9 almindelige problemer med WordPress-sårbarhed (og hvordan man løser dem)

En af de bedste måder at beskytte dit WordPress-websted på er at tjekke for potentielt ondsindet kode ofte på dit websted. Hver gang du finder nogen sårbarhed, kan du straks foretage korrigerende handlinger, før du tillader nogen at udnytte det og angiveligt gå ind i dit WordPress-adminpanel.

Der er ikke underligt, at hackere målretter mod WordPress-websteder enormt, fordi det er det mest populære CMS på markedet. Uden for boksen er der flere måder at gøre din WordPress-installation mere sikker. Imidlertid er den barske virkelighed kun en brøkdel af siderne, der følger dem. Dette gør WordPress til et af de nemmeste mål for hackere.

 

Anbefalet læsning: 17 måder at forhindre WordPress-hacking på

9 problemer med WordPress-sårbarhed

1. Billig WordPress-hosting

Hvis du vælger din WordPress-hosting udelukkende baseret på hosting, vil du mere end sandsynligt støde på et antal WordPress-sårbarheder. Dette skyldes, at billig hosting mere end sandsynligt er konfigureret forkert og ikke adskilt korrekt fra hinanden.

Dette betyder, at websteder, der er blevet udnyttet på en installation, kunne spredes til ikke-relaterede websteder, der er hostet på den samme server. Dette problem kan også ske, hvis du er vært for flere websteder for et antal af dine klienter på den samme hostingkonto.

I dette tilfælde kan infektionen spredes igen til ALLE webstederne på din konto, hvis nogen af ​​dine websteder bliver kompromitteret. Du skal være forsigtig med at sikre, at du bruger en opsætning såsom en VPS, der giver dig mulighed for at skabe adskillelse mellem de forskellige hostede websteder.

Et andet problem med billig hosting er spørgsmålet om "risikable naboer". Billig hosting har tendens til at tiltrække spammy eller risikable kunder - disse kan betyde, at den aktuelle server, hvor webstedet er hostet, bliver sortlistet eller spamlistet.

RETTE OP: Først og fremmest skal du sørge for at du ikke vælger den billigste hosting, du kan finde. I stedet vælger du hosting, der gør sikkerhed til en prioritet. For det andet, hvis du er vært for websteder til dine klienter, skal du sørge for at opdele de forskellige klienter ved at oprette forskellige brugere til hver klient.  

IMH

Vil du have en hurtig hjemmeside?

Hvem laver jeg sjov? Gør vi ikke alle sammen?

Så hvorfor kæmper så mange af os?

Den største udfordring er normalt at finde et hurtigt, pålideligt hostingfirma.

Vi har alle været igennem mareridtene - støtte tager evigheder eller løser ikke vores problem altid skylden noget på din side... 

Men den største bummer er, at hjemmesiden altid føles langsom.

At CollectiveRay vi hoster med InMotion hosting og vores hjemmeside er dum hurtig. Vi kører på en brugerdefineret stak af LightSpeed-serveropsætning på MariaDB med en PHP7.4-motor og frontet gennem Cloudflare. 

Kombineret med vores frontend-optimeringer serverer vi pålideligt 6000 brugere hver eneste dag, med peaks på 50+ samtidige brugere. 

Vil du have en hurtig opsætning som vores? Overfør dit websted gratis til InMotion-hosting og få vores 50% rabat på nuværende priser.

Prøv InMotion Hosting med 50 % rabat for CollectiveRay KUN besøgende i oktober 2024!

InMotion hosting 50% RABAT for CollectiveRay besøgende

2. Svage WordPress-login og adgangskoder

Adressen til WordPress-login er almindelig kendskab, og der findes hacking-scripts, hvis eneste formål er at råbe almindelige adgangskodekombinationer eller prøve en liste over adgangskoder, der er lækket fra andre websteder.

Dette betyder, at hvis du bruger en svag adgangskode som f.eks. Admin / admin eller admin / adgangskode eller andre dumt enkle adgangskodekombinationer, introducerer du en alvorlig WordPress-sårbarhed på dit websted.

svage adgangskoder

RETTE OP: Det er afgørende, at WordPress-loginadgangskoder bruger stærke adgangskoder, opbevares sikkert og aldrig deles med andre installationer eller platforme. Og brug ikke "admin" som brugernavn, vælg noget, der er sværere at gætte.

Ældre versioner af WordPress bruges til at oprette en standardbruger med brugernavnet 'admin', mange hackere antager, at folk stadig bruger det samme brugernavn.

Hvis du stadig bruger admin som brugernavn på administratorkontoen, skal du oprette en ny konto på dit WordPress-websted og overføre ejerskabet af alle indlæg til den nye konto. Sørg for, at den nye brugers rolle er administrator.

Når det er gjort, kan du enten slette brugerkontoen med brugernavnet admin eller ændre dens rolle til abonnent.

Hvis dit websted er et community-sted med flere forfattere, er det bedre at installere det https://wordpress.org/plugins/force-strong-passwords/ plugin på dit WordPress-websted. Dette plugin tvinger brugerne til at bruge en stærk adgangskode, mens de opretter en ny bruger.  

3. Forældet kerne WordPress, temaer eller plugins

Som med de fleste software opdager WordPress typisk problemer, der kan bruges til at hacke ind på et websted. Disse problemer løses typisk hver gang en opdatering frigives. Men sådanne opdateringer frigiver også den faktiske WordPress-sårbarhed for offentligheden.

Dette betyder, at så snart en opdatering frigives, oprettes en udnyttelse for at angribe websteder, der ikke er opdateret til den nyeste version.

Den samme logik gælder WordPress-plugins og temaer, der kan udvise det samme problem. Dette kan også ske med PHP-software, MySQL-software, serversoftware og anden software, der ikke er opdateret og findes på dit websteds server.

I det væsentlige, hvis noget stykke software ikke er blevet opdateret, er det en siddende and - en WordPress-sårbarhed, der venter på at blive udnyttet.

RETTE OP: Hold alle leverandørabonnementer aktive, og sørg for at holde alle komponenter opdateret til deres nyeste versioner.

4. PHP udnytter

Udover udnyttelser, der findes i selve WordPress, er det meget muligt, at der findes en PHP-udnyttelse i et PHP-bibliotek, der muligvis ikke er blevet opdateret. Problemet med dette er, at du ofte ikke engang er opmærksom på, at et sådant bibliotek bruges på dit websted.

RETTE OP: Af denne grund skal du vælge en avanceret WordPress-hosting såsom en VPS eller administreret WordPress-hosting, hvor du kan tilpasse og / eller fjerne PHP-biblioteker på din server, som du ikke bruger og ikke har brug for.

5. Installation af software fra risikable kilder

Nogle gange kan du af forskellige kortsynede grunde (muligvis monetære) overveje at downloade premiumprodukter fra "risikable" sider. Med andre ord, download piratkopierede versioner af premium plugins eller temaer.

Dette er en sikker måde at introducere WordPress-sårbarheder på dine websteder. Årsagen er, at "prisen" ved brug af sådan piratkopieret software er skjult og skæv. Disse plugins er normalt blevet finjusteret med det, der kaldes en bagdør. Bagdøre giver brugerne fjernbetjening til websteder, hvor disse plugins er installeret, og hackere har fuld kontrol over dit websted og vil bruge det efter eget valg til deres egen praksis.

piratkopieret software bagdøre

Dette kan omfatte brug af dit websted som en del af zombienetværk (netværk af computere, der deltager i et botnet- eller DDoS-angreb), brug af dit websted som en del af et netværk af websteder, der bruges til at inficere flere brugere med sårbarheder, til at sende SPAM, phishing eller andet skadeligt praksis.

RETTE OP: Undgå sådanne kilder, og sørg for kun at downloade og bruge software fra officielle pålidelige kilder. Ellers vil du helt sikkert have introduceret skjulte WordPress-sårbarheder.

6. Websteder, der ikke bruger sikre certifikater

Websteder, der ikke har et SSL / TLS-certifikat, krypterer ikke oplysninger, der sendes mellem browseren og serveren. Dette betyder, at sådanne oplysninger, herunder adgangskoder eller andre følsomme data, såsom personlige oplysninger eller betalingsoplysninger, kan snuses, når de sendes over internettet.

Der findes software til at læse sådanne krypterede data og samle potentielt værdifulde oplysninger, der skal bruges og udnyttes senere.

RETTE OP: Ved at installere og opsætte et sikkert certifikat krypteres oplysningerne, før de kommer fra eller til serveren

7. Eksploit af filinddragelse

File Inclusion exploit er nogle af de mest almindelige WordPress-sårbarheder, der udnyttes via PHP-kode. Dette er når en WordPress-sårbarhed, hvor et problem i koden tillader "forhøjelse af privilegier" eller "omgåelse af sikkerhed", således at en angriber er i stand til at indlæse filer eksternt for at få adgang til et websted. Sådanne bedrifter kunne helt overtage et websted eller stjæle private oplysninger ved at få adgang til oplysninger, der typisk ikke er tilgængelige for offentligheden. 

RETTE OP: Hold al din software opdateret til de nyeste versioner, og sørg for, at du har et WordPress-sikkerheds plugin installeret 

8. SQL-injektioner

SQL-injektioner er en anden form for udnyttelse, men denne form for WordPress-sårbarhed misbruger også fejl i kode for at udføre handlinger, der ikke var beregnet til. I det væsentlige opstår en SQL-injektion, når en angriber omgår normal beskyttelse for at få adgang til WordPress-databasen og private webstedsdata.

Ved at få adgang til WordPress-databasen kan de udføre voldelige ændringer såsom at oprette brugere på administratorniveau, der til sidst kan bruges til at få fuld adgang til webstedet. Sådanne angreb kan også bruges til at tilføje ondsindede data til databasen, såsom links til spammy eller ondsindede websteder.

SELECT * FRA Brugere HVOR Navn ="" or ""="" AND Bestået ="" or ""=""

RETTE OP: Sørg for, at du har de nyeste versioner af software oprettet på dit websted, og at de holdes opdaterede 

9. XSS eller cross-site scripting

Dette er en anden meget almindelig form for angreb. Faktisk er de sandsynligvis de mest almindelige bedrifter.

Cross-site scripting fungerer, når en angriber finder måder at narre offeret til at indlæse websteder, der indeholder specifik Javascript-kode. Disse scripts indlæses uden brugerens viden og indlæses derefter for at kunne læse information, som de typisk ikke ville have adgang til. For eksempel kan en sådan kode bruges til at snuse data, der indtastes i en formular.

I resten af ​​dette indlæg ser vi på et par strategier for at finde sårbarheder på dit WordPress-websted. Vi vil også se på forskellige metoder til også at rette WordPress-sårbarheder.

Find WordPress-sårbarheder ved scanning

Som vi sagde som en del af vores liste ovenfor, anbefales det altid at vælge dem fra den officielle WordPress-temakatalog, hvis du leder efter gratis WordPress-temaer (eller andre temaer eller plugins generelt), der skal installeres på dit WordPress-websted. officiel mappe sikrer sikkerheden af ​​dine WordPress-temaer.

Når det er sagt, foretrækker nogle legitime temaudviklere og agenturer ikke at liste deres kvalitetsfrie temaer i den officielle mappe, fordi de officielle katalogretningslinjer begrænser dem til at inkludere mange funktioner i deres tema.

Det betyder, at når det kommer til at vælge et gratis WordPress-tema, er den officielle WordPress-temakatalog ikke det eneste show i byen. Når det er sagt, når du vælger et tema uden for det officielle bibliotek, skal du have en ekstra dosis ansvar med hensyn til temavurdering.

Nedenfor er et par metoder til at kontrollere ægtheden af ​​dit WordPress-tema og sikre, at det er sikkert mod potentielt ondsindede koder og WordPress-sårbarheder.

Følgende tjenester kan alle bruges til at kontrollere WordPress-sårbarheder: 

  • Nørdede flare
  • Sucuri
  • Hacker-mål
  • Detectify
  • WPSEC
  • Ninja Security
  • Pentest-værktøjer
  • WP Neuron
  • Quttera

 

Find WordPress-sårbarheder efter installationen

Du har muligvis allerede installeret mange temaer på dit WordPress-websted. Hvis det er tilfældet, hvordan ville du kontrollere ægtheden af ​​de installerede temaer? Et par metoder er angivet nedenfor.

En række af disse plugins er ikke blevet opdateret i de sidste par år og større versioner af WordPress. Det betyder, at de sandsynligvis er forladt, og deres resultater er ikke pålidelige. Medmindre du ser en nyere version, vil vi foreslå, at du vælger at bruge Sucuri eller et andet produkt fra vores WordPress-sikkerheds-plugins liste her.

1. Tema-ægthedskontrol

Tema-ægthedskontrol

Theme Authenticity Checker er et gratis plugin, der giver dig mulighed for at scanne temafiler for at finde ud af, om der er nogen WordPress-sårbarhedsproblemer, som du skal være opmærksom på. Hvis der findes potentielt ondsindet kode i et installeret tema, fortæller pluginet patch, linjenummer og viser den mistænkte kode. Dette hjælper dig med at træffe forebyggende handlinger - eller slippe af med temaet.

Dette plugin er fantastisk at kontrollere, om det installerede tema har fået indsat et kodet ondsindet script uden din viden.

Desværre har dette plugin ikke blevet opdateret i de sidste 3 år nu, så indtil du ser en nyere opdatering, kan du måske springe denne over.

2. WP Authenticity Checker

På samme måde er WP Authenticity Checker. Udover at kontrollere for problemer med temaer, ser dette plugin også på problemer med WordPress-kernen eller 3. del-plugins for at identificere WordPress-sårbarhed.

Desværre er dette plugin hsom ikke blevet opdateret i de sidste 2 år så godt, så du måske ikke vil have fuld tillid til resultaterne af dette plugin.

wp ægthedskontrol

Simpel download det, installer det og kør for at opdage eventuelle problemer med temaer eller plugins.

3. Udnyt scanneren

Exploit-scanneren var også et produkt, der fungerede på lignende måde, men desværre er dette plugin også gået i stå. Af denne grund anbefales det ikke, at du bruger det, medmindre du ser en ret nylig opdatering.

udnytte scanner

Exploit Scanner er et andet gratis plugin, der tilbyder mere robuste funktioner end TAC. Det bedste er, at exploit-scanner-pluginet hjælper dig med at kontrollere databasen over din WordPress-installation udover temafiler.

Bemærk, at disse plugins kun viser dig sårbarheden, og det er op til dig at beslutte, hvilke forebyggende foranstaltninger du skal tage for at udrydde WordPress-sårbarheden.

Yderligere rettelser til beskyttelse af WordPress-sårbarheder

1. Indstil en brugerdefineret login-URL til WordPress

Under WordPress-installation opretter WordPress som standard to login-URL'er. De er

  • wp-login.php
  • wp-admin.php

Problemet med at bruge standard login-URL er, at alle kan logge ind på dit WordPress-dashboard, når de finder (eller gør det rigtige gæt) brugernavnet og adgangskoden. Ved at tilpasse URL'en til din login-side, går du mod bedre sikkerhed for dit WordPress-websted og gør det sværere for skurkene at bryde det.

Hvordan vil du ændre login-URL'en til dit WordPress-websted?

Du skal blot installere Stealth-login plugin og tilpasse Stealth-delen af Brugerdefineret login-plugin for at skjule login.

brugerdefinerede login stealth loginindstillinger

 

2. Begræns antallet af loginforsøg

Så du har tilpasset login-URL'en til dit WordPress-websted for bedre sikkerhed. Men hvad nu hvis skurkene opdagede den faktiske login-URL? Hvordan kan du så forhindre forsøg på at komme ind på dit websted?

I et sådant tilfælde er en af ​​de bedste metoder at begrænse antallet af loginforsøg. Som standard kan hackere prøve så mange som adgangskoder for at komme ind på dit websted, som de vil; ved at begrænse loginforsøgene blokerer du denne mulighed for brutale kraftangreb på dit websted.

Installer iThemes Security (et fuldt sikkerheds plugin) eller Login lockdown plugin. Begge disse plugins giver dig mulighed for at begrænse de forsøg, en bruger kan gøre for at komme ind i instrumentbrættet. 

wordpress brute force beskyttelse

3. Deaktiver browsersøgning

Som standard når din besøgende navigerer til en side, og webserveren ikke kan finde en indeksfil til den, viser den automatisk en side og viser indholdet af biblioteket. Problemet med dette er, at alle kan navigere ind i disse mapper, som kan være sårbare for dit websted, og en hacker kunne nemt udnytte det til at tage dit websted ned.

wp-katalogindeks

For eksempel indeholder nogle WordPress-mapper følsomme data såsom wp-indhold eller wp-inkluderer. Ved at lade hackere navigere gennem disse mapper, kunne hackere finde potentielle udnyttelser i den.

Så det er vigtigt for dit websteds sikkerhed at deaktivere katalogbrowsing.

Hvordan vil du deaktivere browsersøgning på dit WordPress-websted?

Det eneste, du skal gøre, er at tilføje koden nedenfor nederst i .htaccess-filen på dit WordPress-websted.

Options -Indexes

Bemærk: Sørg for at tage en sikkerhedskopi af dit websted, før du foretager ændringer i det. .htaccess er en skjult fil, og hvis du ikke kan finde den på din server, skal du sørge for, at du har aktiveret din FTP-klient til at vise skjulte filer.

Anbefalet læsning: Native vs. Plugin - tager WordPress-sikkerhedskopier med forskellige metoder

Når du har deaktiveret browsersøgning, vil alle de mapper, der tidligere var synlige, begynde at vise en '404 Not Found' -side eller '403 Access Forbidden' -meddelelse.

Download listen over 101 WordPress-tricks, som enhver blogger skal kende

101 WordPress-tricks

Klik her for at downloade nu

Konklusion

Ingen software er perfekt, når det kommer til sikkerhed. Det gælder selv for WordPress, så sørg for at opdatere WordPress-kernesoftwaren eller ethvert tema og plugins, når der er udgivelser af nye versioner for at stoppe enhver fast WordPress-sårbarhed. Sørg for at aktivere automatisk opdatering af WordPress eller have en proces på plads for at holde den opdateret.

Brug for hjælp til at få din WordPress løst og renset? Prøv disse toprangerede overkommelige koncerter på Fiverr!

fiverr logo

 

Klik her at finde eksperter på WordPress-hastighedsoptimering.

Klik her at oprette en hele WordPress-webstedet.

Hvis du har spørgsmål, så spørg nedenfor i kommentarfeltet, og vi vil gøre vores niveau bedst for at hjælpe dig.

Om forfatteren
Shahzad Saeed
Shahzaad Saaed har været med på en lang række autoritetswebsteder, herunder EasyDigitalDownloads, OptinMonster og WPBeginner, hvor han i øjeblikket er ansat som senior indholdsforfatter. Shahzad er WordPress-ekspert, webdesigner og overordnet teknologi- og designekspert. Han har specialiseret sig i content marketing for at hjælpe virksomheder med at vokse deres trafik gennem handlingsrettede og erfaringsbaserede artikler, blogs og ekspertguider, alt sammen hentet fra hans over 10 års erfaring på området.

En ting mere... Vidste du, at folk, der deler nyttige ting som dette indlæg, også ser FANTASTISKE ud? ;-)
Vær venlig at forlade a nyttigt kommenter med dine tanker, så del dette på din Facebook-gruppe (r), der ville finde det nyttigt, og lad os høste fordelene sammen. Tak fordi du delte og var god!

Afsløring: Denne side kan indeholde links til eksterne websteder for produkter, som vi elsker og helhjertet anbefaler. Hvis du køber produkter, vi foreslår, tjener vi muligvis et henvisningsgebyr. Sådanne gebyrer påvirker ikke vores anbefalinger, og vi accepterer ikke betalinger for positive anmeldelser.

Forfatter (e) Fremhævet den:  Inc Magazine-logo   Sitepoint-logo   CSS Tricks-logo    webdesignerdepot logo   WPMU DEV-logo   og mange flere ...