9 yleistä WordPress-heikkoutta koskevaa ongelmaa (ja kuinka korjata ne)

Yksi parhaista tavoista pitää WordPress-verkkosivustosi suojattuna on tarkistaa, onko sivustollasi mahdollisesti haitallista koodia. Aina kun löydät haavoittuvuuden, voit ryhtyä välittömiin korjaaviin toimiin, ennen kuin annat kenenkään hyödyntää sitä ja väitetysti siirtyä WordPress-hallintapaneeliin.

Ei ole ihme, että hakkerit kohdistavat WordPress-verkkosivustoja valtavasti, koska se on markkinoiden suosituin CMS. Pakkauksesta on olemassa useita tapoja tehdä WordPress-asennuksesta turvallisempi. Karu todellisuus on kuitenkin vain murto-osa sivustoista, jotka seuraavat niitä. Tämä tekee WordPressistä yhden helpoimmista kohteista hakkereille.

 

Suositeltua lukemista: 17 tapaa estää WordPress-hakkerointi

9 WordPress-haavoittuvuusongelma

1. Halpa WordPress-isännöinti

Jos valitset WordPress-isännöinnin yksinomaan isännöinnin perusteella, kohtaat todennäköisesti todennäköisemmin useita WordPress-haavoittuvuuksia. Tämä johtuu siitä, että halpa isännöinti on todennäköisesti perustettu väärin eikä erillään toisistaan ​​oikein.

Tämä tarkoittaa, että yhdessä asennuksessa hyödynnetyt sivustot voivat levitä etuyhteydettömille verkkosivustoille, joita isännöidään samalla palvelimella. Tämä ongelma voi ilmetä myös, jos isännöit useita verkkosivustoja useille asiakkaillesi samalla hosting-tilillä.

Tässä tapauksessa jälleen kerran, jos joku verkkosivustoistasi vaarantuu, infektio voi levitä KAIKKI tililläsi oleviin verkkosivustoihin. Sinun on oltava varovainen varmistaaksesi, että käytät asennusta, kuten VPS: ää, jonka avulla voit luoda eron eri isännöityjen verkkosivustojen välillä.

Toinen halvan isännöinnin ongelma on kysymys "kiusallisista naapureista". Halpa hosting houkuttelee yleensä roskasisältöisiä tai epämiellyttäviä asiakkaita - nämä voivat tarkoittaa, että varsinainen palvelin, jolla verkkosivustoa isännöidään, joutuu mustalle tai roskapostilistalle.

KORJATA: Ensinnäkin, varmista, että et valitse halvinta löytämääsi hosting-palvelua. Sen sijaan valitse isäntä, joka asettaa turvallisuuden etusijalle. Toiseksi, jos isännöit verkkosivustoja asiakkaillesi, muista erotella eri asiakkaat luomalla eri käyttäjiä kullekin asiakkaalle.  

2. Heikot WordPress-kirjautumistunnukset ja salasanat

WordPress-kirjautumistunnus on yleisesti tiedossa, ja hakkerointiohjelmia on olemassa, joiden ainoa tarkoitus on pakottaa yleiset salasanayhdistelmät voimakkaasti tai kokeilla luetteloa muista sivustoista vuotaneista salasanoista.

Tämä tarkoittaa, että jos käytät heikkoa salasanaa, kuten admin / admin tai admin / salasana tai muita typerästi yksinkertaisia ​​salasanayhdistelmiä, olet tuomassa vakavan WordPress-haavoittuvuuden verkkosivustollesi.

heikot salasanat

KORJATA: On tärkeää, että WordPress-kirjautumissalasanat käyttävät vahvoja salasanoja, ovat turvallisesti tallennettuja eikä niitä koskaan jaeta muiden asennusten tai alustojen kanssa. Äläkä käytä käyttäjänimeä "admin", valitse jotain, jota on vaikea arvata.

Vanhemmat WordPress-versiot, joiden avulla luotiin oletuskäyttäjä käyttäjätunnuksella 'admin', monet hakkerit olettavat, että ihmiset käyttävät edelleen samaa käyttäjätunnusta.

Jos käytät edelleen järjestelmänvalvojaa järjestelmänvalvojan tilin käyttäjätunnuksena, luo uusi tili WordPress-sivustollesi ja siirrä kaikkien viestien omistajuus uudelle tilille. Varmista, että uuden käyttäjän rooli on järjestelmänvalvoja.

Kun se on valmis, voit joko poistaa käyttäjätilin järjestelmänvalvojan käyttäjätilistä tai vaihtaa sen roolin tilaajaksi.

 

Jos verkkosivustosi on yhteisösivusto, jossa on useita kirjoittajia, on parempi asentaa https://wordpress.org/plugins/force-strong-passwords/ laajennus WordPress-sivustollasi. Tämä laajennus pakottaa käyttäjät käyttämään vahvaa salasanaa uuden käyttäjän luomisen yhteydessä.  

3. Vanhentunut WordPress-ydin, teemat tai laajennukset

Kuten useimpien ohjelmistojen kohdalla, WordPress havaitsee tyypillisesti ongelmia, joita voidaan käyttää hakkeroimaan verkkosivustoon. Nämä ongelmat korjataan yleensä aina, kun päivitys julkaistaan. Mutta tällaiset päivitykset julkaisevat myös todellisen WordPress-haavoittuvuuden yleisölle.

Tämä tarkoittaa, että heti kun päivitys on julkaistu, luodaan hyökkäys hyökätä verkkosivustoille, joita ei ole päivitetty uusimpaan versioon.

Sama logiikka pätee WordPress-laajennuksiin ja teemoihin, joissa voi esiintyä sama ongelma. Tämä voi tapahtua myös PHP-ohjelmiston, MySQL-ohjelmiston, palvelinohjelmiston ja muiden ohjelmistojen kanssa, joita ei ole päivitetty ja jotka ovat verkkosivustosi palvelimessa.

Pohjimmiltaan, jos mitään ohjelmistoa ei ole päivitetty, on istuva ankka - WordPress-haavoittuvuus, joka odottaa hyödyntämistä.

KORJATA: Pidä kaikki toimittajan tilaukset aktiivisina ja varmista, että kaikki komponentit päivitetään uusimpiin versioihin.

4. PHP: n hyödyntäminen

Itse WordPressissä olevien hyökkäysten lisäksi on täysin mahdollista, että PHP-kirjastossa on PHP-hyväksikäyttö, jota ei ehkä ole päivitetty. Tämän ongelmana on, että useimmiten et ehkä edes tiedä, että tällaista kirjastoa käytetään verkkosivustollasi.

KORJATA: Tästä syystä sinun on valittava edistynyt WordPress-isäntä, kuten VPS tai hallittu WordPress-isäntä, jossa voit mukauttaa ja / tai poistaa palvelimesi PHP-kirjastoja, joita et käytä ja joita et tarvitse.

5. Ohjelmiston asentaminen hankalista lähteistä

Joskus useista lyhytnäköisistä (mahdollisesti rahallisista) syistä saatat harkita premium-tuotteiden lataamista "kavereilta" sivustoilta. Toisin sanoen lataa premium-laajennusten tai teemojen laittomat versiot.

Tämä on varma tapa tuoda WordPress-haavoittuvuudet verkkosivustoihisi. Syynä on, että tällaisten laittomasti valmistettujen ohjelmistojen "hinta" on piilotettu ja turha. Näitä laajennuksia on yleensä mukautettu niin kutsutulla takaovella. Takaovet antavat käyttäjille kauko-ohjauksen verkkosivustoille, joihin nämä laajennukset on asennettu, ja hakkereilla on täysi hallinta sivustollasi ja käyttävät sitä haluamallaan tavalla omiin käytäntöihinsä.

piraattiohjelmistojen takaovet

Tähän voi sisältyä verkkosivustosi käyttö osana zombie-verkkoa (botnet- tai DDoS-hyökkäykseen osallistuvien tietokoneiden verkko), verkkosivustosi käyttö verkkosivustoverkostossa, jota käytetään tartuttamaan useampia käyttäjiä haavoittuvuuksiin, roskapostin lähettämiseen, tietojenkalasteluun tai muuhun kavalaan. käytännöt.

KORJATA: Vältä tällaisia ​​lähteitä ja varmista, että lataat ja käytät vain virallisia luotettavia lähteitä. Muuten sinulla on varmasti piilotettuja WordPress-haavoittuvuuksia.

6. Sivustot, jotka eivät käytä suojattuja varmenteita

Sivustot, joilla ei ole SSL / TLS-varmentetta, eivät salaa tietoja, joita lähetetään selaimen ja palvelimen välillä. Tämä tarkoittaa, että tällaiset tiedot, mukaan lukien salasanat tai muut arkaluontoiset tiedot, kuten henkilökohtaiset tai maksutiedot, voidaan haistaa Internetin välityksellä.

Ohjelmisto on olemassa tällaisten salattujen tietojen lukemiseen ja mahdollisten arvokkaiden tietojen keräämiseen käytettäväksi ja hyödynnettäväksi myöhemmin.

KORJATA: Asentamalla ja asettamalla suojattu varmenne tiedot salataan ennen niiden saapumista palvelimelta tai palvelimelle

7. Tiedoston osallisuuden hyödyntäminen

Tiedostojen sisällyttämisen hyödyntäminen ovat yleisimpiä WordPress-haavoittuvuuksia, joita hyödynnetään PHP-koodin kautta. Tällöin WordPress-haavoittuvuus, jossa koodin ongelma sallii "oikeuksien korottamisen" tai "tietoturvan ohittamisen" siten, että hyökkääjä pystyy lataamaan tiedostoja etäyhteyden kautta pääsemään verkkosivustoon. Tällaiset hyödyntämiset voisivat kokonaan ottaa haltuunsa sivuston tai varastaa yksityisiä tietoja pääsemällä tietoihin, joita ei yleensä ole yleisön saatavilla. 

KORJATA: Pidä kaikki ohjelmistot päivitettynä uusimpiin versioihin ja varmista, että WordPress-suojauslaajennus on asennettu 

8. SQL-injektiot

SQL-injektiot ovat erilainen hyödyntämismuoto, mutta tällainen WordPress-haavoittuvuus väärinkäyttää koodin virheitä myös sellaisten toimintojen suorittamiseksi, joita ei ole tarkoitettu. Pohjimmiltaan SQL-injektio tapahtuu, kun hyökkääjä ohittaa normaalit suojaukset päästäkseen käyttämään WordPress-tietokantaa ja verkkosivuston yksityisiä tietoja.

Pääsyyn WordPress-tietokantaan he voivat tehdä väärinkäyttäviä muutoksia, kuten luoda järjestelmänvalvojan tason käyttäjiä, joita voidaan lopulta käyttää saamaan täysi pääsy sivustolle. Tällaisia ​​hyökkäyksiä voidaan käyttää myös haitallisten tietojen lisäämiseen tietokantaan, kuten linkkejä roskapostin tai haitallisiin verkkosivustoihin.

VALITSE * FROM käyttäjät MISTÄ Nimi ="" or ""="" JA Passi ="" or ""=""

KORJATA: Varmista, että sivustollasi on viimeisimmät ohjelmistoversiot ja että ne pidetään ajan tasalla 

9. XSS tai sivustojen välinen komentosarja

Tämä on toinen hyvin yleinen hyökkäysmuoto. Itse asiassa ne ovat todennäköisesti yleisimpiä hyväksikäyttöjä.

Sivustojen välinen komentosarja toimii, kun hyökkääjä löytää tapoja huijata uhri lataamaan verkkosivustoja, jotka sisältävät tiettyä Javascript-koodia. Nämä komentosarjat latautuvat ilman käyttäjän tietämystä ja ladataan sitten voidakseen lukea tietoja, joihin heillä ei yleensä olisi pääsyä. Tällaista koodia voidaan käyttää esimerkiksi lomakkeeseen syötettyjen tietojen haistamiseen.

Tämän viestin loppuosassa tarkastelemme muutamia strategioita haavoittuvuuksien löytämiseksi WordPress-verkkosivustoltasi. Tarkastelemme myös useita tapoja korjata myös WordPress-haavoittuvuudet.

WordPress-haavoittuvuuksien löytäminen tarkistuksen avulla

Kuten sanoimme osana yllä olevaa luetteloamme, jos etsit ilmaisia ​​WordPress-teemoja (tai muita teemoja tai laajennuksia yleensä) asennettavaksi WordPress-verkkosivustoosi, on aina suositeltavaa valita ne virallisesta WordPress-teemahakemistosta, koska virallinen hakemisto varmistaa WordPress-teemojen turvallisuuden.

Tämän sanottuaan jotkut lailliset teemakehittäjät ja virastot eivät halua listata laadukkaita teemojaan viralliseen hakemistoon, koska viralliset hakemistosäännöt rajoittavat niitä sisällyttämään monia toimintoja teemaansa.

Tämä tarkoittaa, että kun on kyse ilmaisen WordPress-teeman valitsemisesta, virallinen WordPress-teemahakemisto ei ole ainoa näyttely kaupungissa. Sanottuasi, kun valitset teeman virallisen hakemiston ulkopuolella, sinulla on oltava ylimääräinen annos vastuuta teeman arvioinnissa.

Alla on muutama tapa tarkistaa WordPress-teeman aitous ja varmistaa, että se on suojattu mahdollisesti haitallisilta koodeilta ja WordPress-haavoittuvuuksilta.

Seuraavia palveluja voidaan käyttää WordPress-haavoittuvuuksien tarkistamiseen: 

  • Geekflare
  • Sucuri
  • Hakkerikohde
  • Detectify
  • WPSEC
  • Ninja Security
  • Pentest-Työkalut
  • WP Neuron
  • Quttera

 

WordPress-haavoittuvuuksien löytäminen asennuksen jälkeen

Olet ehkä jo asentanut monia teemoja WordPress-verkkosivustoosi. Jos näin on, kuinka voisit tarkistaa asennettujen teemojen aitouden? Muutama menetelmä on lueteltu alla.

Monia näistä laajennuksista ja WordPressin tärkeimmistä versioista ei ole päivitetty viime vuosina. Tämä tarkoittaa, että niistä luultavasti luovutaan ja niiden tulokset eivät ole luotettavia. Unless Jos näet viimeisimmän version, suosittelemme, että valitset käytön Sucuri tai jokin muu tuote WordPress-tietoturvalaajennuksistamme luettelo tästä.

1. Teeman aitouden tarkistaja

Teeman aitouden tarkistaja

Teeman aitouden tarkistus on ilmainen laajennus, jonka avulla voit skannata teematiedostot selvittääksesi, onko WordPressin haavoittuvuusongelmia, joista sinun on tiedettävä. Jos asennetusta teemasta löytyy mahdollisesti haitallista koodia, laajennus kertoo korjaustiedoston, rivinumeron ja näyttää epäillyn koodin. Tämä auttaa sinua toteuttamaan ennalta ehkäiseviä toimia - tai päästä eroon teemasta.

Tämä laajennus on hieno tarkistaa, onko asennettuun teemaan lisätty koodattua haittaohjelmaa ilman sinun tietosi.

Valitettavasti tämä laajennus ei ole on päivitetty viimeisten 3 vuoden ajan, joten kannattaa ohittaa tämä, kunnes näet uudemman päivityksen.

2. WP-aitoustarkistus

Vastaavalla tavalla on WP Authenticity Checker. Teemojen ongelmien lisäksi tämä laajennus tarkastelee myös WordPress-ytimen tai kolmannen osan laajennusten ongelmia tunnistaakseen mahdolliset WordPress-haavoittuvuudet.

Valitettavasti tämä laajennus hjoita ei ole päivitetty viimeisten kahden vuoden aikana samoin, joten et ehkä halua luottaa täysin tämän laajennuksen tuloksiin.

wp-aitoustarkistin

Lataa se yksinkertaisesti, asenna se ja suorita ongelmien löytäminen aiheista tai laajennuksista.

3. Hyödynnä skanneria

Exploit -skanneri oli myös tuote, joka toimi samalla tavalla, mutta valitettavasti myös tämä laajennus on hylätty. Tästä syystä ei ole suositeltavaa käyttää sitä unless näet melko tuoreen päivityksen.

hyödyntää skanneria

Exploit Scanner on toinen ilmainen laajennus, joka tarjoaa vahvempia ominaisuuksia kuin TAC. Parasta on, että exploit scanner -laajennus auttaa sinua tarkistamaan WordPress-asennuksesi tietokannan teematiedostojen lisäksi.

Huomaa, että nämä laajennukset näyttävät sinulle vain haavoittuvuuden, ja sinun on päätettävä, mitkä ennaltaehkäisevät toimenpiteet sinun on toteutettava WordPress-haavoittuvuuden poistamiseksi.

Lisäkorjauksia WordPress-haavoittuvuuksilta suojaamiseksi

1. Käytä Hackalert-seurantaa

Jos etsit premium -ratkaisua WordPress -sivustosi haavoittuvuuksien seuraamiseen, sinun ei pitäisi etsiä muualta kuin Hackalert -seurannasta. Hackalert -valvonta on palvelun tarjoaja Siteground jossa isännöimme joitain verkkosivustojamme.

Hackalert varmistaa WordPress-verkkosivustojesi turvallisuuden lähettämällä sähköpostihälytyksen aina, kun se löytää mahdollisesti haitallisen koodin. Lisäksi sinulle päivitetään viikoittainen sähköposti, joka sisältää verkkosivustosi hackalert-seurannan tilan.

Jos haluat tietää enemmän Hackalert-seurantapalvelusta, lue viesti miksi Hackalert-seuranta on mahtavaa - 5 syytä.

Tähän mennessä olemme tarkastelleet erilaisia ​​tapoja löytää mahdollisia haavoittuvuuksia WordPress-verkkosivustoltasi.

Tietenkin on aina parempi lisätä ylimääräinen suojaus WordPress-verkkosivustollesi estääkseen sen hakkerointi.

WordPress on tunnettu suuresta kehittäjäyhteisöstään, joka haluaa tehdä WordPressistä yhden turvallisimmista CMS-tiedostoista.

Sivuston omistajana sinun on kuitenkin toteutettava joitain perustoimia estämään väitetty pääsy kojelautaan.

Tarkastellaan joitain strategioita WordPress-verkkosivustosi haavoittuvuuksien korjaamiseksi.

2. Aseta mukautettu kirjautumisen URL-osoite WordPressille

WordPress-asennuksen aikana WordPress luo oletusarvoisesti kaksi kirjautumisosoitetta. He ovat

  • WP-login.php
  • wp-admin.php

Oletusarvoisen kirjautumis-URL-osoitteen käytössä on se ongelma, että kuka tahansa voi kirjautua WordPress-hallintapaneeliin, kun hän löytää (tai arvaa oikein) käyttäjänimen ja salasanan. Mukauttamalla kirjautumissivusi URL-osoitetta aiot parantaa WordPress-verkkosivustosi tietoturvaa ja vaikeuttaa pahojen kavereiden rikkomista.

Kuinka muuttaisit WordPress-verkkosivustosi kirjautumisosoitteen?

Asenna vain Stealth-kirjautuminen plugin ja mukauta Stealth-osa Mukautettu kirjautuminen -laajennus piilottaa sisäänkirjautumisen.

mukautetun kirjautumisen varkain kirjautumisasetukset

 

3. Rajoita kirjautumisyritysten määrää

Joten olet mukauttanut WordPress-verkkosivustosi kirjautumisosoitteen paremman turvallisuuden takaamiseksi. Mutta entä jos pahikset löysivät todellisen kirjautumisosoitteen? Kuinka sitten voidaan estää pääsyyritykset verkkosivustollesi?

Tällöin yksi parhaista tavoista on rajoittaa kirjautumisyritysten määrää. Hakkerit voivat oletusarvoisesti yrittää syöttää verkkosivustollesi niin monta salasanaa kuin haluavat; rajoittamalla sisäänkirjautumisyrityksiä estät tämän raakavoimahyökkäysten mahdollisuuden verkkosivustollesi.

install iThemes Security (täysimittainen tietoturvalaajennus) tai Tulo Lockdown kytkeä. Molempien näiden laajennusten avulla voit rajoittaa yrityksiä, joita käyttäjä voi tehdä kojelautaan. 

WordPressin raakavoiman suojaus

4. Poista hakemisto käytöstä

Oletusarvoisesti, kun vierailijasi siirtyy sivulle eikä verkkopalvelin löydä hakemistotiedostoa, se näyttää automaattisesti sivun ja hakemiston sisällön. Tämän ongelmana on, että kuka tahansa voi siirtyä näihin hakemistoihin, jotka voivat olla haavoittuvia sivustollesi ja hakkeri voi hyödyntää sitä helposti viemään sivustosi.

hakemistohakemisto wp

Esimerkiksi jotkut WordPress-hakemistot sisältävät arkaluontoisia tietoja, kuten wp-content tai wp-include. Sallimalla hakkereiden selata näitä kansioita hakkerit voivat löytää niistä potentiaalisia hyökkäyksiä.

Joten verkkosivustosi turvallisuuden kannalta on tärkeää poistaa hakemistojen selaus käytöstä.

Kuinka poistaisit hakemistoselaamisen käytöstä WordPress-verkkosivustollasi?

Ainoa mitä sinun on tehtävä, on lisätä koodi alla olevaan WordPress-verkkosivustosi .htaccess-tiedoston alareunaan.

Options -Indexes

Huomautuksia: Varmista, että otat varmuuskopion verkkosivustostasi, ennen kuin teet siihen muutoksia. .htaccess on piilotettu tiedosto, ja jos et löydä sitä palvelimeltasi, sinun on varmistettava, että olet ottanut FTP-asiakkaasi käyttöön piilotettujen tiedostojen näyttämisen.

Suositeltava lukeminen: Native vs. Plugin - WordPress-varmuuskopioiden ottaminen eri menetelmillä

Kun olet poistanut hakemistoselaamisen käytöstä, kaikki aiemmin näkyvät hakemistot alkavat näyttää '404 Ei löydy' -sivua tai '403 Pääsy kielletty' -sanomaa.

Lataa luettelo 101 WordPress-temppusta, jonka jokaisen bloggaajan tulisi tietää

101 WordPress-temppua

Napsauta tätä ja lataa nyt

Yhteenveto

Mikään ohjelmisto ei ole täydellinen turvallisuuden suhteen. Tämä pätee jopa WordPressiin, joten muista päivittää WordPress-ydinohjelmisto tai kaikki teemat ja laajennukset aina, kun uusia versioita on julkaistu, jotta pysyvä WordPress-haavoittuvuus pysäytetään. Varmista, että otat WordPressin automaattisen päivityksen käyttöön tai sinulla on käytössä prosessi sen päivittämiseksi.

Tarvitsetko apua WordPressin korjaamisessa ja puhdistamisessa? Kokeile näitä huippuluokan edullisia keikkoja Fiverrillä!

fiverr-logo

 

Klikkaa tästä löytää asiantuntijoita WordPress-nopeuden optimointi.

Klikkaa tästä luoda a täysi WordPress-verkkosivusto.

Jos sinulla on kysyttävää, kysy alla kommenttiosassa, ja teemme parhaamme auttaaksemme sinua.

kirjailijasta
Shahzad Saeed
Kirjoittaja: Shahzad SaeedVerkkosivu: http://shahzadsaeed.com/
Shahzaad Saaed on ollut esillä lukuisilla viranomaisverkkosivustoilla WordPress-asiantuntijana. Hän on erikoistunut sisältömarkkinointiin auttaakseen yrityksiä kasvattamaan liikennettä.

Yksi asia vielä... Tiesitkö, että ihmiset, jotka jakavat hyödyllisiä juttuja, kuten tämä viesti, näyttävät myös mahtavilta? ;-)
Ole hyvä Jätä hyödyllinen kommentoi ajatuksiasi ja jaa tämä sitten Facebook-ryhmissäsi (ryhmissä), jotka pitävät tätä hyödyllisenä, ja hyödynnetään yhdessä. Kiitos jakamisesta ja mukavuudesta!

Disclosure: Tämä sivu voi sisältää linkkejä ulkoisille sivustoille tuotteille, joita rakastamme ja kannatamme sydämestämme. Jos ostat suosittelemiamme tuotteita, saatamme ansaita viittausmaksun. Tällaiset maksut eivät vaikuta suosituksiimme, emmekä hyväksy maksuja positiivisista arvosteluista.

Kirjoittaja (t) esillä:  Inc-lehden logo   Sitepoint-logo   CSS Tricks -logo    webdesignerdepot-logo   WPMU DEV -logo   ja paljon muuta ...