WordPress — одна из самых популярных CMS в мире. В последние годы он сильно развился. К сожалению, наряду со своей популярностью он также стал главной целью хакеров.
- Как защитить сайт на WordPress?
- Данные учётной записи администратора по умолчанию
- Уязвимость к жестоким атакам
- Префиксы по умолчанию, связанные с таблицами базы данных
- База данных MySQL
- Утечка файлов с важной информацией
- Установка шаблонов и плагинов из сомнительных источников
- Межсайтовый скриптинг (XSS)
- Резюме
Как защитить сайт на WordPress?
Согласно собранным данным, 90% всех хакерских атак на сайты касаются сайтов, построенных на WordPress.
Данные учётной записи администратора по умолчанию
При первой установке WordPress на свой сервер вам необходимо ввести данные для входа администратора. Если учётная запись называется просто «admin», ваш сайт гораздо более уязвим для атак.
Войдите в систему с этой новой учётной записью, а затем измените разрешения предыдущей учётной записи «admin» или полностью удалите её.
Уязвимость к жестоким атакам
Так называемые атаки грубой силы определяют практику, при которой хакер вводит различные комбинации имён пользователей и паролей с помощью программного обеспечения.
По умолчанию WordPress не ограничивает количество попыток входа в систему, поэтому боты могут использовать брутфорс до тех пор, пока не добьются успеха.
Хуже того, некоторые хостинг-провайдеры могут затем приостановить действие вашей учётной записи из-за перегрузки — это вероятный сценарий, особенно в случае виртуального хостинга.
Как обезопасить WordPress в этом случае? Ограничьте количество попыток входа в систему и установите трудные для расшифровки имена пользователей и пароли.
Префиксы по умолчанию, связанные с таблицами базы данных
При установке WordPress у вас есть возможность выбрать префикс, который будет определять таблицы, собирающие данные.
В результате они смогут выбирать файлы с этим префиксом по умолчанию. Таким образом, они могут получить информацию о пользователях сайта.
База данных MySQL
Этот тип атаки происходит, когда хакер получает доступ к вашей базе данных WordPress MySQL.
Внедряя различный код, злоумышленник может создавать новые учётные записи администраторов или добавлять новые данные в существующие базы данных, например, ссылки на вредоносные веб-сайты.
Хорошо проверять код на каждой странице, особенно там, где контент и команды сочетаются с контентом, который может исходить от других пользователей (например, комментарии).
Утечка файлов с важной информацией
В некоторых отчётах говорится, что почти на каждом веб-сайте есть хотя бы один файл с конфиденциальными данными, доступный любому пользователю в сети.
Иногда при редактировании файлов на сервере или выполнении других административных задач резервные копии могут быть не защищены должным образом. Эти файлы представляют серьёзную угрозу, поскольку являются лёгкой мишенью для хакеров.
Установка шаблонов и плагинов из сомнительных источников
Иногда мы непреднамеренно помогаем хакерам попасть на наш сайт. К сожалению, это часто происходит в результате установки бесплатных шаблонов и плагинов из непроверенных источников.
По этой причине лучшей защитой для WordPress является установка шаблонов непосредственно из WordPress. Если вы покупаете из других источников, внимательно проверьте репутацию поставщика.
Межсайтовый скриптинг (XSS)
Их основной механизм выглядит следующим образом:
- Злоумышленник находит способ заставить жертву загружать страницы с опасным JavaScript.
- Эти скрипты загружаются без ведома посетителей, а затем используются для кражи данных из их браузеров.
Примером успешного выполнения такой атаки может быть угнанная форма. Для ничего не подозревающих посетителей, это на вашем сайте.
Решение здесь состоит в том, чтобы создать соответствующий белый список, благодаря которому ваш веб-сайт позволит вам обрабатывать запросы только из надёжных источников. Также полезно использовать программное обеспечение брандмауэра веб-приложений.
Резюме
Однако помните, что хакеры постоянно находят все новые и более изобретательные способы заражения вашего веб-сайта, поэтому регулярные проверки безопасности являются основой хорошо функционирующего веб-сайта.
На этом мы завершаем наш обзор о том, как защитить сайт на wordpress? Также вы можете узнать, про W3C валидатор — это основа хорошо функционирующего сайта!
Если статья вам понравилась, поделитесь с друзьями этой информацией, просто нажав на кнопки соцсетей!