Najczęstsze błędy bezpieczeństwa WordPress i jak je naprawić - MalCare

Błędy bezpieczeństwa WordPress: Czy wiesz, że co minutę na stronach internetowych WordPress dokonuje się około 90 978 prób włamań? Po zhakowaniu witryny hakerzy wykorzystują ją do wykonywania wszelkiego rodzaju złośliwych działań, takich jak wysyłanie spamowych wiadomości e-mail (czytaj – phishing hack), atakowanie innych witryn internetowych, wstrzykiwanie linków spamowych, przekierowywanie odwiedzających itp.

Właśnie dlatego właściciele witryn WordPress, tacy jak ty, muszą poważnie traktować swoje obawy dotyczące bezpieczeństwa. Nie ma złotego środka, którego można użyć do rozwiązania wszystkich potrzeb związanych z bezpieczeństwem, ale wiele rzeczy trzeba robić poprawnie. W Internecie można znaleźć niezliczone porady, jak zapewnić bezpieczeństwo swojej witryny. Niektóre z nich są sprzecznymi poradami, a niektóre są po prostu nieaktualne. Liczne opinie na temat tego, co powinien robić właściciel witryny i jak nie powinny wprowadzać zamieszania, aw tym całym zamieszaniu błędy są nieuniknione.

Utrzymanie bezpieczeństwa witryny nie jest łatwym zadaniem, zwłaszcza dla nowych właścicieli witryn, którzy są podatni na popełnianie błędów, które mogą narazić ich na typowe ataki hakerskie. Znajomość typowych błędów bezpieczeństwa popełnianych przez właścicieli witryn internetowych pomoże ich uniknąć. I dlatego opracowaliśmy tę listę, aby przestać popełniać błędy popełniane przez większość właścicieli witryn WordPress.

Najczęstsze błędy bezpieczeństwa popełniane przez właścicieli witryn WordPress:

Sugerujemy przeprowadzenie audytu bezpieczeństwa WordPress przed podjęciem któregokolwiek z poniższych środków –

1. Brak aktualizacji rdzenia, wtyczek i motywów WordPress

Aktualizowanie rdzenia i dodatków WordPress (tj. motywów i wtyczek) jest dobrym środkiem bezpieczeństwa. Ich aktualizacja nie tylko dodaje więcej funkcji do witryny, ale także pomaga załatać luki w zabezpieczeniach. Dzięki ekosystemowi, w którym działa WordPress, wieści o lukach rozprzestrzeniają się bardzo szybko, a hakerzy próbują wykorzystać sytuację. Jeśli nie zaktualizujesz swojej witryny, co pomogłoby załatać lukę, łatwo będzie się do niej włamać.

Podczas gdy niektórzy właściciele witryn nie aktualizują swoich witryn, ponieważ nie są świadomi, w jaki sposób aktualizacje są powiązane z bezpieczeństwem, inni obawiają się niezgodności. Witryny WordPress mogą się zepsuć po aktualizacji rdzenia WordPress i jego dodatków.

Aktualizacje WordPress są zaprojektowane tak, aby były kompatybilne ze wszystkimi poprzednimi wersjami. Dlatego jeśli Twoja witryna działa w wersji 4.1, nadal możesz ją zaktualizować do najnowszej wersji, czyli powiedzmy 4.9. Jednak pomimo wszelkich środków ostrożności, każda aktualizacja przynosi informacje o awarii strony. Oto przykład z najnowszej wersji WordPress 4.9.6.

Podobne problemy możesz napotkać podczas aktualizacji dodatków WordPress, tj. motywów i wtyczek. Często w motywach i wtyczkach pojawia się problem niekompatybilności, ponieważ programista został pośpiesznie wydany z nową aktualizacją lub być może programista był niekompetentny. Wtyczki i motywy mają naprawdę konkurencyjny rynek, a chcąc wyróżnić się na tle innych, programiści są zmuszani do dodawania coraz większej liczby nowych funkcji w jak najkrótszym czasie. Czasami nie mają wystarczająco dużo czasu, aby sprawdzić, czy wersja jest kompatybilna z każdą poprzednią wersją WordPressa. Jeśli więc ktoś używa bardzo wczesnej wersji WordPressa i aktualizuje wtyczkę, która działa tylko z kilkoma najnowszymi wersjami WordPressa, jego strona się psuje.

Obawy związane z problemami ze zgodnością między WordPress Core a dodatkiem mogą skłonić właścicieli witryn do pominięcia aktualizacji zabezpieczeń.

Jak to naprawić: Usługa przemieszczania może rozwiązać ten problem. Proces tworzenia zduplikowanej witryny w celu przetestowania instalacji rdzenia WordPress i jego dodatków nazywa się Staging. Usługi tworzenia kopii zapasowych, takie jak BlogVault , a nawet dostawcy usług hostingowych, tacy jak Kinsta , oferują środowiska przejściowe. Skontaktuj się z usługodawcą hostingowym lub usługami tworzenia kopii zapasowych (jeśli z nich korzystasz), aby sprawdzić, czy mają opcję przygotowania witryny. Jeśli nie, zarejestruj się w usłudze, która umożliwia przygotowanie witryny.

Oprócz aktualizowania wtyczek, motywów i rdzenia, zdecydowanie zalecamy aktualizowanie soli WordPress i kluczy bezpieczeństwa.

2. Używanie dodatków niskiej jakości

Nie wszystkie wtyczki i motywy WordPress są dobrze wykonane. Niektóre ignorują kontrole zapewnienia jakości, podczas gdy inne są opracowywane przez programistów-amatorów. Ważne jest, aby użytkownicy zwracali uwagę na to, czego używa lub kupuje. Ale niestety wielu użytkowników WordPressa nie ma żadnej wiedzy technicznej, co czyni ich niezdolnymi do sprawdzenia, jak dobra jest wtyczka lub motyw.

Jak to naprawić: Aby pomóc takim użytkownikom, wymieniliśmy kilka cech, które pomogą znaleźć dobry motyw lub wtyczkę:

I. Upewnij się, że otrzymujesz dodatki z renomowanego źródła , takiego jak repozytorium wtyczek WordPress lub od popularnego sprzedawcy, takiego jak Elegant Themes, Themeforest itp.

II. Upewnij się, że dodatki mają dobrą ocenę w repozytorium WordPress i są recenzowane przez osoby, które korzystały z motywu/wtyczki w swojej witrynie . Szybkie wyszukiwanie w Google pomoże Ci znaleźć recenzje.

iii. Sprawdź, czy wtyczka istnieje od dłuższego czasu i przetrwała próbę czasu. Poszukaj aktualizacji zabezpieczeń i poprawek błędów wymienionych w repozytorium WordPress lub na oficjalnej stronie internetowej.

iv. I upewnij się, że są one często aktualizowane , a ostatnia aktualizacja została dokonana mniej niż 2 miesiące temu.

3. Korzystanie z nielegalnych wtyczek i motywów

Wiele stron internetowych sprzedaje motywy i wtyczki premium za darmo. Korzystanie z tych bezpłatnych produktów może oznaczać katastrofę, ponieważ wiele z tych dodatków WordPress ma celowo wstrzyknięte złośliwe oprogramowanie. Zainstalowanie tych nielegalnych dodatków na twoich stronach jest jak otwieranie drzwi i zapraszanie hakerów do twojej witryny. Gdy atakującemu uda się włamać do Twojej witryny przy użyciu złego kodu w motywie/wtyczce, którą właśnie zainstalowałeś, użyje Twojej witryny do wykonania szeregu złośliwych działań, takich jak wysyłanie spamu lub atakowanie innych witryn. Ponadto obecność złośliwego oprogramowania w Twojej witrynie jest uznawana za zagrożoną, co powoduje, że dostawcy usług hostingowych zawieszają wyszukiwarki na Twoim koncie, takie jak Google, aby umieścić Twoją witrynę na czarnej liście i zawiesić Twoje konto AdWords.

Jak to naprawić: Kup oryginalne motywy i wtyczki z popularnych platform handlowych, takich jak ThemeForest , Elegant Themes itp. W okresie wyprzedaży można kupić motywy i wtyczki po znacznie niższych cenach. Można wyszukać oficjalne strony wybranego przez nas motywu lub wtyczki.

4. Przechowywanie nieużywanych wtyczek i motywów w Twojej witrynie

Przechowywanie nieużywanych motywów i wtyczek w witrynie daje hakerom możliwość infiltracji Twojej witryny. Wielu właścicieli witryn nie aktualizuje nieaktywnych dodatków, ponieważ nie są świadomi korzyści związanych z bezpieczeństwem. Dla nich aktualizacje przynoszą nowe funkcje, a ponieważ nie używają wtyczki, myślą, że nie potrzebują nowych funkcji. Jeśli wydano aktualizację mającą na celu załatanie luki w zabezpieczeniach, Twoja witryna pozostaje zagrożona, dopóki jej nie zaktualizujesz.

Jak to naprawić: jedynym rozwiązaniem jest pozbycie się nieaktywnych motywów i wtyczek WordPress. Oto jak:

Odwiedź stronę „zainstalowane wtyczki” z pulpitu nawigacyjnego WordPress swojej witryny.

Na stronie znajduje się opcja o nazwie „nieaktywne”. Wybierz to.

Spowoduje to przejście do innej strony, z której możesz usunąć nieaktywne wtyczki . Zanim jednak naciśniesz przycisk „nieaktywny”, sugerujemy upewnienie się, że nie będziesz potrzebować tej konkretnej wtyczki w najbliższej przyszłości.

5. Stosowanie złych praktyk logowania do witryny

Dwie powszechne, a jednak bardzo niebezpieczne praktyki logowania to używanie łatwych do odgadnięcia danych logowania i niewylogowywanie się, gdy strona nie jest używana. Atakujący programują boty, które próbują zalogować się do Twojej witryny przy użyciu kombinacji łatwej do zapamiętania nazwy użytkownika (np. admin) i hasła (np. hasło123), aby zhakować witrynę. Ta osobliwa metoda hakowania witryny nazywana jest atakiem brute force.

Jak to naprawić: Zaleca się używanie unikalnej nazwy użytkownika i hasła (zalecana lektura – przewodnik ochrony strony logowania do WordPress). Jednym minusem jest to, że unikalne dane uwierzytelniające są trudne do zapamiętania. Dlatego musisz przechowywać dokument zawierający te poświadczenia. I upewnij się, że dokument jest zaszyfrowany, aby zapobiec nieautoryzowanemu dostępowi.

6. Przyznawanie każdemu użytkownikowi dostępu administratora

Robienie każdego użytkownika administratorem to zły pomysł, zwłaszcza w przypadku witryn, w których jest duża liczba użytkowników, których właściciel witryny nie zna osobiście. WordPress pozwala właścicielom witryn przypisać użytkownikom następujące role – Administrator, Redaktor, Autor, Współtwórca, Subskrybent, Menedżer SEO, Edytor SEO. Nadanie wszystkim uprawnień administratora jest ryzykowne, ponieważ zapewnia dostęp do wszystkich obszarów witryny.

Udzielanie użytkownikom nieograniczonego dostępu do całej witryny prowadzi do wykorzystywania, jak widać w tym przypadku w przypadku TechCrunch (popularnej witryny technologicznej), która została zhakowana przez OurMine (grupę hakerów). Po uzyskaniu dostępu do konta użytkownika OurMine mógł publikować na stronie. Oto zrzut ekranu strony głównej, na której czytelnicy obudzili się po zhakowaniu TechCruncha:

Jak to naprawić: Każda rola użytkownika w WordPress umożliwia dostęp tylko do określonych obszarów witryny. W zależności od tego, co użytkownik ma robić w witrynie, możesz przypisać te role. Przestrzeganie tej zasady zapewnia dostęp do całej witryny tylko osobom, którym ufasz. A jeśli coś pójdzie nie tak, wiesz, kto jest za to odpowiedzialny.

7. Nie robienie kopii zapasowych

Kopie zapasowe to Twoja sieć bezpieczeństwa. Brak takiego urządzenia może spowodować kłopoty w przypadku katastrofy. Jeśli Twoja witryna zostanie zaatakowana przez hakerów, a posty zostaną usunięte, możesz łatwo przywrócić witrynę do normalnego stanu, korzystając z kopii zapasowych. Ale korzystanie z jakiejkolwiek usługi tworzenia kopii zapasowych nie jest wskazane, ponieważ wiele usług tworzenia kopii zapasowych nie jest wydajnych. Na przykład wiele wtyczek do tworzenia kopii zapasowych przechowuje kopie zapasowe na twoich serwerach internetowych. Niektóre z nich przechowują kopie zapasowe w jednym miejscu. Serwer Twojej witryny nie jest idealnym miejscem do przechowywania kopii zapasowych, ponieważ oprócz wykonywania zwykłych procesów przejmuje na siebie ciężar tworzenia kopii zapasowych. Spowalnia prędkość Twojej witryny. Przechowywanie tylko jednej kopii zapasowej oznacza, że ​​jeśli ją utracisz, nie będziesz mieć innych kopii zapasowych, na których można by się oprzeć.

Jak to naprawić: zanim wybierzesz usługę tworzenia kopii zapasowych, sprawdź funkcje, aby zobaczyć, gdzie przechowuje kopie zapasowe. Jeśli nie możesz znaleźć odpowiednich informacji, wyślij do nich wiadomość e-mail z bezpośrednimi pytaniami, gdzie przechowują kopie zapasowe i czy przechowują je w wielu lokalizacjach. Aby dowiedzieć się więcej o tym, jak wybrać niezawodne kopie zapasowe, przeczytaj ten post .

8. Niekorzystanie z usług bezpieczeństwa

Wielu właścicieli witryn internetowych, zwłaszcza tych, którzy mają małe witryny generujące mniejszy ruch, uważa, że ​​ich witryna jest nieistotna i dlatego nie przyciągnie uwagi hakerów. Ale dzisiejsi hakerzy mają wiele powodów, by zaatakować małą witrynę . Mogą go używać między innymi do przechowywania plików lub wysyłania spamu. W rzeczywistości wiele grup hakerskich woli atakować małe witryny, ponieważ małe witryny są luźne w kwestii bezpieczeństwa i dlatego łatwiej je zhakować. Przeprowadzają masowe ataki siłowe , w których boty próbują odgadnąć poprawną nazwę użytkownika i dane uwierzytelniające, aby włamać się na stronę. Jedna z najbardziej preferowanych technik hakerskich polega na wykorzystywaniu podatnych na ataki wtyczek i motywów.

Jak to naprawić: standardowa usługa bezpieczeństwa oferuje podstawowe funkcje bezpieczeństwa, takie jak zapora WordPress, która pomaga zapobiegać atakom hakerów na Twoją witrynę.

Oprócz podjęcia powyższych środków w celu naprawy witryny, możesz zastosować kilka dodatkowych środków bezpieczeństwa. Zdecydowanie zalecamy skorzystanie z tego przewodnika – Zabezpiecz swoją witrynę WordPress za pomocą wp-config.php.

Za każdym razem, gdy pojawia się luka we wtyczce lub motywach, a nawet w rdzeniu, programiści publikują łatkę poprzez aktualizację. Dlatego aktualizowanie wszystkich motywów, wtyczek i rdzenia WordPress jest dobrą praktyką bezpieczeństwa. MalCare – jedna z najlepszych wtyczek bezpieczeństwa WordPress oferuje funkcję zarządzania witryną, która pozwala aktualizować wtyczki, motywy i rdzeń WordPress z pulpitu nawigacyjnego MalCare. Jest to szczególnie przydatne dla osób, które mają wiele stron internetowych do utrzymania. Logowanie się do każdej witryny i aktualizowanie motywów, wtyczek i rdzenia to czasochłonne zajęcie. Usługi takie jak MalCare ułatwiają właścicielom witryn przestrzeganie dobrych praktyk bezpieczeństwa.

Oprócz zapory i zarządzania witryną, wtyczka bezpieczeństwa oferuje również codzienne usługi skanowania. Jeśli Twoja witryna jest zainfekowana złośliwym oprogramowaniem, wtyczka pomoże Ci naprawić zhakowaną witrynę. Jeśli czułbyś się bardziej komfortowo z zespołem świadczącym usługi utrzymania witryny WordPress bezpośrednio, aby w pełni zarządzać bezpieczeństwem Twojej witryny, WP Buffs będzie świetną opcją. Dbają o aktualizacje, bezpieczeństwo, szybkość strony i bieżące zmiany, niezależnie od tego, czy zarządzasz 1 witryną, czy 1000!

Co następne?

Korzystanie z dobrej wtyczki zabezpieczającej WordPress to pierwszy krok w kierunku zbudowania bezpiecznej strony internetowej lub zapewnienia bezpieczeństwa WordPress. Niektóre inne środki bezpieczeństwa, które możesz zastosować, obejmują blokowanie adresów IP, ochronę strony logowania i podążanie za tym kompletnym przewodnikiem na temat bezpieczeństwa WordPress, aby dowiedzieć się więcej jak zabezpieczyć witrynę WordPress.

Jeśli popełniłeś któryś z tych błędów w przeszłości, miejmy nadzieję, że ten post pomógł ci zobaczyć, co robiłeś źle i jak to naprawić. Czekamy na wszelkie pytania dotyczące tych błędów bezpieczeństwa WordPress i ich poprawek. Prosimy o kontakt z nami za pośrednictwem naszej strony kontaktowej .