Распространенные ошибки, которые делают веб-сайт WP уязвимым для кибератак

Опубликовано: 2020-03-22

Поздравляем! Вы создали свой веб-сайт WordPress, он выглядит великолепно, и вы готовы к запуску. Тем не менее, одна из самых важных вещей, которые вы должны сделать, — это убедиться, что ваш сайт полностью защищен от киберпреступников. Читайте дальше, чтобы узнать больше об ошибках, которые делают веб-сайт WP уязвимым для кибератак.

Если вы похожи на большинство владельцев веб-сайтов, вы много думали о дизайне и содержании. Но сколько внимания вы уделили безопасности?

Большинство из нас осознает необходимость более жесткой кибербезопасности, но слишком многие из нас не замечают распространенных ошибок, которые подвергают наш трафик и сам веб-сайт риску атаки.

Оглавление

Статистика безопасности WordPress, которая может вас удивить
5 распространенных уязвимостей безопасности WordPress
- Отсутствие защиты страницы входа
- Неправильное распределение ролей
- Использование неподдерживаемых или устаревших тем и плагинов
- Неиспользование надлежащих функций безопасности
- Попытка сэкономить деньги
Защитите себя и своих посетителей

Последние мысли

Статистика безопасности WordPress, которая может вас удивить

WordPress на сегодняшний день является самой популярной CRM и конструктором веб-сайтов, поддерживающим более трети всех веб-сайтов, активных в Интернете, включая веб-сайт Белого дома, New York Times и другие громкие имена.

К сожалению, это также делает его более серьезной мишенью для хакеров и киберпреступников.

Самые большие уязвимости связаны с выбранным вами типом хостинга ( 46% ) и плагинами, которые вы используете для добавления функциональности ( 52% ). В настоящее время в каталоге WP находится более 55 000 плагинов , но менее 3% из них были обновлены их разработчиком. Более половины не имеют отзывов пользователей.

Другой проблемой является то, как эти веб-сайты подвергаются атакам.

Из всех вредоносных атак в Интернете 86 процентов связаны с эксплойтами межсайтового скриптинга (XXS), из которых 39 процентов — против сайтов на базе WP. Использование устаревшей версии WP было причиной 41% всех атак. Устаревшие или неподдерживаемые темы стали причиной 11% кибератак .

Давайте подробнее рассмотрим основные угрозы, с которыми вы столкнетесь как владелец сайта WordPress, и способы их предотвращения.

5 распространенных уязвимостей безопасности WordPress

Хотя существуют, возможно, тысячи рисков, многие из них являются вариациями на одну и ту же тему. Например, эксплойты социальной инженерии очень распространены, но инженерные атаки, такие как целевой фишинг и фишинг , различаются по своим целям и подходам. Одна нацелена на конкретных людей или компании, а другая представляет собой более широко распространенную общую атаку.

Это основные действия, которые предпринимает неопытный владелец веб-сайта, чтобы сделать свой сайт менее безопасным.

Отсутствие защиты страницы входа

Наиболее распространенными атаками являются атаки грубой силы, которые проникают прямо через вашу входную дверь. Вы можете подумать, что защищены паролем, но не замечаете другие уязвимости при входе в систему.

Прежде всего, избавьтесь от имени пользователя по умолчанию «admin» и замените его на то, что вам легко запомнить, но трудно угадать кому-то еще.

Затем используйте генератор паролей, чтобы создать сверхнадежный пароль и менять его не реже одного раза в месяц. Вы также можете использовать двухфакторную аутентификацию для входа в систему и настроить интерфейс входа в систему таким образом, чтобы он блокировался после двух неудачных попыток.

Неправильное распределение ролей

Если вы не профессионал-одиночка или блоггер, у которого много свободного времени, есть большая вероятность, что есть другие люди, имеющие доступ к вашему сайту. Разработчики также должны предоставлять разрешения своим клиентам для авторизации изменений или обновления контента.

Будьте осторожны, кому вы назначаете определенные роли и какой доступ вы предоставляете. Например, редактору не нужно будет иметь доступ к вашему коду или большинству баз данных, но администратору это необходимо. Роли для каждого типа пользователей и уровней доступа можно настроить на панели управления. Просто нажмите «Пользователи» в меню боковой панели, и вы попадете в нужное место.

Использование неподдерживаемых или устаревших тем и плагинов

Все мы пробовали разные темы или плагины, чтобы увидеть, как они выглядят и работают, только для того, чтобы отказаться от них, когда мы решили, что они не будут работать на нашем веб-сайте. Если вы больше не используете тему или плагин, удалите их, а не просто отключите. Старые или неиспользуемые темы и плагины — очень распространенный способ взлома хакерами, когда вы не смотрите.

WordPress довольно хорошо сообщает вам, есть ли доступное обновление для какого-либо программного обеспечения или приложения, поэтому заходите каждый день, чтобы проверить свою панель управления. Удалите номер версии из вашего IP-адреса и любых верхних или нижних колонтитулов. Хакеры отслеживают известные уязвимости и ищут устаревшие версии для использования.

Неиспользование надлежащих функций безопасности

По сути, ваша безопасность должна включать антивирусное программное обеспечение и аутентификацию SSL. Но функции безопасности не должны заканчиваться на этом. Некоторые из лучших плагинов WP обеспечивают дополнительную защиту от спама (Akismet) и вредоносных программ. Вы также можете использовать такую услугу, как Succuri Site Check , для проверки вашего веб-сайта на наличие вредоносных приложений, действий и кода.

Попытка сэкономить деньги

Никто не любит тратить деньги без необходимости. Однако поговорка о том, что вы получаете то, за что платите, стала общепринятой не просто так. Финансирование запуска и роста является проблемой почти для каждой компании, но будьте разборчивы в том, как и где вы экономите.

Веб-безопасность — это не то место, где можно экономить.

* Выбирайте проверенные темы и плагины от известных разработчиков, которые предлагают поддержку и другие преимущества обслуживания клиентов.

* Вместо бесплатного хостинга выберите недорогого провайдера, который предлагает дополнительную безопасность и гарантированное время безотказной работы. Их много вокруг. Это не только уменьшит риск внешней атаки, но также улучшит время безотказной работы и скорость.

Защитите себя и своих посетителей

Обычный человек принимает мало решений об использовании Интернета, кроме выбора поставщика услуг и, возможно, установки антивирусной защиты. Те, кто немного больше обеспокоен, могут также установить виртуальную частную сеть (VPN) , чтобы защитить свою личность и скрыть активность в серфинге.

Они рассчитывают, что разработчики, дизайнеры и владельцы веб-сайтов защитят свою информацию и дизайн с учетом требований безопасности.

Вы можете оправдать их ожидания, учитывая передовые методы обеспечения безопасности веб-сайтов на каждом этапе сборки или обновления.

Убедитесь, что вы используете безопасный код и плагины от надежных разработчиков. Установите обновления, как только они станут доступны. Если возможно, выберите хостинг, который предлагает управляемый хостинг WP. Они позаботятся о безопасности со своей стороны, и многие из них также включают бесплатную аутентификацию SSL для защиты вашего домена. Если у вас есть возможность автоматической установки обновлений, используйте ее.

Когда ваш хостинг предоставляет резервные копии, используйте их. Вы также должны спросить о политике восстановления, процедурах и доступе к вашим данным в случае сбоя или взлома. На всякий случай у вас должны быть собственные процедуры резервного копирования и восстановления сайта.

Последние мысли

На безопасность веб-сайта влияет все, начиная от выбора хостинга и заканчивая выбранной вами темой . Выполнение приведенных выше рекомендаций снизит риск кибератак, а вашим посетителям будет относительно легко и приятно работать с сайтом. Вот в чем дело, в конце концов.

Оценивали ли вы безопасность вашего сайта в последнее время?