Top 10 vulnerabilități de securitate WordPress și modalități de a le remedia

Publicat: 2018-11-28

Acest citat este suficient de bun pentru a vă oferi o idee despre problemele de securitate care au loc în întreaga lume. De fapt, securitatea site-ului este un subiect care oferă de multă vreme nopți nedormite proprietarilor site-ului. Nimeni nu a reușit să obțină securitate 100% pentru site-ul său de afaceri.

Potrivit unui sondaj realizat de Juniper Research, criminalitatea cibernetică va costa afacerile peste 2 trilioane de dolari până în 2019. Aceasta este o statistică alarmantă și arată că securizarea zilnică a unui site web devine foarte dificilă. În același timp, trebuie să găsești modalități de a-ți securiza site-ul, deoarece acesta conține datele tale cele mai importante, precum și informațiile sensibile.

După cum știți cu toții, WordPress alimentează 31% din internet și, prin urmare, este foarte clar că platforma WordPress se va confrunta cu cel mai mare număr de probleme de securitate web. Majoritatea utilizatorilor au încredere în această platformă minunată și de aceea și-au construit site-urile de afaceri pe aceasta.

Totuși, potrivit unei cercetări efectuate de Sucuri, WordPress este cea mai infectată platformă de site-uri web pentru anul 2018.

WordPress in 2018

Prin urmare, devine important pentru voi toți să fiți conștienți de diversele vulnerabilități de securitate WordPress și modalitățile de a le remedia. Deci, să începem și să analizăm fiecare vulnerabilitate una câte una.

Există două tipuri de companii: cele care au fost piratate și cele care încă nu știu că au fost piratate.

– John Chambers

Top 10 vulnerabilități de securitate WordPress

  1. Gazduire web nesigura
  2. Utilizarea unei parole slabe
  3. Nu se actualizează WordPress
  4. Injecție SQL
  5. Am uitat să securizăm fișierul de configurare WordPress
  6. Nu se actualizează pluginuri sau teme
  7. Folosind FTP simplu
  8. Nu se schimbă prefixul tabelului WordPress
  9. Programe malware
  10. Permisiuni incorecte pentru fișiere

1. Gazduire web nesigura

Acesta este poate unul dintre cele mai mari motive pentru care site-urile WordPress se infectează ușor. La fel ca toate celelalte site-uri web, site-ul WordPress este, de asemenea, găzduit pe server. Uneori, ceea ce se întâmplă este că companiile furnizorilor de găzduire nu își securizează platforma. În acest tip de scenariu, există toate șansele ca site-ul dvs. WordPress să fie atacat de un străin.

Mod de a rezolva această problemă

Cel mai bun mod este de a remedia această problemă este găzduind site-ul dvs. WordPress pe unele dintre platformele de găzduire de top. Iată o listă cu cei mai buni furnizori de găzduire WordPress pe care îi puteți utiliza pentru site-ul dvs. de afaceri.

Cei mai buni furnizori de găzduire WordPress

  • Bluehost
  • HostGator
  • SiteGround
  • DreamHost
  • Gazduire InMotion

2. Utilizarea unei parole slabe

Parolele sunt o parte cheie a securității site-ului dvs. WordPress. Întotdeauna trebuie să vă asigurați că utilizați o parolă puternică pentru contul dvs. WordPress. Potrivit unei cercetări efectuate de WPTemplate, 8% dintre site-urile WordPress din întreaga lume sunt sparte din cauza parolei săptămânale. O parolă de săptămână poate oferi acces ușor la următoarele lucruri:

  • Cont de administrator WP
  • Cont C-Panel
  • Cont FTP
  • Baza ta de date WordPress

De aceea, devine extrem de vital să ai o parolă puternică pentru site-ul tău WordPress.

Mod de a rezolva această problemă
  • Formează o parolă complexă

    Una dintre modalitățile prin care puteți remedia această problemă este prin formarea unei parole complexe pentru site-ul dvs. Încercați întotdeauna să utilizați combinația de alfabet, numere, caractere speciale etc. pentru a crea o parolă. Vă va ajuta să creați o parolă puternică, care nu poate fi ghicită cu ușurință.

  • Utilizați un manager de parole

    Cealaltă modalitate de a remedia această problemă este utilizarea managerilor de parole. Un manager de parole este o aplicație care vă permite să stocați toate parolele într-un singur loc și apoi să o gestionați printr-o parolă principală. USP-ul oricărui manager de parole este că au o funcționalitate de completare automată.

    Iată o listă cu cei mai buni manageri de parole:

    • LastPass
    • 1 Parolă
    • Dashlane
  • Autentificare cu doi factori

    Aceasta este una dintre cele mai bune modalități de a vă proteja site-ul WordPress de furtul parolei. Într-un scenariu de autentificare cu doi factori, dacă un atacator este capabil să ghicească parola site-ului dvs. WordPress, atunci el/ea nu se va conecta la site-ul dvs. El/ea va solicita un cod de securitate care este trimis pe mobil. În acest fel, veți putea să vă protejați site-ul.

    Există modalități majore de a configura autentificarea cu doi factori în WordPress:

    1. Verificare prin SMS
    2. Aplicația Google Authenticator

3. Nu se actualizează WordPress

Există mulți utilizatori care se simt confortabil cu una dintre versiunile WordPress și, prin urmare, nu își actualizează versiunea WordPress la un interval regulat. Motivul principal din spatele ei este că se tem că le-ar distruge site-ul. Cu toate acestea, fiecare versiune nouă de WordPress vine cu remedieri pentru erorile de securitate și de aceea devine important să vă actualizați site-ul.

Mod de a rezolva această problemă

Verificați întotdeauna cea mai recentă versiune de WordPress și încercați să vă mențineți site-ul actualizat. Acest lucru va minimiza șansele oricăror probleme de securitate. Pentru cei care se tem că actualizarea WordPress va crea o defecțiune a site-ului, pot lua o copie de rezervă a site-ului lor. Deci, dacă noua versiune nu funcționează conform cerințelor dvs., atunci puteți oricând să reveniți înapoi.

4. Injectare SQL

SQL Injection este una dintre cele mai vechi metode de obținere a accesului la site. După cum știți cu toții că, SQL este un limbaj care este folosit pentru a lucra cu baza de date WordPress și de aceea, în acest tip de atac, hackerii injectează comenzi SQL în site-ul dvs. pentru a prelua informațiile. Hackerii devin inteligenți zi de zi și vin cu o nouă injecție SQL în fiecare zi sau alta. Deci, în calitate de proprietar de site, ar trebui să fiți conștienți de modalitățile de a scăpa de această problemă.

Mod de a rezolva această problemă
  • Scanare pentru vulnerabilitate de injectare SQL

    Ar trebui să verificați în mod regulat problema SQL Injection pe site-ul dvs. WordPress. Cu toate acestea, aceasta poate fi o sarcină foarte dificilă de efectuat manual și de aceea ar trebui să utilizați câteva instrumente de scanare de securitate în acest scop. Iată o listă cu cele mai bune instrumente de scanare de securitate:

    • Scanare de securitate WordPress
    • Sucuri SiteCheck
    • WPScan
  • Adăugarea unui cod la fișierul dvs. .htaccess

    O altă modalitate de a preveni injectarea SQL este să adăugați un anumit cod în fișierul dvs. .htaccess. .htaccess este un fișier de configurare care este utilizat pe serverele web și, prin urmare, schimbând acea parte, veți putea restricționa accesul celor din afară la baza dvs. de date WordPress.

    Adăugați următorul cod în fișierul dvs. .htaccess:

    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
    RewriteRule ^(.*)$ - [F,L]
    RewriteCond %{QUERY_STRING} ../ [NC,OR]
    RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
    RewriteCond %{QUERY_STRING} tag= [NC,OR]
    RewriteCond %{QUERY_STRING} ftp:  [NC,OR]
    RewriteCond %{QUERY_STRING} http:  [NC,OR]
    RewriteCond %{QUERY_STRING} https:  [NC,OR]
    RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
    RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|e|"|;|?|*|=$).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
    RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
    RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
    RewriteRule ^(.*)$ - [F,L]
    

5. A uitat să securizăm fișierul de configurare WordPress

Fișierul de configurare WordPress (wp-config.php) cuprinde acreditările de conectare la baza de date WordPress. Prin urmare, dacă vreun străin primește acces la acest fișier, atunci el/ea vă poate fura informațiile și poate provoca daune site-ului dumneavoastră. Prin urmare, devine necesar să faceți tot posibilul pentru a proteja acest fișier.

Mod de a rezolva această problemă

Una dintre cele mai simple moduri de a proteja fișierul wp-config.php este modificarea .htaccess și restricționarea accesului. În acest scop, adăugați pur și simplu următorul fragment în fișierul dvs. .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

6. Nu se actualizează pluginuri sau teme

La fel ca WordPress de bază, este important să utilizați cea mai recentă versiune a pluginurilor sau temelor de pe site-ul WordPress. Utilizarea unei versiuni învechite a oricărui plugin sau temă poate face site-ul dumneavoastră vulnerabil la amenințările de securitate. Potrivit unui sondaj realizat de WPWhiteSecurity, 54% dintre vulnerabilitățile WordPress globale se datorează pluginurilor.

Mod de a rezolva această problemă

Verificați întotdeauna actualizarea în oricare dintre pluginurile și temele dvs. Asigurați-vă că utilizați cea mai recentă versiune disponibilă pe WordPress. Urmând această metodologie, veți minimiza șansele de amenințări de securitate pe site-ul dvs. WordPress.

7. Folosind FTP simplu

Pentru cei care nu știu, conturile FTP sunt folosite pentru a încărca un fișier pe serverul site-ului dvs. folosind un client FTP. Majoritatea furnizorilor de găzduire acceptă conexiunea FTP folosind diferite tipuri de protocoale: FTP simplu, SFTP sau SSH.

Majoritatea proprietarilor de site-uri WordPress fac greșeala de a folosi FTP simplu. Acum, ceea ce se întâmplă într-un FTP simplu este că parola dvs. este trimisă la server în formă necriptată. Deci, oricine poate pirata serverul poate obține un acces ușor la site-ul dvs. WordPress.

Mod de a rezolva această problemă

În loc să utilizați FTP, puteți opta pentru opțiunea SFTP sau SSH. Nu trebuie să schimbați clientul FTP în acest scop. Doar schimbați protocolul în „SFTP-SSH” în timp ce vă conectați la site-ul dvs. web. Prin utilizarea acestui protocol, veți putea trimite parola către server într-o formă criptată, ceea ce reduce la minimum riscul problemelor de securitate.

8. Nu se schimbă prefixul tabelului WordPress

După cum știți cu toții, în mod implicit, toate tabelele WordPress create în baza de date încep cu un prefix numit ks29so_. Majoritatea dezvoltatorilor WordPress nu le pasă să schimbe acest prefix, deoarece simt că nu va afecta performanța site-ului.

În mod constant, acest prefix face site-ul dvs. WordPress vulnerabil la problemele de securitate. Motivul din spatele acestui lucru este că un atacator poate ghici cu ușurință numele tabelelor bazei de date WordPress. Prin urmare, ar trebui să încercați să remediați această problemă cât mai curând posibil.

Mod de a rezolva această problemă

În loc să utilizați prefixul implicit pentru tabelele bazei de date WordPress, ar trebui să vă definiți propriul prefix, care este de natură complicată, astfel încât nimeni să nu-l poată ghici. Puteți schimba prefixul tabelelor bazei de date WordPress în momentul instalării. Deci, amintiți-vă întotdeauna acest punct. După aceea, nu veți avea șansa de a schimba prefixul.

Iată cum puteți schimba prefixul bazei de date WordPress pentru a îmbunătăți securitatea:

9. Programe malware

Malware este o abreviere pentru software rău intenționat. Cu alte cuvinte, puteți spune că este codul care este folosit pentru a obține accesul la un site web într-o manieră neautorizată. Un site web piratat indică în mod clar că a fost injectat un malware. Acum, dacă doriți să recunoașteți programele malware pe site, încercați să vă uitați la fișierele modificate recent.

Pot exista multe tipuri de infecții cu malware pe web, dar pentru WordPress, patru infecții majore cu malware sunt enumerate mai jos:

  • Ușile din spate
  • Descărcări drive-by
  • Hack-uri farmaceutice
  • Redirecționări rău intenționate
Mod de a rezolva această problemă

Orice probleme de malware pot fi identificate cu ușurință căutând fișierul recent modificat și apoi eliminând acel fișier de pe site-ul dvs. WordPress. Cealaltă modalitate de a rezolva această problemă este să instalați o versiune nouă de WordPress sau prin restaurarea site-ului web WordPress din backup-ul recent. Ambele metode vă vor ajuta să minimizați vulnerabilitățile de securitate.

10. Permisiuni incorecte pentru fișiere

Permisiunile pentru fișiere sunt setul de reguli care este utilizat de serverul web. Vă ajută serverul să controleze accesul la fișierul dvs. de pe site-ul dvs. WordPress. Acum, uneori, ceea ce se întâmplă este că utilizatorul setează permisiuni incorecte pentru fișiere, ceea ce le permite atacatorilor să acceseze fișierul și să-l modifice în funcție de cerințele lor, ceea ce poate provoca daune majore site-ului dvs. WordPress.

Mod de a rezolva această problemă

Cel mai bun mod de a remedia această problemă este să setați permisiunea de fișier potrivită pentru site-ul dvs. WordPress. Permisiunea de fișier pe orice site web WordPress ar trebui să fie așa cum este enumerată mai jos:

  • 755 sau 750 pentru toate directoarele
  • 644 sau 640 pentru fișiere
  • 600 pentru wp-config.php

Prin setarea acestor permisiuni, veți putea restricționa accesul la site-ul dvs. WordPress, ceea ce vă va ajuta să îl protejați de atacatori.

Gânduri finale

Securitatea a fost o preocupare primordială pentru proprietarii de site-uri de-a lungul anilor. Chiar și după atât de multe cercetări efectuate în acest domeniu, nimeni nu a mai spus afirmația că este 100% sigur. Acest lucru arată nivelul de complexitate cu care trebuie să faceți față în timp ce lucrați cu această problemă.

Luând în considerare acest lucru, am încercat să vă oferim primele 10 vulnerabilități de securitate WordPress și modalitățile de a le remedia, care vă vor ajuta cu siguranță în viitorul apropiat.

Ce părere aveți despre acest subiect? Menționați-le în secțiunea noastră de comentarii. Mulțumesc!