Топ-10 уязвимостей безопасности WordPress и способы их устранения
Опубликовано: 2018-11-28Эта цитата достаточно хороша, чтобы дать вам представление о проблемах безопасности, которые имеют место во всем мире. На самом деле, безопасность веб-сайтов — это тема, которая уже давно доставляет владельцам сайтов бессонные ночи. Никто не смог обеспечить 100% безопасность своего бизнес-сайта.
Согласно исследованию, проведенному Juniper Research, к 2019 году киберпреступность обойдется компаниям в более чем 2 триллиона долларов. Это тревожная статистика, которая показывает, что изо дня в день обеспечивать безопасность веб-сайтов становится очень сложно. В то же время вам необходимо найти способы защитить свой сайт, поскольку он содержит как самые важные данные, так и конфиденциальную информацию.
Как вы все знаете, WordPress поддерживает 31% Интернета, и поэтому совершенно очевидно, что платформа WordPress столкнется с наибольшим количеством проблем с веб-безопасностью. Большинство пользователей доверяют этой замечательной платформе, и именно поэтому они создали на ней свои бизнес-сайты.
Однако, согласно исследованию, проведенному Sucuri, WordPress является самой зараженной платформой веб-сайтов в 2018 году.
Поэтому всем вам становится важно знать о различных уязвимостях безопасности WordPress и способах их устранения. Итак, давайте начнем и проанализируем каждую уязвимость одну за другой.
Есть два типа компаний: те, которые были взломаны, и те, кто еще не знает, что их взломали.
Топ-10 уязвимостей безопасности WordPress
- Небезопасный веб-хостинг
- Использование слабого пароля
- Не обновляя WordPress
- SQL-инъекция
- Забыть защитить файл конфигурации WordPress
- Не обновляются плагины или темы
- Использование обычного FTP
- Не менять префикс таблицы WordPress
- Вредоносное ПО
- Неверные права доступа к файлам
1. Небезопасный веб-хостинг
Это, пожалуй, одна из основных причин, почему веб-сайты WordPress легко заражаются. Как и все другие веб-сайты, веб-сайт WordPress также размещается на сервере. Иногда случается так, что хостинг-провайдеры не защищают свою платформу. В таком сценарии есть все шансы, что ваш сайт WordPress может быть атакован посторонним.
Способ исправить эту проблему
Лучший способ решить эту проблему — разместить свой веб-сайт WordPress на одной из первоклассных хостинговых платформ. Вот список лучших хостинг-провайдеров WordPress, которых вы можете использовать для своего бизнес-сайта.
Лучшие хостинг-провайдеры WordPress
- Блюхост
- HostGator
- СайтЗемля
- DreamHost
- Хостинг InMotion
2. Использование слабого пароля
Пароли являются ключевой частью безопасности вашего сайта WordPress. Вам всегда нужно убедиться, что вы используете надежный пароль для своей учетной записи WordPress. Согласно исследованию, проведенному WPTemplate, 8% веб-сайтов WordPress по всему миру взламываются из-за недельного пароля. Недельный пароль может обеспечить легкий доступ к следующим вещам:
- Учетная запись администратора WP
- Учетная запись C-панели
- FTP-аккаунт
- Ваша база данных WordPress
Вот почему крайне важно иметь надежный пароль для вашего сайта WordPress.
Способ исправить эту проблему
Сформируйте сложный пароль
Один из способов решить эту проблему — создать сложный пароль для своего сайта. Всегда старайтесь использовать комбинацию алфавита, цифр, специальных символов и т. д. для создания пароля. Это поможет вам создать надежный пароль, который будет сложно подобрать.
Используйте менеджер паролей
Другой способ решить эту проблему — использовать менеджеры паролей. Менеджер паролей — это приложение, которое позволяет хранить все ваши пароли в одном месте, а затем управлять ими с помощью мастер-пароля. УТП любого менеджера паролей заключается в том, что они имеют функцию автозаполнения.
Вот список некоторых лучших менеджеров паролей:
- ЛастПасс
- 1Пароль
- Дашлейн
Двухфакторная аутентификация
Это один из лучших способов защитить ваш сайт WordPress от кражи пароля. В сценарии двухфакторной аутентификации, если какой-либо злоумышленник сможет угадать пароль вашего веб-сайта WordPress, он / она не сможет войти на ваш сайт. Он/она потребует код безопасности, который отправляется на ваш мобильный телефон. Таким образом, вы сможете защитить свой сайт.
Существуют основные способы настройки двухфакторной аутентификации в WordPress:
- SMS-подтверждение
- Приложение Google Authenticator
3. Не обновлять WordPress
Есть много пользователей, которые чувствуют себя комфортно с одной из версий WordPress, и поэтому они не обновляют свою версию WordPress через регулярные промежутки времени. Основная причина этого в том, что они опасаются, что это сломает их сайт. Тем не менее, каждая новая версия WordPress поставляется с исправлениями ошибок безопасности, поэтому для вас становится важным обновить свой веб-сайт.
Способ исправить эту проблему
Всегда проверяйте наличие последней версии WordPress и старайтесь обновлять свой сайт. Это сведет к минимуму вероятность каких-либо проблем с безопасностью. Те, кто опасается, что обновление WordPress приведет к поломке сайта, могут сделать резервную копию своего сайта. Итак, если новая версия не работает в соответствии с вашими требованиями, вы всегда можете вернуться к ней.
4. SQL-инъекция
SQL-инъекция — один из старейших методов получения доступа к веб-сайту. Как вы все знаете, SQL — это язык, который используется для работы с базой данных WordPress, и поэтому при атаке этого типа хакеры внедряют команды SQL на ваш сайт для извлечения информации. Хакеры умнеют день ото дня, и каждый день они придумывают новую SQL-инъекцию. Итак, как владелец веб-сайта, вы должны знать, как избавиться от этой проблемы.
Способ исправить эту проблему
Сканирование на наличие уязвимости SQL-инъекций
Вы должны регулярно проверять наличие SQL-инъекций на своем веб-сайте WordPress. Однако это может быть очень сложной задачей для выполнения вручную, поэтому для этой цели вам следует использовать некоторые инструменты сканирования безопасности. Вот список лучших инструментов сканирования безопасности:
- Проверка безопасности WordPress
- Sucuri SiteCheck
- WPScan
Добавление кода в ваш файл .htaccess
Еще один способ предотвратить SQL-инъекцию — добавить определенный код в ваш файл .htaccess. .htaccess — это файл конфигурации, который используется на веб-серверах, поэтому, изменив эту часть, вы сможете ограничить доступ посторонних к вашей базе данных WordPress.
Добавьте следующий код в файл .htaccess:
RewriteEngine On RewriteBase / RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{QUERY_STRING} ../ [NC,OR] RewriteCond %{QUERY_STRING} boot.ini [NC,OR] RewriteCond %{QUERY_STRING} tag= [NC,OR] RewriteCond %{QUERY_STRING} ftp: [NC,OR] RewriteCond %{QUERY_STRING} http: [NC,OR] RewriteCond %{QUERY_STRING} https: [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR] RewriteCond %{QUERY_STRING} base64_encode.*(.*) [NC,OR] RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|e|"|;|?|*|=$).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*("|'|<|>||{||).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR] RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC] RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$ RewriteRule ^(.*)$ - [F,L]
5. Забыли защитить файл конфигурации WordPress
Файл конфигурации WordPress (wp-config.php) содержит учетные данные для входа в базу данных WordPress. Поэтому, если кто-то из посторонних получит доступ к этому файлу, он может украсть вашу информацию и нанести ущерб вашему сайту. Поэтому становится необходимым, чтобы вы сделали все возможное для защиты этого файла.
Способ исправить эту проблему
Один из самых простых способов защитить файл wp-config.php — изменить .htaccess и ограничить доступ. Для этого просто добавьте следующий фрагмент в ваш файл .htaccess:
<files wp-config.php> order allow,deny deny from all </files>
6. Не обновлять плагины или темы
Как и в случае с ядром WordPress, важно использовать последнюю версию плагинов или тем на веб-сайте WordPress. Использование устаревшей версии любого плагина или темы может сделать ваш сайт уязвимым для угроз безопасности. Согласно опросу, проведенному WPWhiteSecurity, 54% глобальных уязвимостей WordPress связаны с плагинами.
Способ исправить эту проблему
Всегда проверяйте наличие обновлений в любом из ваших плагинов и тем. Убедитесь, что вы используете последнюю версию, доступную в WordPress. Следуя этой методологии, вы сведете к минимуму вероятность угроз безопасности на своем веб-сайте WordPress.
7. Использование обычного FTP
Для тех, кто не знает, FTP-аккаунты используются для загрузки файла на сервер вашего веб-сайта с помощью FTP-клиента. Большинство хостинг-провайдеров поддерживают FTP-соединение с использованием различных типов протоколов: простой FTP, SFTP или SSH.
Большинство владельцев веб-сайтов WordPress совершают ошибку, используя простой FTP. Теперь, что происходит в обычном FTP, так это то, что ваш пароль отправляется на сервер в незашифрованном виде. Таким образом, любой, кто сможет взломать сервер, сможет получить легкий доступ к вашему веб-сайту WordPress.
Способ исправить эту проблему
Вместо использования FTP вы можете выбрать опцию SFTP или SSH. Вам не нужно менять FTP-клиент для этой цели. Просто измените протокол на «SFTP-SSH» при подключении к вашему сайту. Используя этот протокол, вы сможете отправить пароль на сервер в зашифрованном виде, что минимизирует риск проблем с безопасностью.
8. Не менять префикс таблицы WordPress
Как вы все знаете, по умолчанию все таблицы WordPress, созданные в вашей базе данных, начинаются с префикса ks29so_. Большинство разработчиков WordPress не заботятся об изменении этого префикса, так как считают, что это не повлияет на производительность сайта.
В дополнение к этому, этот префикс делает ваш сайт WordPress уязвимым для проблем безопасности. Причина этого в том, что злоумышленник может легко угадать название таблиц вашей базы данных WordPress. Таким образом, вы должны попытаться воскресить эту проблему как можно скорее.
Способ исправить эту проблему
Вместо того, чтобы использовать префикс по умолчанию для таблиц базы данных WordPress, вы должны определить свой собственный префикс, сложный по своей природе, чтобы никто не мог его угадать. Вы можете изменить префикс таблиц вашей базы данных WordPress во время установки. Поэтому всегда помните об этом. После этого у вас не будет возможности изменить префикс.
Вот как вы можете изменить префикс базы данных WordPress для повышения безопасности:
9. Вредоносное ПО
Вредоносное ПО — это сокращение от вредоносного программного обеспечения. Другими словами, вы можете сказать, что это код, который используется для несанкционированного доступа к веб-сайту. Взломанный веб-сайт явно указывает на внедрение вредоносного ПО. Теперь, если вы хотите распознать вредоносное ПО на сайте, то попробуйте посмотреть недавно измененные файлы.
В Интернете может быть много типов вредоносных программ, но для WordPress четыре основных вредоносных программы перечислены ниже:
- Бэкдоры
- Попутные загрузки
- Фарма хаки
- Вредоносные перенаправления
Способ исправить эту проблему
Любые проблемы с вредоносными программами можно легко определить, выполнив поиск недавно измененного файла и удалив этот файл с вашего веб-сайта WordPress. Другой способ решить эту проблему — установить новую версию WordPress или восстановить веб-сайт WordPress из последней резервной копии. Оба эти метода помогут вам свести к минимуму уязвимости системы безопасности.
10. Неправильные права доступа к файлам
Права доступа к файлам — это набор правил, используемых веб-сервером. Это помогает вашему серверу контролировать доступ к вашему файлу на вашем сайте WordPress. Теперь иногда случается, что пользователь устанавливает неправильные права доступа к файлу, что позволяет злоумышленникам получить доступ к файлу и изменить его в соответствии со своими требованиями, что может нанести серьезный ущерб вашему веб-сайту WordPress.
Способ исправить эту проблему
Лучший способ решить эту проблему — установить правильное разрешение файла для вашего веб-сайта WordPress. Права доступа к файлам на любом веб-сайте WordPress должны быть такими, как указано ниже:
- 755 или 750 для всех каталогов
- 644 или 640 для файлов
- 600 для wp-config.php
Установив эти разрешения, вы сможете ограничить доступ к своему веб-сайту WordPress, что поможет вам защитить его от злоумышленников.
Последние мысли
На протяжении многих лет безопасность была главной заботой владельцев веб-сайтов. Даже после того, как в этой области было проведено так много исследований, никто не мог утверждать, что он на 100% безопасен. Это показывает уровень сложности, с которым приходится сталкиваться при работе с этой проблемой.
Принимая это во внимание, мы постарались предоставить вам 10 основных уязвимостей безопасности WordPress и способы их устранения, которые наверняка помогут вам в ближайшем будущем.
Что вы думаете по этому поводу? Упомяните их в нашем разделе комментариев. Благодарю вас!