых популярных паролей содержит 91% всех паролей, которыми пользуются интернет-пользователи.

По статистике, на Вордпрессе работает более 43% всех сайтов в Интернете. Учитывая такое количество сайтов и уже готовые логины и пароли, хакеры создают ботов, которые обходят сайты и пробуют подобрать правильную комбинацию логина и пароля.

Здесь вы можете посмотреть, сколько сайтов было взломано сегодня, начиная с 00:00 в вашем часовом поясе.

Это называется brute force attack, атака грубой силой, или атака методом перебора паролей.

Кроме страницы авторизации, хакбот может попробовать подобрать правильную комбинацию через шлюз xmlrpc.php, или взломать почту и изменить пароль через страницу восстановления пароля.

Используйте уникальный сложный пароль, состоящий из цифр, букв и символов длиной не менее 12 символов. Также принуждайте ваших пользователей использовать сложные пароли.

Пароли вы можете хранить в браузере или в сервисах паролей, например, LastPass.

Сложные логины и пароли — не единственное, что вы можете сделать для усиления безопасности входа в админку.

Вы можете ограничить количество неудачных попыток входа, перенести страницу входа со стандартного адреса ...wp-login.php на другой, применить двух-факторную авторизацию и сделать еще несколько настроек.

3. Хостинг

Хакеры взламывают не только сайты, но и хостинги. Если вы выбираете хостинг только по цене, то в итоге это может обойтись дороже из-за взлома хостинга, а затем сайта.

Большинство хостингов достаточно безопасны, но некоторые хостинги уделяют недостаточно внимания софту, железу и прямо или косвенно безопасности.

Ваш хостинг должен постоянно обновлять железо и софт, применять последние исправления безопасности и следить за защитой сайтов и файловой системы.

Выберите хостинг с высоким рейтингом и большим количеством положительных отзывов. Хороший хостинг — это основа производительности и безопасности сайта.

Этот сайт работает на хостинге Бегет.

Реклама

Калькулятор ОСАГО

Простой способ выгодно купить полис

4. Взломы PHP

PHP взломы — это большой раздел разных способов взлома, потому что PHP — это основная технология, на которой работает Вордпресс.

Уменьшите количество кода (софта) до минимума, а оставшийся софт используйте из надежных источников.

Согласно исследованию WP WhiteSecurity, 54% уязвимостей выявлено в плагинах Вордпресс, 31,5% уязвимостей в ядре Вордпресс и 14,3% уязвимостей — в темах Вордпресс.

Уязвимости Вордпресс
Уязвимости Вордпресс

Хороший разработчик быстро устраняет найденную уязвимость в своем софте.

Удалите все неиспользуемые плагины и темы, и не устанавливайте заброшенный своими разработчиками софт.

Если плагин или тема давно не обновлялись, то это не значит, что они заброшены. Возможно, они работают как нужно, и обновятся, когда потребуется совместимость с последней версией Вордпресс или PHP.

5. Cофт из ненадежных источников

Всегда используйте софт только из проверенных источников. Устанавливайте софт из официального репозитория Вордпресс, хорошо известных коммерческих репозиториев вроде CodeCanyon и ThemeForest, или с сайта разработчика.

Не устанавливайте взломанные («nulled») версии тем и плагинов, потому что они могут содержать вредоносный код.

Даже если вы используете лучшую защиту на сайте, хакнутая версия темы или плагина может привести ко взлому сайта.

6. SSL подключение

Когда посетитель заходит на сайт, начинается подключение между его устройством и сервером. После установления соединения информация проходит несколько узлов сети перед доставкой в пункт назначения.

Когда на вашем сайте авторизуется или делает покупку посетитель, он передает данные о своем аккаунте или банковской карте через незашифрованное HTTP соединение.

То есть любой, кто может просматривать проходящую информацию, может получить ее в открытом виде.

Чтобы зашифровать эту информацию, нужно использовать защищенное SSL подключение.

Это можно сравнить с доставкой посылки. Если отправитель плохо упаковал посылку, любой человек по пути этой посылки может увидеть, что находится внутри.

Установить SSL сертификат очень просто. Большинство хостингов предлагает услугу добавления платного или бесплатного SSL-сертификата на домен.

На хостинге Бегет это делается с помощью нескольких кликов. На других хостингах это делается аналогично.

С 2017 года установленный SSL сертификат на сайте стал одним из факторов ранжирования Гугл.

Установите SSL сертификат, это усилит безопасность вашего сайта.

Заключение:

Эти уязвимости считаются самыми частыми причинами взлома сайта, поэтому устраните их в первую очередь.

Рано или поздно такой бот придет на ваш сайт, и попробует его взломать по стандартному алгоритму. Выберите хороший хостинг, настройте необходимую минимальную защиту, не используйте заброшенный или взломанный софт и установите SSL сертификат.

Если вы хотите настроить полную защиту сайта вручную, переходите в:

Если вы хотите настроить полную автоматическую защиту с помощью плагинов и наблюдать за состоянием безопасности сайта в админке Вордпресс, приглашаю вас на Курс

Или обратитесь ко мне, я настрою безопасность на вашем сайте.

Читайте также:

  1. Как проверить безопасность Вордпресс сайта
  2. Безопасность Вордпресс для новичков
  3. Бэкап Вордпресс — подробная инструкция

Надеюсь, статья была полезна. Оставляйте комментарии.

комментария 2

  1. Здравствуйте,
    Такой вопрос. Есть домен, скажем, домен.ру. На нём установлен SSL (провайдер выдаёт бесплатно). Есть сайт на том же сервере, на поддомене, который доступен по адресу субдомен.домен.ру. На него действие SSL не распространяется, надо покупать отдельно. Вопрос, есть ли смысл заморачиваться с SSL для поддомена, если там нет ни регистраций, ни комментариев, ни каких-либо подключений, кроме основного админа — там просто информационная страничка?
    Спасибо

    • Здравствуйте,
      Бесплатный SSL можно поставить и на поддомен.
      Let’s encrypt может это делать, можете заказать у него.

      Ситуация с SSL такая:
      Он нужен для безопасной передачи личных данных через соединение.
      Личные данные — это пароли и данные банковских карт.
      Если у вас на поддомене такого нет, то можно обойтись и без SSL сертификата.
      Проблема в том, что Гугл может показывать вашим посетителям перед посещением поддомена, что сайт небезопасен, и его посещение может быть опасным.
      Большинство не будет разбираться, что именно небезопасно и могут закрыть вкладку.

      Возможно, на домене третьего уровня не будет такого сообщения, если есть установленный сертификат на домене второго уровня, можно попробовать.
      Если у вас не будет авторизации или приема оплат, и не будет предупреждения от Гугл, то сертификат можно не устанавливать.

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Techbear

Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.

WordPress   WooCommerce   Membership   Elementor   ACF

Обновления блога

Subsription - Gray Footer
Techbear