9 algeng vandamál varðandi WordPress-varnarleysi (og hvernig má laga þau)

Ein besta leiðin til að halda WordPress vefsíðu þinni öruggri er að leita að mögulega skaðlegum kóða oft á vefsíðunni þinni. Alltaf þegar þú finnur fyrir viðkvæmni geturðu gripið til úrbóta strax áður en þú leyfir hverjum sem er að nýta sér það og sagt að fara inn í WordPress stjórnborðið þitt.

Það er engin furða að tölvuþrjótar miða WordPress vefsíður gríðarlega vegna þess að það er vinsælasta CMS á markaðnum. Út úr kassanum eru nokkrar leiðir til að gera WordPress uppsetningu þína öruggari. Hins vegar er harður veruleiki aðeins brot af síðum sem fylgja þeim. Þetta gerir WordPress að auðveldasta skotmarki tölvuþrjóta.

 

Mælt Lestur: 17 leiðir til að koma í veg fyrir WordPress reiðhestur

9 vandamál varðandi WordPress varnarleysi

1. Ódýr WordPress hýsing

Ef þú velur WordPress hýsingu þína eingöngu byggt á hýsingu ertu líklegri til að lenda í fjölda WordPress veikleika. Þetta er vegna þess að ódýr hýsing er meira en líkleg til að vera ranglega sett upp og ekki aðgreind rétt frá hvort öðru.

Þetta þýðir að síður sem hafa verið nýttar á einni uppsetningu gætu breiðst út á ótengdar vefsíður sem eru hýstar á sama netþjóni. Þetta mál gæti einnig gerst ef þú hýsir nokkrar vefsíður fyrir fjölda viðskiptavina þinna á sama hýsingarreikningi.

Í þessu tilfelli, enn og aftur, ef einhver af vefsíðum þínum verður í hættu, gæti smitið breiðst út á ALLAR vefsíður á reikningnum þínum. Þú verður að vera varkár til að tryggja að þú sért að nota uppsetningu eins og VPS, sem gerir þér kleift að búa til aðskilnað milli mismunandi hýst vefsíðna.

Annað vandamál með ódýra hýsingu er spurningin um „tvísýna nágranna“. Ódýr hýsing mun hafa tilhneigingu til að laða að ruslpósts eða tvísýna viðskiptavini - þetta gæti þýtt að raunverulegur netþjónn þar sem vefsíðan er hýst verði svartur á lista eða ruslpóstur.

FIX: Fyrst og fremst skaltu ganga úr skugga um að þú veljir ekki ódýrustu hýsingu sem þú getur fundið. Veldu í staðinn hýsingu sem gerir öryggi forgangsverkefni. Í öðru lagi, ef þú hýsir vefsíður fyrir viðskiptavini þína, vertu viss um að þú hólfaðu mismunandi viðskiptavini með því að búa til mismunandi notendur fyrir hvern viðskiptavin.  

2. Veik WordPress innskráning og lykilorð

Heimilisfang WordPress innskráningarinnar er almenn vitneskja og tölvusnápur eru til sem hafa þann eina tilgang að hrófla við algengum samsetningum lykilorða eða prófa lista yfir lykilorð sem hafa lekið af öðrum síðum.

Þetta þýðir að ef þú notar veikt lykilorð eins og admin / admin, eða admin / password eða aðrar asnalega einfaldar lykilorðasamsetningar, ertu að kynna alvarlega WordPress varnarleysi á vefsíðunni þinni.

veik lykilorð

FIX: Það er mikilvægt að WordPress lykilorð fyrir lykilorð noti sterk lykilorð, séu geymd á öruggan hátt og aldrei deilt með öðrum uppsetningum eða kerfum. Og ekki nota „admin“ sem notendanafn, veldu eitthvað sem er erfiðara að giska á.

Eldri útgáfur af WordPress voru notaðar til að búa til sjálfgefinn notanda með notendanafninu 'admin', margir tölvuþrjótar gera ráð fyrir að fólk sé enn að nota sama notendanafn.

Ef þú ert enn að nota admin sem notendanafn stjórnandareikningsins, gerðu nýjan reikning á WordPress síðunni þinni og færðu eignarhald allra póstanna yfir á nýja reikninginn. Gakktu úr skugga um að hlutverk nýja notandans sé stjórnandi.

Þegar því er lokið geturðu annað hvort eytt notandareikningnum með notandanafninu admin eða breytt hlutverki hans í áskrifandi.

 

Ef vefsíðan þín er samfélagssíða með marga höfunda er betra að setja hana upp https://wordpress.org/plugins/force-strong-passwords/ viðbót við WordPress síðuna þína. Þetta tappi neyðir notendur til að nota sterkt lykilorð meðan þeir búa til nýjan notanda.  

3. Úrelt WordPress algerlega, þemu eða viðbætur

Eins og með flestan hugbúnað uppgötvar WordPress venjulega vandamál sem hægt er að nota til að hakka inn á vefsíðu. Þessi mál eru venjulega löguð í hvert skipti sem uppfærsla er gefin út. En slíkar uppfærslur gefa einnig út raunverulega WordPress varnarleysi fyrir almenning.

Þetta þýðir að um leið og uppfærsla er gefin út verður búið til nýtingu til að ráðast á vefsíður sem hafa ekki uppfært í nýjustu útgáfuna.

Sama rökfræði á við WordPress viðbætur og þemu sem geta sýnt sama vandamálið. Þetta getur einnig gerst með PHP hugbúnað, MySQL hugbúnað, netþjón hugbúnað og annan hugbúnað sem ekki hefur verið uppfærður og er til á netþjóni vefsíðu þinnar.

Í meginatriðum, ef einhver hugbúnaður hefur ekki verið uppfærður er sitjandi önd - WordPress varnarleysi sem bíður eftir að nýtast.

FIX: Haltu öllum söluáskriftum virkum og vertu viss um að halda öllum hlutum uppfærðum í nýjustu útgáfur þeirra.

4. PHP nýtingar

Að auki hetjudáð sem eru til í WordPress sjálfum, þá er alveg mögulegt að PHP nýting sé til í PHP bókasafni sem hefði kannski ekki verið uppfært heldur. Vandamálið við þetta er að oftast gætirðu ekki einu sinni vitað að slíkt bókasafn er notað á vefsíðunni þinni.

FIX: Af þessum sökum ættir þú að velja háþróaða WordPress hýsingu eins og VPS eða stýrða WordPress hýsingu, þar sem þú getur sérsniðið og / eða fjarlægt PHP bókasöfn á netþjóninum þínum sem þú ert ekki að nota og þarft ekki.

5. Setja upp hugbúnað frá tvísýnum aðilum

Stundum gætirðu af ýmsum skammsýnum ástæðum (hugsanlega peningalegt) íhugað að hlaða niður úrvalsvörum frá „dodgy“ síðum. Með öðrum orðum, halaðu niður sjóræningjaútgáfum af úrvals viðbótum eða þemum.

Þetta er örugg leið til að kynna WordPress veikleika á vefsíðum þínum. Ástæðan er sú að „verðið“ á því að nota slíkan sjóræningjahugbúnað er falinn og ógeðfelldur. Þessar viðbætur hafa venjulega verið lagfærðar með því sem kallað er bakdyr. Bakdyr veita notendum fjarstýringu á vefsíðum þar sem þessi viðbætur hafa verið settar upp og tölvuþrjótar munu hafa fulla stjórn á vefsvæðinu þínu og munu nota það að vild til eigin starfa.

sjóræningjahugbúnaður bakdyr

Þetta gæti falið í sér að nota vefsíðuna þína sem hluta af uppvakninganetinu (net tölvur sem taka þátt í botneti eða DDoS árás), nota vefsíðuna þína sem hluta af neti vefsíðna sem notuð eru til að smita fleiri notendur með veikleika, til að senda ruslpóst, vefveiðar eða annað óheillavænlegt venjur.

FIX: Forðastu slíkar heimildir og vertu viss um að hlaða aðeins niður og nota hugbúnað frá opinberum traustum aðilum. Annars munt þú örugglega hafa kynnt falinn WordPress veikleika.

6. Síður sem ekki nota örugg skírteini

Síður sem hafa ekki SSL / TLS vottorð dulkóða ekki upplýsingar sem sendar eru milli vafrans og netþjónsins. Þetta þýðir að hægt er að þefa upp slíkar upplýsingar, þar með talin lykilorð eða önnur viðkvæm gögn eins og persónulegar upplýsingar eða greiðsluupplýsingar, þar sem þær eru sendar um netið.

Hugbúnaður er til til að lesa slík dulkóðuð gögn og geyma hugsanlega dýrmætar upplýsingar til að nota og nýta síðar.

FIX: Með því að setja upp og setja upp öruggt skírteini eru upplýsingar dulkóðaðar áður en þær eru frá eða á netþjóninn

7. Skrá innifalinn

Nýting skráa er hluti af algengustu WordPress veikleikunum sem notaðir eru með PHP kóða. Þetta er þegar WordPress varnarleysi þar sem vandamál í kóðanum leyfir „hækkun forréttinda“ eða „framhjá öryggi“ þannig að árásarmaður er fær um að hlaða skrár lítillega til að fá aðgang að vefsíðu. Slíkar nýtingar gætu alveg yfirtekið vefsíðu eða stolið persónulegum upplýsingum með því að fá aðgang að upplýsingum sem venjulega eru ekki aðgengilegar almenningi. 

FIX: Haltu öllum hugbúnaðinum uppfærðum í nýjustu útgáfurnar og vertu viss um að WordPress öryggisviðbót sé uppsett 

8. SQL stungulyf

SQL innspýting er önnur tegund af nýtingu en slík WordPress varnarleysi misnotar einnig villur í kóða til að framkvæma aðgerðir sem ekki var ætlað. Í meginatriðum kemur SQL innspýting fram þegar árásarmaður sniðgengur venjulega vernd til að fá aðgang að WordPress gagnagrunni og einkagögnum á vefsíðu.

Með því að opna WordPress gagnagrunninn geta þeir framkvæmt móðgandi breytingar svo sem að búa til notendur á stjórnendastigi sem að lokum geta verið notaðir til að fá fullan aðgang að síðunni. Slíkar árásir gætu einnig verið notaðar til að bæta illgjarnum gögnum í gagnagrunninn svo sem tengla á ruslpóst eða illgjarn vefsíður.

VELJA * FRÁ Notendur HVAR Nafn ="" or ""="" OG Pass ="" or ""=""

FIX: Gakktu úr skugga um að nýjustu útgáfur hugbúnaðar séu settar upp á vefsvæðinu þínu og þeim sé haldið uppfærð 

9. XSS eða handrit á milli staða

Þetta er annað mjög algengt árásarform. Reyndar eru þær líklega algengustu hetjudáðirnar.

Handrit á milli staða virka þegar árásarmaður finnur leiðir til að plata fórnarlambið til að hlaða vefsíður sem innihalda sérstakan Javascript kóða. Þessi forskriftir hlaðast upp án vitundar notandans og eru síðan hlaðin til að geta lesið upplýsingar sem þeir hefðu venjulega ekki aðgang að. Til dæmis væri hægt að nota slíkan kóða til að þefa af gögnum sem eru slegin inn á eyðublað.

Í restinni af þessari færslu munum við skoða nokkrar aðferðir til að finna veikleika á WordPress vefsíðu þinni. Við munum einnig skoða ýmsar aðferðir til að laga WordPress varnarleysi líka.

Að finna WordPress veikleika með skönnun

Eins og við sögðum sem hluti af listanum okkar hér að ofan, ef þú ert að leita að ókeypis WordPress þemum (eða einhverjum þemum eða viðbótum almennt) til að setja upp á WordPress vefsíðu þinni, er alltaf mælt með því að velja þau úr opinberu WordPress þemaskránni vegna þess að opinber skrá tryggir öryggi WordPress þema þinna.

Að því sögðu kjósa sumir lögmætir þemuhönnuðir og stofnanir að skrá ekki gæði ókeypis þemu þeirra í opinberu skráarsafnið vegna þess að opinberu leiðbeiningar um skráasöfnun takmarka þá til að fela marga virkni í þema þeirra.

Það þýðir að þegar kemur að því að velja ókeypis WordPress þema er opinber WordPress þemaskráin ekki eina sýningin í bænum. Að þessu sögðu, þegar þú velur þema utan opinberu skráasafnsins, þarftu að hafa aukaskammt af ábyrgð hvað varðar þemamat.

Hér að neðan eru nokkrar aðferðir til að athuga áreiðanleika WordPress þemans þíns og ganga úr skugga um að það sé öruggt gegn hugsanlega illgjarnum kóða og WordPress veikleika.

Eftirfarandi þjónusta er öll hægt að nota til að leita að WordPress veikleika: 

  • Geekflare
  • Sucuri
  • Tölvuþrjótur
  • Uppgötva
  • WPSEC
  • Ninja Öryggi
  • Pentest-verkfæri
  • WP taugafruma
  • Quttera

 

Að finna WordPress varnarleysi eftir uppsetningu

Þú gætir hafa þegar sett upp mörg þemu á WordPress vefsíðu þinni. Ef það er raunin, hvernig myndir þú athuga áreiðanleika uppsettra þema? Nokkrar aðferðir eru taldar upp hér að neðan.

Fjöldi þessara viðbóta hefur ekki verið uppfærður undanfarin ár og helstu útgáfur af WordPress. Þetta þýðir að þeir eru líklega yfirgefnir og niðurstöður þeirra eru ekki áreiðanlegar. Unless þú sérð nýlega útgáfu, þá mælum við með að þú veljir að nota Sucuri eða önnur vara frá WordPress öryggisviðbótum okkar lista hér.

1. Þekkingaráþekkt þema

Þekking áreiðanleika þema

Þemaáreiðanleikstjórinn er ókeypis tappi sem gerir þér kleift að skanna þemaskrárnar til að finna hvort það eru einhver vandamál varðandi WordPress varnarleysi sem þú þarft að vera meðvitaður um. Ef hugsanlega illgjarn kóði er að finna í uppsettu þema mun viðbótin segja þér plásturinn, línanúmerið og sýna grunaða kóðann. Þetta mun hjálpa þér að grípa til fyrirbyggjandi aðgerða - eða losna við þemað.

Þetta tappi er frábært til að athuga hvort uppsett þema hafi verið sett inn eitthvert kóðað illgjarnt handrit án þess að þú vitir af því.

Því miður hefur þessi viðbót ekki gert það verið uppfærð síðustu 3 árin núna, svo þangað til þú sérð nýlegri uppfærslu gætirðu viljað sleppa þessu.

2. WP Authenticity Checker

Á svipuðum nótum er WP Authenticity Checker. Auk þess að skoða vandamál með þemu, skoðar þetta viðbót einnig vandamál við WordPress algerlega eða 3. hluta viðbætur til að bera kennsl á WordPress-varnarleysi.

Því miður, þetta tappi heins og ekki hefur verið uppfært síðustu 2 árin líka, svo þú gætir ekki viljað treysta að fullu niðurstöðum þessa viðbótar.

wp áreiðanleikagæslumaður

Einfalt að hlaða því niður, setja það upp og hlaupa til að uppgötva vandamál með hvaða þemu eða viðbætur.

3. Notaðu skanni

Exploit skanninn var einnig vara sem starfaði á svipaðan hátt, en því miður hefur þessi tappi einnig fallið í eyði. Af þessum sökum er ekki mælt með því að þú notir það unless þú sérð nokkuð nýlega uppfærslu.

nýta skanni

Exploit Scanner er önnur ókeypis viðbót, sem býður upp á öflugri eiginleika en aflamark. Það besta er að viðbótarskanni-viðbótin hjálpar þér að athuga gagnagrunninn um WordPress uppsetningu þína fyrir utan þemaskrárnar.

Vinsamlegast athugaðu að þessi viðbætur munu aðeins sýna þér varnarleysið og það er þitt að ákveða hvaða fyrirbyggjandi ráðstafanir þú ættir að gera til að uppræta WordPress varnarleysið.

Viðbótarupplýsingar til að vernda gegn WordPress-veikleika

1. Notaðu eftirlit með Hackalert

Ef þú ert að leita að úrvalslausn til að fylgjast með veikleika WordPress vefsíðunnar þinnar ættirðu hvergi að leita annars staðar en Hackalert eftirlit. Hackalert eftirlit er þjónusta sem boðið er upp á Siteground þar sem við hýsum sumar vefsíður okkar.

Hackalert tryggir öryggi WordPress vefsíðna þinna með því að senda tölvupóstsviðvörun þegar það finnur mögulega illgjarnan kóða. Einnig verður þú uppfærður með vikulegum tölvupósti með stöðu hackalert eftirlits með vefsíðu þinni.

Til að fá frekari upplýsingar um Hackalert eftirlitsþjónustuna, lestu færsluna hvers vegna Hackalert eftirlit er æðislegt - 5 ástæður.

Hingað til höfum við skoðað mismunandi leiðir til að finna mögulega veikleika á WordPress vefsíðu þinni.

Auðvitað er alltaf betra að bæta við viðbótar öryggisskjöld fyrir WordPress vefsíðu þína til að koma í veg fyrir að hún reiðist.

WordPress er vel þekkt fyrir stórt samfélag verktaka sem vilja gera WordPress að einu öruggasta CMS-kerfinu sem til er.

Hins vegar, sem eigandi vefsíðu, verður þú að gera nokkrar grundvallarráðstafanir til að koma í veg fyrir meinta aðgang að mælaborðinu þínu.

Við skulum skoða nokkrar aðferðir til að laga veikleika WordPress vefsíðu þinnar.

2. Stilltu sérsniðna innskráningarslóð fyrir WordPress

Við uppsetningu WordPress býr WordPress til sjálfgefið tvær innskráningarslóðir. Þeir eru

  • WP-login.php
  • wp-admin.php

Vandamálið við að nota sjálfgefna innskráningarslóð er að hver sem er getur skráð sig inn á WordPress mælaborðið þitt þegar það finnur notandanafnið og lykilorðið (eða hefur rétt giskað). Með því að sérsníða slóðina á innskráningarsíðuna þína, stígur þú í átt að betra öryggi fyrir WordPress vefsíðuna þína og gerir vondum strákum erfiðara fyrir að brjóta hana.

Hvernig myndir þú breyta innskráningarslóð WordPress vefsíðu þinnar?

Einfaldlega setja upp Laumuspil Innskráning tappi og sérsniðið Stealth hluta af Sérsniðin innskráningarforrit til að fela innskráninguna.

sérsniðnar innskráningarstillingar fyrir laumuspil

 

3. Takmarkaðu fjölda tilrauna til innskráningar

Svo þú hefur sérsniðið innskráningarslóð WordPress vefsíðu þinnar til að auka öryggi. En hvað ef vondu kallarnir uppgötvuðu raunverulegu innskráningarslóðina? Síðan, hvernig geturðu komið í veg fyrir tilraunir með færslur á vefsíðuna þína?

Í slíku tilfelli er ein besta aðferðin að takmarka fjölda tilrauna til innskráningar. Sjálfgefið er að tölvuþrjótar geti reynt eins mörg og lykilorð til að komast inn á vefsíðuna þína eins og þeir vilja; með því að takmarka tilraunir til innskráningar, ertu að loka fyrir þennan möguleika á árásum brute force á vefsíðuna þína.

setja iThemes Security (algjört öryggisviðbót) eða Innskráning læst stinga inn. Bæði þessi viðbætur gera þér kleift að takmarka tilraunir sem notandi getur gert til að komast inn í mælaborðið. 

wordpress brute force vernd

4. Slökkva á vafra í möppum

Sjálfgefið þegar gestur þinn flettir á síðu og vefþjónninn getur ekki fundið vísitöluskrá fyrir hana, sjálfkrafa birtir hún síðu og sýnir innihald skráasafnsins. Vandamálið við þetta er að hver sem er getur flett í þessar möppur, sem geta verið viðkvæmar fyrir síðuna þína og tölvuþrjótur gæti nýtt sér það auðveldlega til að taka síðuna þína niður.

möppuvísitala wp

Til dæmis innihalda sumar WordPress möppur viðkvæm gögn eins og wp-innihald eða wp-nær. Með því að leyfa tölvuþrjótum að vafra um þessar möppur gætu tölvuþrjótar fundið mögulega hetjudáð í því.

Svo það er mikilvægt fyrir öryggi vefsíðu þinnar að slökkva á vafra um möppur.

Hvernig myndirðu slökkva á vefskoðun á WordPress vefsíðu þinni?

Það eina sem þú þarft að gera er að bæta við kóðanum hér að neðan neðst í .htaccess skránni á WordPress vefsíðu þinni.

Options -Indexes

Athugaðu: Vertu viss um að taka öryggisafrit af vefsíðunni þinni áður en þú gerir breytingar á henni. .htaccess er falin skrá og ef þú finnur hana ekki á þjóninum þínum þarftu að ganga úr skugga um að þú hafir gert FTP viðskiptavininum kleift að sýna falnar skrár.

Mælt er með lestri: Native vs Plugin - Að taka afrit af WordPress með mismunandi aðferðum

Þegar þú hefur slökkt á vafra í möppum munu allar skrár sem áður voru sýnilegar byrja að sýna '404 fannst ekki' eða '403 Access Forbidden' skilaboð.

Sæktu listann yfir 101 WordPress bragðaref sem allir bloggarar ættu að kunna

101 WordPress bragðarefur

Smelltu hér til að hlaða niður núna

Niðurstaða

Enginn hugbúnaður er fullkominn þegar kemur að öryggi. Það er satt jafnvel fyrir WordPress, svo vertu viss um að uppfæra WordPress algerlega hugbúnaðinn eða einhver þemu og viðbætur þegar það eru útgáfur af nýjum útgáfum til að stöðva einhverjar fastar WordPress viðkvæmni. Gakktu úr skugga um að þú virkjir sjálfvirka uppfærslu á WordPress eða hafir ferli til að halda því uppfært.

Þarftu hjálp við að laga WordPress og hreinsa það? Prófaðu þessi vinsælustu tónleikar á Fiverr!

fiverr merki

 

Ýttu hér að finna sérfræðinga um WordPress hraðabestun.

Ýttu hér til að búa til full WordPress vefsíða.

Ef þú hefur einhverjar spurningar skaltu spyrja hér að neðan í athugasemdareitnum og við munum gera okkar besta til að hjálpa þér.

Um höfundinn
Shahzad Saeed
Höfundur: Shahzad SaeedVefsíða: http://shahzadsaeed.com/
Shahzaad Saaed hefur verið kynnt á fjölda heimasíðna, sem WordPress sérfræðingur. Hann sérhæfir sig í markaðssetningu efnis til að hjálpa fyrirtækjum að auka umferð þeirra.

Eitt í viðbót... Vissir þú að fólk sem deilir gagnlegu efni á borð við þessa færslu lítur ótrúlega líka út? ;-)
vinsamlegast yfirgefa a gagnlegt skrifaðu athugasemdir við hugsanir þínar, deildu þessu síðan á Facebook hópinn þinn / hverjum sem myndu finnast þetta gagnlegt og við skulum uppskera ávinninginn saman. Takk fyrir að deila og vera fín!

Birting: Þessi síða getur innihaldið tengla á ytri vefsíður fyrir vörur sem við elskum og mælum af heilum hug. Ef þú kaupir vörur sem við leggjum til gætum við unnið okkur inn tilvísunargjald. Slík gjöld hafa ekki áhrif á ráðleggingar okkar og við tökum ekki við greiðslum fyrir jákvæða dóma.

Höfundur (ar) Valin þann:  Merki tímarits Inc   Sitepoint merki   CSS bragðarefur merki    vefhönnunarpottamerki   WPMU DEV merki   og margir fleiri ...