Jednym z najlepszych sposobów na zapewnienie bezpieczeństwa Twojej witryny WordPress jest częste sprawdzanie, czy na Twojej stronie nie ma potencjalnie złośliwego kodu. Zawsze, gdy znajdziesz jakąkolwiek lukę, możesz podjąć natychmiastowe działania naprawcze, zanim pozwolisz komukolwiek na jej wykorzystanie i rzekomo wejście do Twojego panelu administracyjnego WordPress.
Nic dziwnego, że hakerzy tak bardzo atakują witryny WordPress, ponieważ jest to najpopularniejszy CMS na rynku. Od razu po wyjęciu z pudełka istnieje kilka sposobów na zwiększenie bezpieczeństwa instalacji WordPress. Jednak brutalna rzeczywistość jest taka, że tylko ułamek witryn je stosuje. To sprawia, że WordPress jest jednym z najłatwiejszych celów dla hakerów.
{automatycznie}
Zalecana literatura: 17 sposobów na zapobieganie hakowaniu WordPressa
9 problemów z lukami w zabezpieczeniach WordPressa
1. Tani hosting WordPress
Jeśli zdecydujesz się na hosting WordPress wyłącznie na podstawie hostingu, najprawdopodobniej napotkasz szereg luk w zabezpieczeniach WordPress. Dzieje się tak, ponieważ tanie hostingi najprawdopodobniej są niepoprawnie skonfigurowane i nie są od siebie prawidłowo oddzielone.
Oznacza to, że witryny, które zostały wykorzystane w jednej instalacji, mogą rozprzestrzenić się na niepowiązane witryny hostowane na tym samym serwerze. Ten problem może również wystąpić, jeśli hostujesz kilka witryn dla wielu swoich klientów na tym samym koncie hostingowym.
W tym przypadku, raz jeszcze, jeśli któraś z Twoich stron internetowych zostanie naruszona, infekcja może rozprzestrzenić się na WSZYSTKIE strony internetowe na Twoim koncie. Musisz uważać, aby upewnić się, że używasz konfiguracji takiej jak VPS, która pozwala Ci na utworzenie separacji między różnymi hostowanymi stronami internetowymi.
Innym problemem taniego hostingu jest kwestia „podejrzanych sąsiadów”. Tani hosting będzie przyciągał spamujących lub podejrzanych klientów – może to oznaczać, że rzeczywisty serwer, na którym hostowana jest strona internetowa, zostanie umieszczony na czarnej liście lub liście spamu.
NAPRAWIĆ: Przede wszystkim upewnij się, że nie wybierasz najtańszego hostingu, jaki możesz znaleźć. Zamiast tego wybierz hosting, który stawia bezpieczeństwo na pierwszym miejscu. Po drugie, jeśli hostujesz strony internetowe dla swoich klientów, upewnij się, że dzielisz różnych klientów, tworząc różnych użytkowników dla każdego klienta.
JESTEM H
Chcesz szybką stronę internetową?
Kogo ja oszukuję? Czyż nie wszyscy?
Dlaczego więc tak wielu z nas walczy?
Największym wyzwaniem jest zwykle znalezienie szybkiej, niezawodnej firmy hostingowej.
Wszyscy przechodziliśmy przez koszmary – wsparcie trwa wieczność lub nie rozwiązuje naszego problemu, zawsze obwiniając coś po swojej stronie…
Ale największym problemem jest to, że witryna zawsze działa wolno.
At CollectiveRay hostujemy za pomocą hostingu InMotion, a nasza strona jest głupio szybka. Działamy na niestandardowym stosie konfiguracji serwera LightSpeed na MariaDB z silnikiem PHP 7.4 i frontem przez Cloudflare.
W połączeniu z naszymi optymalizacjami front-endu niezawodnie obsługujemy 6000 użytkowników każdego dnia, przy szczytowej liczbie 50+ jednoczesnych użytkowników.
Chcesz uzyskać szybką konfigurację, taką jak nasza? Przenieś swoją witrynę za darmo na hosting InMotion i uzyskaj 50% ZNIŻKI na aktualne ceny.
Wypróbuj InMotion Hosting z 50% ZNIŻKĄ na CollectiveRay goście w grudzień 2025 TYLKO!
2. Słabe loginy i hasła WordPress
Adres logowania WordPress jest powszechnie znany, ale istnieją skrypty hakerskie, których jedynym celem jest siłowe złamanie popularnych kombinacji haseł lub sprawdzenie listy haseł wyciekłych z innych witryn.
Oznacza to, że jeśli użyjesz słabego hasła, takiego jak admin/admin lub admin/password, lub innej niezwykle prostej kombinacji haseł, narażasz swoją witrynę na poważne zagrożenie ze strony WordPressa.
NAPRAWIĆ: Ważne jest, aby hasła logowania WordPressa były silne, przechowywane w bezpieczny sposób i nigdy nie były udostępniane innym instalacjom ani platformom. Nie używaj „admin” jako nazwy użytkownika, wybierz coś, co jest trudniejsze do odgadnięcia.
W starszych wersjach WordPressa domyślnym użytkownikiem był „admin”, jednak wielu hakerów zakłada, że ludzie nadal używają tej samej nazwy użytkownika.
Jeśli nadal używasz admin jako nazwy użytkownika konta administratora, utwórz nowe konto na swojej stronie WordPress i przenieś własność wszystkich postów na nowe konto. Upewnij się, że rola nowego użytkownika to administrator.
Po wykonaniu tej czynności możesz usunąć konto użytkownika o nazwie admin lub zmienić jego rolę na subscriber.
Jeśli Twoja witryna jest witryną społecznościową z wieloma autorami, lepiej zainstalować https://wordpress.org/plugins/force-strong-passwords/ wtyczka na Twojej stronie WordPress. Ta wtyczka zmusza użytkowników do używania silnego hasła podczas tworzenia nowego użytkownika.
3. Przestarzały rdzeń WordPressa, motywy lub wtyczki
Podobnie jak w przypadku większości oprogramowania, WordPress zazwyczaj odkrywa problemy, które mogą być wykorzystane do włamania się na stronę internetową. Te problemy są zazwyczaj naprawiane za każdym razem, gdy wydawana jest aktualizacja. Jednak takie aktualizacje również ujawniają faktyczną lukę WordPressa opinii publicznej.
Oznacza to, że zaraz po udostępnieniu aktualizacji utworzony zostanie exploit umożliwiający atak na strony internetowe, które nie zostały zaktualizowane do najnowszej wersji.
Ta sama logika dotyczy wtyczek i motywów WordPress, które mogą wykazywać ten sam problem. Może się to również zdarzyć w przypadku oprogramowania PHP, oprogramowania MySQL, oprogramowania serwera i dowolnego innego oprogramowania, które nie zostało zaktualizowane i znajduje się na serwerze Twojej witryny.
Zasadniczo, jeśli jakaś część oprogramowania nie została zaktualizowana, staje się łatwym celem — luką w zabezpieczeniach WordPressa, czekającą na wykorzystanie.
NAPRAWIĆ: Utrzymuj wszystkie subskrypcje dostawców aktywne i upewnij się, że wszystkie komponenty są aktualizowane do najnowszych wersji.
4. Eksploity PHP
Oprócz exploitów, które istnieją w samym WordPressie, całkiem możliwe jest, że exploit PHP istnieje w bibliotece PHP, która również mogła nie zostać zaktualizowana. Problem w tym, że w większości przypadków możesz nawet nie być świadomy, że taka biblioteka jest używana na Twojej stronie internetowej.
NAPRAWIĆ: Z tego powodu powinieneś zdecydować się na zaawansowany hosting WordPress, taki jak VPS lub zarządzany hosting WordPress, dzięki któremu możesz dostosować i/lub usunąć biblioteki PHP na swoim serwerze, których nie używasz i nie potrzebujesz.
5. Instalowanie oprogramowania z podejrzanych źródeł
Czasami, z różnych krótkowzrocznych powodów (być może finansowych), możesz rozważyć pobranie produktów premium z „podejrzanych” stron. Innymi słowy, pobierz pirackie wersje wtyczek lub motywów premium.
To pewny sposób na wprowadzenie luk WordPressa do Twoich witryn. Powodem jest to, że „cena” korzystania z takiego pirackiego oprogramowania jest ukryta i nikczemna. Te wtyczki są zazwyczaj modyfikowane za pomocą tzw. tylnych drzwi. Tylne drzwi dają użytkownikom zdalną kontrolę nad witrynami, na których zainstalowano te wtyczki, a hakerzy będą mieli pełną kontrolę nad Twoją witryną i będą jej używać do własnych celów.
Może to obejmować używanie Twojej witryny internetowej jako części sieci zombie (sieci komputerów biorących udział w ataku typu botnet lub DDoS), używanie Twojej witryny internetowej jako części sieci witryn wykorzystywanych do infekowania większej liczby użytkowników lukami w zabezpieczeniach, wysyłanie SPAM-u, phishingu lub inne niegodziwe praktyki.
NAPRAWIĆ: Unikaj takich źródeł i upewnij się, że pobierasz i używasz oprogramowania tylko z oficjalnych, zaufanych źródeł. W przeciwnym razie na pewno pojawią się ukryte luki w zabezpieczeniach WordPressa.
6. Witryny nie korzystające z bezpiecznych certyfikatów
Witryny, które nie mają certyfikatu SSL/TLS, nie szyfrują informacji przesyłanych między przeglądarką a serwerem. Oznacza to, że takie informacje, w tym hasła lub inne poufne dane, takie jak dane osobowe lub płatnicze, mogą zostać wykryte podczas przesyłania przez Internet.
Oprogramowanie służy do odczytywania zaszyfrowanych danych i gromadzenia potencjalnie cennych informacji w celu ich późniejszego wykorzystania.
FIX:Po zainstalowaniu i skonfigurowaniu bezpiecznego certyfikatu informacje są szyfrowane przed wysłaniem z serwera lub na serwer
7. Eksploatacja plików dołączanych
Eksploatacja File Inclusion to jedne z najczęstszych luk WordPress wykorzystywanych za pośrednictwem kodu PHP. Jest to luka WordPress, w której problem w kodzie umożliwia „podniesienie uprawnień” lub „ominięcie zabezpieczeń”, dzięki czemu atakujący może zdalnie ładować pliki, aby uzyskać dostęp do witryny. Takie exploity mogą całkowicie przejąć witrynę lub ukraść prywatne informacje, uzyskując dostęp do informacji, które zazwyczaj nie są dostępne publicznie.
NAPRAWIĆ: Aktualizuj całe oprogramowanie do najnowszych wersji i upewnij się, że masz zainstalowaną wtyczkę zabezpieczającą WordPress
8. Wstrzyknięcia SQL
Wstrzyknięcia SQL to inna forma exploita, ale ten rodzaj podatności WordPress również wykorzystuje błędy w kodzie do wykonywania działań, które nie były zamierzone. Zasadniczo wstrzyknięcie SQL występuje, gdy atakujący omija normalne zabezpieczenia, aby uzyskać dostęp do bazy danych WordPress i prywatnych danych witryny.
Uzyskując dostęp do bazy danych WordPress, mogą oni dokonywać nadużyć, takich jak tworzenie użytkowników na poziomie administratora, których można ostatecznie użyć do uzyskania pełnego dostępu do witryny. Takie ataki mogą być również wykorzystywane do dodawania złośliwych danych do bazy danych, takich jak linki do spamerskich lub złośliwych witryn.
SELECT * OD użytkownicy WHERE Nazwa ="" or ""="" ROLNICZE Przepustka ="" or ""=""
NAPRAWIĆ: Upewnij się, że na Twojej stronie zainstalowano najnowsze wersje oprogramowania i że są one aktualizowane
9. XSS lub Cross-site Scripting
To jest kolejna bardzo powszechna forma ataku. W rzeczywistości są to prawdopodobnie najczęstsze exploity.
Cross-site scripting działa, gdy atakujący znajduje sposoby, aby oszukać ofiarę i zmusić ją do załadowania witryn zawierających określony kod JavaScript. Te skrypty ładują się bez wiedzy użytkownika, a następnie są ładowane, aby móc odczytać informacje, do których zwykle nie miałby dostępu. Na przykład taki kod może być używany do wykrywania danych wprowadzanych do formularza.
W dalszej części tego wpisu przyjrzymy się kilku strategiom wykrywania luk w zabezpieczeniach witryny WordPress. Przyjrzymy się również różnym metodom naprawy luk w zabezpieczeniach WordPress.
Znajdowanie luk w zabezpieczeniach WordPressa poprzez skanowanie
Jak już wspomnieliśmy we wcześniejszej części naszej listy, jeśli szukasz darmowych motywów WordPress (lub jakichkolwiek motywów i wtyczek) do zainstalowania na swojej witrynie WordPress, zawsze zalecamy wybranie ich z oficjalnego katalogu motywów WordPress, ponieważ oficjalny katalog gwarantuje bezpieczeństwo Twoich motywów WordPress.
Mimo to niektórzy legalni twórcy motywów i agencje wolą nie umieszczać swoich darmowych, wysokiej jakości motywów w oficjalnym katalogu, ponieważ wytyczne oficjalnego katalogu ograniczają możliwość uwzględnienia w motywie wielu funkcji.
Oznacza to, że jeśli chodzi o wybór darmowego motywu WordPress, oficjalny katalog motywów WordPress nie jest jedynym pokazem w mieście. Mając to na uwadze, jeśli wybierasz motyw spoza oficjalnego katalogu, musisz mieć dodatkową dawkę odpowiedzialności pod względem oceny motywu.
Poniżej znajdziesz kilka metod sprawdzenia autentyczności swojego motywu WordPress i upewnienia się, że jest on zabezpieczony przed potencjalnie złośliwymi kodami i lukami w zabezpieczeniach WordPressa.
Poniższe usługi można wykorzystać do sprawdzenia luk w zabezpieczeniach WordPressa:
- maniak
- Sucuri
- Cel hakera
- Wykryj
- WPSEC
- Bezpieczeństwo Ninja
- Pentest-Narzędzia
- Neuron WP
- Quttera
Znajdowanie luk w zabezpieczeniach WordPressa po instalacji
Możliwe, że zainstalowałeś już wiele motywów na swojej stronie WordPress. Jeśli tak, jak sprawdzisz autentyczność zainstalowanych motywów? Poniżej wymieniono kilka metod.
Wiele z tych wtyczek nie było aktualizowanych przez ostatnie kilka lat i główne wersje WordPressa. Oznacza to, że prawdopodobnie zostały porzucone, a ich wyniki nie są wiarygodne. Jeśli nie widzisz nowszej wersji, sugerujemy, abyś zdecydował się na użycie Sucuri lub inny produkt z naszych wtyczek zabezpieczających WordPress lista tutaj.
1. Sprawdzanie autentyczności motywu
Theme Authenticity Checker to darmowa wtyczka, która pozwala skanować pliki motywu, aby sprawdzić, czy występują jakieś problemy z lukami w zabezpieczeniach WordPressa, o których powinieneś wiedzieć. Jeśli w zainstalowanym motywie zostanie znaleziony potencjalnie złośliwy kod, wtyczka poinformuje Cię o poprawce, numerze wiersza i wyświetli podejrzany kod. Pomoże Ci to podjąć działania zapobiegawcze - lub pozbyć się motywu.
Ta wtyczka jest świetna, ponieważ pozwala sprawdzić, czy do zainstalowanego motywu nie został wstawiony żaden złośliwy skrypt bez Twojej wiedzy.
Niestety ta wtyczka nie ma aktualizowane od 3 lat, więc do czasu aż nie pojawi się nowsza aktualizacja, lepiej to pominąć.
2. WP Sprawdzanie autentyczności
Podobnie jest z WP Authenticity Checker. Oprócz sprawdzania problemów z motywami, ta wtyczka sprawdza również problemy z rdzeniem WordPressa lub wtyczkami stron trzecich, aby zidentyfikować wszelkie luki w zabezpieczeniach WordPressa.
Niestety ta wtyczka hponieważ nie było aktualizowane przez ostatnie 2 lata więc nie należy w pełni ufać wynikom tej wtyczki.
Wystarczy pobrać, zainstalować i uruchomić, aby sprawdzić, czy występują jakieś problemy z motywami lub wtyczkami.
3. Skaner eksploitów
Exploit scanner był również produktem, który działał w podobny sposób, ale niestety ta wtyczka również została porzucona. Z tego powodu nie zaleca się jej używania, chyba że widzisz dość niedawną aktualizację.
Exploit Scanner to kolejna darmowa wtyczka, która oferuje bardziej rozbudowane funkcje niż TAC. Najlepsze jest to, że wtyczka exploit scanner pomaga sprawdzić bazę danych instalacji WordPressa oprócz plików motywu.
Należy pamiętać, że te wtyczki pokażą Ci tylko lukę w zabezpieczeniach i od Ciebie zależy, jakie środki zapobiegawcze podejmiesz, aby wyeliminować lukę w zabezpieczeniach WordPressa.
Dodatkowe poprawki chroniące przed lukami w zabezpieczeniach WordPressa
1. Ustaw niestandardowy adres URL logowania dla WordPressa
Podczas instalacji WordPressa, WordPress domyślnie tworzy dwa adresy URL logowania. Są to:
- wp-login.php
- WP-admin.php
Problem z używaniem domyślnego adresu URL logowania polega na tym, że każdy może zalogować się do pulpitu WordPress, gdy tylko znajdzie (lub prawidłowo zgadnie) nazwę użytkownika i hasło. Dostosowując adres URL strony logowania, robisz krok w kierunku lepszego zabezpieczenia swojej witryny WordPress i utrudniasz włamanie się do niej złoczyńcom.
Jak zmienić adres URL logowania do swojej witryny WordPress?
Po prostu zainstaluj Logowanie ukryte podłącz i dostosuj część Stealth Wtyczka niestandardowego logowania aby ukryć login.
2. Ogranicz liczbę prób logowania
Więc dostosowałeś adres URL logowania swojej witryny WordPress dla lepszego bezpieczeństwa. Ale co jeśli źli ludzie odkryją rzeczywisty adres URL logowania? W takim razie jak możesz zapobiec próbom wejścia na swoją witrynę?
W takim przypadku jedną z najlepszych metod jest ograniczenie liczby prób logowania. Domyślnie hakerzy mogą próbować tylu haseł, ile chcą, aby wejść na Twoją stronę; ograniczając próby logowania, blokujesz możliwość ataków siłowych na Twoją stronę.
Zainstalować iThemes Security (pełnowymiarowa wtyczka zabezpieczająca) lub Zaloguj Lockdown plugin. Obie te wtyczki pozwalają ograniczyć liczbę prób wejścia użytkownika do pulpitu.
3. Wyłącz przeglądanie katalogów
Domyślnie, gdy odwiedzający przechodzi na stronę, a serwer WWW nie może znaleźć dla niej pliku indeksu, automatycznie wyświetla stronę i pokazuje zawartość katalogu. Problem polega na tym, że każdy może przejść do tych katalogów, co może być podatne na ataki na Twoją witrynę, a haker może łatwo to wykorzystać, aby wyłączyć Twoją witrynę.
Na przykład niektóre katalogi WordPress zawierają poufne dane, takie jak wp-content lub wp-includes. Pozwalając hakerom na poruszanie się po tych folderach, hakerzy mogliby znaleźć w nich potencjalne exploity.
Dlatego dla bezpieczeństwa Twojej witryny internetowej ważne jest wyłączenie przeglądania katalogów.
Jak wyłączyć przeglądanie katalogów na swojej stronie WordPress?
Jedyne, co musisz zrobić, to dodać poniższy kod na dole pliku .htaccess swojej witryny WordPress.
Options -Indexes
Note: Zanim wprowadzisz jakiekolwiek zmiany, upewnij się, że wykonałeś kopię zapasową swojej witryny. Plik .htaccess jest ukryty i jeśli nie możesz go znaleźć na swoim serwerze, upewnij się, że w swoim kliencie FTP włączyłeś wyświetlanie ukrytych plików.
Zalecane lektury: Natywne kontra wtyczki — tworzenie kopii zapasowych WordPress różnymi metodami
Po wyłączeniu przeglądania katalogów wszystkie wcześniej widoczne katalogi zaczną wyświetlać stronę „404 Nie znaleziono” lub komunikat „403 Dostęp zabroniony”.
Podsumowanie
Żadne oprogramowanie nie jest idealne pod względem bezpieczeństwa. Dotyczy to nawet WordPressa, więc upewnij się, że aktualizujesz oprogramowanie rdzenia WordPressa lub wszelkie motywy i wtyczki, gdy tylko pojawią się nowe wersje, aby zatrzymać wszelkie naprawione luki w zabezpieczeniach WordPressa. Upewnij się, że włączasz automatyczną aktualizację WordPressa lub masz proces, aby go aktualizować.
Potrzebujesz pomocy w naprawie i wyczyszczeniu WordPressa? Wypróbuj te najwyżej oceniane niedrogie zlecenia na Fiverr!
Kliknij tutaj znaleźć ekspertów na temat Optymalizacja prędkości WordPress.
Kliknij tutaj stworzyć pełna witryna WordPress.
Jeśli masz jakieś pytania, zadaj je w sekcji komentarzy poniżej, a my dołożymy wszelkich starań, aby Ci pomóc.