Top 10 greșeli de securitate WordPress și cum să le evitați

Greșelile de securitate WordPress sunt ușor de făcut. Cele mai frecvente greșeli în securitatea dvs. WordPress pot fi bazate pe informații învechite, mituri comune de securitate WordPress sau pur și simplu necunoscând cele mai bune practici de securitate WordPress.

În timp ce WordPress în sine este sigur, evitarea greșelilor de securitate WordPress necesită un pic de efort din partea proprietarilor de site-uri. În această postare, vom acoperi primele 10 greșeli de securitate WordPress cu sfaturi despre cum să le evitați.

Haideți să ne scufundăm. Vom acoperi totul, de la calitatea gazdei dvs. WordPress până la conectarea administratorului WordPress la temele și pluginurile pe care le utilizați.

1. Alegerea găzduirii slabe

Nu toate gazdele web sunt create egal, iar alegerea unuia doar pe preț poate ajunge să vă coste mult mai mult pe termen lung, cu greșeli de securitate WordPress.

Majoritatea mediilor de găzduire partajate sunt sigure, dar unele nu separă corect conturile de utilizator. Dacă conturile de utilizator nu sunt separate corect, un singur cont compromis ar putea elimina fiecare site de pe acel server partajat.

Gazda dvs. ar trebui să fie vigilentă cu privire la aplicarea celor mai recente patch-uri de securitate și la respectarea altor bune practici importante de securitate a găzduirii legate de securitatea serverului și a fișierelor.

Cum să evitați alegerea unei găzduiri slabe

Alegeți o gazdă de renume pentru site-ul dvs. web cu o înregistrare solidă de securitate.

Consultați iThemes Hosting pentru un furnizor de hosting în care puteți avea încredere.

2. Nu aveți un plan de backup WordPress

Copiile de siguranță și securitatea nu sună într-adevăr ca și cum ar fi legate. Dar aveți încredere în noi, dacă aveți o copie de rezervă a site-ului dvs. WordPress după un atac ransomware, puteți salva cu adevărat slănina.

Un atac ransomware este atunci când un hacker criptează fișierele site-ului dvs. web, făcându-le și site-ul dvs. inaccesibil. Pentru a recâștiga accesul la site-ul dvs., aveți nevoie de o cheie pentru a decripta fișierele. Pentru o taxă importantă, hackerul va fi mai mult decât fericit să vă ofere cheia.

Dacă aveți o copie de rezervă a site-ului dvs. WordPress vă permite să reveniți la site-ul dvs. înainte de a fi reținut pentru răscumpărare. Recâștigați accesul la site-ul dvs. web fără a fi nevoie să plătiți răscumpărarea solicitată. #baconsaved

Cum să evitați să nu aveți o copie de rezervă a site-ului web

Creați un program pentru a vă face backup în mod regulat pe site.

BackupBuddy, pluginul nostru de backup WordPress, este instrumentul nostru recomandat pentru backupurile WordPress. Cu BackupBuddy, puteți configura programe de backup pentru 5 tipuri de backup-uri WordPress, astfel încât backup-urile dvs. să ruleze automat. Asta e liniște sufletească.

3. Conectări nesigure

Conectarea la WordPress este cea mai atacată și potențial vulnerabilă parte a oricărui site WordPress. În mod implicit, nu există nimic încorporat în WordPress pentru a limita numărul de încercări eșuate de conectare pe care le poate face cineva. Fără o limită a numărului de încercări de conectare nereușite pe care le poate face un atacator, pot continua să încerce o cantitate nesfârșită de nume de utilizator și parole până când vor avea succes.

Conectarea dvs. la WordPress seamănă mult cu ușa din față a casei dvs. Fără o încuietoare la ușa din față, ar fi ușor pentru oricine să meargă chiar în casa ta, să înceapă să-ți mute mobilierul, să-ți sparg lucrurile și să-ți fure televizorul. Nu are sens decât să adăugați o încuietoare la ușa din față pentru a face mai greu accesul unui viitor hoț în casa dvs.

Cum să evitați o autentificare nesigură

Utilizați un plugin de securitate WordPress pentru a limita mesajele de autentificare nevalide.

Funcția iThemes Security Pro Local Brute Force Protection ține evidența încercărilor de conectare nevalide făcute de o gazdă sau de o adresă IP și de un nume de utilizator. Odată ce un IP sau un nume de utilizator a făcut prea multe încercări consecutive de conectare nevalide, acestea vor fi blocate și împiedicate să mai facă alte încercări.

4. Fără protecție împotriva atacurilor automate cu bot

Un bot este un software care este programat pentru a efectua o listă specifică de sarcini. Dezvoltatorii creează un set de instrucțiuni pe care un robot le va urma automat, fără ca dezvoltatorul să fie nevoit să le spună să înceapă. Roboții vor efectua sarcini repetitive și banale mult mai repede decât putem.

Unii dintre acești roboți sunt programați cu motive nefaste precum:

Brute Force Bots parcurg internetul în căutarea autentificărilor WordPress pentru a ataca.

Conținutul Scraping Bots este programat pentru a descărca conținutul site-ului dvs. web fără permisiunea dvs. Robotul poate duplica conținutul pe care îl va folosi pe site-ul atacatorului pentru a-și îmbunătăți SEO-ul și a fura traficul site-ului dvs.

Spamboții își ascund comentariile cu promisiunile de a deveni milionar în timp ce lucrează de acasă, în speranța de a-ți trimite vizitatorii pe site-uri web rău intenționate.

Cum să evitați atacurile automate ale unui bot

Evitați această greșeală de securitate WordPress utilizând protecție automată împotriva botului ca Google reCAPTCHA pe site-ul dvs. web.

Funcția Google reCAPTCHA din iThemes Security Pro vă protejează site-ul împotriva roboților răi. reCAPTCHA folosește tehnici avansate de analiză a riscurilor pentru a distinge oamenii și roboții. Odată identificat un bot rău, acesta va fi pornit de pe site-ul dvs. web.

5. Utilizarea versiunilor vulnerabile de pluginuri, teme sau WordPress Core

Pluginurile sau temele WordPress vulnerabile sunt cea mai mare greșeală de securitate WordPress pe care o puteți face. Menținerea software-ului actualizat este o parte esențială a oricărei strategii de securitate, iar aceasta include nucleul WordPress și temele și pluginurile dvs. Actualizările de versiune nu sunt doar pentru remedierea erorilor și funcții noi. Actualizările pot include, de asemenea, patch-uri de securitate critice. Vă lăsați telefonul, computerul, serverul, routerul sau site-ul web vulnerabil la atac fără acel patch.

Hackerii vizează vulnerabilitățile reparate, deoarece știu că oamenii nu se actualizează (inclusiv pluginuri și teme de pe site-ul dvs.). Este un standard din industrie să dezvăluie în mod public vulnerabilitățile în ziua în care sunt corecționate. După ce o vulnerabilitate este dezvăluită public, aceasta devine o „vulnerabilitate cunoscută” pentru versiunile învechite și nepatched ale software-ului. Software-ul cu vulnerabilități cunoscute este o țintă ușoară pentru hackeri.

Hackerilor le plac țintele ușoare. A avea programe învechite cu vulnerabilități cunoscute este ca și cum ai oferi unui hacker instrucțiuni pas cu pas pentru a pătrunde pe site-ul tău WordPress.

A avea un plugin sau o temă vulnerabilă pentru care este disponibil un patch, dar care nu este aplicat, este vinovatul numărul unu al site-urilor WordPress piratate.

Cum să evitați utilizarea pluginurilor și temelor vulnerabile

Păstrați toate pluginurile și temele actualizate pentru a evita greșeala de securitate WordPress a software-ului vulnerabil.

Utilizați scanarea site-ului iThemes Security Pro. Scanarea site-ului efectuează verificări automate ale vulnerabilităților cunoscute instalate pe site-ul dvs. Și dacă este disponibil un patch, iThemes Security Pro va aplica automat soluția pentru dvs.

6. Securitate slabă a utilizatorului

Securitatea slabă a utilizatorului este o greșeală majoră de securitate WordPress. Simplu spus: un singur utilizator de administrator WordPress cu o parolă slabă ar putea submina toate celelalte măsuri de securitate ale site-ului web pe care le-ați pus în aplicare. De aceea, securitatea utilizatorului este o parte esențială a oricărei strategii de securitate WordPress.

Potrivit Raportului de investigații privind încălcarea datelor Verizon, peste 70% dintre angajați refolosesc parolele la locul de muncă. Dar cea mai importantă statistică din raport este că „81% din încălcările legate de hacking au folosit parolele furate sau slabe”.

Într-o listă compilată de Splash Data, cea mai obișnuită parolă inclusă în toate depozitele de date a fost 123456. Un depozit de date este o bază de date piratată plină cu parole de utilizator aruncate undeva pe internet. Vă puteți imagina câte persoane de pe site-ul dvs. web utilizează o parolă slabă dacă 123456 este cea mai comună parolă din depozitele de date?

Instrumentele hackerilor sunt din ce în ce mai bune și pot ocoli parolele mai repede decât oricând. De exemplu, să aruncăm o privire la o diagramă creată de Terahash, o companie de înaltă performanță care creează parolele. Diagrama lor arată timpul necesar pentru a sparge o parolă folosind un cluster hashstack de 448x RTX 2080s.

În mod implicit, WordPress folosește MD5 pentru a hash parolele utilizatorilor stocate în baza de date WP. Deci, conform acestui grafic, Terahash ar putea sparge o parolă de 8 caractere ... aproape instantaneu. Acest lucru nu este doar super impresionant, ci este și înfricoșător.

Pentru a înrăutăți lucrurile, chiar dacă 91% dintre oameni știu că reutilizarea parolelor este o practică slabă, 59% dintre oameni își refolosesc parolele peste tot! Mulți dintre acești oameni folosesc în continuare parole despre care știu că au apărut într-o bază de date.

Hackerii folosesc o formă de forță brută atacată numită atac de dicționar. Un atac de dicționar este o metodă de intrare într-un site web WordPress cu parole utilizate în mod obișnuit, care au apărut în depozitele de baze de date. „Colecția nr. 1? Încălcarea datelor care a fost găzduită pe gazdă MEGA a inclus 1.160.253.228 de combinații unice de adrese de e-mail și parole. Adică miliarde cu b. Acest tip de scor va ajuta într-adevăr un atac de dicționar să restrângă cele mai utilizate parole WordPress.

Cum să evitați securitatea slabă a utilizatorului

Cel mai bun mod de a evita greșeala de securitate WordPress a securității slabe a utilizatorului este prin crearea unei politici de parolă puternice și utilizarea autentificării cu doi factori.

Funcția Cerințe de parolă iThemes Security Pro permite forțarea membrilor unui grup de utilizatori să utilizeze o parolă puternică , să aleagă un moment de expirare a parolei , să refuze parolele compromise și să forțeze o modificare a parolelor la nivelul întregului site pentru a face pe toți să respecte politica noii dvs. parole puternice.

Autentificarea cu doi factori este un proces de verificare a identității unei persoane prin necesitatea a două metode separate de verificare. Google a împărtășit pe blogul său că utilizarea autentificării cu doi factori poate opri 100% din atacurile automate de bot.

Funcția de autentificare cu doi factori iThemes Security Pro oferă o mulțime de flexibilitate atunci când implementați 2fa pe site-ul dvs. web. Puteți activa doi factori pentru toți sau unii dintre utilizatorii dvs. și vă puteți forța utilizatorii la nivel înalt să utilizeze 2fa la fiecare autentificare.

7. Comunicații necriptate (fără SSL)

Nerecriptarea comunicărilor de pe site-ul dvs. web este o greșeală gravă de securitate WordPress. De fiecare dată când facem o achiziție online, comunicarea are loc între browserul dvs. și magazinul online. De exemplu, atunci când introducem numărul de card de credit în browserul nostru, browserul nostru va partaja numărul magazinului online. După ce magazinul primește plata, acesta îi spune browserului să vă anunțe că achiziția dvs. a avut succes.

Un lucru de reținut cu privire la informațiile partajate între browserul nostru și serverul magazinului este că informațiile fac mai multe opriri în tranzit. Dacă comunicarea este necriptată, un hacker ne-ar putea fura cardul de credit înainte de a ajunge la destinația finală a serverului magazinului.

Pentru a înțelege mai bine cum funcționează criptarea, gândiți-vă la modul în care sunt livrate achizițiile noastre. Dacă ați urmărit vreodată starea de livrare a unei achiziții online, ați fi văzut că comanda dvs. a făcut mai multe opriri înainte de a ajunge la domiciliu. Dacă vânzătorul nu v-a ambalat corect achiziția, ar fi ușor pentru oameni să vadă ce ați achiziționat.

Cum să evitați comunicarea necriptată

Veți avea nevoie de un certificat SSL pentru a cripta comunicarea pe site-ul dvs. web. Dacă site-ul dvs. WordPress lipsește SSL, primul lucru pe care ar trebui să-l faceți este să cereți furnizorului dvs. de găzduire să vadă dacă furnizează un certificat și o configurație SSL gratuite.

Cloudflare oferă un certificat SSL partajat gratuit pentru site-urile web WordPress. Dacă preferați să nu aveți un certificat SSL partajat și sunteți confortabil cu linia de comandă, CertBot este o opțiune excelentă. Certbot nu numai că creează un certificat SSL gratuit folosind Let's Encrypt pentru dvs., dar va gestiona automat reînnoirea certificatului pentru dvs.

8. Logare și monitorizare de securitate insuficiente

Înregistrarea insuficientă pe site-ul dvs. web este o greșeală de securitate WordPress suficient de mare încât a atins primele 10 riscuri de securitate ale aplicațiilor web OWASP. Logarea este o parte esențială a strategiei dvs. de securitate WordPress. Monitorizarea comportamentului corect vă va ajuta să identificați și să opriți atacurile, să detectați o încălcare și să accesați și să reparați daunele produse site-ului dvs. web după un atac reușit.

Înregistrarea și monitorizarea insuficiente pot duce la o întârziere în detectarea unei încălcări de securitate. Majoritatea studiilor privind încălcările arată că timpul pentru detectarea unei încălcări este de peste 200 de zile! Această perioadă de timp permite unui atacator să încalce alte sisteme, să modifice, să fure sau să distrugă mai multe date.

Cum să evitați înregistrarea insuficientă

Adăugați jurnal de securitate pe site-ul dvs. web pentru a evita această greșeală de securitate WordPress. Puteți utiliza unele dintre funcțiile și filtrele pentru dezvoltatori pe care le oferă WordPress pentru a crea un sistem de înregistrare, dar cel mai simplu mod de a porni un jurnal de securitate este să instalați un plugin de securitate WordPress.

Jurnalele de securitate iThemes Security Pro WordPress monitorizează și înregistrează automat evenimentele critice de securitate care apar pe site-ul dvs. web.

9. Pluginuri și teme neutilizate

A avea pluginuri și teme neutilizate sau inactive pe site-ul dvs. este o greșeală majoră de securitate WordPress. Fiecare bucată de cod de pe site-ul dvs. web este un potențial punct de intrare pentru un hacker.

Este o practică obișnuită pentru dezvoltatori să utilizeze coduri terță parte - cum ar fi bibliotecile JS - în pluginurile și temele lor. Din păcate, dacă bibliotecile nu sunt întreținute corect, pot crea vulnerabilități pe care atacatorii le pot folosi pentru a vă pirata site-ul web.

Cum să evitați pluginurile și temele

Dezinstalați și ștergeți complet orice pluginuri și teme inutile de pe site-ul dvs. WordPress pentru a limita numărul de puncte de acces și cod executabil de pe site-ul dvs. web.

În plus, evitați utilizarea pluginurilor WordPress abandonate. Dacă vreun plugin instalat pe site-ul dvs. WordPress nu a primit o actualizare în șase luni sau mai mult.

10. Instalarea software-ului din surse de încredere

Instalarea software-ului din surse de încredere este una dintre modalitățile rapide de a crea o greșeală de securitate WordPress. Ar trebui să fiți atenți la o versiune „nulă” a pluginurilor comerciale. Adesea, aceste versiuni gratuite sau foarte reduse ale pluginurilor profesionale conțin cod rău intenționat.

Nu contează cum blocați site-ul WordPress dacă sunteți cel care instalează malware.

Cum să evitați software-ul din surse de încredere

Ar trebui să instalați numai software pe care îl obțineți de la WordPress.org, depozite comerciale bine cunoscute sau direct de la dezvoltatori de renume.

Dacă pluginul sau tema WordPress nu sunt distribuite pe site-ul dezvoltatorului, va trebui să vă faceți diligența înainte de a descărca pluginul. Contactați dezvoltatorii pentru a vedea dacă sunt afiliați în vreun fel site-ului web care își oferă produsul la un preț gratuit sau redus.

Încheierea: Cele mai importante 10 greșeli de securitate WordPress explicate

După cum putem vedea, există o mulțime de potențiale greșeli de securitate WordPress. Din fericire, toate greșelile de securitate sunt ușor evitate cu doar puțin efort de la noi.

O listă simplă de verificare a securității WordPress

Majoritatea vulnerabilităților de securitate WordPress pot fi atenuate adoptând o abordare proactivă a securității WordPress. Pentru a recapitula, iată o listă simplă de verificare a securității WordPress de urmat:

• 1. Alegeți o găzduire de calitate.
• 2. Creați un program de rezervă.
• 3. Limitați încercările de conectare nevalide
• 4. Adăugați protecție automată împotriva botului.
• 5. Evitați să utilizați software vulnerabil.
• 6. Folosiți parole puternice și 2fa.
• 7. Criptați comunicarea cu SSL.
• 8. Adăugați jurnalul de securitate WordPress.
• 9. Eliminați pluginurile și temele neutilizate.
• 10. Instalați software numai din surse de încredere.

Obțineți iThemes Security Pro

Michael Moore

În fiecare săptămână, Michael realizează Raportul de vulnerabilitate WordPress pentru a vă menține site-urile în siguranță. În calitate de manager de produs la iThemes, el ne ajută să continuăm să îmbunătățim gama de produse iThemes. Este un tocilar uriaș și iubește să învețe despre toate lucrurile tehnice, vechi și noi. Îl poți găsi pe Michael stând cu soția și fiica sa, citind sau ascultând muzică atunci când nu funcționează.