WordPress - невероятно полезная и универсальная платформа для всех видов ведения блогов. Это стало очень популярным. К сожалению, эта популярность принесла с собой немало уязвимостей, которыми могут воспользоваться хакеры. Важно, чтобы вы знали об этих недостатках и принимали меры по предотвращению их использования. Вот шесть уязвимостей WordPress, о которых вам нужно знать.

Вход в WordPress

Самый простой способ получить доступ к вашему WordPress - это атаковать ваш логин. Подобные атаки методом грубой силы - наиболее распространенный способ взлома вашего WordPress. «Этот метод работает путем многократного угадывания вашего логина и пароля с помощью определенного программного обеспечения, - советует Марта Госс, программист WP в WriteMyX и BritStudent.

WordPress не ограничивает количество попыток входа в систему, поэтому атаки методом перебора могут быть очень эффективными. Лучшая защита от этой уязвимости - установка плагина, ограничивающего количество разрешенных попыток входа в систему, например iThemes Security Pro. Вы также можете использовать диспетчер паролей для генерации случайных паролей, которые с меньшей вероятностью будут угаданы. Держитесь подальше от паролей, которые кажутся очевидными - не используйте ничего, например 123456, пароль или что-либо, связанное с вами.

Например, никаких имен домашних животных, имен детей, имен партнеров, названий улиц и так далее, поскольку все это может быть использовано против вас. Если вы думаете, что их смешивание может оказаться лучшей мерой безопасности, но все же довольно легко запомнить, подумайте еще раз. Ваши профили в социальных сетях - легкий путь к вашей психологии, и любой может найти эти пароли среди ваших сообщений.

Лучше всего выбрать что-то, не связанное с вами, и убедитесь, что вы используете хорошее сочетание букв, прописных букв и цифр, а также символов. Никогда нельзя быть слишком осторожным или недооценивать своего врага.

Источник: https://www.wordfence.com/blog/2017/12/aggressive-brute-force-wordpress-attack/

Учетная запись администратора по умолчанию

Хакеры могут получить доступ к серверной части вашей учетной записи WordPress, используя вашу учетную запись администратора по умолчанию. Попробуйте удалить свою учетную запись администратора и получить доступ к своему сайту из общей учетной записи с правами администратора. Люди могут получить доступ, вводя команды SQL, используя параметр значения cookie. Чтобы предотвратить такой компромисс, попробуйте обновить программное обеспечение безопасности до последней версии IPS.

Доступ к Jibu Pro также можно получить с помощью межсайтовых сценариев, поскольку он не очищает вводимые пользователем данные должным образом. Чтобы защититься от этой уязвимости, усилите разрешения на своем сайте. Вы даже можете зайти так далеко, что скрыть свой логин администратора так хорошо, что никто не сможет его найти. Лучший способ сделать это - и самый простой на сегодняшний день - назвать это как-нибудь иначе. Админ вполне очевиден, и хакеры будут его искать. Но если вы назовете его как-то совершенно иначе - Кот, Космическая обезьяна или выберите из множества забавных и умных вариантов - хакерам будет сложно его найти. По умолчанию им будет намного сложнее внедрить команду SQL - они не знают, куда ее ввести.

Источник: https://www.acunetix.com/blog/articles/exploiting-sql-injection-example/

Взлом URL

WordPress использует PHP для выполнения всех своих серверных скриптов, и это, к сожалению, делает его уязвимым для URL-атак. Хакерам слишком легко проникнуть в операции WordPress и создать для вас проблемы , - предупреждает Дороти Кокс, технический писатель 1Day2Write . Из-за характера его базы данных у хакеров есть широкие возможности украсть вашу конфиденциальную информацию. Чтобы избежать этих нарушений, разместите свой WordPress на веб-сервере Apache, который использует файлы .htaccess и защитит вас от взлома URL-адресов.

Убедитесь, что вы удалили и удалили все ненужные плагины, которые есть на вашем сайте. Это ограничивает точки доступа для хакеров - темы также могут быть вашим врагом, особенно если у вас их тонна, которые вы не используете. PHP слишком легко использовать, и вы должны защищать свой сайт как можно лучше. В качестве бонуса эти темы и дополнительные плагины могут замедлять время загрузки, поэтому вы улучшите свое SEO, одновременно защищая свой сайт.

Источник: https://blog.websecurify.com/2017/02/hacking-wordpress-4-7-0-1.html

Устаревшее программное обеспечение

Каждый раз, когда вы запускаете свой WordPress с использованием устаревшего программного обеспечения, вы подвергаетесь повышенному риску взлома. Легко попасть в ловушку, полагая, что обновления просто исправляют мелкие ошибки и неприятности, но они также важны для исправлений безопасности, которые они включают.

Обновлять программное обеспечение очень просто, и это защитит вас от многих хакерских угроз. Если вы беспокоитесь, вы забудете обновить свое программное обеспечение, просто установите автоматические обновления с помощью таких плагинов, как управление версиями WordPress от iThemes. Такие функции экономят ваше время и гарантируют, что вы не пропустите исправление безопасности и ваш сайт будет скомпрометирован.

Хакеры будут искать то, что легко взломать. Обновляя, вы, вероятно, устанавливаете новые исправления безопасности, которые могут предотвратить проникновение любого хакера. Также убедитесь, что вы не устанавливаете ничего из небезопасных источников. Вы могли бы пригласить хакеров прямо сейчас.

Источник: https://www.kimiweb.com/wordpress-help/updating-wordpress-and-plugins/

Префикс по умолчанию для таблиц базы данных

В базе данных WordPress есть много таблиц, и во многих установках они называются с префиксом по умолчанию, начинающимся с «wp». Это может показаться не таким уж большим делом, но это дает хакерам некоторое преимущество, потому что им становится на одну вещь меньше, чтобы их расшифровать.

Вы можете значительно усложнить им задачу, просто изменив эти префиксы по умолчанию. Остановит ли это каждого хакера? Нет, но это во многом остановит, и это всего лишь еще один полезный инструмент для защиты вашей учетной записи WordPress. Это простой процесс, который вы можете легко выполнить самостоятельно - хакеры всегда сначала ищут легкую точку входа, и если вы ее устраните, они могут сдаться.

Источник: https://www.cloudways.com/blog/change-wordpress-database-table-prefix-manually/

Уязвимости PHP

Хакеры могут получить доступ к вашей учетной записи, используя ваш PHP-код, и это встречается чаще, чем вы думаете. Ограничьте свой риск, удалив, а затем удалив все ненужные плагины. Каждый из них является потенциальной точкой доступа для людей, желающих скомпрометировать вашу информацию. Старайтесь не использовать плагины, которые больше не обновляются; если с момента обновления прошло больше шести месяцев, самое время просто удалить его.

Источник: https://www.cloudways.com/blog/change-wordpress-database-table-prefix-manually/

Переходите на лучший хостинг

Когда вы только начинаете, самый дешевый хостинг кажется лучшей идеей. Но дешевый хостинг также сопровождается отсутствием функций безопасности, которые могут нанести вред. Убедитесь, что у вас лучший и самый безопасный хостинг, чтобы защитить себя и своих клиентов.

Источник: https://www.webhostingsecretrevealed.net/blog/web-hosting-guides/switching-web-host/

Заключение

Обеспечение безопасности вашего сайта - одна из важнейших задач, когда вы используете учетную запись WordPress. Ограничьте количество попыток входа в систему. Измените префиксы по умолчанию для ваших таблиц. Загрузите плагины, рекомендованные в этой статье, и посмотрите, как они работают для вас. WordPress - отличный ресурс для ведения блогов, но просто помните, что множество людей ищут на сайте учетные записи, уязвимые для взлома. Убедитесь, что ваш не один из них.

Джоэл Сайдер - тренер WP на сайтах Originwritings.com и Australia2write.com. Ему нравится помогать людям создавать веб-сайты своей мечты, а также создавать статьи о вещах, которые его волнуют, для Academicbrits.com, службы репетиторства.