Mulți proprietari de site-uri web își fac griji că site-urile lor WordPress vor fi sparte. Gestionăm multe site-uri web și înțelegem bine această preocupare.
A fi compromis este foarte frustrant și poate dăuna afacerii dumneavoastră. În timp ce hackerii încearcă să atace tot felul de site-uri web, unele greșeli comune pot face ca site-ul dumneavoastră WordPress să fie o țintă mai ușoară.
În acest articol, vom împărtăși principalele motive pentru care site-urile WordPress sunt compromise, astfel încât să puteți lua măsuri pentru a vă proteja mai bine site-ul web.
De ce este WordPress vizat de hackeri?
În primul rând, nu este doar WordPress. Toate site-urile web de pe internet sunt vulnerabile la încercările de hacking.
Motivul pentru care site-urile WordPress sunt o țintă obișnuită este că WordPress este cel mai creator de site-uri web popular din lume. Acesta alimentează peste 43% din toate site-urile web, însemnând sute de milioane de site-uri web pe tot globul.
Această popularitate imensă oferă hackerilor o modalitate ușoară de a găsi site-uri web mai puțin securizate, pe care le pot exploata.
Hackerii au diverse motive pentru a sparge un site web. Unii sunt începători care tocmai învață să exploateze site-uri mai puțin securizate. Alții au intenții malițioase, cum ar fi distribuirea de malware, atacarea altor site-uri web și trimiterea de spam.
Acestea fiind spuse, să analizăm câteva dintre principalele cauze pentru care site-urile WordPress sunt sparte, astfel încât să puteți învăța cum să preveniți spargerea site-ului dumneavoastră.
1. Găzduire web nesigură
Ca toate site-urile web, site-urile WordPress sunt găzduite pe un server web. Unele companii de hosting nu își securizează corespunzător platforma de hosting. Acest lucru face ca toate site-urile web găzduite pe serverele lor să fie vulnerabile la tentative de hacking.
Acest lucru poate fi evitat cu ușurință prin alegerea celui mai bun furnizor de găzduire WordPress pentru site-ul dvs. web. Serverele securizate corespunzător pot bloca multe dintre cele mai comune atacuri asupra site-urilor WordPress.
Dacă doriți să luați măsuri de precauție suplimentare, atunci vă recomandăm să utilizați un furnizor de găzduire WordPress gestionată.
2. Utilizarea parolelor slabe
Parolele sunt cheile site-ului tău WordPress. Trebuie să te asiguri că folosești o parolă puternică și unică pentru fiecare dintre următoarele conturi, deoarece toate acestea pot oferi unui hacker acces complet la site-ul tău:
- Contul dumneavoastră de administrator WordPress
- Contul panoului de control al găzduirii web
- Conturile dumneavoastră FTP
- Baza de date MySQL utilizată pentru site-ul dvs. WordPress
- Toate conturile de e-mail utilizate pentru administrarea și găzduirea WordPress
Toate aceste conturi sunt protejate prin parole. Utilizarea parolelor slabe face mai ușor pentru hackeri să spargă parolele folosind câteva instrumente de hacking de bază.
Puteți evita cu ușurință acest lucru folosind parole unice și puternice pentru fiecare cont. Consultați ghidul nostru despre cel mai bun mod de a gestiona parolele pentru începătorii WordPress pentru a afla cum să gestionați toate acele parole puternice.
3. Acces neprotejat la administrarea WordPress (wp-admin)
Zona de administrare WordPress oferă unui utilizator acces pentru a efectua diferite acțiuni pe site-ul dvs. WordPress. Este, de asemenea, cea mai frecvent atacată zonă a unui site WordPress.
Lăsându-l neprotejat, permite hackerilor să încerce diferite abordări pentru a vă sparge site-ul web. Puteți să le îngreunați munca adăugând straturi de autentificare la directorul dvs. de administrare.
În primul rând, ar trebui să protejați prin parolă zona de administrare WordPress. Aceasta adaugă un strat suplimentar de securitate, iar oricine încearcă să acceseze administrarea WordPress va trebui să furnizeze o parolă suplimentară.
Dacă administrați un site WordPress multi-autor sau multi-utilizator, atunci puteți impune parole puternice pentru toți utilizatorii de pe site-ul dvs. Puteți adăuga, de asemenea, autentificare cu doi factori (2FA) pentru a face și mai dificil pentru hackeri să vă acceseze zona de administrare WordPress.
4. Permisiuni incorecte ale fișierelor
Permisiunile fișierelor sunt un set de reguli utilizate de serverul dvs. web. Aceste permisiuni ajută serverul dvs. web să controleze accesul la fișierele de pe site-ul dvs. Permisiunile incorecte ale fișierelor pot oferi unui hacker acces pentru a scrie și modifica aceste fișiere.
Toate fișierele dvs. WordPress ar trebui să aibă o valoare de 644 ca permisiune de fișier. Toate folderele de pe site-ul dvs. WordPress ar trebui să aibă 755 ca permisiune de fișier.
Consultați ghidul nostru despre cum să remediați problema de încărcare a imaginilor în WordPress pentru a afla cum să aplicați aceste permisiuni de fișiere.
5. Neactualizarea WordPress
Unii utilizatori WordPress se tem să-și actualizeze site-urile WordPress. Se tem că acest lucru le va strica site-ul.
Fiecare versiune nouă de WordPress corectează bug-uri și vulnerabilități de securitate. Dacă nu actualizați WordPress, atunci lăsați intenționat site-ul dumneavoastră vulnerabil.
Dacă vă temeți că o actualizare vă va defecta site-ul web, atunci puteți crea o copie de rezervă completă WordPress înainte de a efectua o actualizare. Astfel, dacă ceva nu funcționează, puteți reveni cu ușurință la versiunea anterioară.
Puteți afla mai multe în ghidul nostru pentru începători despre cum să actualizați WordPress în siguranță.
6. Neactualizarea plugin-urilor sau a temei
La fel ca software-ul de bază WordPress, actualizarea temei și a plugin-urilor este la fel de importantă. Utilizarea unui plugin sau a unei teme depășite vă poate face site-ul vulnerabil.
Defectele de securitate și bug-urile sunt descoperite frecvent în plugin-urile și temele WordPress. De obicei, autorii de teme și plugin-uri sunt rapizi în a le remedia. Cu toate acestea, dacă un utilizator nu își actualizează tema sau plugin-ul, atunci nu mai există nimic ce se poate face în acest sens.
Asigurați-vă că vă mențineți tema și pluginurile WordPress actualizate. Puteți afla cum în ghidul nostru despre ordinea corectă de actualizare pentru WordPress, pluginuri și teme.
7. Utilizarea FTP simplu în loc de SFTP/SSH
Conturile FTP sunt utilizate pentru a încărca fișiere pe serverul dvs. web folosind un client FTP. Majoritatea furnizorilor de găzduire acceptă conexiuni FTP folosind diferite protocoale. Puteți să vă conectați folosind FTP simplu, SFTP sau SSH.
Când vă conectați la site-ul dvs. folosind FTP simplu, parola dvs. este trimisă serverului necriptat. Asta înseamnă că poate fi supravegheată și furată cu ușurință. În loc să folosiți FTP, ar trebui să folosiți întotdeauna SFTP sau SSH.
Nu este nevoie să schimbați clientul FTP. Majoritatea clienților FTP se pot conecta la site-ul dvs. atât prin SFTP, cât și prin SSH. Trebuie doar să schimbați protocolul la „SFTP – SSH” atunci când vă conectați la site-ul dvs. web.
8. Utilizarea Admin ca Nume de Utilizator WordPress
Nu este recomandat să folosiți „admin” ca nume de utilizator WordPress. Dacă numele dvs. de utilizator administrator este „admin”, atunci ar trebui să îl schimbați imediat într-un nume de utilizator diferit.
Pentru instrucțiuni detaliate, consultați tutorialul nostru despre cum să vă schimbați numele de utilizator WordPress.
9. Teme și pluginuri Nulled
Există multe site-uri web pe internet care distribuie gratuit pluginuri și teme WordPress plătite. S-ar putea să fiți tentat să folosiți acele pluginuri și teme nulled pe site-ul dvs.
Descărcarea temelor și pluginurilor WordPress din surse nesigure este foarte periculoasă. Nu numai că pot compromite securitatea site-ului tău, dar pot fi folosite și pentru a fura informații sensibile.
Ar trebui să descărcați întotdeauna plugin-urile și temele WordPress din surse de încredere, cum ar fi site-ul web al dezvoltatorului sau depozitele oficiale WordPress.
Dacă nu îți permiți să cumperi un plugin sau o temă premium, atunci există întotdeauna alternative gratuite disponibile pentru acele produse. Aceste pluginuri gratuite s-ar putea să nu fie la fel de bune ca omologii lor plătiți, dar își vor face treaba și, cel mai important, vor menține site-ul tău în siguranță.
Puteți găsi, de asemenea, reduceri pentru multe dintre produsele populare WordPress în secțiunea de oferte de pe site-ul nostru.
10. Nu securizați fișierul de configurare WordPress wp-config.php
Fișierul de configurare WordPress wp-config.php conține credențialele de conectare la baza de date WordPress. Dacă este compromis, va dezvălui informații care ar putea oferi unui hacker acces complet la site-ul dvs. web.
Puteți adăuga un strat suplimentar de protecție refuzând accesul la fișierul wp-config utilizând .htaccess. Pur și simplu adăugați acest cod în fișierul dvs. .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
11. Nu schimbați prefixul tabelelor WordPress
Mulți experți recomandă să schimbați prefixul implicit al tabelelor WordPress. Implicit, WordPress folosește wp_ ca prefix pentru tabelele pe care le creează în baza dumneavoastră de date. Aveți opțiunea de a-l schimba în timpul instalării.
Se recomandă să utilizați un prefix mai complex. Acest lucru va face mai dificil pentru hackeri să ghicească numele tabelelor bazei dvs. de date.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să schimbați prefixul bazei de date WordPress pentru a îmbunătăți securitatea.
Curățarea unui site WordPress compromis
Curățarea unui site WordPress compromis poate fi dureroasă. Cu toate acestea, se poate face.
Iată câteva resurse pentru a vă ajuta să începeți curățarea unui site WordPress compromis:
- Semne că site-ul tău WordPress a fost spart (și cum să îl repari)
- Cum să scanați site-ul dvs. WordPress pentru cod potențial malițios
- Cum să găsești o ușă din spate într-un site WordPress compromis și cum să o repari
- Ce să faci când ești blocat din administratorul WordPress (wp-admin)
- Ghid pentru începători despre cum să restaurezi WordPress din backup
Sfat bonus
Pentru o securitate de neclintit, Sucuri oferă servicii de detectare și eliminare a malware-ului, precum și un firewall pentru site-uri web care vă va proteja site-ul împotriva celor mai comune amenințări.
Citiți povestea despre cum Sucuri ne-a ajutat să blocăm 450.000 de atacuri WordPress în 3 luni.
Sperăm că acest articol v-a ajutat să aflați principalele motive pentru care un site WordPress este spart. De asemenea, ați putea dori să consultați ghidul nostru despre cum să vă protejați site-ul WordPress de atacurile de tip brute force și selecția noastră de experți a celor mai bune plugin-uri de securitate WordPress pentru a vă proteja site-ul.
Dacă v-a plăcut acest articol, atunci vă rugăm să vă abonați la Canalul nostru de YouTube pentru tutoriale video despre WordPress. Ne puteți găsi, de asemenea, pe Twitter și Facebook.
Dennis Muthomi
O bună defalcare a vulnerabilităților de securitate WordPress.
După ce am gestionat actualizările pe zeci de site-uri ale clienților, am constatat că implementarea unui mediu de staging pentru testarea actualizărilor este absolut crucială. A
cest lucru abordează preocuparea menționată în punctele 5 și 6 cu privire la posibilitatea ca actualizările să deterioreze site-urile. Creez o copie de staging, rulez mai întâi actualizările acolo, testez temeinic și abia apoi actualizez site-ul live. Această abordare a salvat clienții mei de numeroase probleme potențiale, menținându-le în același timp site-urile sigure și actualizate. Este un pas suplimentar, dar merită liniștea sufletească.
Jiří Vaněk
Ce fac exact directivele pentru securizarea fișierului wp-config.php folosind fișierul .htaccess? Refuză accesul oricui din exterior, permițând accesul la fișier doar anumitor aplicații? Înțeleg corect?
Nu va cauza asta o altă problemă, cum ar fi imposibilitatea de a accesa fișierul?
Suport WPBeginner
Ar împiedica accesul unei persoane care încearcă să deschidă fișierul direct și, în majoritatea cazurilor, nu ar trebui să cauzeze probleme în limitarea accesului în acest mod.
Admin
Jiří Vaněk
Mulțumesc pentru răspuns. Voiam doar să mă asigur că ar putea exista o situație în care aș strica o comunicare internă WordPress. Aplic cu siguranță securitatea.
SaifZiya
Mulțumesc pentru aceste sfaturi uimitoare. Voi adăuga codul în fișierul .htaccess acum.
Amit Khandelwal
Salut, mi-am securizat folderul wp-admin prin confidențialitatea folderului, dar cum pot face același lucru pentru adresa URL wp-login?
Dragoș
De asemenea, poți să nu instalezi în locația implicită a site-ului tău WordPress, astfel încât să poți instala de fapt wp într-un folder numit „secure” și apoi, cu câteva trucuri, vizitatorii tăi vor accesa site-ul tău.com, nu site.com/secure, pentru a vedea site-ul tău.