7 tapaa korjata hakkeroituja WordPress-sivustoja + 17 suojausvaihetta

WordPress hakkeroitu

Ympärillä voi olla paljon sisällönhallintajärjestelmiä, mutta kukaan niistä ei voi pitää kynttilää WordPressissä. Kanssa Yli 51.6 miljoonaa sivustoa maaliskuussa 2020 (ja kasvaa joka päivä) se antaa sinulle käsityksen siitä, kuinka huomattavasti ylivoimainen ja rakastettu tämä järjestelmä on. WordPress-tietoturva ja käytännölliset vinkit WordPress-hakkeroinnin estämiseksi - CMS: llä on kuitenkin vielä tapa edetä tietoturvan suhteen.

Haluamme kuitenkin auttaa sinua suojaamaan verkkosivustosi pääsylipulta - ennaltaehkäisy on parempi kuin parannuskeino, joten muista käyttää näitä vinkkejä tässä, yhdessä monista WordPress-oppaista - TÄNÄÄN.

Sisällys[show]

Nämä miljoonat sivustot kohtaavat kuitenkin myös vakavia hyökkäyksiä käsikirjoittajilta, joilla ei ole mitään parempaa tekemistä ajastaan, mutta jotka levittävät kurjuutta pitkälle ja laajalle, ja muille, joilla on ilkeämpiä ja haitallisempia syitä, verkon pimeät toimijat: Hakkerit.

On melko tavallista herätä yhtenä aamuna löytääksesi kerran kauniin verkkosivustosi, joka on täynnä runollista linkkiä ja tekstiä rohdosvalmistepillereistä tai muusta kiusallisesta lääkkeestä tai jostakin syystä Lähi-idässä. 

Huutaminen epäjohdonmukaisesti on todennäköisesti ensimmäinen toimintatapa, jonka suoritat, kun sivustosi isännöi koko sivun mainoksia, linkkejä ja uudelleenohjauksia lääkeyritysten varjoisempiin näkökohtiin.

Jos tämä skenaario kauhistuttaa sinua, on perusteltua tuntea niin.

90,000 XNUMX verkkosivustoa hakkeroidaan joka päivä

Lähde: HostingFacts

Kaikki haluavat estää WordPressin hakkeroinnin. Koska verkkosivuston palauttaminen ja palauttaminen voi viedä vakavaa aikaa ja vaivaa.

Joten paaduta verkkosivustoasi näillä WordPress-tietoturvan parhailla käytännöillä, jotta et pääse tapahtumaan kamalaa kohtaloa! Ja kyllä, hakkerointihyökkäysten välttäminen vie jonkin aikaa ja jatkuvaa työtä.

Etkö halua saada käsiäsi likaiseksi koodilla? Yrittää iThemes security ja anna sen tehdä likainen työ. Click this link to get 25% OFF until December 2023.

Jos et halua käydä läpi paljon tiedostojen sekoittamista, eri laajennusten käyttöönottoa ja monia muita asioita, joita et oikein ymmärrä - meillä on myös helppo tie ulos. iThemes Security on paras WP -suojauslaajennus verkkosivustosi suojaamiseen ja suojaamiseen.

Etkö ole vielä kiinnostunut WP-laajennuksista? Jatka lukemista!

Lähetä minulle WordPress Securityn tarkistuslista

Työskentelemme jonkin verran koodityötä, mutta ensin huolehditaan verkkosivustojen tietoturva-asioiden perusteista. Alkaen:

17 WordPress-suojausvaihetta

1. WordPress-hakkeroinnin estäminen alkaa työasemastasi

Tämä on ensimmäinen ja helposti unohdettava tietokoneesi.

Sinun tulisi aina pitää järjestelmäsi vapaa haittaohjelmista ja viruksista, varsinkin jos käytät Internetiä sen kanssa (mikä olet tietysti). Työasemien suojaus on vieläkin tärkeämpää, kun suoritat liiketoimia ja sinulla on verkkosivusto kaikki mitä tarvitsee on näppäinlukija kaataa kovimmat sivustot.

Näppäinlukija lukee kaikki käyttäjänimesi ja salasanasi ja lähettää ne hakkereille - mikä tietysti luo koko joukon kysymyksiä ja ongelmia verkkosivustollesi.

Pysy turvassa ja päivitä tietokoneesi käyttöjärjestelmä, ohjelmisto ja selaimet säännöllisesti. Käytä hyvää virustorjuntapalvelua. Pidä silmäsi silmällä järjestelmän haavoittuvuuksien varalta ja poista se ennen kuin siitä tulee massiivinen kipu. Jos tietokoneesi alkaa toimia oudosti, avata mainoksia ja muita hankalia juttuja, kannattaa ehkä tarkistaa ne ennen verkkosivustollesi pääsyä. 

2. Asenna kaikki WordPress-päivitykset

Suojaa WordPress päivitysten avulla

Joka kerta, kun uusi WordPress-versio julkaistaan, se tekee sen suurella äänenvoimakkuudella ja keskellä jännitystä.

Suurin osa meistä on innoissaan, koska hei, uudet ominaisuudet! Hakkerit ovat innoissaan, koska he menevät heti tarkistamaan Tietoturva- ja ylläpitotiedot. Valitettavasti kukin WordPress päivitys tuo esiin useita WordPress-tietoturva-aukkoja vanhemmissa versioissa.

Jokaisen uuden WordPress-päivityksen yhteydessä saamme lisäominaisuuksia ja päivityksiä sekä sivun, jossa luetellaan edellisen version suojausvirheet ja niiden korjaukset.

Tuo sivu on käytännössä huijausarkki hakkereille kaikkialla. Jos päivitys epäonnistuu ajoissa, nämä virheet hyödynnetään vanhempien versioiden haltuunottosivustoina (ja sivustosi saattaa olla näiden joukossa, jos et päivitä).

Ja jos sivustosi hakkeroidaan, on valitettavasti liian myöhäistä löytää tekosyitä olla päivittämättä uusimpaan versioon.

Joten älä anna hakkereille mahdollisuutta rypistyä. Asenna uusin WordPress-versio heti, kun se on julkaistu.

Jos pelkäät, että se häiritsee verkkosivustoasi, varmista, että sinulla on toimiva varmuuskopio ennen päivittämistä. Päivitetty versio ratkaisee kaikki edellisessä versiossa esiintyneet tietoturvaongelmat - ja se estää hyvin pitkälti WordPressin hakkeroinnin.

Haluatko verkkosivustosi päivittyvän automaattisesti? Tutustu InMotion VPS -palveluun - niillä on erinomaiset WordPress-erityisominaisuudet, joten voit päivittää sivustosi automaattisesti heti, kun ne ovat poissa. Olemme InMotion VPS: ssä, ja me rakastamme sitä!

3. Varmista, että isäntäpalvelimesi on suojattu

 

Tiesitkö, että vuoteen 2019 mennessä noin 54% verkkosivustoista käyttää edelleen PHP 5.x -versiota - PHP-versiota, jonka käyttöikä on päättynyt eikä siten saa tietoturvapäivityksiä. Tämä tarkoittaa, että kaikki PHP 5.4: ssä käynnissä olevat sivustot ovat alttiita hakkeroinnille palvelinohjelmiston haavoittuvuuksien kautta. (Lähde Sucurin hakkeroitu verkkosivustoraportti 2019)

Jopa PHP-version 7.1 käyttöikä on päättynyt 1. joulukuuta 2019 lähtien. Tällaisia ​​ohjelmistojen vanhoja versioita ei enää tueta, ja niissä on haavoittuvuuksia, joita ei ole korjattu!

Nämä vanhat ohjelmistoversiot ovat alttiita hakkeroinnille.

Jos tiedät, että verkkosivustosi isännöi PHP 5: llä tai mahdollisesti jopa 7.1: n PHP: llä, pyydä isäntääsi tarkistamaan, voidaanko sivustosi siirtää uudempaan PHP-versioon.

Ei vain sitä, mutta Suurin osa verkkosivustoista / blogeista on jaetuilla palvelimilla. Pohjimmiltaan, jos yksi jaetun palvelimen sivusto tarttuu, kaikki muut sivustot ovat vaarassa, huomioonless kuinka suojattu sivusto/blogi on muuten.

Sinut hakkeroidaan ilman omaa syytäsi.

Ajatusharjoitus: Oletko koskaan käynyt keittokeittiössä? Voitteko kuvata yhden ja kuvitella, mitä siellä tapahtuu? Jos olet yksi niistä onnekkaista, että olet paennut tuosta matkakohteesta, annan sinulle maistiaisen. Ajattele kaikkea mitä on koskaan tapahtunut keittiön syntymisen jälkeen, vuotoja ja rikkoutumisia, vuotoja ja roiskeita. Keittokeitinpalvelimessa nuo asiat eivät ole koskaan kadonneet. Heistä tulee osa keittiötä.

Kuvittele nyt, että sama tapahtuu sivustollasi. Isäntäpalvelin yritykseltä, joka ohittaa ylläpidon ja ei päivitä uusimpiin ohjelmistoversioihin, on jo siirtynyt keittokeittiöön.

Lisäksi, jos sinä tai verkkovastaavasi isännöit useita verkkosivustoja yhdessä, käyttämättömät tiedostot, tiedot, sivustot ja muut kasaantuvat, kunnes niistä tulee uhka nykyisille sivustoille.

Joten valitse luotettava ja turvallinen isäntä.

VPS ja hallittu isäntä minimoivat rikkomusten mahdollisuudet ja ovat erinomaisia ​​verkkokauppasivustoille. Jos jaettu isännöinti riittää sinulle, tarkista heidän turvallisuutensa, ennen kuin tilaa tilaa heille.

Varmista, että palvelimia ylläpidetään säännöllisesti, ja päivitä myös uusimpiin ohjelmistoversioihin. Tämä on toinen vaihe, jonka pitäisi olla prioriteettiluettelossasi, jos haluat estää WordPressin hakkeroinnin.

4. Käytä suojattuja lähetyksiä estääksesi salasanan ja tietojen sieppauksen

Suojaamattoman yhteyden kautta tietoja voidaan siepata ja hakkeroida, ennen kuin voit sanoa "salaamattomana".

Siksi sinun tulisi keskittyä suojattuihin verkkoyhteyksiin ja salauksiin: palvelinpuoli, asiakaspuoli ja kaikki sivut. Etsi isäntä, joka sallii SFTP / SSH-salauksen, suojaamaan tietojasi vahingollisilta sieppauksilta.

Sivustollasi tulisi olla myös suojattu varmenne on asennettu ja määritä niin, että kun kirjaudut sisään, tunnistetietosi lähetetään turvallisesti.

5. Estä hakkerointi monimutkaisten salasanojen avulla

Monimutkaiset salasanat parantavat tietoturvaa

Tärkeä vinkki: luo vahva salasana ja ÄLÄ KOSKAAN käytä salasanoja uudelleen

Seuraava askelemme WordPressin suojaamiseksi hakkereilta puhuu paljon klisoidusta aiheesta: salasanoista.

Hämmästyttävä määrä ihmisiä ajattelee pitkiä, monimutkaisia ​​salasanoja yliarvioituja ja mieluummin jotain lyhyempää ja helpommin muistettavaa; Hakkerit tietävät ja hyödyntävät sitä.

Ei ole muuta tapaa laittaa tätä: hyvä vahva salasana, joka koostuu kirjaimista, numeroista ja muista kelvollisista merkeistä todella suojaa blogisi.

Raakavoimainen hakkerointi voi toimia lyhyellä salasanalla käyttämällä yksinkertaista sanaa (esimerkiksi sanakirja-avainsanaa tai helppoa yleistä salasanaa), kyllä. Mutta mitä enemmän merkkejä salasanassasi on, sitä kauemmin sen purkaminen kestää.

Pitkien monimutkaisten salasanojen purkaminen vie eksponentiaalisesti kauemmin.

Se, mitä yrität tehdä, on rikkoa tunnetut mallit, jotta hakkerointi on vaikeaa, ellei mahdotonta.

Kaikki henkilökohtaiset tiedot tai niihin perustuvat salasanat (kuten syntymäpäivät tai ihmisten nimet) on helppo murtaa. Älä käytä yksittäisiä sanoja (huomioless pituus), vain kirjaimia tai numeroita sisältäviä salasanoja.

Luo salasana, joka on helppo muistaa, mutta vaikea arvata estääksesi WordPressin hakkeroinnin - jos blogissasi on kyse turvallisuudesta, tee siitä jotain painamyWORDSand5ecurit! $ 

Lähetä minulle WordPress Securityn tarkistuslista  

6. Pidä tietokannat suojattuina ja eristettyinä

Tietokanta tietää kaiken, mitä sivustollasi on koskaan tapahtunut. Se on todellinen tietolähde ja tekee siitä vastustamattoman hakkereille.

SQL-injektioiden automaattiset koodit voidaan ajaa hakkeroimaan verkkosivustosi tietokantaan suhteellisen helposti. Jos sinulla on useita sivustoja / blogeja yhdeltä palvelimelta (ja tietokannasta), kaikki sivustosi ovat vaarassa.

Kuten koodiresurssi ilmaisee, on parasta käyttää yksittäisiä tietokantoja jokaiselle blogille / sivustolle ja antaa niiden hallita erillisille käyttäjille. Yksinkertaisesti sanottuna jokaisella isännöimälläsi verkkosivustolla tulisi olla oma tietokanta ja oma tietokannan käyttäjä.

Vain tietokannan käyttäjällä tulisi olla pääsy tietokantaan.

Voit myös Peruuta kaikki tietokannan oikeudet paitsi tiedot luettu ja tietojen kirjoittaminen käyttäjiltä, ​​jotka työskentelevät vain tietojen lähettämisen ja lataamisen sekä laajennusten asentamisen kanssa.

Sitä ei kuitenkaan suositella skeeman muutos tärkeimpien päivitysten edellyttämät oikeudet.

Sinun tulisi myös nimetä tietokanta uudelleen (muuttamalla sen etuliite), jotta hakkerit ohjaavat väärin hyökkäyksiä vastaan. Vaikka tämä ei estä WordPress-hakkerointia sinänsä, se varmistaa, että jos tietokannat vaarantuvat, hakkerit eivät voi siirtyä seuraavaan WordPress-asennukseen.

7. Piilota verkkosivustosi kirjautumistunnus ja järjestelmänvalvojan nimi

Seuraavaksi WordPressin suojaaminen hakkereilta koskee WordPress-järjestelmänvalvojaa.

WordPress-oletusten jättäminen koskematta on käytännössä pyytäminen ongelmista.

On naurettavan helppoa löytää sivustosi järjestelmänvalvojan nimi, jos et piilota sitä aktiivisesti.

Hakkerin tarvitsee vain lisätä tekijä = 1 URL-osoitteesi jälkeen ja näkyvä henkilö / jäsen on todennäköisesti järjestelmänvalvoja. Kuvittele, kuinka helppoa hakkereiden olisi käyttää raakaa voimaa, kun he löytävät järjestelmänvalvojan käyttäjänimen.

Kuinka voit estää hakkeroinnin, jos jätät niin paljon tietoa saataville, mikä helpottaa hyväksikäyttöä?

Ratkaisu estää WordPress-hakkerointi: Piilota kaikki tällä koodilla olevat käyttäjätunnukset functions.php-tiedostoon:

add_action ('template_redirect', 'bwp_template_redirect');
funktio bwp_template_redirect ()
{
  jos (is_author ())
  {
    wp_redirect (home_url ()); poistua;
  }
}

 

Kirjautumissivullesi on myös helppo käyttää, eikä vain sinulle. Jos lisäät yksinkertaisesti wp-admin tai wp-login.php kotisivusi URL-osoitteen jälkeen, täytä käyttäjänimi, jonka saimme oppia? Author = 1, jäljellä on vain vähän raakaa pakottamista tai arvaamista, kunnes salasana murtuu. 

Käytä tekniikkaa 'suojaus hämärtyessä' ja muuta kirjautumissivusi URL-osoite, jotta hakkereiden työ on hieman vaikeampi.

Suojauslaajennukset kuten iThemes Security sinulla on Piilota kirjautuminen -asetus, joka poistaa helpon pääsyn WordPress -kirjautumistunnukseen.

piilota sisäänkirjautuminen

Jälleen kerran tämän yksinkertaisen vaiheen tekeminen menee hyvin pitkälle WordPress-hakkeroinnin estämisessä.

Etkö ole varma, pystytkö käsittelemään kaiken tämän?

Tarvitsetko apua? Katso iThemes Security Pro - yksi laajennus ja sivustosi on turvassa. Taattu. Vieraile sivustolla napsauttamalla alla olevia linkkejä.

8. Estä hakkerointi WordPress-suojauslaajennusten ja temppujen avulla suojaamaan wp-adminia

 

Wp-järjestelmänvalvojasi on tärkein osa WordPress-asennustasi - se, jolla on eniten "tehoa".

Valitettavasti sisäänkirjautumissivu ja järjestelmänvalvojan hakemisto ovat kaikkien käytettävissä, myös haitallisilla tahoilla. Sen suojaamiseksi ja hakkerointihyökkäysten lopettamiseksi sinun on työskenneltävä hieman kovemmin.

iThemes Security

Vahva salasana, eri järjestelmänvalvojan tili (käyttäjänimellä, joka on muuta kuin '' admin ''), ja käyttämällä iThemes Security laajennuksella voit nimetä kirjautumislinkit uudelleen auttaa ehdottomasti estämään hakkeroinnin.

ithemes wordpress -suojauslaajennus

Tarkista iThemes Security

Malcare

Voit myös vahvistaa valvontaa järjestelmänvalvojan ympärillä verkkosivustojen suojauslaajennuksilla, kuten Malcare.

Tämän 5 tähden palvelun olemme löytäneet melko äskettäin.

malcare -sivuston suojauspaneeli

 

Malcare on takana olevan tiimin kehittämä Blogvault, jota olemme jo käyttäneet ja joiden on todettu olevan hämmästyttäviä.

Heidän uusin tarjouksensa tarjoaa täyden tietoturva- ja verkkosivustopalvelun. Se tarjoaa henkilöstölle muun muassa tiedostojen etsimisen ydinmuutosten varalta (hakkeroiden havaitsemiseksi), hätäpuhdistuksen, sisäisen palomuurin haitallisen liikenteen pysäyttämiseksi, teemojen ja laajennusten päivittämisen suoraan kojelaudalta ja yhden napsautuksen varmuuskopiot.

Parasta tässä on, että voit hallita KAIKKIA sivustojasi yhdestä hallintapaneelista ilman, että sinun on kirjauduttava sisään jokaiselle erikseen.

Tutustu Malcareen

Limit Login Attempts Reloaded

Pieni koodi yhdistettynä rajoittamattomiin kirjautumisyrityksiin, mikä tahansa hakkeri pääsee lopulta sisään.

Voit rajoittaa sisäänkirjausyritysten määrää, jonka yksittäinen käyttäjä saa suorittaa järjestelmänvalvojan kirjautumissivulla Limit Login Attempts Ladattu laajennus. Se rajoittaa kirjautumisyritysten lukumäärää kullekin IP-osoitteelle, mukaan lukien oma (kirjautumisevästeillä).

rajoita sisäänkirjautumisyrityksen lataama kuvakaappaus

Really Simple SSL

Käytä yksityisen SSL: n tehoa järjestelmänvalvojan kirjautumisen, alueen, viestien ja muun suojaamiseen. Käyttämällä Really Simple SSL kytkeä mahdollistaa salauksen kirjautumisistunnoissa, mikä tarkoittaa, että salasanaa on vaikea siepata.

Sinun on hankittava SSL-varmenne ja asennettava se palvelimellesi. InMotion tarjoaa SSL-varmenteita ilmaiseksi isäntäsuunnitelmissaan - joten jos et vieläkään ole, on aika siirtyä InMotioniin saadaksesi myös SSL.

Kun olet vahvistanut palveluntarjoajalta, että sinulla on jaettu SSL, voit aktivoida laajennuksen.

Jos et halua käyttää laajennusta, mutta haluat pakottaa SSL: n vain kirjautumiselle, lisää tämä koodi wp-config.php -tiedostoon:

define ('FORCE_SSL_ADMIN', tosi);

Acunetix Secure WordPress

Tämä kytkeä on erinomainen tietoturvaratkaisu yleensä, mutta jotkut tärkeimmät ominaisuudet tekevät siitä vieläkin paremman.

Ensinnäkin se suorittaa verkkosivuston turvatarkistuksen. Se kiinnittää myös tarkkaa huomiota ennaltaehkäiseviin toimenpiteisiin, joten lopetat WordPress-hakkeroinnin ensin. Järjestelmänvalvojan alueen suojaamiseksi se poistaa virhetiedot kirjautumissivulta.

Se ei ehkä kuulosta kovin paljon, mutta virheilmoitus todella auttaa hakkereita selvittämään, oliko heillä ollut mitään oikein. Viestin (vihje) poistaminen vie kyseisen edun.

Jos haluat välttää hakkerointia, hanki ainakin osa näistä laajennuksista.

Huippuvinkki: Lopussa artikkelissa on kehittyneitä verkkosivustoturva-vinkkejä

Loput vinkit, jotka edellyttävät WordPress-asennuksen korjaamista, tuo mukanaan jonkin verran riskiä. Jos et halua hemmotella asennustasi, saatat haluta palkata WordPress-kehittäjä auttaa sinua ulos.

9. Kuinka suojata WP wp-sisältää

Selvitetään tämä suoraan: wp-sisältää kansio on WordPressin keskeinen osa. Se pitäisi jättää yksin, jopa sinun. Ja sitä ei missään tapauksessa pidä jättää potentiaalisten hakkereiden saataville.

Estää hakkereita estämästä haitallisia henkilöitä / robotteja lähettämästä ei-toivottuja komentosarjoja suoraan verkkosivustosi ytimeen.

Lisää tämä ennen #ALOITA WordPress .htaccess-tiedostossa:

# Estä vain sisällytetyt tiedostot.

  RewriteEngine Käytössä
  RewriteBase /
  RewriteRule ^ wp-admin / sisältää / - [F, L]
  RewriteRule! ^ Wp-sisältää / - [S = 3]
  RewriteRule ^ wp-sisältää / [^ /] + \. Php $ - [F, L]
  RewriteRule ^ wp-sisältää / js / tinymce / langs /.+ \. Php - [F, L]
  RewriteRule ^ wp-sisältää / teema-vastaava / - [F, L]

# ALOITA WordPress

 

Huomaa, että sinun täytyy jätä kolmas RewriteRule-sääntö pois jos haluat koodin toimivan Multisite-sivustossa.

10. Suojaa wp-kokoonpanosi verkkosivustojen turvallisuuden parantamiseksi

Tämä on yksi aiheista, joka on hieman kiistanalainen. Kaikki eivät ole samaa mieltä tämän kanssa.

Riippumatta siitä, siirrätkö wp-config.php: n juurihakemiston ulkopuolelle, ei voida kiistää, että tämän tiedoston koodin muokkaaminen voi auttaa kovettamaan verkkosivustoasi ja vaikeuttamaan WordPress-hakkerointien suorittamista.

Etkö ole varma, pystytkö käsittelemään kaikki nämä tekniset asiat? Siellä on yksi turvallisuuslisäosa hallitsemaan niitä kaikkia

  • Aloita poistamalla käytöstä PHP-tiedostojen muokkaus kojelaudalta, johon hyökkääjä keskittyy hakkeroinnin jälkeen tukiaseman kautta. Lisää tämä wp-config.php-tiedostoon

define ('DISALLOW_FILE_EDIT', tosi);

  • $ table_prefix sijoitetaan kaikkien tietokantataulukoiden eteen. Voit estää SQL-injektiopohjaiset hyökkäykset muuttamalla sen arvoa oletusarvoiseksi wp_. Ole varovainen, jos teet tämän, sinun on nimettävä kaikki olemassa olevat taulukot uudeksi asetetuksi etuliitteeksi.

$ table_prefix = 'r235_';

  • Siirrä wp-sisältöhakemisto oletusasennosta tällä

define ('WP_CONTENT_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content');
define ('WP_CONTENT_URL', 'https: // esimerkki / blogi / wp-sisältö');
define ('WP_PLUGIN_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content / plugins');
define ('WP_PLUGIN_URL', 'https: // esimerkki / blogi / wp-content / plugins');

Nyt jos et ole a kehittäjä, sinulla ei ole paljon virhelokien käyttöä. Voit estää heitä pääsemästä tällä tavalla:

virheilmoitus = 4339
display_errors = Ei käytössä
display_startup_errors = Ei käytössä
log_errors = Päällä
error_log = /koti/esimerkki.com/lokit/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Käytössä
ignore_repeated_source = Ei käytössä
html_errors = Ei käytössä

 

11. Varmuuskopioi verkkosivustosi (vain siinä tapauksessa)

Wordpress-varmuuskopio

Tämä on turvaverkko. Varmuuskopiointi on yksi ensimmäisistä asioista, jotka sinun on palautettava sivustollesi, jos hakkeroidaan.

Varmuuskopioi sivustosi vähintään yhtä usein kuin huollat ​​tai päivität sitä. Tässä osastossa ei ole mitään tekosyytä olla löyhä, ei silloin, kun on olemassa erinomaisia ​​varmuuskopiointipalveluja ja laajennuksia, jotka suorittavat automaattisia varmuuskopioita puolestasi. Joitakin ehdotuksia laajennuksista ovat:

Suositeltua lukemista: Native vs plugin - WordPress-varmuuskopiointi eri menetelmillä

Luo aikataulu ja anna laajennuksen hoitaa loput.

Joissakin näistä laajennuksista on helppoja palautusvaihtoehtoja. Tarkista, että laajennus varmuuskopioi koko sivuston, mukaan lukien kaikki tietokannat ja hakemistot. Vaikka tämä ei estä WordPress-hakkerointeja, se antaa sinulle mielenrauhan palauttaa sivustosi, jos mahdoton tapahtuu.

Lähetä minulle WordPress Securityn tarkistuslista

12. Käytä luotettavia lähteitä vain lataamiseen

 

Jos sinulla on tiukka budjetti (ja vaikka et olisikaan), saatat houkutella mahdollisuutta saada kaikki premium-laajennusten / teemojen ominaisuudet ja toiminnot ilmaiseksi: laittomasti tai säröillä olevat laajennukset.

Et voi ohittaa hakkereita, jos lataat korkealaatuisia juttuja maineikkaista tai luvattomista lähteistä - he palaavat puremaan sinua. He ovat maineikkaita, koska ne täyttävät nuo legit 'premium' laajennukset / teemat haittaohjelmilla ja antavat sinun tehdä loput.

Säröillä olevat laajennukset tai teemat sisältävät piilotettuja takaovia, joiden avulla ne voivat hallita sivustoasi haluamallasi tavalla. Tällaisen latauksen käyttäminen on kaikki mitä he tarvitsevat muuntaa brändin online-ulkomuodon jättiläisjulisteeksi laajentumis pillereitä - tai mikä vielä pahempaa, haittaohjelmia varten.

Älä käytä laittomia tai mitätöityjä latauksia

Sivustosi joutuu nopeasti mustalle listalle, jopa hakukoneista ja selaimista, jos se sisältää haittaohjelmia. 

Tämä on hakkereiden tunnettu ja erittäin suosittu taktiikka.

mitätöidyt teemat

Piraattiteemat ja laajennukset ovat täynnä takaovia ja haittaohjelmia. Tämä on yksi helpoimmista WordPress-tietoturvaongelmista, jotka todella ratkaistaan. On parasta valita luotettu teema luotetusta lähteestä, kuten täällä tarkistamamme teema: Avada-teema

Piraatti, mitätöity tai murtunut tavaraa? Älä vaivaudu.

Olet hyvä virallisten teemojen ja laajennusten hakemistojen kanssa, joten yritä pitää niistä kiinni. Voit myös luottaa lähteisiin, kuten ElegantThemes, Teemametsä, Code Canyon jne.

13. Suojaa verkkosivustosi näyttämällä ammattilaiselta

Alokas on helpompi hakata.

Ainakin niin useimmat hakkerit ajattelevat (ei väärin). 

Muuta kaikkia oletuksia: viestit, kommentit, käyttäjänimet, hakemistojen nimet jne.

Se on helpompaa, kun olet asettamassa.

Jos WordPress on jo käytössä ja käynnissä, vaihda hakemistojen nimiä valitsemalla Asetukset> Sekalaiset (järjestelmänvalvojan ohjaimissa). Tämä on toinen askel ajaessasi lopettaa WordPress-tietoturvaongelmat ja tehdä hakkeroimisesta sivustollesi paljon vaikeampi.

Jos haluat piilottaa käyttämäsi WordPress-version, muista poistaa /wp-admin/install.php ja wp-admin / upgrade.php. Ota se askeleen pidemmälle ja poista metageneraattoritunniste (“”) wp-content / sinun_teemasi_nimi / header.php. Sinun pitäisi myös Poista version yksityiskohdat RSS-syötteestä.

Voit tehdä tämän avaamalla wp-include / general-template.php. Linjan 1860 ympäriltä löydät tämän:

funktio the_generator ($ args) {
  echo Apply_filters ('generaattori', get_ the_generator ($ args), $ args). "\ n";
}

Lisää hash ennen 'kaiku' komento ja olet lajiteltu.

funktio the_generator ($ args) {
  #echo Apply_filters ('generaattori', get_ the_generator ($ args), $ tyyppi). "\ n";
}

14. Hyvä WordPress Security vaatii hyvät tiedosto-oikeudet

Nyrkkisääntö on 755 hakemistoille ja 644 tiedostoille.

Vaikka tämä voi vaihdella palvelimen ja kyseessä olevan tiedostotyypin mukaan - useimmissa tapauksissa sinun tulee toimia hyvin näiden oikeuksien kanssa.

Parasta olisi pyytää isäntä tarkistamaan, tai jos sinulla on suora yhteys, voit tehdä sen itse.

Hakemistot:

etsi / polku / tiedostoon / wordpress / install / -type d -exec chmod 755 {} \;

Tiedostot:

etsi / polku / tiedostoon / wordpress / install / -type f -exec chmod 644 {} \;

15. Verkkosivuston suojaus: Älä koskaan aseta tiedostojen käyttöoikeuksiksi 777

Jos haluat vakavasti lopettaa WordPress -hakkerit - ÄLÄ KOSKAAN aseta tiedosto-/hakemistolupaa 777 unless haluat antaa täyden hallinnan kaikille, myös hakkereille.

Aloittelijoiden keskuudessa on erittäin vaarallinen taipumus asettaa tiedostojen käyttöoikeuksiksi 777, "koska se on helppoa", "koska korjaamme sen myöhemmin" tai "koska muutan sen myöhemmin".

Tämä on erittäin vaarallinen - 777 tarkoittaa, että kuka tahansa Internetissä voi muuttaa tiedoston sisältöä.

Kun nämä oikeudet on asetettu, verkkosivustosi on avoin talo. Kun heillä on pääsy yhteen tiedostoon, voit olla varma, että on helppo siirtyä muihin tiedostoihin tai asentaa takaovia ja muita ikäviä juttuja sivustoosi.

WordPress-koodeksilla on täydellinen opas tiedostojen käyttöoikeuksiin: kuinka muuttaa niitä ja joidenkin tiedostojen suositellut käyttöoikeudet.

Sinun on tasapainotettava verkkosivustosi suojaaminen toiminnallisuudella, joten aloita alhaalla ja lisää käyttöoikeuksia vähitellen, kunnes saat sen oikein. Oikeat tiedostoluvat auttavat varmasti välttämään verkkosivustojen hakkerointia. Tämä on jälleen yksi helpompi estää WordPress-tietoturvakysymykset, sinun on vain oltava tietoinen siitä.

16. Salli pääsy WP-järjestelmänvalvojaan ja kirjautuminen IP-osoitteeseesi vain IP-suodatuksen avulla

Hyvin yksinkertainen, tyylikäs tapa rajoittaa pääsyä kirjautumissivulle ja järjestelmänvalvoja-alueelle on IP-suodatus.

Sinun tarvitsee vain lisätä tämä koodi .htaccess-tiedostoon. Tämä ehdotus tulee kiitos Sucuri, joka tarjoaa erinomaisen WordPress-tietoturvapalvelun


Tilaa Hylkää, Salli
Kieltävät kaikki
Salli alkaen [Lisää IP-osoitteesi tähän]

Nyt se toimii vain staattisissa IP-osoitteissa, mutta voit tehdä samoin dynaamisille IP-osoitteille tämän kanssa:


Tilaa Hylkää, Salli
Kieltävät kaikki
Salli alkaen [Lisää verkkotunnuksesi tähän]

Rajoittaa pääsyä verkkotunnukseen wp-admin-hakemisto, lisää tämä kohteeseen .htaccess:


Tilaa Hylkää, Salli
Kieltävät kaikki
Salli alkaen [Lisää IP-osoitteesi tähän]

Verkkotunnuksen mukaan:


Tilaa Hylkää, Salli
Kieltävät kaikki
Salli alkaen [Lisää verkkotunnuksesi tähän]

Lähde: blogi.Sucuri.net

17. Tietoturvalaajennukset WordPress-hakkeroiden estämiseksi

Vaikka meillä ei ole tapana kannattaa monien laajennusten käyttöä, kun se tulee WordPress-tietoturvalaajennukset, on joitain, jotka haluat ehkä asentaa sivustosi sietokyvyn parantamiseksi.

Wordress-suojauslaajennukset

  • iThemes Security kohti - Kuuntele, monet edellä mainituista toimista ovat epäilemättä hieman teknisiä. Saamme sen. Jos et ole teknisesti taipuvainen, meillä on ratkaisu sinulle. iThemes Security on paras WordPress -suojauslaajennus verkkosivustosi suojaamiseen ja suojaamiseen.

  • install WP Security Audit Log -laajennus - tämä on kattavin WordPress-toimintalokilaajennus. Laajennus pitää kirjaa kaikesta, mitä WordPress-verkkosivustollasi tapahtuu tarkastuslokissa (alias WordPress-toimintaloki), joten pidät hakkerit loitolla. Tämä johtuu siitä, että voit tunnistaa heidän hyökkäysyrityksensä ennen kuin he todella murtautuvat WordPress-verkkosivustollesi, jolloin sinulla on aikaa estää haitalliset toimintansa. Tarkastuslokien katseluohjelma 

Google Authenticator ja Duo-kaksitekijän todennus ovat upeita valintoja lisätäksesi suojaustason kirjautumissivullesi. Sähköpostiosoitteeseesi / matkapuhelimeesi lähetetään valtuutuskoodi, jota ilman käyttäjä / hakkeri ei voi kirjautua sisään.

Onko mitään parempaa kuin mukava BBQ? Tämä laajennus estää UAL-merkkijonot, jotka sisältävät evalin (pohja 64 ja muut epäilyttävän pitkät pyyntömerkkijonot.

Tarkista aiheesi haittaohjelmien ja piilotettujen takaovien varalta tällä laajennuksella, ennen kuin joku hyödyntää näitä heikkouksia muuten turvallisessa sivustossa / blogissa.

  • Antivirus-laajennukset

Tämä ei ole järkevää. Suorita usein sivuston tarkistuksia ja hävitä ne ennen kuin ne tarttuvat. Laajennukset / palvelut, kuten SucuriWordfenceAiemmin mainittu Acunetix Secure WordPress on toinen hyvä. Hyödynnä skanneria tarkistaa myös sivustosi nurinpäin haittaohjelmien varalta.

Jos olet kiinnostunut, olemme kirjoittaneet suuren vertailun Sucuri vastaan ​​Wordfence joka vertaa näitä kahta isoa poikaa toisiaan vastaan.

Lähetä minulle WordPress Securityn tarkistuslista

Essential-tarkistuslista täydelliseen verkkosivustoturvaan - YouTube-versio

Kiitos Webucatorille, joka tarjoaa WordPress-koulutus, tämä tarkistuslista on luotu videona.

Tämän artikkelin seuraava osa käsittelee WordPress-tietoturvahaun korjaamista, kun se on tapahtunut.

Sivusto hakkeroitu? 7 vaihetta verkkosivustosi palauttamiseksi kokonaan

Sucuri julkaisee verkkosivustojen hakkeroidun trendiraportin jokaisesta vuosineljänneksestä. Heidän viimeisin raportti, he ovat paljastaneet, että erilaiset WordPress-julkaisut käyttivät 94% sivustoista, jotka hakkeroitiin vuonna 2019

Hakkeroidut WordPress-sivustot ovat edelleen todellinen ongelma. Koska sivustot ovat suosituin foorumi, hakkeroitumismahdollisuus on huomattavasti suurempi WordPress-sivustoilla.

Se ei ole yllättävää, koska WordPress on ylivoimaisesti suurin foorumi uusien verkkosivustojen luomiseen. Niin kauan kuin WordPress on suosittu, hakkereiden on kannattavaa etsiä haavoittuvuuksia WordPress-sivustoista. Se on todella numeropeli.

Eikä ole väliä mitä ehkäiseviä toimenpiteitä teet; on mahdotonta taata minkä tahansa verkkosivuston täydellistä turvallisuutta. Mitä voit tehdä, on vaikeuttaa hakkerointia, jotta matalasti roikkuvia hedelmiä etsivät eivät häiritse tai eivät onnistu hakkeroimaan sitä.

Tässä opetusohjelmassa esitämme sinulle 7 vaihetta, jotka sinun on tehtävä korjaamaan WordPressin hakkeroitu sivusto.

Ennen kuin aloitamme menettelyn, selvitetään, mikä aiheuttaa ongelman ensinnäkin. Yleensä haavoittuvuuksia on kahdenlaisia:

  1. Yleiset haavoittuvuudet ja
  2. Turvallisuuden heikkoudet.

Katsotaanpa tarkemmin kutakin tyyppiä. Hakkerit voivat hyödyntää molempia tyyppejä.

Ennen kuin aloitat - hakkeroidun verkkosivuston palauttaminen ei ole sellaista, jota ihmiset voivat toteuttaa ilman riittävää tietämystä. On erittäin suositeltavaa pyytää apua WordPress-kehittäjät jotka ovat erittäin ammattitaitoisia ennen kuin yrittävät tehdä tämän, jos et ole tyytyväinen ryömimään.

Yleiset haavoittuvuudet, jotka johtavat hakkeroituihin WordPress-sivustoihin

Yleiset haavoittuvuudet voivat tulla joko paikallisesta koneestasi tai isännöintipalveluntarjoajalta. Useimmat meistä ovat todennäköisesti perehtyneet tämän tyyppisiin ongelmiin.

Nämä ongelmat voivat ilmetä, jos tietokoneesi tai lähiverkko vaarantuu. Kun hakkereilla on pääsy tietokoneellesi tai verkkoosi, he voivat helposti kohdistaa omistamallesi verkkosivustolle - tuloksena on vaarantunut tai hakkeroitu WordPress-sivusto.

Voit välttää nämä tilanteet käyttämällä luotettavia virustentorjunta- ja haittaohjelmatorjuntatyökaluja. Sinun on noudatettava tervettä järkeä, kun käytät Internetiä. Comodo ja haittaohjelmatbytes on joitain käteviä vinkkejä tietokoneesi suojaamiseksi hakkereilta. Useimmat näistä ovat varsin tervettä järkeä, jos ajattelet niitä, kuten ohjelmistojen päivittäminen sekä työpöydälle että oheislaitteille, kuten Internet -reitittimelle. 

käyttää virusta

Toinen haavoittuvuus voi johtua palveluntarjoajastasi, varsinkin jos käytät jaettua hosting-pakettia. Kuten ehkä tiedätte, jaettu hosting-paketti jakaa palvelimen useiden käyttäjien kesken.

Jos joku näistä käyttäjistä ei noudata parhaita käytäntöjä, koko palvelin on vakavassa uhassa. Tietenkin jaetussa hosting-skenaariossa on erittäin epätodennäköistä, että kaikki käyttäjät käyttävät hyviä tietoturvakäytäntöjä, joten jaetut hosting-paketit ovat määritelmänsä mukaan riskialttiita.

Joissakin tapauksissa yksi jaetun isännöintipaketin sivusto vaarantuu, ja sen avulla hakkeri voi siirtyä sivusuunnassa tai siirtyä muihin palvelimiin. Tässä tapauksessa sinun on neuvoteltava palveluntarjoajasi kanssa, ja he toteuttavat tarvittavat toimenpiteet.

Tämä tarkoittaa, että vaikka sivustosi olisi täysin päivitetty ja suojattu, saatat silti päätyä hakkeroituun WordPress-sivustoon.

Muuten, jos etsit erittäin suojattua palveluntarjoajaa, sinun kannattaa harkita vakavasti meidän lukemista InMotion-hosting-arvostelu - tunnemme olevamme erittäin suojattu tässä palvelussa.

Nyt kun olemme tunnistaneet yleiset haavoittuvuudet, katsotaanpa turvallisuusnäkökohtia.

Hakkeroitu haavoittuvuuksien kautta

On olemassa useita erilaisia WordPressin tietoturva-aukkoja. Puhumme yleisimmistä:

Heikot käyttäjänimi / salasana-yhdistelmät

Meidän ei pitäisi kertoa sinulle turvallisen salasanan käytön tärkeydestä. Versiosta 3.0 lähtien WordPress itse on kiinnittänyt enemmän huomiota käyttäjien pakottamiseen käyttämään vahvaa salasanaa, esimerkiksi järjestelmänvalvojan hallintapaneelissa on sisäänrakennettu salasanan vahvuuden tunnistusominaisuus.

Nyrkkisääntö on, että sinun ei pitäisi koskaan käyttää ennustettavissa olevaa käyttäjänimeä (kuten admin), ja käytä aina vahvoja salasanoja. Tämä vaikeuttaa hakkereiden pääsyä sivustoosi.

Teema- / laajennusvirheet ja haavoittuvuudet 

Vaikka on parasta käyttää tuttuja teemoja ja laajennuksia, joskus suosituilla tuotteilla voi olla piilotettu turvallisuusvirhe liian. Jos näin tapahtuu, kuulet todennäköisesti tästä suosituista IT-uutisblogeista ja muista WordPress-suojaustietojen lähteistä.

Olet kuitenkin todennäköisesti turvallisempi, jos varmistat, että käytät vain luotettavia teemoja tai laajennuksia - koska pystyt päivittämään nopeasti korjaustiedostoksi. Voit tarkistaa luotettavuuden tarkistamalla arvostelut, luokituksen, latausten määrän jne.

Ja ei ikinä koskaan käytä laittomia tai mitätöityjä teemoja tai laajennuksia. On tunnettua, että suurin osa näistä sisältää haitallista koodia, joka luo takaoven sivustollesi. Tämä on kirjaimellisesti tapa saada täydellinen etäohjaus sivustollesi.

Todellisuudessa, jos käytät murtunutta, laittomia tai tyhjennettyjä teemoja tai laajennuksia, verkkosivustosi on jo hakkeroitu. Käytät sivustoa, joka yhtäkkiä alkaa tehdä outoja asioita, kuten näyttäviä linkkejä, jakaa haittaohjelmia tai olla jopa osa DDoS-hyökkäyksiä.

Se, mitä luulet ilmaiseksi, maksaa sinulle paljon enemmän kuin odotat.

Ei päivitä WP-ydintä, teemoja tai laajennuksia

Vanhentuneen WordPress-ytimen, teemojen tai laajennusten käyttö on toinen merkittävä syy rikkomuksiin, jotka johtavat hakkeroituihin verkkosivustoihin. Useimmat päivitykset sisältävät koodin, joka korjaa verkkosivustosi turvallisuuden ja suorituskyvyn. Siksi on välttämätöntä, että päivität verkkosivustosi, teemat ja laajennukset heti, kun ne ovat saatavilla. Varmista, että varmuuskopioit koko sivuston ennen päivittämistä.

Mitä tehdä, kun WordPressisi hakkeroidaan?

Vaikka olet ehkä ryhtynyt toimiin riskien vähentämiseksi, olet silti saattanut joutua WordPress-hakkeroinnin uhriksi.

Älä paniikkia ja noudata alla kuvattuja vaiheita.

1. Tunnista hakkeroinnin tyyppi

Ratkaisu sivustosi palauttamiseen riippuu WordPress-hakkeroinnin tyypistä. Tämä tarkoittaa, että ensimmäinen vaihe on määritellä tyyppi.

havaita hakkerointityyppi

Tässä on kysymyksiä, joita sinun tulee kysyä:

  • Pääsetkö pääkäyttäjän osioon?
  • Ohjataanko sivustoasi toiselle sivustolle?
  • Onko sivustollasi tuntemattomia linkkejä?
  • Varoittaako Google kävijöitä sivustostasi?
  • Onko isäntäpalveluntarjoajasi ilmoittanut, että sivustosi näyttää epäilyttävältä?
  • Näytetäänkö sivustollasi tuntemattomia mainoksia otsikossa, alatunnisteessa tai muissa osioissa?
  • Onko näytössä ei-toivottuja ponnahdusikkunoita?
  • Onko kaistanleveyden käytössä odottamatonta piikkiä?

Käy läpi kysymykset yksi kerrallaan ja yritä löytää vastaukset kullekin niistä. Tämä auttaa sinua löytämään parhaat vaihtoehdot hakkeroidun WordPress-sivuston hallinnan palauttamiseksi.

2. Yritä palauttaa varmuuskopiosta

Jos noudatat parhaita käytäntöjä, sinulla on oltava päivittäiset, viikoittaiset tai kuukausittaiset varmuuskopiot sivustostasi. Varmuuskopiointitiheys riippuu siitä, kuinka usein lähetät tai teet muutoksia verkkosivustoosi.

Kun otat säännöllisiä varmuuskopioita, hakkeroidun WordPress-sivuston palauttaminen on yhtä helppoa kuin viimeisimmän varmuuskopion palauttaminen. Jos olet määrittänyt automaattisen varmuuskopioinnin aikataulun, selvitä viimeinen varmuuskopio ennen sivustosi hakkerointia ja palauta kyseinen versio.

palauttaa varmuuskopiot

Sitten sinun on varmistettava, että päivität kaikki laajennukset, teemat tai muut, joita ei ole päivitetty.

Entä jos et ottanut varmuuskopioita sivustostasi? Tarkoittaako tämä, että olet menettänyt sivustosi ikuisesti?

Ei oikeastaan.

Myös muita vaihtoehtoja on. Suurin osa tunnetuista isännöintipalveluista pitää säännöllisiä varmuuskopioita asiakassivustoistaan. Kysy palveluntarjoajalta, säilyttävätkö he varmuuskopion. Jos heillä on, voit pyytää heitä palauttamaan sivustosi viimeisestä vakaasta varmuuskopiosta.

Jos varmuuskopiota ei ole, sinun on suoritettava hakkeroidun WordPress-sivuston puhdistaminen, jonka näytämme alla.

3. Pyydä apua palveluntarjoajalta

Yli 40 prosentilla hakkeroiduista verkkosivustoista oli tietoturvahaavoittuvuus isännöintialustalla. Siksi, kun saat WordPressin hakkeroinnin, isännöintipalveluntarjoajan pyytäminen auttamaan sinua palauttamaan sivustosi voisi olla hyvä idea.

etsi apua isännältä

Kaikkien luotettavien web-hosting-yritysten tulisi olla halukkaita auttamaan sinua näissä tapauksissa. He työllistävät ammattilaisia, jotka käsittelevät näitä tilanteita päivittäin. He tuntevat hyvin isäntäympäristön ja pääsevät käyttämään kehittyneitä verkkosivujen skannaustyökaluja.

Siksi he voivat auttaa sinua palauttamaan yleisimmät verkkosivustojen hakkerointihyökkäykset. Jos hakkerointi on peräisin palvelimelta, isäntäyrityksesi voi auttaa sinua saamaan takaisin sivuston.

4. Etsi haittaohjelmia

Monissa tapauksissa hakkerit pääsevät verkkosivustoosi käyttämällä takaovia. Takaovet luovat luvattomia pääsypisteitä verkkosivustollesi. Kun käytät takaovia, hakkerit voivat käyttää verkkosivustoasi tarvitsematta kirjautumistietoja ja pysyvät käytännössä huomaamatta.

haittaohjelmien vaara

Tässä on joitain yleisimpiä takaovien sijainteja, jotka sinun on tarkistettava, onko sivustoosi hakkeroitu -

  • Teemat: Useimmat hakkerit asettavat mieluummin takaoven yhteen passiivisista teemoistasi. Tällöin heillä on silti pääsy verkkosivustoosi, vaikka päivität sitä säännöllisesti. Siksi on tärkeää poistaa kaikki passiiviset teemat.
  • plugins: Plugins-kansio on toinen mahdollinen paikka haitallisen koodin piilottamiseen. Tähän on useita syitä. Ensinnäkin, useimmat ihmiset eivät koskaan ajattele laajennustiedostojen tarkistamista. He eivät myöskään halua päivittää laajennuksia niin kauan kuin ne toimivat. Lisäksi on joitain huonosti koodattuja laajennuksia, joita voidaan hyödyntää luvattoman pääsyn saamiseksi mihin tahansa WP-sivustoon.
  • Lähettää kansion: Useimmissa tilanteissa sinun ei tarvitse koskaan vaivautua latauskansion tarkistamiseen, koska kansio sisältää vain lataamasi tiedostot. Jotkut hakkerit suosivat kuitenkin tätä kansiota, koska ne voivat helposti piilottaa haitallisen tiedoston satojen tai tuhansien tiedostojen joukossa, jotka on levitetty eri kansioihin. Koska kansio on kirjoitettava, se palvelee myös heidän tarkoitustaan.
  • Sisältää kansion: Tämä on toinen kansio, jota useimmat käyttäjät jättävät usein huomiotta. Tämän seurauksena hakkerit asettavat takaoven tähän kansioon ja saavat täydellisen pääsyn sivustoosi.
  • wp-config.php-tiedosto: On hyvin yleistä löytää tiedostosta piilossa haittaohjelmia. Koska tiedosto on kuitenkin hyvin tunnettu, hienostuneet hakkerit välttävät tämän tiedoston käyttöä. 

Etkö halua likaista käsiäsi haitallisten komentosarjojen avulla? Yrittää iThemes security ja anna sen tehdä likainen työ.

Ainoa tapa päästä eroon takaovesta on poistaa haitallinen koodi verkkosivustolta. On olemassa useita laajennuksia, joiden avulla voit etsiä verkkosivustoltasi haittaohjelmia.

Niiden joukossa seuraavat premium-laajennukset ovat upeita valintoja:  iThemes SecuritySucuri SecurityWPMUDev -puolustaja ovat hienoja vaihtoehtoja.

Seuraavat ovat myös hyviä vaihtoehtoja, mutta muista, että molempia ei ole päivitetty yli 3 vuotta tämän artikkelin päivittämisen jälkeen. Tämä tarkoittaa, että ne eivät välttämättä ole yhtä luotettavia kuin ennen:  Hyödynnä skanneriaja Teeman aitouden tarkistaja.

Voit käyttää näitä ilmaisia ​​laajennuksia havaitaksesi kaikki ei-toivotut muutokset verkkosivustosi teemoissa, laajennuksissa ja ydintiedostoissa. Jos kuitenkin vakavasti korjaat sivustosi, suosittelemme, että valitset jonkin premium-tuotteista. 

Ne ovat ajan tasalla ja luotettavampia yleensä kuin mikään ilmaisista tuotteista.

sucur-suojauslaajennus

Jos laajennukset löytävät epäilyttävän tiedoston, ota täydellinen varmuuskopio ja poista tiedosto tai katso, mitä toimintoa laajennus ehdottaa. Jos otat varmuuskopion, varmista myös, että otat varmuuskopion hakkeroidusta sivustosta.

Ja jos teema tai laajennus vaarantuu, poista se sivustoltasi. Lataa viimeisin kopio ja lataa se verkkosivustollesi.

Jos muutos havaitaan jossakin ydintiedostossa, sinun on ladattava uusi WordPress-asennus ja suoritettava manuaalinen päivitys (ts. Korvaa kaikki tiedostot uusilla).

Vaihtoehtoisesti voit ladata uuden kopion nykyisestä WordPress-versiosta ja korvata vain vaarantuneet tiedostot.

5. Tarkista WordPress-käyttäjät

On todennäköistä, että verkkosivustollasi on useita käyttäjiä. Kuten jo tiedät, heillä on erilaiset ominaisuudet käyttäjän roolin perusteella.

Joskus WordPress-hakkerit luovat uuden käyttäjän, jolla on tarvittavat oikeudet, jotta he voivat kirjautua sivustoosi, vaikka he menettävät takaoven.

Tai he voivat todella käyttää käyttäjänimeä, jolla on heikko salasana hakkeroida verkkosivustoasi.

Voit estää tämän tapahtuvan siirtymällä hallintapaneelista kohtaan Asetukset> Käyttäjät. Tarkista kaikki käyttäjät ja heidän roolinsa. Nollaa myös KAIKKI käyttäjien salasanat.

Tärkeintä on, että yhdelläkään luvattomalla tilillä ei ole järjestelmänvalvojan roolia. Poista epäilyttävät tilit heti. Jos he ovat kelvollisia käyttäjiä, voit luoda tilit myöhemmin uudelleen.

Tässä on joitain muita parhaita käytäntöjä noudatettavaksi:

6. Vaihda salaiset avaimet

Salaiset avaimet ovat kätevä suojausominaisuus WordPressissä.

Nämä avaimet sisältävät satunnaisesti tuotettua tekstiä, joka auttaa evästeisiin tallennettujen tietojen salaamisessa. Käytä alla olevaa menettelyä tarkistaaksesi, onko sinulla niitä sivustollasi. Jos sinulla ei ole niitä, voit luoda ne.

Vaikka sivustosi olisi jo murtautunut sivustoosi, on nyt hyvä aika muuttaa niitä.

Ensinnäkin, luo joukko salaisia ​​avaimia linkki. Satunnaiskoodigeneraattori luo uuden joukon ainutlaatuisia koodeja aina, kun päivität sivua.

Mene nyt verkkosivustollesi ja avaa wp-config.php tiedosto. Suuntaa linjaa 49 kohti ja näet jotain seuraavanlaista. Rivinumero voi vaihdella tiedostostasi, mutta sinun on selvitettävä seuraava osa:

wordpress-suojausavaimet

Kopioi ja liitä arvo yllä luomastasi arvosta yllä olevaan linkkiin. Tallenna tiedosto. Tämä nollaa kaikki evästeet ja kaikki kirjautuneet käyttäjät, joten jos olet kirjautunut sisään järjestelmänvalvojaan, sinua pyydetään kirjautumaan sisään uudelleen.

7. Vaihda KAIKKI salasanat

Tämä on yleinen mutta kriittinen vaihe hakkeroidun WordPress-verkkosivuston palauttamisessa - nollaa kaikki salasanasi. Yleisiä salasanoja ovat WP admin, cPanel, MySQL, FTP jne.

Nollaa kaikki nämä salasanat sekä minkä tahansa verkkosivustossa käyttämäsi kolmannen osapuolen palvelun salasanat. 

Näin vaihdat salasanat:

  • Jos haluat vaihtaa salasanan, siirry hallintapaneelista kohtaan Käyttäjät> Profiilisi. Uusi salasanakenttä löytyy Tilinhallinta-osiosta.
  • Jos haluat vaihtaa cPanel-, MySQL- ja FTP-salasanoja, kirjaudu isännöintitilisi ohjauspaneeliin ja noudata käytettävissä olevia vaihtoehtoja. Jos olet hämmentynyt, ota yhteyttä isännöintitukeen saadaksesi apua.

Kun palautat salasanoja tai vaihdat niitä, varmista, että käytät nyt vahvaa salasanaa. Sinun tulisi myös pakottaa nykyiset käyttäjät suorittamaan salasanan palautus myös tileilleen.

Voit käyttää laajennusta Salasanan nollaus pakottaa salasanan vaihtaminen kaikille käyttäjille.

WordPress-salasanan vahvuuden tarkistaja

 

Tulevat vaiheet hakkeroinnin välttämiseksi

Vaikka yllä mainitut vaiheet auttavat sinua palauttamaan verkkosivustosi, sinun on pidettävä tätä varoitusmerkkinä. Tässä on joitain tärkeitä vaiheita, jotka sinun on toteutettava varmistaaksesi, että sivustosi säilyy jatkossakin suojattuna muilta WordPress-hakkerointiyrityksiltä:

Luo varmuuskopiointiaikataulu

Kuten ymmärrät nyt, säännölliset varmuuskopiot verkkosivustoltasi on ratkaisevan tärkeää. Varmuuskopiot voivat säästää, jos sivustoosi on hakkeroitu. Useat varmuuskopiot ovat vieläkin parempia, koska niiden avulla voit palata ajassa taaksepäin tilannekuvaan ennen hakkerointia.

updraftvault-kuvakaappaus

 

Onneksi sinun ei tarvitse tehdä tätä manuaalisesti. On paljon ilmaisia ​​ja premium-laajennuksia, jotka auttavat sinua pitämään säännölliset varmuuskopiot sivustostasi. UpdraftPlus on suosittu varmuuskopiolaajennus, kun taas BackupBuddy ja Jetpack ovat erittäin suositeltuja premium-varmuuskopiointiratkaisuja.

Päivitä kaikki

Meidän ei tarvitse korostaa sivustosi päivittämisen tärkeyttä. Päivitä WordPress-ydin, aktiiviset teemat, laajennukset ja kaikki muu, mikä on mahdollista päivittää. Samalla varmista, että poistat myös käyttämättömät teemat ja laajennukset.

Määritä suojauslaajennus

Jos haluat parantaa verkkosivustosi turvallisuutta, sinun on käytettävä kovettavaa laajennusta, kuten iThemes Security, Wordfence Security tai Defender. Nämä laajennukset auttavat sinua luomaan palomuurin, jotta voit estää haitallisen liikenteen, estää hyökkääjät ja käsitellä muita uhkia. Voit myös harkita a täysi verkkosovelluksen palomuuri kuten Sucurin palomuuri.

Harkitse hallittua isännöintiä

Kun valitset hallitun isännän, he hoitavat verkkosivustosi turvallisuus-, ylläpito-, suorituskyky- ja muut ongelmat. Tämä tarkoittaa, että sinun ei tarvitse huolehtia kaikista näistä vaiheista. Joitakin luotettavia hallinnoituja palveluntarjoajia ovat InMotion, WPEngineja Kinsta.

Limit Login Attempts 

Oletusarvoisesti WordPress sallii kenen tahansa kokeilla rajattomia salasanoja mille tahansa tilille. Tämä johtaa raakoihin joukkoihin kohdistuviin hyökkäyksiin ja mahdollisiin sivuston haavoittuvuuksiin. Onneksi on joitain ilmaisia ​​laajennuksia, kuten Tulo Lockdown ja Sisäänkirjautumisen suojaus rajoittaaksesi sisäänkirjautumisyrityksiä.

Poista PHP-suoritus käytöstä 

Useimmissa tapauksissa hakkerit luovat takaovia luomalla PHP-tiedostoja, jotka näyttävät ydintiedostoilta. Voit estää nämä uhat poistamalla PHP-suorituksen käytöstä asiaankuuluvissa hakemistoissa, kuten latauksissa ja mukana olevassa kansiossa. Tässä on a vaiheittaiset ohjeet tehdä se.

Lisää ylimääräinen salasana järjestelmänvalvojalle

Toinen kätevä temppu sivustosi suojaamiseksi on käyttää ylimääräistä salasanaa järjestelmänvalvojan osioon siirtymiseen. Tämä on erittäin helppo tehdä cPanelissa. Seuraa tämä opetusohjelma lisätä salasanan WP-järjestelmänvalvojaan.

Haluatko videon? Katso tämä video Sucurilta

Jos sinulla on jonkin aikaa käydä läpi seuraava video, joka voi auttaa tunnistamaan WordPressin hakkeroidut sivustot ja kuinka korjata ne. Olemme maininneet Sucurin muutaman kerran tässä artikkelissa, tämä Sucurin video on varsin täydellinen näkymä hakkeroiduista sivustoista.

Viimeiset sanat: kuinka korjata hakkeroitu verkkosivustosi

WordPressin hakkeroidun sivuston uhri on kamala kokemus, varsinkin jos tämä on ensimmäinen kerta. Kuitenkin nyt, kun olet lukenut tämän artikkelin, sinulla pitäisi olla selkeä käsitys tarvittavista vaiheista hakkeroidun verkkosivustosi palauttamiseksi.

Voit vapaasti lisätä kirjanmerkkeihin ja jakaa tämän artikkelin, jotta muutkin tietävät vaiheista.

Bottom Line

Jos olet hämmentynyt, valitse vain hallittu hosting-ratkaisu ja anna jonkun muun hoitaa se puolestasi.

Tämä on vasta alkua. Verkon kehittyessä myös hakkerit ja heidän yrityksensä tunkeutua sivustoosi ja saada sinut irti. Pysy askeleen edellä oppimalla lisää ystävällisestä CMS: stäsi, pysymällä ajan tasalla päivityksistä ja WordPress-tietoturvasta - tämä varmistaa, että estät verkkosivustojen hakkeroinnin.

Pysy turvassa.

Tarvitsetko apua verkkosivustosi puhdistamisessa? Kokeile näitä huippuluokan edullisia keikkoja Fiverrillä!

fiverr-logo

Klikkaa tästä löytää asiantuntijoita WordPress-tietoturva.

Klikkaa tästä luoda a täysi WordPress-verkkosivusto.

 

kirjailijasta
David Attard
David on työskennellyt verkko- / digitaalialalla tai sen ympäristössä viimeiset 18 vuotta. Hänellä on laaja kokemus ohjelmisto- ja verkkosuunnitteluteollisuudesta WordPressin, Joomlan ja niitä ympäröivien markkinarakojen käytöstä. Digitaalisena konsulttina hän keskittyy auttamaan yrityksiä saamaan kilpailuetua käyttämällä verkkosivustonsa ja tänään saatavilla olevien digitaalisten alustojen yhdistelmää.

Yksi asia vielä... Tiesitkö, että ihmiset, jotka jakavat hyödyllisiä juttuja, kuten tämä viesti, näyttävät myös mahtavilta? ;-)
Ole hyvä Jätä hyödyllinen kommentoi ajatuksiasi ja jaa tämä sitten Facebook-ryhmissäsi (ryhmissä), jotka pitävät tätä hyödyllisenä, ja hyödynnetään yhdessä. Kiitos jakamisesta ja mukavuudesta!

Disclosure: Tämä sivu voi sisältää linkkejä ulkoisille sivustoille tuotteille, joita rakastamme ja kannatamme sydämestämme. Jos ostat suosittelemiamme tuotteita, saatamme ansaita viittausmaksun. Tällaiset maksut eivät vaikuta suosituksiimme, emmekä hyväksy maksuja positiivisista arvosteluista.

Kirjoittaja (t) esillä:  Inc-lehden logo   Sitepoint-logo   CSS Tricks -logo    webdesignerdepot-logo   WPMU DEV -logo   ja paljon muuta ...