5 угроз безопасности по умолчанию в WordPress и способы их устранения

WordPress – это очень популярное программное обеспечение с полностью открытым исходным кодом. Самое замечательное в этой безопасности то, что с ней работает огромное сообщество, которое может обнаруживать ошибки, а также угрозы безопасности быстрее, чем это можно было бы сделать с помощью собственного решения CMS. (Трудно узнать о слабых местах, когда один из способов выяснить это на самом деле – использовать эту слабость, а наличие огромной базы пользователей делает открытие намного более вероятным.)

Обратной стороной является то, что хакеры с плохими намерениями точно знают, как устроен ваш сайт. У них уже есть «план» вашего сайта. И если есть какие-либо недостатки в ядре, темах или плагинах, которые вы используете, они смогут узнать об этом, даже не получив доступа к бэкэнду вашего сайта.

Итак, в этом посте я покажу вам, как исправить 5 угроз безопасности, которые присутствуют в любой установке WordPress по умолчанию. (Если вы уже приняли некоторые меры предосторожности, вы можете обнаружить, что уже исправили один или два, но важно исправить все пять, чтобы минимизировать риск взлома.)

Ваш сайт показывает, что вы используете WordPress, плюс версия

Версия WordPress по умолчанию будет иметь строки кода, которые покажут, что ваш сайт построен с использованием WordPress, даже до версии для людей, которые знают, где искать. В зависимости от темы он может даже отображаться визуально на каждой странице вашего сайта.

Причина, по которой это может быть угрозой безопасности, заключается в том, что люди могут нацеливаться на ваш сайт только по той причине, что он построен на WordPress. Если кто-то обнаружит слабое место в системе безопасности в ядре WordPress, теме или плагине, он может найти путь к вашему сайту, чтобы воспользоваться этим. Если вы успешно скрыли, что ваш сайт был создан с помощью WordPress, люди, которые ищут сайты WordPress с помощью ботов или поисковых роботов, будут обмануты, думая, что ваш сайт не является жизнеспособной целью.

Как это исправить:
Чтобы исправить это, вы можете использовать плагин Hide My WP. С помощью этого полезного небольшого плагина вы можете избежать ненужного трафика на своем сервере и в то же время защитить себя от атак, специально нацеленных на сайты WordPress.

Все знают, где находится ваша страница входа / админка

Если вы все еще показываете, что используете WordPress (иначе говоря, не скрывая его активно, например, с помощью такого плагина, как Hide My WP ), люди с плохими намерениями уже будут знать, где предпринять попытку атаки грубой силы на ваш сайт.

Как это исправить:
чтобы устранить эту угрозу и резко снизить вероятность взлома, а также снизить нагрузку на сервер, нам нужно не дать злоумышленникам и ботам попасть на нашу страницу входа.

Это можно сделать двумя основными способами. Вы можете либо изменить физическое расположение своей страницы входа в систему на другое, используя плагин (или несколько строк кода), либо вы можете ограничить доступ к своей странице входа и области администрирования по IP-адресам. Вы можете сделать это с помощью плагина, предназначенного для этой конкретной задачи, или плагина безопасности, такого как Sucuri, Wordfence, iThemes Security Pro или All In One WP Security & Firewall.

В WordPress есть префикс таблицы по умолчанию, который используют все

Префикс таблицы – это то, что стоит перед именами таблиц в вашей базе данных. Вместо пользователей со стандартным префиксом WordPress это будут wp_users. Если вы используете префикс таблицы по умолчанию, это облегчит людям доступ к вашему сайту за счет использования возможных слабых мест внедрения sql. Потому что они точно знают, куда вставить информацию в вашу базу данных, чтобы затем получить доступ к вашему сайту.

На самом деле у меня был взломан один из моих веб-сайтов из-за внедрения sql, так что это очень реальная угроза, против которой вам нужно принять меры.

Как это исправить:
К счастью, эту угрозу очень легко удалить. Если вы уже установили WordPress с префиксом wp_ по умолчанию, вы можете легко изменить его с помощью такого плагина, как Sucuri. Во-первых, вам необходимо сделать резервную копию вашей базы данных, прежде чем использовать эту опцию, поскольку есть небольшая вероятность того, что что-то пойдет не так. Вы можете сделать это одним нажатием кнопки. Затем вы можете выбрать новый префикс или просто позволить Sucuri случайным образом сгенерировать новый префикс для вас.

Примечание. Если вы устанавливаете WordPress впервые, вы можете изменить его в интерфейсе установки.

Файлы тем и плагинов WordPress можно редактировать через панель инструментов

Проблема в том, что если хакер получит доступ к вашему сайту, он может нанести большой ущерб. Они могут заставить ваш сайт заражать других людей вредоносным ПО (что может закончиться тем, что ваш сайт попадет в черный список Google и будет деиндексирован поисковыми системами), испортить ваш сайт или легко открыть бэкдоры.

Как это исправить:
вы можете добавить эту строку кода в файл wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Или используйте плагин безопасности, чтобы сделать это за вас (который, по сути, вставит только эту строку кода за вас). Единственная проблема заключается в том, что есть плагины, которые позволяют людям включать и выключать эту возможность, поэтому очень преданный хакер может установить плагин, включить плагин, а затем получить доступ к редактированию кода без доступа по FTP.

Если вы хотите быть предельно тщательным и защититься от этого, вы можете отключить все обновления / установку плагинов и тем, добавив эту строку кода в wp-config.php:

define( 'DISALLOW_FILE_MODS', true );

Но, очевидно, это будет означать, что вам придется менять его значение на false каждый раз, когда вы хотите обновить или установить плагин или тему (мы действительно не рекомендуем этот вариант, поскольку поддержание тем и плагинов в актуальном состоянии – один из лучших способов. чтобы ваш сайт был менее уязвим).

WordPress имеет очень открытые настройки брандмауэра, которые могут позволить даже известным вредоносным ботам пытаться атаковать

Настройки брандмауэра WordPress по умолчанию на самом деле либеральны. Это означает, что некоторым нежелательным ботам и другим нежелательным посетителям разрешат зеленый свет.

Как это исправить:
вы можете сделать это лучше, установив основные правила брандмауэра из черного списка 5G, либо скопировав их вручную в файл .htaccess (вы можете найти его здесь), либо установив этот плагин, либо используя плагин безопасности для улучшения оптимизируйте правила в вашем .htaccess.

Неограниченное количество попыток входа в WordPress

Хотя настройка по умолчанию действительно неограниченное количество попыток входа в систему, вы, возможно, решили ограничить количество попыток входа, когда вы установили WordPress на свой сайт. Однако если вы этого не сделали, это очень легко исправить.

Как это исправить:
просто установите плагин Limit Login Attempts. Или, если вы используете хостинг WPEngine, это функция, которую они уже встроили для вас – плагин не требуется! Если вы уже защищаете свою область входа, разрешая доступ к dasbhboard только своим IP-адресам, вам не нужно этого делать. Но если вы просто скрыли адрес своей страницы входа, это хорошая двойная защита от потенциальных атак грубой силы.

Заключение

Киберпреступность стремительно растет, и Интернет становится домом для большего количества преступников, чем в «реальном мире». В некоторых странах это уже произошло. И хотя по большей части это мошенничество с кредитными картами и банковским мошенничеством, количество хакеров растет, и как владельцы веб-сайтов мы должны защищать себя и свои сайты как можно лучше.

Хотя стандартная установка WordPress имеет некоторые недостатки, красота WordPress заключается в простоте, с которой вы можете решить практически любые проблемы с вашим сайтом, включая угрозы безопасности, упомянутые в этом посте. Помимо уникального имени пользователя и надежного пароля, установив плагин безопасности, изменив некоторые настройки и, возможно, вставив пару строк кода, вы уже можете значительно снизить риск взлома или заражения вашего сайта вредоносным ПО.

Приняли ли вы какие-либо меры для повышения безопасности своего сайта WordPress? Какие? Нам бы очень хотелось услышать ваши советы и рекомендации! Сообщите нам об этом в комментариях.

Источник записи: https://www.wpexplorer.com