«> Как защитить WordPress — 7 наиболее распространенных ошибок Автор: Denis PeszkaTech Lead Опубликовано: 14.06.2019 Категория: Веб-сайты едины

одна из самых популярных CMS в мире. Она сильно выросла за последние годы. К сожалению, наряду с ее популярностью, она также стала основной целью хакеров. Согласно собранным данным, 90% всех хакерских атак на веб-сайты относятся к тем, которые построены на WordPress. Как защитить WordPress или, точнее, каких ошибок следует избегать при этом — вы узнаете из статьи.

1. Сведения об учетной записи администратора по умолчанию

При первой установке WordPress на сервер вы должны предоставить данные для входа в систему администратора. Если имя этой учетной записи просто «admin», ваш сайт будет намного более уязвим для атак.

В результате этого решения у хакеров будет вдвое меньше работы. Все, что им нужно сделать, это взломать пароль. Чтобы защитить WordPress, создайте новую учетную запись с правами администратора. Войдите в систему с этой новой учетной записью, а затем измените или удалите предыдущие разрешения учетной записи «admin».

Вышеупомянутая ошибка также приводит нас к следующей:

2. Подверженность жестоким атакам

Так называемая. Атака методом грубой силы описывает практику использования хакером программного обеспечения для ввода различных комбинаций имен пользователей и паролей. В результате через некоторое время он найдет правильную комбинацию имени пользователя и пароля. Этот тип атаки использует самый простой способ попасть на ваш сайт — страницу входа.

По умолчанию WordPress не ограничивает количество попыток входа в систему, поэтому боты могут использовать метод грубой силы до тех пор, пока не добьются успеха. Даже если это не удастся, это все равно может вызвать хаос на сервере, поскольку несколько попыток входа в систему приведут к его подавлению. Хуже того, некоторые хостинг-провайдеры могут заблокировать вашу учетную запись из-за перегрузки — вероятный сценарий, особенно для виртуального хостинга.

Как защитить WordPress в этом случае? Ограничьте количество попыток входа в систему и установите трудные для расшифровки имена пользователей и пароли.

3. Префиксы по умолчанию, относящиеся к таблицам базы данных

При установке WordPress у вас есть возможность выбрать префикс, который будет использоваться для таблиц сбора данных. Большинство новичков выбирают здесь префикс по умолчанию «wp_». Это огромная дыра в безопасности веб-сайта, так как это экономит хакерам много работы. В результате они смогут направлять свои действия на файлы, описанные с этим префиксом по умолчанию. Таким образом они могут получить информацию, например о пользователях сайта. Чтобы исправить эту ошибку, просто замените префикс «wp_» на что-нибудь другое. Это будет хорошей защитой от взлома WordPress.

4. SQL-инъекция

Этот тип атаки происходит, когда хакер обращается к вашей базе данных WordPress MySQL. Внедряя различный код, злоумышленник может создавать новые учетные записи администраторов или добавлять новые данные в существующие базы данных — например, ссылки на вредоносные веб-сайты.

Как защитить WordPress от такого поведения? Контролируйте и фильтруйте каналы, по которым информация вводится на веб-сайт. Рекомендуется проверять код на каждой подстранице, особенно если контент и команды объединены с контентом, который может исходить от других пользователей (например, комментарии).

5. Утечка файлов с важной информацией

В некоторых отчетах сообщается, что почти на каждом веб-сайте есть хотя бы один файл конфиденциальных данных, доступный для всех в Интернете. Как это произошло? Часто причиной является простое резервное копирование этих файлов.

Иногда при редактировании файлов на сервере или других административных действиях могут случайно остаться незащищенные резервные копии. Эти файлы представляют серьезную угрозу, поскольку являются легкой добычей для хакеров.

6. Установка шаблонов и плагинов из сомнительных источников

Иногда мы можем случайно помочь хакерам получить доступ к нашему сайту. К сожалению, это часто происходит в результате установки бесплатных шаблонов и плагинов из непроверенных источников.

Один тест показал, что многие бесплатные шаблоны, доступные в Интернете, содержат множество эксплойтов, фрагментов вредоносного кода и многих других проблем. . По этой причине лучшая защита WordPress — это установка шаблонов прямо из WordPress. Если вы покупаете их из других источников, внимательно проверьте репутацию поставщика.

7. Межсайтовый скриптинг (XSS)

Эти типы атак являются одними из наиболее распространенных в Интернете.

Их основной механизм такой:

Злоумышленник находит способ для жертвы загрузить страницы с опасными сценариями JavaScript. Эти скрипты загружаются без ведома посетителя, а затем используются для кражи данных из их браузеров.

Примером успешного проведения такой атаки может быть взломанная форма. Для ничего не подозревающего посетителя он есть на вашем сайте. Однако, если он введет туда свои данные, они будут украдены.

Решение здесь — создать соответствующий белый список, благодаря которому ваш веб-сайт позволит вам обрабатывать запросы только из надежных источников. Также хорошо использовать брандмауэр веб-приложений.

Резюме

Теперь вы знаете, как защитить WordPress и защитить себя от хакеров. Однако помните, что хакеры постоянно находят все новые и более креативные способы заражения вашего веб-сайта, поэтому регулярные проверки безопасности являются основой хорошо функционирующего веб-сайта.