Топ-6 уязвимостей WordPress

Уязвимости WordPress
Если у вас есть WordPress веб-сайт, то вам необходимо подумать о его безопасности. Точно так же, как вы закрываете дверь дома или устанавливаете сигнализацию, веб-сайт должен быть отлично защищен.

По статистике, большинство взломов WordPress веб-сайтов можно было бы избежать, если бы их владельцы использовали хотя бы минимальные рекомендации по безопасности WordPress.

В данной статье вы узнаете о 6 самых распространенных уязвимостях WordPress, которыми хакеры пользуются в первую очередь для взлома веб-сайтов.

В данной статье мы рассмотрим:

  1. Старые версии ПО
  2. Логин и пароль
  3. Веб-хостинг
  4. Взломы PHP
  5. Софт из ненадежных источников
  6. Не-SSL подключение

1. Старые версии ПО

Когда вы используете устаревшие версии WordPress, плагинов или тем, есть вероятность, что это ПО включает известные уязвимости, описание которых находится в открытом доступе.

Хакботы обходят тысячи веб-сайтов в час и запрашивают версии используемого софта. Если в ответах находится устаревшая версия ПО с известной уязвимостью, бот взламывает такой веб-сайт по известной методике.

Это самый популярный способ взлома веб-сайтов.

Обновления софта — это не только новый функционал или исправление багов, но и исправления безопасности в найденных уязвимостях. Последняя версия ПО не включает известных уязвимостей.

Обновляйте WordPress, плагины и темы вручную или автоматом. Это гарантирует, что вы получите последние исправления безопасности, которые защищают веб-сайт от уязвимостей.

К тому же автоматическое обновление сокращает время, которое вы тратите на обслуживание веб-сайта.

  • Почему у вас должна быть последняя версия WordPress
  • Как скрыть версию WordPress, скриптов и стилей
  • Как отключить информацию о версии ПО в ответах Сервера

2. Логин и пароль

Слабый логин и пароль — второй по популярности метод взлома веб-сайтов. Сначала хакеры приходят на страницу авторизации, так как здесь находится самый простой метод попасть в админку веб-сайта.

Если вы используете стандартный логин Admin, Administrator, Root, имя домена и так далее, или тот же логин, что и имя посетителя, который можно без проблем найти в мета-тегах Автора на Страницах или Записях, то хакеры знают половину информации для входа на веб-сайт.

Вторая половина — подобрать пароль. В Интернете есть списки самых популярных паролей. К примеру, этот список из 10.000 самых популярных паролей включает 91% всех паролей, которыми пользуются интернет-пользователи.

По статистике, на Вордпрессе работает более 37% всех веб-сайтов в Интернете. Учитывая такое число веб-сайтов и готовые логины и пароли, хакеры создают ботов, которые обходят веб-сайты и пробуют подобрать правильную комбинацию логина и пароля.

Здесь вы можете посмотреть, сколько веб-сайтов было взломано сегодня, начиная с 00:00 в часовом поясе.

Это называется brute force attack, атака грубой силой, или атака способом перебора паролей.

Кроме страницы авторизации, хакбот может попробовать подобрать правильную комбинацию через шлюз xmlrpc.php, или взломать почту и настроить пароль через страницу восстановления пароля.

Используйте уникальный сложный пароль, состоящий из цифр, букв и символов длиной не менее 12 символов. Также принуждайте посетителей использовать сложные пароли.

Пароли вы можете без проблем хранить в браузере или в сервисах паролей, например, LastPass.

Сложные логины и пароли — не единственное, что вы можете без труда сделать для усиления безопасности входа в админку.

Вы можете легко ограничить число неудачных попыток входа, перенести страницу входа со стандартного адреса ...wp-login.php на другой, применить двух-факторную авторизацию и сделать ещё пару параметров.

  • Вход в админку WordPress

3. Веб-хостинг

Хакеры взламывают не только веб-сайты, но и веб-хостинги. Если вы выбираете веб-хостинг только по цене, то в итоге это может обойтись дороже из-за взлома веб-хостинга, а далее веб-сайта.

Большинство веб-хостингов достаточно безопасны, но некоторые веб-хостинги уделяют недостаточно внимания безопасности, к примеру, не разделяют учетные записи посетителей.

Ваш веб-хостинг должен постоянно обновлять железо и софт, применять последние исправления безопасности и следить за защитой веб-сайтов и файловой системы.

Выберите веб-хостинг с высоким рейтингом и большим числом положительных отзывов. Хороший веб-хостинг — это основа производительности и безопасности веб-сайта.

Этот веб-сайт работает на веб-хостинге Бегет.

  • Обзор веб-хостинга Бегет

4. Взломы PHP

PHP взломы — это большой раздел различных методов взлома, так как PHP — это основная технология, на которой работает WordPress.

Уменьшите число кода(софта) до минимума, а оставшийся софт используйте из надежных источников.

Согласно исследованию WP WhiteSecurity, 54% уязвимостей выявлено в плагинах WordPress, 31,5% уязвимостей в ядре WordPress и 14,3% уязвимостей — в темах WordPress.

Уязвимости WordPress
Уязвимости WordPress

Хороший разработчик оперативно устраняет найденную уязвимость в софте.

Удалите все неиспользуемые плагины и темы, и не устанавливайте заброшенный разработчиками софт.

Если плагин или тема давно не обновлялись, это не значит, что они заброшены. Возможно, они работают как необходимо, и обновятся, когда потребуется совместимость с последней версией WordPress или PHP.

5. Cофт из ненадежных источников

Всегда используйте софт только из проверенных источников. Устанавливайте софт из официального репозитария WordPress, отлично известных коммерческих репозитариев или с веб-сайта разработчика.

Не устанавливайте взломанные(«nulled») версии тем и плагинов, так как они могут содержать вредоносный программный код.

Даже если вы используете лучшую защиту на веб-сайте, хакнутая версия темы или плагина может привести к взлому веб-сайта.

6. SSL подключение

Когда пользователь приходит к вам на веб-сайт, начинается подключение между его устройством и сервером. После установления соединения информация проходит пару узлов сети перед доставкой в пункт назначения.

Когда на веб-сайте авторизуется или делает покупку пользователь, он передает данные о аккаунте или банковской карте через это соединение, которое по умолчанию не защищено.

То есть любой, кто может просматривать проходящую информацию, может приобрести ее в готовом незащищенном виде.

Чтобы зашифровать эту информацию, необходимо использовать защищенное SSL подключение.

Это можно сравнить с доставкой посылки. Если отправитель плохо упаковал посылку, любой человек по пути данной посылки может увидеть, что находится внутри.

Подключить SSL сертификат к домену просто. Большинство веб-хостингов предоставляет услугу добавления платного или бесплатного SSL-сертификата на веб-сайт.

На веб-хостинге Бегет это делается при помощи нескольких кликов. На иных веб-хостингах это должно делаться аналогично.

С 2017 года установленный SSL сертификат на веб-сайте стал одним из факторов ранжирования Гугл.

Установите SSL сертификат, это усилит безопасность веб-сайта.

Заключение:

Данные уязвимости считаются самыми частыми причинами взлома веб-сайта, так что устраните их в первую очередь.

Рано или поздно такой бот придет на веб-сайт, и попробует его взломать по стандартному алгоритму. Выберите хороший веб-хостинг, настройте необходимую минимальную защиту, не используйте заброшенный или взломанный софт и установите SSL сертификат.

Если вы хотели бы изменить полную защиту веб-сайта вручную, переходите в:

  • Безопасность WordPress. Подробное описание

Если вы хотели бы изменить полную защиту автоматически при помощи плагинов и наблюдать за состоянием безопасности веб-сайта в админке WordPress, приглашаю вас на Курс

  • Безопасный WordPress за 2 вечера. Настроил и забыл

Читайте также:

  1. Как проверить безопасность WordPress веб-сайта
  2. Безопасность WordPress для новичков
  3. Бэкап WordPress — подробная инструкция

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *