»  Безопасность  »  Уязвимости WordPress

Уязвимости WordPress

Последнее обновление:

Если у вас есть Вордпресс сайт, то вам нужно подумать о его безопасности. Точно так же, как вы закрываете дверь дома или устанавливаете сигнализацию, ваш сайт должен быть хорошо защищен.

По статистике, большинство взломов Вордпресс сайтов можно было бы избежать, если бы их владельцы использовали хотя бы минимальные рекомендации по безопасности Вордпресс.

В этой статье вы узнаете о 6 самых распространенных уязвимостях WordPress, и о том, что вы можете сделать для усиления защиты сайта.

Содержание:

  1. Старые версии ПО
  2. Логин и пароль
  3. Хостинг
  4. Взломы PHP
  5. Софт из ненадежных источников
  6. Не-SSL подключение

1. Старые версии ПО

Когда вы используете устаревшие версии Вордпресс, плагинов или тем, есть вероятность, что это ПО содержит известные уязвимости, описание которых находится в открытом доступе.

Хакботы обходят тысячи сайтов в час и запрашивают версии используемого софта. Если в ответах находится устаревшая версия ПО с известной уязвимостью, бот взламывает такой сайт по уже известной методике.

Это самый популярный метод взлома сайтов.

Обновления софта — это не только новый функционал или исправление багов, но и исправления безопасности в найденных уязвимостях. Последняя версия ПО не содержит известных уязвимостей.

Обновляйте Вордпресс, плагины и темы вручную или автоматически. Это гарантирует, что вы получите критические исправления безопасности, которые защищают сайт от уязвимостей.

К тому же автоматическое обновление сокращает время, которое вы тратите на обслуживание сайта.

2. Логин и пароль

Слабый логин и пароль — второй по популярности способ взлома сайтов. Сначала хакеры приходят на страницу авторизации, потому что здесь находится самый простой способ попасть в админку сайта.

Если вы используете стандартный логин Admin, Administrator, Root, имя домена и так далее, или тот же логин, что и имя пользователя, который можно найти в мета-тегах Автора на Страницах или Постах, то хакеры уже знают половину информации для входа на сайт.

Вторая половина — подобрать пароль. В Интернете есть списки самых популярных паролей. Например, этот список из 10.000 самых популярных паролей содержит 91% всех паролей, которыми пользуются интернет-пользователи.

В середине 2020 года на Вордпрессе работает 37,5% всех сайтов в Интернете. Учитывая такое количество сайтов и уже готовые логины и пароли, хакеры создают ботов, которые в случайном порядке обходят сайты и пробуют подобрать правильную комбинацию логина и пароля.

Здесь вы можете посмотреть, сколько сайтов было взломано сегодня, начиная с 00:00 в вашем часовом поясе.

Это называется brute force attack, или атака грубой силой, или атака методом перебора паролей.

Кроме страницы авторизации, хакбот может попробовать подобрать правильную комбинацию через шлюз xmlrpc.php, или взломать почту и изменить пароль через страницу восстановления пароля.

Используйте уникальный сложный пароль, состоящий из цифр, букв и символов длиной не менее 12 символов. Также принуждайте ваших пользователей использовать сложные пароли.

Пароли вы можете хранить в браузере или в сервисах паролей, например, LastPass.

Сложные логины и пароли — не единственное, что вы можете сделать для усиления безопасности входа в админку.

Вы можете ограничить количество неудачных попыток входа, перенести страницу входа со стандартного адреса ...wp-login.php на другой, применить двух-факторную авторизацию и сделать еще несколько настроек.

3. Хостинг

Хакеры взламывают не только сайты, но и хостинги. Если вы выбираете хостинг только по цене, то в итоге это может стоить дороже из-за взлома хостинга, а затем сайта.

Большинство хостингов достаточно безопасны, но некоторые хостинги уделяют недостаточно внимания безопасности, например, не разделяют учетные записи пользователей.

Ваш хостинг должен постоянно следить за защитой сайтов, применять последние исправления безопасности и использовать лучшие техники для защиты файловой системы.

Выберите хостинг с высоким рейтингом и большим количеством положительных отзывов. Хороший хостинг — это основа производительности и безопасности сайта.

Этот сайт работает на хостинге Бегет.

4. Взломы PHP

PHP взломы — это большой раздел разных способов взлома, потому что PHP — это основная технология, на которой работает Вордпресс.

Уменьшите количество кода (софта) до минимума, а оставшийся софт используйте из надежных источников.

Согласно исследованию WP WhiteSecurity, 54% уязвимостей выявлено в плагинах Вордпресс, 31,5% уязвимостей в ядре Вордпресс и 14,3% уязвимостей — в темах Вордпресс.

Уязвимости Вордпресс
Уязвимости Вордпресс

Хороший разработчик оперативно устраняет найденную уязвимость в своем софте.

Удалите все неиспользуемые плагины и темы, и не устанавливайте заброшенный своими разработчиками софт.

Если плагин или тема давно не обновлялись, это не значит, что они заброшены. Возможно, они работают как нужно, и обновятся, когда потребуется совместимость с последней версией Вордпресс или PHP.

5. Cофт из ненадежных источников

Всегда используйте софт только из проверенных источников. Устанавливайте софт из официального репозитария Вордпресс, хорошо известных коммерческих репозитариев или с сайта разработчика.

Не устанавливайте взломанные («nulled») версии тем и плагинов, потому что они могут содержать вредоносный код.

Даже если вы используете лучшую защиту на сайте, хакнутая версия темы или плагина может привести к взлому сайта.

6. Не-SSL подключение

Когда посетитель приходит к вам на сайт, начинается подключение между его устройством и вашим сервером. Эта связь не прямая, и информация, которая передается между посетителем и сервером, проходит несколько узлов сети перед доставкой в пункт назначения.

Когда на вашем сайте авторизуется или делает покупку посетитель, он передает данные о своем аккаунте или банковской карте через это соединение, которое по умолчанию не защищено.

Чтобы зашифровать эту информацию, нужно использовать защищенное SSL подключение.

Это можно сравнить с доставкой посылки. Если отправитель плохо упаковал посылку, любой человек по пути этой посылки может увидеть, что находится внутри.

Подключить SSL сертификат к домену довольно просто. Большинство хостингов предоставляют услугу добавления SSL-сертификата на сайт.

На хостинге Бегет это делается с помощью нескольких кликов. На других хостингах это должно делаться аналогично.

С 2017 года установленный SSL сертификат на сайте стал одним из факторов ранжирования Гугл.

Установите SSL сертификат, это усилит безопасность вашего сайта.

Заключение:

Эти уязвимости считаются самыми частыми причинами взлома сайта, поэтому устраните их в первую очередь.

Рано или поздно такой бот придет на ваш сайт, и попробует его взломать по стандартному алгоритму. Выберите хороший хостинг, настройте необходимую минимальную защиту, не используйте заброшенный или взломанный софт и установите SSL сертификат.

Если вы хотите настроить полную защиту сайта вручную, переходите в:

Если вы хотите настроить полную защиту автоматически с помощью плагинов и наблюдать за состоянием безопасности сайта в админке Вордпресс, приглашаю вас на Курс

Читайте также:

  1. Как проверить безопасность Вордпресс сайта
  2. Безопасность Вордпресс для новичков
  3. Бэкап Вордпресс — подробная инструкция

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!