9 typowych problemów z lukami w zabezpieczeniach WordPressa (i jak je naprawić)

Jednym z najlepszych sposobów na zapewnienie bezpieczeństwa witryny WordPress jest częste sprawdzanie, czy w witrynie nie ma potencjalnie złośliwego kodu. Za każdym razem, gdy znajdziesz jakąkolwiek lukę w zabezpieczeniach, możesz podjąć natychmiastowe działania naprawcze, zanim pozwolisz komukolwiek ją wykorzystać i rzekomo wejść do panelu administracyjnego WordPress.

Nic dziwnego, że hakerzy ogromnie atakują witryny WordPress, ponieważ jest to najpopularniejszy CMS na rynku. Po wyjęciu z pudełka istnieje kilka sposobów na bezpieczniejszą instalację WordPressa. Jednak trudna rzeczywistość to tylko ułamek stron, które za nimi podążają. To sprawia, że ​​WordPress jest jednym z najłatwiejszych celów hakerów.

 

Zalecana literatura: 17 sposobów na zapobieganie hakowaniu WordPress

9 problemów z luką w zabezpieczeniach WordPress

1. Tani hosting WordPress

Jeśli zdecydujesz się na hosting WordPress oparty wyłącznie na hostingu, najprawdopodobniej napotkasz szereg luk w zabezpieczeniach WordPress. Dzieje się tak, ponieważ tani hosting najprawdopodobniej będzie nieprawidłowo skonfigurowany i nie zostanie prawidłowo oddzielony od siebie.

Oznacza to, że witryny, które zostały wykorzystane w jednej instalacji, mogą rozprzestrzeniać się na niepowiązane witryny hostowane na tym samym serwerze. Ten problem może również wystąpić, jeśli hostujesz kilka witryn dla wielu klientów na tym samym koncie hostingowym.

W tym przypadku, po raz kolejny, jeśli którakolwiek z Twoich witryn zostanie naruszona, infekcja może rozprzestrzenić się na WSZYSTKIE witryny na Twoim koncie. Musisz być ostrożny, aby upewnić się, że używasz konfiguracji, takiej jak VPS, która pozwala na oddzielenie różnych hostowanych stron internetowych.

Kolejnym problemem związanym z tanim hostingiem jest kwestia „podstępnych sąsiadów”. Tani hosting ma tendencję do przyciągania spamerskich lub podejrzanych klientów - może to oznaczać, że rzeczywisty serwer, na którym hostowana jest witryna, zostanie umieszczony na czarnej liście lub zostanie umieszczony na liście spamu.

NAPRAWIĆ: Przede wszystkim upewnij się, że nie wybierasz najtańszego hostingu, jaki możesz znaleźć. Zamiast tego wybierz hosting, w którym bezpieczeństwo jest priorytetem. Po drugie, jeśli hostujesz witryny internetowe dla swoich klientów, upewnij się, że dzielisz różnych klientów, tworząc różnych użytkowników dla każdego klienta.  

JESTEM H

Chcesz szybką stronę internetową?

Kogo ja oszukuję? Czyż nie wszyscy?

Dlaczego więc tak wielu z nas walczy?

Największym wyzwaniem jest zwykle znalezienie szybkiej, niezawodnej firmy hostingowej.

Wszyscy przechodziliśmy przez koszmary – wsparcie trwa wieczność lub nie rozwiązuje naszego problemu, zawsze obwiniając coś po swojej stronie… 

Ale największym problemem jest to, że witryna zawsze działa wolno.

At CollectiveRay hostujemy za pomocą hostingu InMotion, a nasza strona jest głupio szybka. Działamy na niestandardowym stosie konfiguracji serwera LightSpeed ​​na MariaDB z silnikiem PHP 7.4 i frontem przez Cloudflare. 

W połączeniu z naszymi optymalizacjami front-endu niezawodnie obsługujemy 6000 użytkowników każdego dnia, przy szczytowej liczbie 50+ jednoczesnych użytkowników. 

Chcesz uzyskać szybką konfigurację, taką jak nasza? Przenieś swoją witrynę za darmo na hosting InMotion i uzyskaj 50% ZNIŻKI na aktualne ceny.

Wypróbuj InMotion Hosting z 50% ZNIŻKĄ na CollectiveRay gości TYLKO w marcu 2024 r.!

Hosting InMotion 50% ZNIŻKI dla CollectiveRay odwiedzający

2. Słabe loginy i hasła WordPress

Adres logowania WordPress jest powszechnie znany i istnieją skrypty hakerskie, których jedynym celem jest brutalne wymuszenie typowych kombinacji haseł lub wypróbowanie listy haseł, które wyciekły z innych witryn.

Oznacza to, że jeśli używasz słabego hasła, takiego jak admin/admin, admin/hasło lub innych głupio prostych kombinacji haseł, wprowadzasz poważną lukę w zabezpieczeniach WordPressa na swojej stronie internetowej.

słabe hasła

NAPRAWIĆ: Bardzo ważne jest, aby hasła logowania WordPress używały silnych haseł, były bezpiecznie przechowywane i nigdy nie były udostępniane innym instalacjom lub platformom. I nie używaj „admin” jako nazwy użytkownika, wybierz coś, co jest trudniejsze do odgadnięcia.

Starsze wersje WordPressa używane do tworzenia domyślnego użytkownika z nazwą użytkownika „admin”, wielu hakerów zakłada, że ​​ludzie nadal używają tej samej nazwy użytkownika.

Jeśli nadal używasz admin jako nazwy użytkownika konta administratora, utwórz nowe konto w swojej witrynie WordPress i przenieś własność wszystkich postów na nowe konto. Upewnij się, że rolą nowego użytkownika jest administrator.

Po zakończeniu możesz usunąć konto użytkownika z nazwą użytkownika admin lub zmienić jego rolę na subskrybenta.

Jeśli Twoja witryna jest witryną społecznościową z wieloma autorami, lepiej ją zainstalować https://wordpress.org/plugins/force-strong-passwords/ wtyczka w Twojej witrynie WordPress. Ta wtyczka zmusza użytkowników do używania silnego hasła podczas tworzenia nowego użytkownika.  

3. Przestarzały główny WordPress, motywy lub wtyczki

Podobnie jak w przypadku większości oprogramowania, WordPress zazwyczaj wykrywa problemy, które można wykorzystać do włamania się na stronę internetową. Te problemy są zwykle naprawiane za każdym razem, gdy publikowana jest aktualizacja. Ale takie aktualizacje udostępniają również publicznie faktyczną lukę w zabezpieczeniach WordPressa.

Oznacza to, że zaraz po wydaniu aktualizacji zostanie utworzony exploit do atakowania stron internetowych, które nie zostały zaktualizowane do najnowszej wersji.

Ta sama logika dotyczy wtyczek i motywów WordPress, które mogą wykazywać ten sam problem. Może się to również zdarzyć w przypadku oprogramowania PHP, oprogramowania MySQL, oprogramowania serwerowego i każdego innego oprogramowania, które nie zostało zaktualizowane i znajduje się na serwerze Twojej witryny.

Zasadniczo, jeśli jakiekolwiek oprogramowanie nie zostało zaktualizowane, jest to siedząca kaczka - luka w WordPressie, która czeka na wykorzystanie.

NAPRAWIĆ: Utrzymuj aktywne wszystkie subskrypcje dostawców i upewnij się, że wszystkie składniki są aktualizowane do ich najnowszych wersji.

4. Exploity PHP

Oprócz exploitów, które istnieją w samym WordPressie, całkiem możliwe, że exploit PHP istnieje w bibliotece PHP, która również mogła nie zostać zaktualizowana. Problem polega na tym, że w większości przypadków możesz nawet nie zdawać sobie sprawy, że taka biblioteka jest używana w Twojej witrynie.

NAPRAWIĆ: Z tego powodu powinieneś wybrać zaawansowany hosting WordPress, taki jak VPS lub zarządzany hosting WordPress, gdzie możesz dostosować i/lub usunąć biblioteki PHP na serwerze, których nie używasz i których nie potrzebujesz.

5. Instalowanie oprogramowania z podejrzanych źródeł

Czasami, z różnych krótkowzrocznych powodów (prawdopodobnie finansowych), możesz rozważyć pobranie produktów premium z podejrzanych witryn. Innymi słowy, pobierz pirackie wersje wtyczek lub motywów premium.

To pewny sposób na wprowadzenie luk WordPressa do Twoich stron internetowych. Powodem jest to, że „cena” korzystania z takiego pirackiego oprogramowania jest ukryta i nikczemna. Te wtyczki były zwykle modyfikowane za pomocą tak zwanego backdoora. Backdoory zapewniają użytkownikom zdalne sterowanie witrynami, na których zainstalowano te wtyczki, a hakerzy będą mieli pełną kontrolę nad Twoją witryną i będą używać jej do własnych celów.

pirackie backdoory oprogramowania

Może to obejmować korzystanie z witryny w ramach sieci zombie (sieci komputerów biorących udział w botnecie lub ataku DDoS), korzystanie z witryny w ramach sieci witryn wykorzystywanych do infekowania większej liczby użytkowników lukami w zabezpieczeniach, wysyłanie SPAMU, phishingu lub innych praktyki.

NAPRAWIĆ: Unikaj takich źródeł i upewnij się, że pobierasz i używasz tylko oprogramowania z oficjalnych zaufanych źródeł. W przeciwnym razie na pewno wprowadzisz ukryte luki w WordPressie.

6. Witryny nie korzystające z bezpiecznych certyfikatów

Witryny, które nie posiadają certyfikatu SSL/TLS nie szyfrują informacji przesyłanych między przeglądarką a serwerem. Oznacza to, że takie informacje, w tym hasła lub inne wrażliwe dane, takie jak dane osobowe lub informacje dotyczące płatności, mogą zostać przechwycone podczas przesyłania przez Internet.

Istnieje oprogramowanie do odczytywania takich zaszyfrowanych danych i gromadzenia potencjalnie wartościowych informacji do późniejszego wykorzystania.

FIX: Instalując i konfigurując bezpieczny certyfikat, informacje są szyfrowane przed przesłaniem z lub na serwer

7. Exploity do włączania plików

Exploit dołączania plików to jedne z najczęstszych luk WordPressa wykorzystywanych za pośrednictwem kodu PHP. Dzieje się tak, gdy luka w WordPressie, w której problem w kodzie umożliwia „podniesienie uprawnień” lub „ominięcie zabezpieczeń”, tak że atakujący jest w stanie zdalnie załadować pliki, aby uzyskać dostęp do strony internetowej. Takie exploity mogą całkowicie przejąć witrynę lub wykraść prywatne informacje, uzyskując dostęp do informacji, które zazwyczaj nie są dostępne publicznie. 

NAPRAWIĆ: Aktualizuj całe swoje oprogramowanie do najnowszych wersji i upewnij się, że masz zainstalowaną wtyczkę bezpieczeństwa WordPress 

8. Wstrzyknięcia SQL

Wstrzyknięcia SQL to inna forma exploitów, ale tego rodzaju luka w WordPressie wykorzystuje również błędy w kodzie do wykonywania niezamierzonych działań. Zasadniczo wstrzyknięcie SQL występuje, gdy atakujący omija normalne zabezpieczenia, aby uzyskać dostęp do bazy danych WordPress i prywatnych danych witryny.

Uzyskując dostęp do bazy danych WordPress, mogą dokonywać nadużyć, takich jak tworzenie użytkowników na poziomie administratora, którzy mogą ostatecznie zostać wykorzystani do uzyskania pełnego dostępu do witryny. Takie ataki mogą być również wykorzystywane do dodawania do bazy danych szkodliwych danych, takich jak odsyłacze do spamerskich lub złośliwych stron internetowych.

SELECT * OD użytkownicy WHERE Imię ="" or ""="" ROLNICZE Podać ="" or ""=""

NAPRAWIĆ: Upewnij się, że masz zainstalowane najnowsze wersje oprogramowania na swojej stronie i są one aktualizowane 

9. XSS lub Cross-site Scripting

To kolejna bardzo powszechna forma ataku. W rzeczywistości są to prawdopodobnie najczęstsze exploity.

Skrypty między witrynami działają, gdy atakujący znajdzie sposoby na oszukanie ofiary do załadowania witryn zawierających określony kod JavaScript. Skrypty te ładują się bez wiedzy użytkownika, a następnie są ładowane, aby móc odczytać informacje, do których zwykle nie mieliby dostępu. Na przykład taki kod może służyć do podsłuchiwania danych wprowadzanych do formularza.

W dalszej części tego posta przyjrzymy się kilku strategiom znajdowania luk w witrynie WordPress. Przyjrzymy się również różnym sposobom naprawiania luk w WordPressie.

Znajdowanie luk w WordPressie poprzez skanowanie

Jak powiedzieliśmy w ramach naszej listy powyżej, jeśli szukasz darmowych motywów WordPress (lub ogólnie dowolnych motywów lub wtyczek) do zainstalowania na swojej witrynie WordPress, zawsze zalecamy wybranie ich z oficjalnego katalogu motywów WordPress, ponieważ oficjalny katalog zapewnia bezpieczeństwo Twoich motywów WordPress.

Mając to na uwadze, niektórzy legalni twórcy i agencje motywów wolą nie umieszczać swoich wysokiej jakości darmowych motywów w oficjalnym katalogu, ponieważ oficjalne wytyczne dotyczące katalogu ograniczają ich do włączenia wielu funkcji do ich motywu.

Oznacza to, że jeśli chodzi o wybór darmowego motywu WordPress, oficjalny katalog motywów WordPress nie jest jedynym programem w mieście. To powiedziawszy, kiedy wybierasz motyw spoza oficjalnego katalogu, musisz mieć dodatkową dawkę odpowiedzialności w zakresie oceny motywu.

Poniżej znajduje się kilka metod sprawdzenia autentyczności motywu WordPress i upewnienia się, że jest on zabezpieczony przed potencjalnie złośliwymi kodami i lukami WordPress.

Do sprawdzenia luk w WordPressie można użyć następujących usług: 

  • maniak
  • Sucuri
  • Cel hakera
  • Wykryj
  • WPSEC
  • Bezpieczeństwo Ninja
  • Pentest-Narzędzia
  • Neuron WP
  • Quttera

 

Znajdowanie luk WordPress po instalacji

Być może masz już zainstalowanych wiele motywów w swojej witrynie WordPress. Jeśli tak jest, jak sprawdziłbyś autentyczność zainstalowanych motywów? Poniżej wymieniono kilka metod.

Wiele z tych wtyczek nie zostało zaktualizowanych przez ostatnie kilka lat i główne wersje WordPressa. Oznacza to, że prawdopodobnie zostały porzucone, a ich wyniki nie są wiarygodne. Unless widzisz najnowszą wersję, sugerujemy użycie Sucuri lub inny produkt z naszych wtyczek bezpieczeństwa WordPress lista tutaj.

1. Sprawdzanie autentyczności motywu

Motyw Authenticity Checker

The Theme Authenticity Checker to darmowa wtyczka, która umożliwia skanowanie plików motywów w celu sprawdzenia, czy występują jakiekolwiek problemy z luką w zabezpieczeniach WordPress, o których musisz wiedzieć. Jeśli w zainstalowanym motywie zostanie znaleziony potencjalnie złośliwy kod, wtyczka poinformuje o łatce, numerze wiersza i wyświetli podejrzany kod. Pomoże Ci to podjąć działania zapobiegawcze - lub pozbyć się motywu.

Ta wtyczka jest świetna do sprawdzenia, czy zainstalowany motyw nie zawierał zaszyfrowanego złośliwego skryptu bez Twojej wiedzy.

Niestety ta wtyczka nie' został zaktualizowany przez ostatnie 3 lata, więc dopóki nie zobaczysz nowszej aktualizacji, możesz to pominąć.

2. Sprawdzanie autentyczności WP

W podobnym duchu jest WP Authenticity Checker. Oprócz sprawdzania problemów z motywami, ta wtyczka analizuje również problemy z rdzeniem WordPressa lub wtyczkami trzeciej części, aby zidentyfikować wszelkie luki w WordPressie.

Niestety ta wtyczka hjak nie aktualizowano w ciągu ostatnich 2 lat również, więc możesz nie chcieć w pełni ufać wynikom tej wtyczki.

wp sprawdzanie autentyczności

Po prostu pobierz, zainstaluj i uruchom, aby wykryć problemy z dowolnymi motywami lub wtyczkami.

3. Wykorzystaj skaner

Skaner Exploit był również produktem, który działał w podobny sposób, ale niestety ta wtyczka również popadła w porzucenie. Z tego powodu nie zaleca się używania go unless widzisz całkiem niedawną aktualizację.

wykorzystać skaner

Exploit Scanner to kolejna darmowa wtyczka, która oferuje bardziej rozbudowane funkcje niż TAC. Najlepszą rzeczą jest to, że wtyczka skanera exploitów pomaga sprawdzić bazę danych instalacji WordPressa oprócz plików motywów.

Należy pamiętać, że te wtyczki pokażą tylko lukę w zabezpieczeniach i od Ciebie zależy, jakie środki zapobiegawcze należy podjąć, aby wyeliminować lukę w zabezpieczeniach WordPress.

Dodatkowe poprawki chroniące przed lukami w WordPress

1. Ustaw niestandardowy adres URL logowania do WordPress

Podczas instalacji WordPressa WordPress domyślnie tworzy dwa adresy URL logowania. Oni są

  • wp-login.php
  • WP-admin.php

Problem z używaniem domyślnego adresu URL logowania polega na tym, że każdy może zalogować się do pulpitu WordPress po znalezieniu (lub prawidłowym odgadnięciu) nazwy użytkownika i hasła. Dostosowując adres URL strony logowania, zwiększasz bezpieczeństwo swojej witryny WordPress i utrudniasz jej złamanie przez złoczyńców.

Jak byś zmienił adres URL logowania do swojej witryny WordPress?

Po prostu zainstaluj Niewidzialne logowanie wtyczki i dostosuj część Stealth Wtyczka niestandardowego logowania aby ukryć login.

niestandardowe ustawienia logowania ukrytego logowania

 

2. Ogranicz liczbę prób logowania

Dlatego dostosowałeś adres URL logowania do swojej witryny WordPress, aby zapewnić lepsze bezpieczeństwo. Ale co, jeśli złoczyńcy odkryją rzeczywisty adres URL logowania? W takim razie, jak możesz zapobiec próbom wejścia na swoją stronę?

W takim przypadku jedną z najlepszych metod jest ograniczenie liczby prób logowania. Domyślnie hakerzy mogą wypróbować tyle haseł, aby wejść do Twojej witryny, ile chcą; ograniczając próby logowania, blokujesz możliwość ataków brute force na Twoją witrynę.

Zainstalować iThemes Security (pełna wtyczka bezpieczeństwa) lub Zaloguj Lockdown podłącz. Obie te wtyczki pozwalają ograniczyć próby wejścia użytkownika do pulpitu nawigacyjnego. 

Wordpress ochrona przed brutalną siłą

3. Wyłącz przeglądanie katalogów

Domyślnie, gdy odwiedzający przechodzi do strony, a serwer nie może znaleźć dla niej pliku indeksu, automatycznie wyświetla stronę i pokazuje zawartość katalogu. Problem polega na tym, że każdy może przejść do tych katalogów, które mogą być podatne na ataki Twojej witryny, a haker może je łatwo wykorzystać do usunięcia Twojej witryny.

indeks katalogu wp

Na przykład niektóre katalogi WordPress zawierają wrażliwe dane, takie jak wp-content lub wp-includes. Umożliwiając hakerom poruszanie się po tych folderach, hakerzy mogą znaleźć w nich potencjalne exploity.

Dlatego dla bezpieczeństwa Twojej witryny ważne jest, aby wyłączyć przeglądanie katalogów.

Jak wyłączyć przeglądanie katalogów w witrynie WordPress?

Jedyne, co musisz zrobić, to dodać poniższy kod na dole pliku .htaccess swojej witryny WordPress.

Options -Indexes

Note: Upewnij się, że wykonałeś kopię zapasową swojej witryny przed wprowadzeniem w niej jakichkolwiek zmian. .htaccess jest plikiem ukrytym i jeśli nie możesz go znaleźć na swoim serwerze, musisz upewnić się, że masz włączoną opcję wyświetlania ukrytych plików w kliencie FTP.

Zalecane lektury: Native vs. Plugin – tworzenie kopii zapasowych WordPress różnymi metodami

Po wyłączeniu przeglądania katalogów wszystkie katalogi, które były wcześniej widoczne, zaczną pokazywać stronę „404 Nie znaleziono” lub „403 Dostęp zabroniony”.

Pobierz listę 101 trików WordPress, które każdy bloger powinien znać

101 sztuczek WordPress

Kliknij tutaj, aby pobrać teraz

Wnioski

Żadne oprogramowanie nie jest doskonałe, jeśli chodzi o bezpieczeństwo. Dotyczy to nawet WordPressa, więc upewnij się, że aktualizujesz podstawowe oprogramowanie WordPressa lub wszelkie motywy i wtyczki, gdy tylko pojawią się nowe wersje, aby powstrzymać każdą naprawioną lukę w WordPressie. Upewnij się, że włączyłeś automatyczną aktualizację WordPressa lub masz wdrożony proces, aby go aktualizować.

Potrzebujesz pomocy w naprawie i czyszczeniu WordPressa? Wypróbuj te najwyżej oceniane niedrogie koncerty na Fiverr!

logo piątki

 

Kliknij tutaj znaleźć ekspertów na temat Optymalizacja prędkości WordPress.

Kliknij tutaj stworzyć pełna strona WordPress.

Jeśli masz jakieś pytania, zadaj je poniżej w sekcji komentarzy, a my dołożymy wszelkich starań, aby Ci pomóc.

O autorze
Shahzada Saeeda
Shahzaad Saaed pojawiał się w wielu autorytetach, w tym EasyDigitalDownloads, OptinMonster i WPBeginner, gdzie obecnie jest zatrudniony jako starszy autor treści. Shahzad jest ekspertem WordPress, projektantem stron internetowych oraz ogólnym ekspertem w dziedzinie technologii i projektowania. Specjalizuje się w marketingu treści, który pomaga firmom zwiększać ruch dzięki praktycznym i popartym doświadczeniem artykułom, blogom i przewodnikom eksperckim, wszystkie zaczerpnięte z jego ponad 10-letniego doświadczenia w tej dziedzinie.

Jeszcze jedna rzecz... Czy wiesz, że osoby, które udostępniają przydatne rzeczy, takie jak ten post, również wyglądają NIESAMOWITE? ;-)
Proszę zostaw użyteczny skomentuj swoje przemyślenia, a następnie udostępnij to na swoich grupach na Facebooku, które uznają to za przydatne i wspólnie zbierzmy korzyści. Dziękuję za udostępnienie i bycie miłym!

Ujawnienie: Ta strona może zawierać linki do zewnętrznych witryn produktów, które kochamy i gorąco polecamy. Jeśli kupisz sugerowane przez nas produkty, możemy otrzymać opłatę za polecenie. Takie opłaty nie wpływają na nasze rekomendacje i nie przyjmujemy płatności za pozytywne recenzje.

Autorzy promowani w:  Inc Czasopismo Logo .   Logo Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   i wiele więcej ...