9 vanlige problemer med WordPress-sårbarhet (og hvordan du løser dem)

En av de beste måtene å holde WordPress-nettstedet ditt sikkert, er å sjekke om potensielt skadelig kode ofte på nettstedet ditt. Når du finner noe sårbarhet, kan du ta øyeblikkelige korrigerende tiltak før du lar noen utnytte det og angivelig gå inn i WordPress-adminpanelet ditt.

Det er ikke rart at hackere målretter mot WordPress-nettsteder enormt fordi det er det mest populære CMS i markedet. Utenfor boksen er det flere måter å gjøre WordPress-installasjonen tryggere. Imidlertid er den harde virkeligheten bare en brøkdel av nettsteder som følger dem. Dette gjør WordPress til et av de enkleste målene for hackere.

 

Anbefalt lesning: 17 måter å forhindre WordPress-hacking på

9 problemer med WordPress-sårbarhet

1. Billig WordPress-hosting

Hvis du velger WordPress-hosting utelukkende basert på hosting, vil du mer enn sannsynlig støte på en rekke WordPress-sårbarheter. Dette er fordi billig hosting mer enn sannsynlig er feil konfigurert og ikke adskilt fra hverandre riktig.

Dette betyr at nettsteder som har blitt utnyttet på en installasjon, kan spre seg til ikke-relaterte nettsteder som er vert på samme server. Dette problemet kan også skje hvis du er vert for flere nettsteder for flere av klientene på samme hostingkonto.

I dette tilfellet, igjen, hvis noen av nettstedene dine blir kompromittert, kan infeksjonen spre seg til ALLE nettstedene i kontoen din. Du må være forsiktig med å sikre at du bruker et oppsett som en VPS, som lar deg skape skille mellom de forskjellige vertsnettstedene.

Et annet problem med billig hosting er spørsmålet om "tvilsomme naboer". Billig hosting vil ha en tendens til å tiltrekke seg spammy eller dodgy klienter - dette kan bety at den faktiske serveren der nettstedet er vert blir svartelistet eller spamlistet.

FASTSETTE: Først og fremst må du sørge for at du ikke velger den billigste hosting du kan finne. I stedet velger du hosting som gjør sikkerhet til en prioritet. For det andre, hvis du er vert for nettsteder for kundene dine, må du sørge for at du deler opp de forskjellige klientene ved å opprette forskjellige brukere for hver klient.  

2. Svake WordPress-pålogginger og passord

Adressen til WordPress-påloggingen er allment kjent og det eksisterer hackingsskripter som har som eneste formål å tvinge vanlige passordkombinasjoner eller prøve en liste over passord som har lekket fra andre nettsteder.

Dette betyr at hvis du bruker et svakt passord som admin / admin, eller admin / passord eller andre dumt enkle passordkombinasjoner, introduserer du en alvorlig WordPress-sårbarhet på nettstedet ditt.

svake passord

FASTSETTE: Det er viktig at WordPress-påloggingspassord bruker sterke passord, lagres sikkert og aldri deles med andre installasjoner eller plattformer. Og ikke bruk "admin" som brukernavn, velg noe som er vanskeligere å gjette.

Eldre versjoner av WordPress pleide å lage en standardbruker med brukernavnet 'admin', mange hackere antar at folk fortsatt bruker det samme brukernavnet.

Hvis du fortsatt bruker admin som brukernavn på administratorkontoen, kan du opprette en ny konto på WordPress-nettstedet og overføre eierskapet til alle innleggene til den nye kontoen. Forsikre deg om at rollen til den nye brukeren er administrator.

Når det er gjort, kan du enten slette brukerkontoen med brukernavnet admin eller endre rollen til abonnent.

 

Hvis nettstedet ditt er et fellesside med flere forfattere, er det bedre å installere det https://wordpress.org/plugins/force-strong-passwords/ plugin på WordPress-siden din. Dette pluginet tvinger brukere til å bruke et sterkt passord mens de oppretter en ny bruker.  

3. Utdaterte kjerne WordPress, temaer eller plugins

Som med de fleste programvare, oppdager WordPress vanligvis problemer som kan brukes til å hacke inn på et nettsted. Disse problemene løses vanligvis hver gang en oppdatering slippes. Men slike oppdateringer frigjør også den faktiske WordPress-sårbarheten for publikum.

Dette betyr at så snart en oppdatering er utgitt, blir det opprettet en utnyttelse for å angripe nettsteder som ikke har oppdatert til den nyeste versjonen.

Den samme logikken gjelder WordPress-plugins og temaer som kan vise det samme problemet. Dette kan også skje med PHP-programvare, MySQL-programvare, serverprogramvare og annen programvare som ikke er oppdatert og finnes på serveren til nettstedet ditt.

I hovedsak, hvis noe programvare ikke er oppdatert, er det en sittende and - et WordPress-sårbarhet som venter på å bli utnyttet.

FASTSETTE: Hold alle leverandørabonnementer aktive og sørg for at du holder alle komponentene oppdatert til de nyeste versjonene.

4. PHP utnytter

Foruten utnyttelser som finnes i selve WordPress, er det ganske mulig at en PHP-utnyttelse eksisterer i et PHP-bibliotek som kanskje ikke har blitt oppdatert heller. Problemet med dette er at du ofte ikke engang er klar over at et slikt bibliotek blir brukt på nettstedet ditt.

FASTSETTE: Av denne grunn bør du velge en avansert WordPress-hosting, for eksempel en VPS eller administrert WordPress-hosting, der du kan tilpasse og / eller fjerne PHP-biblioteker på serveren din som du ikke bruker og ikke trenger.

5. Installere programvare fra dodgy kilder

Noen ganger kan du av forskjellige kortsiktige grunner (muligens monetære) vurdere å laste ned premiumprodukter fra "tvilsomme" nettsteder. Med andre ord, last ned piratkopierte versjoner av premium plugins eller temaer.

Dette er en sikker måte å introdusere WordPress-sårbarheter på nettstedene dine. Årsaken er at "prisen" for å bruke slik piratkopiert programvare er skjult og skjemmende. Disse pluginene har vanligvis blitt justert med det som er kjent som en bakdør. Bakdører gir brukerne fjernkontroll til nettsteder der disse programtilleggene er installert, og hackere vil ha full kontroll over nettstedet ditt og vil bruke det etter eget ønske til egen praksis.

piratkopiert programvare bakdører

Dette kan omfatte bruk av nettstedet ditt som en del av zombienettverk (nettverk av datamaskiner som deltar i et botnet- eller DDoS-angrep), bruk av nettstedet ditt som en del av et nettverk av nettsteder som brukes til å infisere flere brukere med sårbarheter, for å sende spam, phishing eller andre ubehagelige praksis.

FASTSETTE: Unngå slike kilder og sørg for at du bare laster ned og bruker programvare fra offisielle pålitelige kilder. Ellers vil du sikkert ha skjulte WordPress-sårbarheter introdusert.

6. Nettsteder som ikke bruker sikre sertifikater

Nettsteder som ikke har et SSL / TLS-sertifikat, krypterer ikke informasjon som sendes mellom nettleseren og serveren. Dette betyr at slik informasjon, inkludert passord eller andre sensitive data som personlig informasjon eller betalingsinformasjon, kan snuses når den overføres over internett.

Det finnes programvare for å lese slike krypterte data og lagre potensielt verdifull informasjon som skal brukes og utnyttes senere.

FASTSETTE: Ved å installere og sette opp et sikkert sertifikat krypteres informasjonen før den kommer fra eller til serveren

7. Utfylling av filinnlasting

File Inclusion exploit er noen av de vanligste WordPress-sårbarhetene som utnyttes via PHP-kode. Dette er når et WordPress-sårbarhet der et problem i koden tillater "forhøyelse av privilegier" eller "omgåelse av sikkerhet" slik at en angriper er i stand til å laste filer eksternt for å få tilgang til et nettsted. Slike utnyttelser kan fullstendig overta et nettsted eller stjele privat informasjon ved å få tilgang til informasjon som vanligvis ikke er tilgjengelig for publikum. 

FASTSETTE: Hold all programvaren din oppdatert til de nyeste versjonene, og sørg for at du har et WordPress-sikkerhetsprogramtillegg installert 

8. SQL-injeksjoner

SQL-injeksjoner er en annen form for utnyttelse, men denne typen WordPress-sårbarhet misbruker også feil i koden for å utføre handlinger som ikke var ment. I hovedsak oppstår en SQL-injeksjon når en angriper omgår normal beskyttelse for å få tilgang til WordPress-databasen og private data på nettstedet.

Ved å få tilgang til WordPress-databasen kan de utføre voldelige endringer, for eksempel å opprette brukere på administratornivå som til slutt kan brukes til å få full tilgang til nettstedet. Slike angrep kan også brukes til å legge til ondsinnede data i databasen, for eksempel lenker til spam eller ondsinnede nettsteder.

VELG * FRA brukere HVOR Navn ="" or ""="" OG Bestått ="" or ""=""

FASTSETTE: Forsikre deg om at du har de nyeste versjonene av programvaren satt opp på nettstedet ditt, og at de holdes oppdatert 

9. XSS eller Cross-site Scripting

Dette er en annen veldig vanlig form for angrep. Faktisk er de sannsynligvis de vanligste utnyttelsene.

Skripting på tvers av nettsteder fungerer når en angriper finner måter å lure offeret til å laste inn nettsteder som inneholder spesifikk Javascript-kode. Disse skriptene lastes inn uten kjennskap fra brukeren, og lastes deretter inn for å kunne lese informasjon som de vanligvis ikke ville ha tilgang til. For eksempel kan en slik kode brukes til å snuse data som legges inn i et skjema.

I resten av dette innlegget vil vi se på noen få strategier for å finne sårbarheter på WordPress-nettstedet ditt. Vi vil også se på forskjellige metoder for å fikse WordPress-sårbarheter også.

Finne WordPress-sårbarheter gjennom skanning

Som vi sa som en del av listen ovenfor, hvis du leter etter gratis WordPress-temaer (eller noen temaer eller plugins generelt) for å installere på WordPress-nettstedet, anbefales det alltid å velge dem fra den offisielle WordPress-temakatalogen fordi offisiell katalog sørger for sikkerheten til WordPress-temaene dine.

Når det er sagt, foretrekker noen legitime temautviklere og byråer ikke å liste opp sine kvalitetsfrie temaer i den offisielle katalogen fordi de offisielle katalogretningslinjene begrenser dem til å inkludere mange funksjoner i temaet.

Det betyr at når det gjelder å velge et gratis WordPress-tema, er den offisielle WordPress-temakatalogen ikke det eneste showet i byen. Når det er sagt, når du velger et tema utenfor den offisielle katalogen, må du ha en ekstra dose ansvar når det gjelder temavurdering.

Nedenfor er noen metoder for å kontrollere ektheten til WordPress-temaet ditt og sørge for at det er sikkert mot potensielt skadelige koder og WordPress-sårbarheter.

Følgende tjenester kan alle brukes til å se etter WordPress-sårbarheter: 

  • Geekflare
  • Sucuri
  • Hackermål
  • Oppdage
  • WPSEC
  • Ninja Security
  • Pentest-verktøy
  • WP Neuron
  • Quttera

 

Finne WordPress-sårbarheter etter installasjon

Du har kanskje allerede installert mange temaer på WordPress-nettstedet ditt. Hvis det er tilfelle, hvordan vil du sjekke ektheten til de installerte temaene? Noen få metoder er listet opp nedenfor.

En rekke av disse pluginene har ikke blitt oppdatert de siste årene og store versjoner av WordPress. Dette betyr at de sannsynligvis er forlatt og resultatene deres ikke er pålitelige. Unless hvis du ser en nylig versjon, vil vi foreslå at du velger å bruke Sucuri eller et annet produkt fra WordPress-sikkerhetstilleggene våre liste her.

1. Temaetthetskontroll

Tema-autentisitetskontroll

Theme Authenticity Checker er et gratis plugin som lar deg skanne temafilene for å finne om det er noen WordPress-sårbarhetsproblemer du må være klar over. Hvis potensielt skadelig kode blir funnet i et installert tema, vil pluginet fortelle deg oppdateringen, linjenummeret og vise den mistenkte koden. Dette vil hjelpe deg å ta forebyggende tiltak - eller bli kvitt temaet.

Dette pluginet er flott å sjekke om det installerte temaet har fått kodet skadelig skript satt inn i det uten din viten.

Dessverre har dette pluginet ikke gjort blitt oppdatert de siste 3 årene nå, så til du ser en nyere oppdatering, vil du kanskje hoppe over denne.

2. WP Autenticity Checker

På samme måte er WP Authenticity Checker. I tillegg til å se etter problemer med temaer, ser dette pluginet også på problemer med WordPress-kjernen eller tredjeparts plugins for å identifisere WordPress-sårbarhet.

Dessverre, dette pluginet hsom ikke er oppdatert de siste 2 årene også, så du vil kanskje ikke helt stole på resultatene av dette programtillegget.

wp ekthetskontroll

Enkelt å laste den ned, installere den og kjøre for å oppdage eventuelle problemer med temaer eller plugins.

3. Utnytt skanneren

Exploit -skanneren var også et produkt som opererte på lignende måte, men dessverre har denne pluginen også blitt forlatt. Av denne grunn anbefales det ikke at du bruker den unless du ser en ganske fersk oppdatering.

utnytte skanneren

Exploit Scanner er et annet gratis plugin, som tilbyr mer robuste funksjoner enn TAC. Det beste er at plugin for utnyttelse av skanner hjelper deg med å sjekke databasen for WordPress-installasjonen din i tillegg til temafilene.

Vær oppmerksom på at disse pluginene bare viser deg sårbarheten, og det er opp til deg å bestemme hvilke forebyggende tiltak du bør ta for å utrydde WordPress-sårbarheten.

Ytterligere reparasjoner for å beskytte mot WordPress-sikkerhetsproblemer

1. Bruk Hackalert-overvåking

Hvis du leter etter en førsteklasses løsning for å overvåke sårbarheter på WordPress -nettstedet ditt, bør du ikke se noe annet sted enn Hackalert -overvåking. Hackalert -overvåking er en tjeneste som tilbys av Siteground hvor vi er vert for noen av nettstedene våre.

Hackalert sørger for sikkerheten til WordPress-nettstedene dine ved å sende et e-postvarsel når det finner potensielt skadelig kode. Du vil også bli oppdatert med en ukentlig e-post med status for hackalertovervåking av nettstedet ditt.

For å vite mer om Hackalert-overvåkingstjenesten, les innlegget hvorfor Hackalert-overvåking er fantastisk - 5 grunner.

Så langt har vi sett på forskjellige måter å finne potensielle sårbarheter på WordPress-nettstedet ditt.

Selvfølgelig er det alltid bedre å legge til et ekstra sikkerhetsskjerm for WordPress-nettstedet ditt for å forhindre at det hackes.

WordPress er kjent for sitt store fellesskap av utviklere som ønsker å gjøre WordPress til en av de sikreste CMS-ene der ute.

Som eideier må du imidlertid ta noen grunnleggende tiltak for å forhindre påstått tilgang til dashbordet.

La oss se på noen strategier for å fikse sårbarhetene på WordPress-nettstedet ditt.

2. Angi en egendefinert påloggings-URL for WordPress

Under WordPress-installasjon oppretter WordPress to påloggings-URL-er som standard. De er

  • wp-login.php
  • wp-admin.php

Problemet med å bruke standard innloggings-URL er at alle kan logge på WordPress-dashbordet ditt når de finner (eller gir riktig gjetning) brukernavn og passord. Ved å tilpasse URL-en til påloggingssiden din, går du mot bedre sikkerhet for WordPress-nettstedet ditt og gjør det vanskeligere for skurkene å bryte den.

Hvordan vil du endre påloggings-URL til WordPress-nettstedet ditt?

Bare installer Stealth-pålogging plugin og tilpasse Stealth-delen av Tilpasset påloggingsprogram for å skjule påloggingen.

egendefinerte påloggingsinnstillinger

 

3. Begrens antall påloggingsforsøk

Så du har tilpasset innloggings-URL-en til WordPress-nettstedet ditt for bedre sikkerhet. Men hva om skurkene oppdaget den faktiske innloggings-URL-en? Hvordan kan du så forhindre forsøk på oppføringer til nettstedet ditt?

I et slikt tilfelle er en av de beste metodene å begrense antall påloggingsforsøk. Som standard kan hackere prøve så mange som passord for å gå inn på nettstedet ditt som de vil; ved å begrense påloggingsforsøkene, blokkerer du denne muligheten for brute force-angrep på nettstedet ditt.

Install iThemes Security (en fullverdig sikkerhetsplugg) eller Login Lockdown plugg inn. Begge disse pluginene lar deg begrense forsøkene en bruker kan gjøre for å gå inn i dashbordet. 

wordpress brute force beskyttelse

4. Deaktiver katalogsøking

Som standard når den besøkende navigerer til en side og webserveren ikke finner en indeksfil for den, viser den automatisk en side og viser innholdet i katalogen. Problemet med dette er at hvem som helst kan navigere i disse katalogene, noe som kan være sårbart for nettstedet ditt, og en hacker kan utnytte det enkelt for å ta nettstedet ditt ned.

katalogindeks wp

For eksempel inneholder noen WordPress-kataloger sensitive data som wp-innhold eller wp-inkluderer. Ved å la hackere navigere gjennom disse mappene, kunne hackere finne potensielle utnyttelser i den.

Så det er viktig for nettstedets sikkerhet å deaktivere katalogsøking.

Hvordan vil du deaktivere katalogsøking på WordPress-nettstedet ditt?

Det eneste du trenger å gjøre er å legge til koden nedenfor nederst i .htaccess-filen på WordPress-nettstedet.

Options -Indexes

Merknader: Forsikre deg om at du tar en sikkerhetskopi av nettstedet ditt før du gjør noen endringer i det. .htaccess er en skjult fil, og hvis du ikke finner den på serveren din, må du sørge for at du har aktivert FTP-klienten din for å vise skjulte filer.

Anbefalt lesning: Native vs. Plugin - Tar WordPress-sikkerhetskopier med forskjellige metoder

Når du har deaktivert katalogsøking, vil alle de katalogene som tidligere var synlige begynne å vise en '404 Not Found' -side eller '403 Access Forbidden' -melding.

Last ned listen over 101 WordPress-triks hver blogger burde vite

101 WordPress-triks

Klikk her for å laste ned nå

konklusjonen

Ingen programvare er perfekt når det gjelder sikkerhet. Det er sant selv for WordPress, så sørg for at du oppdaterer WordPress-kjerneprogramvaren eller temaer og plugins når det er utgivelser av nye versjoner for å stoppe eventuelle faste WordPress-sårbarheter. Sørg for at du aktiverer automatisk oppdatering av WordPress eller har en prosess for å holde den oppdatert.

Trenger du hjelp med å fikse og rense WordPress? Prøv disse topprangerte rimelige konsertene på Fiverr!

fiverr -logo

 

Klikk her å finne eksperter på WordPress-hastighetsoptimalisering.

Klikk her å lage en hele WordPress-nettstedet.

Hvis du har spørsmål, kan du spørre nedenfor i kommentarfeltet, og vi vil gjøre vårt beste for å hjelpe deg.

om forfatteren
Shahzad Saeed
Forfatter: Shahzad Saeednettside: http://shahzadsaeed.com/
Shahzaad Saaed har blitt omtalt på et stort antall autoritetsnettsteder, som en WordPress-ekspert. Han spesialiserer seg på innholdsmarkedsføring for å hjelpe virksomheten med å øke trafikken.

En ting til... Visste du at folk som deler nyttige ting som dette innlegget også ser FANTASTISK ut? ;-)
Vær så snill forlate en nyttig kommenter med tankene dine, så del dette på Facebook-gruppen din (e) som synes dette er nyttig, og la oss høste fordelene sammen. Takk for at du delte og var hyggelig!

Avsløring: Denne siden kan inneholde lenker til eksterne nettsteder for produkter som vi elsker og anbefaler helhjertet. Hvis du kjøper produkter vi foreslår, kan vi tjene et henvisningsgebyr. Slike avgifter påvirker ikke våre anbefalinger, og vi godtar ikke betaling for positive anmeldelser.

Forfatter (e) Fremvist på:  Inc Magazine-logoen   Sitepoint-logo   CSS Tricks-logo    webdesignerdepot-logo   WPMU DEV-logo   og mange flere ...