Как защитить сайт на WordPress — 7 самых распространённых ошибок!

WordPress — одна из самых популярных CMS в мире. В последние годы он сильно развился. К сожалению, наряду со своей популярностью он также стал главной целью хакеров.

Содержание

Как защитить сайт на WordPress?
Данные учётной записи администратора по умолчанию
Уязвимость к жестоким атакам
Префиксы по умолчанию, связанные с таблицами базы данных
База данных MySQL
Утечка файлов с важной информацией
Установка шаблонов и плагинов из сомнительных источников
Межсайтовый скриптинг (XSS)
Резюме

Как защитить сайт на WordPress?

Согласно собранным данным, 90% всех хакерских атак на сайты касаются сайтов, построенных на WordPress.

Как обезопасить WordPress, а точнее, каких ошибок при этом не допустить — вы узнаете из статьи.

Данные учётной записи администратора по умолчанию

При первой установке WordPress на свой сервер вам необходимо ввести данные для входа администратора. Если учётная запись называется просто «admin», ваш сайт гораздо более уязвим для атак.

В результате этого решения у хакеров стало вдвое меньше работы. Им осталось только взломать пароль. Чтобы защитить WordPress, создайте новую учётную запись с правами администратора.

Войдите в систему с этой новой учётной записью, а затем измените разрешения предыдущей учётной записи «admin» или полностью удалите её.

Приведённая выше ошибка приводит нас к следующей.

Уязвимость к жестоким атакам

Так называемые атаки грубой силы определяют практику, при которой хакер вводит различные комбинации имён пользователей и паролей с помощью программного обеспечения.

В результате через какое-то время ему удастся подобрать нужную комбинацию логина и пароля. Этот тип атаки использует самый простой способ попасть на ваш сайт, т.е страницу авторизации.

По умолчанию WordPress не ограничивает количество попыток входа в систему, поэтому боты могут использовать брутфорс до тех пор, пока не добьются успеха.

Даже если это не удастся, это всё равно может вызвать хаос на сервере, так как многочисленные попытки входа в систему перегрузят его.

Хуже того, некоторые хостинг-провайдеры могут затем приостановить действие вашей учётной записи из-за перегрузки — это вероятный сценарий, особенно в случае виртуального хостинга.

Как обезопасить WordPress в этом случае? Ограничьте количество попыток входа в систему и установите трудные для расшифровки имена пользователей и пароли.

Префиксы по умолчанию, связанные с таблицами базы данных

При установке WordPress у вас есть возможность выбрать префикс, который будет определять таблицы, собирающие данные.

Большинство новичков выберут здесь префикс по умолчанию «wp_». Это большая дыра в безопасности сайта, так как она экономит хакерам много работы.

В результате они смогут выбирать файлы с этим префиксом по умолчанию. Таким образом, они могут получить информацию о пользователях сайта.

Чтобы исправить эту ошибку, просто замените префикс «wp_» на другой. Это будет хорошей защитой WordPress от взлома.

База данных MySQL

Этот тип атаки происходит, когда хакер получает доступ к вашей базе данных WordPress MySQL.

Внедряя различный код, злоумышленник может создавать новые учётные записи администраторов или добавлять новые данные в существующие базы данных, например, ссылки на вредоносные веб-сайты.

Как защитить WordPress от этого действия?

Контролируйте и фильтруйте каналы, по которым информация поступает на сайт.

Хорошо проверять код на каждой странице, особенно там, где контент и команды сочетаются с контентом, который может исходить от других пользователей (например, комментарии).

Утечка файлов с важной информацией

В некоторых отчётах говорится, что почти на каждом веб-сайте есть хотя бы один файл с конфиденциальными данными, доступный любому пользователю в сети.

Как это происходит? Часто причина заключается в простом резервном копировании этих файлов.

Иногда при редактировании файлов на сервере или выполнении других административных задач резервные копии могут быть не защищены должным образом. Эти файлы представляют серьёзную угрозу, поскольку являются лёгкой мишенью для хакеров.

Установка шаблонов и плагинов из сомнительных источников

Иногда мы непреднамеренно помогаем хакерам попасть на наш сайт. К сожалению, это часто происходит в результате установки бесплатных шаблонов и плагинов из непроверенных источников.

Один тест показал, что многие бесплатные шаблоны, доступные в интернете, содержат многочисленные эксплойты, фрагменты вредоносного кода и множество других проблем.

По этой причине лучшей защитой для WordPress является установка шаблонов непосредственно из WordPress. Если вы покупаете из других источников, внимательно проверьте репутацию поставщика.

Межсайтовый скриптинг (XSS)

Эти типы атак являются одними из самых распространённых в интернете.

Их основной механизм выглядит следующим образом:

Злоумышленник находит способ заставить жертву загружать страницы с опасным JavaScript.
Эти скрипты загружаются без ведома посетителей, а затем используются для кражи данных из их браузеров.

Примером успешного выполнения такой атаки может быть угнанная форма. Для ничего не подозревающих посетителей, это на вашем сайте.

Однако, если вы введёте туда свои данные, они будут украдены.

Решение здесь состоит в том, чтобы создать соответствующий белый список, благодаря которому ваш веб-сайт позволит вам обрабатывать запросы только из надёжных источников. Также полезно использовать программное обеспечение брандмауэра веб-приложений.

Резюме

Теперь вы знаете, как обезопасить WordPress и защитить себя от хакерских атак.

Однако помните, что хакеры постоянно находят все новые и более изобретательные способы заражения вашего веб-сайта, поэтому регулярные проверки безопасности являются основой хорошо функционирующего веб-сайта.

На этом мы завершаем наш обзор о том, как защитить сайт на wordpress? Также вы можете узнать, про W3C валидатор — это основа хорошо функционирующего сайта!

Если статья вам понравилась, поделитесь с друзьями этой информацией, просто нажав на кнопки соцсетей!