9 vanliga WordPress-säkerhetsproblem (och hur man fixar dem)

Ett av de bästa sätten att hålla din WordPress-webbplats säker är att leta efter potentiellt skadlig kod ofta på din webbplats. När du hittar någon sårbarhet kan du vidta omedelbara korrigerande åtgärder innan du tillåter någon att utnyttja den och påstås gå in i din WordPress-adminpanel.

Det är inte konstigt att hackare riktar sig mot WordPress-webbplatser enormt eftersom det är det mest populära CMS på marknaden. Utanför lådan finns det flera sätt att göra din WordPress-installation säkrare. Den hårda verkligheten är dock bara en bråkdel av webbplatserna som följer dem. Detta gör WordPress till ett av de enklaste målen för hackare.

 

Rekommenderad läsning: 17 sätt att förhindra WordPress-hacking

9 WordPress-säkerhetsproblem

1. Billiga WordPress-värdar

Om du väljer din WordPress-hosting enbart baserat på hosting är det mer än troligt att du stöter på ett antal WordPress-sårbarheter. Detta beror på att billiga webbhotell mer än troligtvis är felaktigt inställda och inte separerade från varandra korrekt.

Detta innebär att webbplatser som har utnyttjats på en installation kan spridas till orelaterade webbplatser som är värd på samma server. Det här problemet kan också hända om du är värd för flera webbplatser för ett antal av dina kunder på samma värdkonto.

I det här fallet, igen, om någon av dina webbplatser blir äventyrad, kan infektionen spridas till ALLA webbplatserna i ditt konto. Du måste vara noga med att se till att du använder en inställning som en VPS, som gör att du kan skapa åtskillnad mellan de olika värdwebbplatserna.

Ett annat problem med billig hosting är frågan om "tvivelaktiga grannar". Billigt webbhotell tenderar att locka spammiga eller tvivelaktiga klienter - det kan betyda att den faktiska servern där webbplatsen är värd blir svartlistad eller skräppostlistad.

FIXERA: Kontrollera först och främst att du inte väljer det billigaste värdet du kan hitta. Välj istället värd som gör säkerhet till en prioritet. För det andra, om du är värd för webbplatser för dina kunder, se till att du delar upp de olika klienterna genom att skapa olika användare för varje klient.  

2. Svaga WordPress-inloggningar och lösenord

Adressen till WordPress-inloggningen är allmänt känd och det finns hackingsskript vars enda syfte är att tvinga fram vanliga lösenordskombinationer eller prova en lista med lösenord som har läckt ut från andra webbplatser.

Det betyder att om du använder ett svagt lösenord som admin / admin eller admin / lösenord eller andra dumt enkla lösenordskombinationer, introducerar du en allvarlig WordPress-sårbarhet på din webbplats.

svaga lösenord

FIXERA: Det är viktigt att WordPress-inloggningslösenord använder starka lösenord, lagras säkert och aldrig delas med andra installationer eller plattformar. Och använd inte "admin" som användarnamn, välj något som är svårare att gissa.

Äldre versioner av WordPress används för att skapa en standardanvändare med användarnamnet 'admin', många hackare antar att människor fortfarande använder samma användarnamn.

Om du fortfarande använder admin som användarnamn för administratörskontot, skapa ett nytt konto på din WordPress-webbplats och överför äganderätten till alla inlägg till det nya kontot. Se till att den nya användarens roll är administratör.

När det är gjort kan du antingen ta bort användarkontot med användarnamnet admin eller ändra dess roll till prenumerant.

 

Om din webbplats är en community-webbplats med flera författare är det bättre att installera https://wordpress.org/plugins/force-strong-passwords/ plugin på din WordPress-webbplats. Detta plugin tvingar användare att använda ett starkt lösenord när de skapar en ny användare.  

3. Föråldrad WordPress-kärna, teman eller plugins

Som med de flesta programvaror upptäcker WordPress vanligtvis problem som kan användas för att hacka in på en webbplats. Dessa problem löses vanligtvis varje gång en uppdatering släpps. Men sådana uppdateringar släpper också den faktiska WordPress-sårbarheten för allmänheten.

Detta innebär att så snart en uppdatering släpps kommer ett utnyttjande att skapas för att attackera webbplatser som inte har uppdaterats till den senaste versionen.

Samma logik gäller WordPress-plugins och teman som kan uppvisa samma problem. Detta kan också hända med PHP-programvara, MySQL-programvara, serverprogramvara och annan programvara som inte har uppdaterats och finns på din webbplats server.

I grund och botten, om någon programvara inte har uppdaterats är en sittande anka - en WordPress-sårbarhet som väntar på att utnyttjas.

FIXERA: Håll alla leverantörsabonnemang aktiva och se till att du håller alla komponenter uppdaterade till deras senaste versioner.

4. PHP-exploater

Förutom exploater som finns i WordPress själv är det mycket möjligt att det finns en PHP-exploatering i ett PHP-bibliotek som kanske inte heller har uppdaterats. Problemet med detta är att du ofta inte ens är medveten om att ett sådant bibliotek används på din webbplats.

FIXERA: Av den anledningen bör du välja en avancerad WordPress-hosting, såsom en VPS eller managed WordPress-hosting, där du kan anpassa och / eller ta bort PHP-bibliotek på din server som du inte använder och inte behöver.

5. Installera programvara från tvivelaktiga källor

Ibland kan du av olika kortsynta skäl (eventuellt monetära) överväga att ladda ner premiumprodukter från "tvivelaktiga" webbplatser. Med andra ord, ladda ner piratkopierade versioner av premium-plugins eller teman.

Detta är ett säkert sätt att introducera WordPress-sårbarheter på dina webbplatser. Anledningen är att "priset" på att använda sådan piratkopierad programvara är dold och skändlig. Dessa plugins har vanligtvis justerats med det som kallas en bakdörr. Bakdörrar ger användarna fjärrkontroll till webbplatser där dessa plugins har installerats och hackare kommer att ha full kontroll över din webbplats och kommer att använda den efter eget gottfinnande för sin egen praxis.

piratkopierad programvara bakdörrar

Detta kan inkludera användning av din webbplats som en del av zombie-nätverket (nätverk av datorer som deltar i ett botnet- eller DDoS-attack), användning av din webbplats som en del av ett nätverk av webbplatser som används för att infektera fler användare med sårbarheter, för att skicka skräppost, nätfiske eller andra skadliga praxis.

FIXERA: Undvik sådana källor och se till att du bara laddar ner och använder programvara från officiella betrodda källor. Annars har du säkert infört dolda WordPress-sårbarheter.

6. Webbplatser som inte använder säkra certifikat

Webbplatser som inte har ett SSL / TLS-certifikat krypterar inte information som skickas mellan webbläsaren och servern. Detta innebär att sådan information inklusive lösenord eller annan känslig information som personlig eller betalningsinformation kan snusas när den överförs via internet.

Det finns programvara för att läsa sådan krypterad data och samla all potentiellt värdefull information som ska användas och utnyttjas senare.

FIX: Genom att installera och konfigurera ett säkert certifikat krypteras informationen innan den kommer från eller till servern

7. Filintegreringsexperter

File Inclusion exploit är några av de vanligaste WordPress-sårbarheterna som utnyttjas via PHP-kod. Det här är en WordPress-sårbarhet där ett problem i koden tillåter "höjning av behörigheter" eller "kringgående av säkerhet" så att en angripare kan ladda filer på distans för att få tillgång till en webbplats. Sådana exploateringar kan helt ta över en webbplats eller stjäla privat information genom att få tillgång till information som vanligtvis inte är tillgänglig för allmänheten. 

FIXERA: Håll all din programvara uppdaterad till de senaste versionerna och se till att du har ett WordPress-säkerhetsplugin installerat 

8. SQL-injektioner

SQL-injektioner är en annan form av exploatering men denna typ av WordPress-sårbarhet missbrukar också buggar i kod för att utföra åtgärder som inte var avsedda. I grund och botten inträffar en SQL-injektion när en angripare kringgår normalt skydd för att komma åt WordPress-databasen och webbplatsens privata data.

Genom att komma åt WordPress-databasen kan de utföra kränkande ändringar som att skapa administratörsnivåanvändare som så småningom kan användas för att få full tillgång till webbplatsen. Sådana attacker kan också användas för att lägga till skadlig data i databasen, till exempel länkar till spammiga eller skadliga webbplatser.

VÄLJA * FRÅN användare VAR Namn ="" or ""="" AND Godkänd ="" or ""=""

FIXERA: Se till att du har de senaste versionerna av programvaran installerade på din webbplats och att de hålls uppdaterade 

9. XSS eller Cross-site Scripting

Detta är en annan mycket vanlig form av attack. Faktum är att de förmodligen är de vanligaste bedrifterna.

Skriptöverföring på plats fungerar när en angripare hittar sätt att lura offret att ladda webbplatser som innehåller specifik Javascript-kod. Dessa skript laddas utan kunskap från användaren och laddas sedan för att kunna läsa information som de vanligtvis inte skulle ha tillgång till. Till exempel kan sådan kod användas för att sniffa data som matas in i ett formulär.

I resten av detta inlägg tar vi en titt på några strategier för att hitta sårbarheter på din WordPress-webbplats. Vi tittar också på olika metoder för att åtgärda WordPress-sårbarheter.

Hitta WordPress-sårbarheter genom skanning

Som vi sa som en del av vår lista ovan rekommenderas det alltid att välja dem från den officiella WordPress-temakatalogen om du letar efter gratis WordPress-teman (eller några teman eller plugins i allmänhet) för att installera på din WordPress-webbplats. officiell katalog säkerställer säkerheten för dina WordPress-teman.

Med det sagt föredrar vissa legitima temautvecklare och byråer att inte lista sina kostnadsfria teman i den officiella katalogen eftersom de officiella riktlinjerna för kataloger begränsar dem till att inkludera många funktioner i deras tema.

Det betyder att när det gäller att välja ett gratis WordPress-tema är den officiella WordPress-temakatalogen inte den enda showen i staden. Med detta sagt, när du väljer ett tema utanför den officiella katalogen, måste du ha en extra dos ansvar när det gäller temabedömning.

Nedan följer några metoder för att kontrollera äktheten hos ditt WordPress-tema och se till att det är säkert från potentiellt skadliga koder och WordPress-sårbarheter.

Följande tjänster kan alla användas för att söka efter WordPress-sårbarheter: 

  • Nördflare
  • Sucuri
  • Hacker-mål
  • Detectify
  • WPSEC
  • Ninja Security
  • Pentest-verktyg
  • WP Neuron
  • Quttera

 

Hitta WordPress-sårbarheter efter installationen

Du kanske redan har installerat många teman på din WordPress-webbplats. Om så är fallet, hur skulle du kontrollera äktheten hos de installerade teman? Några metoder listas nedan.

Ett antal av dessa plugins har inte uppdaterats under de senaste åren och större versioner av WordPress. Det betyder att de förmodligen överges och att deras resultat inte är tillförlitliga. Fnless om du ser en ny version, föreslår vi att du väljer att använda Sucuri eller en annan produkt från våra WordPress-säkerhetsinsticksprogram lista här.

1. Temaautenticitetskontroll

Tema Autenticitetskontroll

Theme Authenticity Checker är ett gratis plugin som låter dig skanna temafilerna för att hitta om det finns några WordPress-sårbarhetsproblem som du behöver vara medveten om. Om potentiellt skadlig kod hittas i ett installerat tema, kommer plugin-talet att informera dig om korrigeringsfilen, radnumret och visa den misstänkta koden. Detta hjälper dig att vidta förebyggande åtgärder - eller bli av med temat.

Det här pluginet är bra att kontrollera om det installerade temat har fått något kodat skadligt skript infogat i det utan din vetskap.

Tyvärr har detta plugin inte har uppdaterats de senaste 3 åren nu, så tills du ser en nyare uppdatering kanske du vill hoppa över den här.

2. WP Authenticity Checker

På samma sätt är WP Authenticity Checker. Förutom att leta efter problem med teman tittar det här pluginet också på problem med WordPress-kärnan eller plugin-program för tredje delen för att identifiera eventuella WordPress-sårbarheter.

Tyvärr har detta plugin hsom inte har uppdaterats de senaste två åren också, så du kanske inte vill lita på resultatet av detta plugin helt.

wp äkthetskontroll

Enkelt ladda ner det, installera det och kör för att upptäcka eventuella problem med teman eller plugins.

3. Utnyttja skannern

Exploit -skannern var också en produkt som fungerade på ett liknande sätt, men tyvärr har denna plugin också fallit i övergivande. Av denna anledning rekommenderas det inte att du använder den unless du ser en ganska ny uppdatering.

utnyttja skannern

Exploit Scanner är ett annat gratis plugin, som erbjuder mer robusta funktioner än TAC. Det bästa är att plugin för exploateringsskanner hjälper dig att kontrollera databasen för din WordPress-installation förutom temafilerna.

Observera att dessa plugins bara visar dig sårbarheten och det är upp till dig att bestämma vilka förebyggande åtgärder du ska vidta för att utrota WordPress-sårbarheten.

Ytterligare korrigeringar för att skydda mot WordPress-sårbarheter

1. Använd Hackalert-övervakning

Om du letar efter en premiumlösning för att övervaka sårbarheter på din WordPress -webbplats bör du inte leta någon annanstans än Hackalert -övervakning. Hackalert -övervakning är en tjänst som erbjuds av Siteground där vi är värd för några av våra webbplatser.

Hackalert säkerställer säkerheten på dina WordPress-webbplatser genom att skicka en e-postvarning när den hittar potentiellt skadlig kod. Du kommer också att uppdateras med ett e-postmeddelande varje vecka med status för hackalertövervakning av din webbplats.

Läs inlägget om du vill veta mer om Hackalert-övervakningstjänsten varför Hackalert-övervakning är fantastisk - 5 skäl.

Hittills har vi tittat på olika sätt att hitta potentiella sårbarheter på din WordPress-webbplats.

Naturligtvis är det alltid bättre att lägga till en extra säkerhetssköld för din WordPress-webbplats för att förhindra att den hackar.

WordPress är känt för sin stora grupp utvecklare som vill göra WordPress till ett av de säkraste CMS-systemen.

Som webbplatsägare måste du dock vidta några grundläggande åtgärder för att förhindra påstådd tillträde till din instrumentpanel.

Låt oss titta på några strategier för att åtgärda sårbarheterna på din WordPress-webbplats.

2. Ange en anpassad inloggnings-URL för WordPress

Under WordPress-installationen skapar WordPress två inloggnings-URL: er som standard. Dom är

  • wp-login.php
  • wp-admin.php

Problemet med att använda standardinloggnings-URL: en är att vem som helst kan logga in på din WordPress-instrumentpanel när de hittar (eller gör rätt gissning) användarnamnet och lösenordet. Genom att anpassa webbadressen till din inloggningssida går du mot bättre säkerhet för din WordPress-webbplats och gör det svårare för skurkarna att bryta den.

Hur skulle du ändra inloggnings-URL: en på din WordPress-webbplats?

Installera bara Stealth-inloggning plugin och anpassa Stealth-delen av Anpassat inloggningsplugin för att dölja inloggningen.

anpassade inloggningsinställningar för inloggning

 

3. Begränsa antalet inloggningsförsök

Så du har anpassat inloggnings-URL: n för din WordPress-webbplats för bättre säkerhet. Men tänk om skurkarna upptäckte den faktiska inloggnings-URL: n? Hur kan du då förhindra försök till inlägg på din webbplats?

I ett sådant fall är en av de bästa metoderna att begränsa antalet inloggningsförsök. Som standard kan hackare försöka så många som lösenord för att komma in på din webbplats som de vill; genom att begränsa inloggningsförsöken, blockerar du den här möjligheten för brute force attacker till din webbplats.

installera iThemes Security (ett fullständigt säkerhetsplugin) eller Logga in Lockdown plugin. Båda dessa plugins låter dig begränsa de försök som en användare kan göra för att komma in i instrumentpanelen. 

wordpress brute force skydd

4. Inaktivera katalogsökning

Som standard när din besökare navigerar till en sida och webbservern inte hittar en indexfil för den, visar den automatiskt en sida och visar innehållet i katalogen. Problemet med detta är att vem som helst kan navigera in i dessa kataloger, vilket kan vara sårbart för din webbplats och en hacker kan enkelt utnyttja den för att ta ner din webbplats.

katalogindex wp

Till exempel innehåller vissa WordPress-kataloger känsliga data som wp-innehåll eller wp-inkluderar. Genom att låta hackare navigera genom dessa mappar kan hackare hitta potentiella exploateringar i den.

Så det är viktigt för din webbplats säkerhet att inaktivera katalogsökning.

Hur skulle du inaktivera katalogsökning på din WordPress-webbplats?

Det enda du behöver göra är att lägga till koden nedan längst ner i .htaccess-filen på din WordPress-webbplats.

Options -Indexes

Anmärkningar: Se till att du tar en säkerhetskopia av din webbplats innan du gör några ändringar i den. .htaccess är en dold fil, och om du inte hittar den på din server måste du se till att du har aktiverat din FTP-klient för att visa dolda filer.

Rekommenderad läsning: Native vs. Plugin - Ta WordPress-säkerhetskopior med olika metoder

När du har inaktiverat katalogsökning, kommer alla de kataloger som tidigare var synliga att visa en '404 Not Found' -sida eller '403 Access Forbidden' -meddelande.

Ladda ner listan över 101 WordPress-trick som alla bloggare borde veta

101 WordPress-tricks

Klicka här för att ladda ner nu

Slutsats

Ingen mjukvara är perfekt när det gäller säkerhet. Det är sant även för WordPress, så se till att du uppdaterar WordPress-kärnprogramvaran eller några teman och plugins när det finns versioner av nya versioner för att stoppa eventuell WordPress-sårbarhet. Se till att du aktiverar automatisk uppdatering av WordPress eller har en process för att hålla den uppdaterad.

Behöver du hjälp med att fixa och rengöra din WordPress? Prova dessa topprankade prisvärda spelningar på Fiverr!

fiverr-logotyp

 

Klicka här att hitta experter på WordPress-hastighetsoptimering.

Klicka här att skapa en hela WordPress-webbplatsen.

Om du har några frågor, ställa nedan i kommentarfältet så gör vi vårt bästa för att hjälpa dig.

Om författaren
Shahzad Saeed
Författare: Shahzad Saeedwebbplats: http://shahzadsaeed.com/
Shahzaad Saaed har visats på ett stort antal myndighetswebbplatser, som en WordPress-expert. Han specialiserar sig på innehållsmarknadsföring för att hjälpa företag att öka sin trafik.

En sak till... Visste du att människor som delar användbara saker som det här inlägget ser fantastiska ut också? ;-)
Tveka inte, lämna en användbara kommentera med dina tankar, dela sedan detta på din Facebook-grupp (er) som skulle tycka att det var användbart och låt oss skörda fördelarna tillsammans. Tack för att du delade och var trevlig!

Upplysningar: Denna sida kan innehålla länkar till externa webbplatser för produkter som vi älskar och rekommenderar helhjärtat. Om du köper produkter vi föreslår kan vi tjäna en remissavgift. Sådana avgifter påverkar inte våra rekommendationer och vi accepterar inte betalningar för positiva recensioner.

Författare Utvalda på:  Inc Magazine-logotyp   Sitepoint-logotyp   CSS Tricks-logotyp    webbdesignerdepot-logotyp   WPMU DEV-logotyp   och många fler ...