5 probleme comune de securitate WordPress

Publicat: 2021-01-27

Dacă dețineți un site web alimentat de WordPress sau vă gândiți să utilizați WordPress ca CMS, este posibil să fiți îngrijorat de potențialele probleme de securitate WordPress. În această postare, vom prezenta câteva dintre cele mai frecvente vulnerabilități de securitate WordPress, împreună cu pașii pe care îi puteți lua pentru a vă securiza și proteja site-ul WordPress.

WordPress este sigur?

Răspunsul la întrebarea „WordPress este sigur?” depinde . WordPress în sine este foarte sigur atât timp cât sunt respectate cele mai bune practici de securitate WordPress .

Conform celei mai recente utilizări a datelor sistemelor de gestionare a conținutului de la W3Techs, WordPress reduce cu 34% toate site-urile web. Așadar, vulnerabilitățile de securitate WordPress sunt inevitabile, deoarece nu toți utilizatorii sunt atenți, temeinici sau conștienți de securitate cu site-urile lor web. Dacă un hacker poate găsi o cale de acces la unul dintre sutele de milioane de site-uri web WordPress de pe web, poate căuta alte site-uri web care rulează, de asemenea, configurări nesigure ale versiunilor vechi sau nesigure ale WordPress și le pot hackea și pe acestea.

WordPress rulează cu cod sursă deschisă și are o echipă dedicată în mod special găsirii, identificării și rezolvării problemelor de securitate WordPress care apar în codul de bază. Pe măsură ce sunt dezvăluite vulnerabilitățile de securitate, remedierile sunt îndepărtate imediat pentru a remedia problemele de securitate noi descoperite în WordPress. De aceea, actualizarea WordPress la cea mai recentă versiune este extrem de importantă pentru securitatea generală a site-ului dvs. web.

Este important să rețineți că vulnerabilitățile de securitate WordPress se extind dincolo de nucleul WordPress în temele sau pluginurile pe care le instalați pe site-ul dvs. Potrivit unui raport recent realizat de wpvulndb.com, din cele 2.837 vulnerabilități cunoscute de securitate WordPress din baza lor de date:

  • 75% provin din pluginuri WordPress
  • 14% provin din WordPress de bază
  • 11% provin din teme WordPress

Probleme de securitate WordPress

5 probleme comune de securitate WordPress

Cele mai frecvente probleme de securitate WordPress apar înainte sau imediat după ce site-ul dvs. a fost compromis. Scopul unui hack este de a obține acces neautorizat la site-ul dvs. WordPress la nivel de administrator, fie din frontend (tabloul dvs. de bord WordPress), fie de pe partea serverului (prin inserarea de scripturi sau fișiere rău intenționate).

Iată cele mai frecvente 5 probleme de securitate WordPress despre care ar trebui să știți:

1. Atacuri de forță brută

Atacurile cu forță brută WordPress se referă la metoda de încercare și eroare de introducere a mai multor combinații de nume de utilizator și parole până când se descoperă o combinație reușită. Metoda atacului cu forță brută exploatează cel mai simplu mod de a obține acces la site-ul dvs. web: pagina dvs. de autentificare WordPress.

WordPress, în mod implicit, nu limitează încercările de conectare, astfel încât roboții pot ataca pagina dvs. de autentificare WordPress folosind metoda atacului cu forță brută. Chiar dacă un atac cu forță brută nu reușește, acesta poate face ravagii pe serverul dvs., deoarece încercările de conectare vă pot supraîncărca sistemul și vă pot încetini site-ul. În timp ce vă aflați sub un atac de forță brută, unele gazde vă pot suspenda contul, mai ales dacă sunteți într-un plan de găzduire partajat, din cauza supraîncărcărilor sistemului.

2. Exploatări de incluziune de fișiere

După atacuri cu forță brută, vulnerabilitățile din codul PHP al site-ului dvs. WordPress sunt următoarea cea mai comună problemă de securitate care poate fi exploatată de atacatori. (PHP este codul care rulează site-ul dvs. WordPress, împreună cu pluginurile și temele dvs.)

Exploatările de includere a fișierelor apar atunci când codul vulnerabil este utilizat pentru a încărca fișiere la distanță care permit atacatorilor să aibă acces la site-ul dvs. web. Exploatările de includere a fișierelor sunt unul dintre cele mai comune moduri în care un atacator poate avea acces la fișierul wp-config.php al site-ului dvs. WordPress, unul dintre cele mai importante fișiere din instalarea dvs. WordPress.

3. Injecții SQL

Site-ul dvs. WordPress folosește o bază de date MySQL pentru a funcționa. Injecțiile SQL apar atunci când un atacator obține acces la baza de date WordPress și la toate datele site-ului dvs. web.

Cu o injecție SQL, un atacator poate fi capabil să creeze un nou cont de utilizator la nivel de administrator, care poate fi apoi utilizat pentru a vă conecta și a obține acces complet la site-ul dvs. WordPress. Injecțiile SQL pot fi, de asemenea, utilizate pentru a insera date noi în baza dvs. de date, inclusiv linkuri către site-uri web rău intenționate sau spam.

4. Scripturi între site-uri (XSS)

84% din toate vulnerabilitățile de securitate de pe întregul internet sunt denumite atacuri Cross-Site Scripting sau XSS. Vulnerabilitățile Cross-Site Scripting sunt cele mai frecvente vulnerabilități găsite în pluginurile WordPress.

Mecanismul de bază al Cross-Site Scripting funcționează astfel: un atacator găsește o modalitate de a determina victima să încarce paginile web cu scripturi javascript nesigure. Aceste scripturi se încarcă fără știrea vizitatorului și sunt apoi utilizate pentru a fura date din browserele lor. Un exemplu de atac Cross-Site Scripting ar fi un formular deturnat care pare să se afle pe site-ul dvs. web. Dacă un utilizator introduce date în acel formular, acele date vor fi furate.

5. Programele malware

Malware-ul, prescurtarea software-ului rău intenționat, este un cod care este utilizat pentru a obține acces neautorizat la un site web pentru a colecta date sensibile. Un site WordPress piratat înseamnă, de obicei, că malware-ul a fost injectat în fișierele site-ului dvs. web, deci, dacă suspectați malware pe site-ul dvs., aruncați o privire asupra fișierelor modificate recent.

Deși există mii de tipuri de infecții malware pe web, WordPress nu este vulnerabil la toate. Cele mai frecvente patru infecții malware WordPress sunt:

  • În spate
  • Descărcări drive-by
  • Hacks Pharma
  • Redirecționări rău intenționate

Fiecare dintre aceste tipuri de malware poate fi ușor identificat și curățat fie prin eliminarea manuală a fișierului rău intenționat, instalarea unei versiuni noi de WordPress, fie prin restaurarea site-ului WordPress dintr-o copie de rezervă anterioară neinfectată.

Ce face site-ul dvs. WordPress vulnerabil la problemele de securitate WordPress?

Mai mulți factori pot face site-ul dvs. WordPress mai vulnerabil la atacuri de succes.

1. Parole slabe

Utilizarea unei parole slabe este una dintre cele mai mari vulnerabilități de securitate pe care le puteți evita cu ușurință. Parola de administrator WordPress ar trebui să fie puternică, să includă mai multe tipuri de caractere, simboluri sau numere. În plus, parola dvs. ar trebui să fie specifică site-ului dvs. WordPress și să nu fie folosită în altă parte.

Sunteți curios dacă parola dvs. a fost compromisă? Pluginul iThemes Security verifică dacă parola dvs. a apărut într-o încălcare a datelor. O încălcare a datelor este de obicei o listă de nume de utilizator, parole și adesea alte date cu caracter personal care au fost expuse după ce un site a fost compromis. Cu setarea Refuză parolele compromise, puteți refuza parolele compromise și forțați utilizatorii să utilizeze parole care nu apar în nicio încălcare a parolelor urmărite de API-ul Have I Been Pwned.

2. Nu se actualizează WordPress, pluginuri sau teme

Simplu spus: sunteți expus riscului unui atac dacă rulați versiuni învechite de WordPress, pluginuri și teme pe site-ul dvs. web. Actualizările versiunii includ adesea patch-uri pentru probleme de securitate în cod, deci este important să rulați întotdeauna cea mai recentă versiune a tuturor software-urilor instalate pe site-ul dvs. WordPress.

Actualizările vor apărea în tabloul de bord WordPress imediat ce sunt disponibile. Faceți o practică de a rula o copie de rezervă și apoi de a rula toate actualizările disponibile de fiecare dată când vă conectați la site-ul dvs. WordPress. Deși sarcina de a rula actualizări poate părea incomodă sau obositoare, este o bună practică importantă de securitate WordPress.

actualizări de pluginuri wordpress

Dacă gestionați mai multe site-uri web WordPress, puteți utiliza un instrument de economisire a timpului, cum ar fi iThemes Sync Pro, pentru a gestiona mai bine actualizările. În loc să vă conectați la fiecare site, vă oferă un tablou de bord pentru a gestiona actualizările pentru mai multe site-uri WordPress dintr-un singur loc.

3. Utilizarea pluginurilor și temelor din surse nedemne de încredere

Un cod scăzut, nesigur sau depășit este unul dintre cele mai frecvente moduri în care atacatorii pot exploata site-ul dvs. WordPress. Deoarece pluginurile și temele sunt surse potențiale de vulnerabilități de securitate, ca o bună practică în materie de securitate, descărcați și instalați pluginuri și teme WordPress numai din surse de încredere, cum ar fi din depozitul WordPress.org sau de la companii premium care sunt în afaceri de ceva timp. . De asemenea, evitați versiunile bootleg sau torente „gratuite” ale temelor și pluginurilor premium, deoarece fișierele pot fi modificate pentru a conține programe malware. Costul acestor pluginuri și teme „gratuite” poate veni în detrimentul securității site-ului dvs.

4. Utilizarea găzduirii de calitate slabă sau partajată

Deoarece serverul pe care se află site-ul dvs. WordPress este o țintă pentru atacatori, utilizarea găzduirii de calitate slabă sau partajată poate face site-ul dvs. mai vulnerabil la compromisuri. În timp ce toate gazdele iau măsuri de precauție pentru a-și securiza serverele, nu toate sunt la fel de vigilente sau implementează cele mai recente măsuri de securitate pentru a proteja site-urile web la nivel de server.

Găzduirea partajată poate fi, de asemenea, o problemă, deoarece mai multe site-uri web sunt stocate pe un singur server. Dacă un site web este piratat, atacatorii pot avea acces și la alte site-uri web și la datele lor. În timp ce utilizați un VPS sau un server privat virtual, este mai scump, asigură că site-ul dvs. web este stocat pe propriul server.

Aflați mai multe despre securitatea WordPress cu 10 sfaturi cheie. Descărcați acum cartea electronică: un ghid pentru securitatea WordPress
Descarcă acum

8 acțiuni pe care le puteți face astăzi pentru a vă proteja site-ul WordPress

1. Folosiți o parolă puternică pentru fiecare cont online.

Dacă utilizați în prezent o parolă care conține mai puțin de 6 caractere, schimbați-o acum. Dacă utilizați în prezent o parolă pentru mai multe date de conectare, schimbați-o acum. Dacă aveți aceeași parolă de mai mult de șase luni, schimbați-o acum. Dacă reutilizați o parolă pentru mai multe conturi online, schimbați-o acum.

Începeți să practicați o bună securitate a parolei WordPress, mai ales dacă sunteți utilizator administrator. Pentru a facilita gestionarea parolelor, utilizați un manager de parole, cum ar fi LastPass.

2. Instalați un plugin de securitate WordPress.

Utilizarea unui plugin de securitate WordPress este o modalitate excelentă de a avea grijă de măsurile de securitate suplimentare pe site-ul dvs. WordPress. iThemes Security oferă o verificare de securitate WordPress cu un singur clic care activează cele mai importante și recomandate setări de securitate WordPress. Un bun plugin de securitate WordPress poate gestiona aspectele mai tehnice ale securității site-ului dvs., deci nu trebuie să fiți expert în securitate pentru a utiliza unul.

Consultați iThemes Security pentru peste 30 de moduri de a vă securiza site-ul într-un singur plugin ușor de utilizat. Cu iThemes Security, puteți monitoriza și activitatea de securitate a site-ului dvs. cu un tablou de bord de securitate WordPress în timp real.

3. Activați autentificarea cu doi factori WordPress.

Autentificarea cu doi factori adaugă un strat suplimentar de protecție la datele de conectare WordPress. În plus față de parola dvs., este necesar un cod suplimentar sensibil la timp de la un alt dispozitiv, cum ar fi smartphone-ul dvs., pentru a vă conecta. Autentificarea cu doi factori este una dintre cele mai bune modalități de a bloca datele de conectare WordPress și minimizează aproape complet potențialul atacurilor cu forță brută de succes.

Utilizați pluginul iThemes Security Pro pentru a activa autentificarea WordPress cu doi factori.

4. Păstrați site-ul WordPress actualizat.

Din nou: menținerea site-ului WordPress actualizat este una dintre cele mai bune modalități prin care puteți evita potențialele probleme de securitate WordPress. Conectați-vă la site-ul dvs. WordPress acum și rulați orice actualizări disponibile pentru nucleul WordPress, temele sau pluginurile dvs. Dacă utilizați pluginuri sau teme premium WordPress, asigurați-vă că aveți o licență curentă pentru a vă asigura că primiți actualizări și că nu rulați versiuni învechite.

Utilizați iThemes Sync Pro pentru a gestiona mai multe site-uri WordPress dintr-un tablou de bord central. Încercați gratuit 30 de zile aici.

5. Configurați permisiunile corespunzătoare pe serverul dvs.

Asigurați-vă că sunt setate permisiuni adecvate pentru toate directoarele de pe server. Permisiunile corespunzătoare dictează cine are permisiunea să citească fișiere, să creeze și să editeze fișiere.

Vedeți starea permisiunilor fișierului dvs. WordPress cu iThemes Security Pro.

6. Rulați scanări programate de malware.

Păstrați filele potențialelor infecții malware cu scanări programate malware. Majoritatea serviciilor, cum ar fi scanarea malware oferită în pluginul iThemes Security Pro, vă oferă un raport despre starea malware-ului site-ului dvs. web, împreună cu alte câteva stări de pe lista neagră.

Utilizați funcția de scanare malware WordPress în iThemes Security Pro.

7. Aveți un plan de backup WordPress de încredere.

A avea un plan de rezervă WordPress este o componentă importantă a strategiei dvs. de securitate WordPress. Configurați copiile de rezervă programate pentru a rula și asigurați-vă că trimiteți copiile de siguranță în siguranță în afara site-ului într-o locație securizată, de la distanță, pentru WordPress. De asemenea, asigurați-vă că strategia de backup are o componentă de restaurare în cazul în care trebuie să vă restaurați site-ul dintr-o copie de rezervă curată.

Utilizați pluginul de backup WordPress BackupBuddy pentru backup-uri WordPress în timp real.

8. Activați Protecția împotriva forței brute WordPress.

Protejarea împotriva atacurilor cu forță brută este un alt mod de a reduce eventualele vulnerabilități sau supraîncărcări ale serverului. Utilizați un serviciu care include atât protecția forței brute locale, cât și de rețea, pentru a interzice accesul utilizatorilor care au încercat să pătrundă pe alte site-uri.

Sfat: utilizați protecția forței brute WordPress a iThemes Security Pro.

Obțineți iThemes Security Pro acum + Economisiți 25%!

În timp ce există probleme de securitate pentru WordPress, majoritatea pot fi evitate cu cele mai bune practici de securitate WordPress și conștientizarea potențialelor riscuri de securitate. Înarmat cu cunoștințe și strategii pentru a vă proteja site-ul WordPress, vă puteți minimiza foarte mult vulnerabilitatea față de hacks și vă puteți păstra site-ul WordPress în siguranță.

Un plugin de securitate WordPress de încredere precum iThemes Security Pro vă poate ajuta să vă protejați și să vă protejați site-ul WordPress. Cu peste 30 de moduri de a vă bloca site-ul, iThemes Security funcționează pentru a bloca WordPress, a remedia găurile comune, a opri atacurile automatizate și a consolida acreditările utilizatorului.

Folosiți codul cupon PROTECTWP5 pentru a economisi 25% reducere
Planul iThemes Security Pro.

Obțineți iThemes Security Pro