5 cele mai frecvente atacuri WordPress și cum să le preveniți

Publicat: 2023-04-19

Ești îngrijorat că hackerii vor ataca site-ul tău WordPress? Ne-am fi dorit să vă spunem să nu vă faceți griji, dar adevărul este că site-urile WordPress sunt vizate în mod constant de hackeri. Acest lucru se datorează în principal popularității sale, deoarece WordPress alimentează o treime din toate site-urile de pe internet.

Deși WordPress în sine este o platformă sigură pentru crearea de site-uri web, nu funcționează singur. Aveți nevoie de pluginuri și teme pentru a rula un site WordPress. Pluginurile și temele dezvoltă adesea vulnerabilități pe care hackerii le exploatează pentru a sparge un site web.

Odată ce au acces la site-ul dvs. web, ei desfășoară tot felul de activități rău intenționate, cum ar fi furtul de informații sensibile, fraudarea clienților și afișarea de conținut ilegal. Între timp, site-ul dvs. poate fi semnalat cu avertisment în rezultatele căutării sau poate fi inclus pe lista neagră de Google sau chiar suspendat de gazda dvs. web. Toate acestea duc la o pierdere de vizitatori și de venituri.

În timp ce dezvoltatorii WordPress mențin platforma în siguranță așa cum poate fi, proprietarii de site-uri WordPress trebuie, de asemenea, să ia măsuri pe cont propriu. În acest articol, discutăm despre cele mai frecvente atacuri asupra site-urilor WordPress și măsurile preventive pe care le puteți lua împotriva lor.

TL;DR: Dacă vă faceți griji că hackerii vă atacă site-ul WordPress, puteți lua imediat măsuri de protecție a site-ului. Puteți instala pluginul nostru de securitate WordPress MalCare. Acesta va scana și monitoriza site-ul dvs. în fiecare zi și va bloca hackerii să încerce să intre.

[lwptoc skipHeadingLevel=”h1,h3,h4,h5,h6″ skipHeadingText=”Gânduri finale”]

De ce este WordPress o țintă populară pentru hackeri?

WordPress este o platformă de creare de site-uri web care permite oricui să creeze site-uri web fără să știe cum să codifice. În plus, WordPress este gratuit.

Drept urmare, platforma alimentează astăzi peste 1,3 miliarde de site-uri active.

Dezavantajul tuturor acestor lucruri este că site-urile WordPress sunt vizate mai mult decât site-urile construite pe orice altă platformă.

Acum există mai multe moduri prin care hackerii pot pătrunde în site-ul tău. Am restrâns-o la cele 5 cele mai comune. Vă vom explica ce se întâmplă și cum vă puteți proteja site-ul WordPress împotriva acestuia.

5 cele mai frecvente atacuri pe site-urile WordPress

1. Pluginuri și teme vulnerabile

Un site WordPress este creat folosind trei elemente – instalarea de bază, teme și pluginuri. Toate cele trei elemente au potențialul de a face un site vulnerabil la hack-uri.

De mulți ani, nu a existat nicio vulnerabilitate majoră în nucleul WordPress. Este întreținut de o echipă de dezvoltatori cu înaltă experiență și calificare. Ei lucrează din greu pentru a se asigura că platforma este complet sigură, astfel încât să nu aveți de ce să vă faceți griji acolo.

Cu toate acestea, pluginurile și temele WordPress sunt create de dezvoltatori terți și tind să dezvolte vulnerabilități WordPress destul de des.

Când dezvoltatorii descoperă vreo vulnerabilitate, o remediază prompt și lansează o versiune actualizată.

actualizare wordpress

Tu, proprietarul site-ului, trebuie să actualizați la cea mai recentă versiune, iar site-ul dvs. va fi securizat. Este important să instalați imediat astfel de actualizări de securitate. Acest lucru se datorează faptului că atunci când dezvoltatorii lansează o actualizare, ei lansează și motivele actualizării. Astfel, vulnerabilitatea este anunțată publicului.

Aceasta înseamnă că hackerii știu acum că există o vulnerabilitate. De asemenea, știu că nu toți proprietarii de site-uri își actualizează site-urile imediat. Deci, odată ce află că un plugin sau o temă este vulnerabilă, programează roboți și scanere pentru a accesa cu crawlere internetul și pentru a găsi site-uri care le folosesc. Știind exact care este vulnerabilitatea, le este ușor să exploateze, să pătrundă și să insereze programe malware precum wp feed malware etc.;

Cum să vă protejați site-ul împotriva pluginurilor și temelor vulnerabile

  1. Folosiți numai teme și pluginuri de încredere găsite în depozitul WordPress sau piețe precum ThemeForest și Code Canyon.
  2. Verificați-vă lista de pluginuri în mod regulat și păstrați-le doar pe cele pe care le utilizați. Ștergeți-le pe cele de care nu aveți nevoie sau sunt inactive.
  3. Scanați-vă tema în mod regulat și, în mod ideal, ar trebui să păstrați doar tema pe care o utilizați în mod activ.
  4. Nu utilizați niciodată teme și pluginuri piratate. Acestea conțin de obicei programe malware care vă vor infecta site-ul web.
  5. Asigurați-vă că recunoașteți toate pluginurile și temele de pe site-ul dvs. Uneori, hackerii își instalează propriile pluginuri și teme care au instalate ușile din spate pentru site-uri web. Acest lucru le oferă un acces secret la site-ul dvs.

2. Atacurile de forță brută

Pentru a vă conecta la site-ul dvs. WordPress, trebuie să introduceți datele de conectare, adică un nume de utilizator și o parolă.

De multe ori, proprietarii de site-uri WordPress folosesc nume de utilizator și parole care sunt ușor de reținut. Mulți utilizatori WordPress păstrează numele de utilizator implicit „admin”. Parolele comune includ „parola123” sau „1234567”.

Hackerii sunt conștienți de acest lucru și atacă pagina de conectare a site-urilor WordPress.

pagina de conectare wordpress

Ei creează o bază de date cu nume de utilizator și parole utilizate în mod obișnuit. Apoi, programează roboți pentru a viza site-urile WordPress și pentru a încerca diferite combinații prezente în baza lor de date.

Dacă acreditările dvs. de conectare sunt slabe, roboții au șanse mari să o ghicească și să pătrundă în site-ul dvs. Acest lucru este cunoscut sub numele de „Atacuri de forță brută” și se estimează că au o rată de succes de 10%!

Cum să vă protejați site-ul împotriva forței brute

Există câțiva pași pe care îi puteți face pentru a vă asigura site-ul împotriva atacurilor cu forță brută:

  1. În mod implicit, numele dvs. de utilizator WordPress este admin. Îl poți schimba de la admin în ceva mai unic.
  2. Utilizați o parolă puternică pentru WordPress. Vă sugerăm să utilizați o expresie de acces în combinație cu cifre și simboluri, cum ar fi Birdsofafeather123$.
  3. Utilizați acreditări unice pe care nu le-ați folosit pe alte site-uri web.
  4. Limitați numărul de încercări de conectare pe site-ul dvs. Aceasta înseamnă că un utilizator WordPress va avea șanse limitate de a introduce acreditările potrivite, cum ar fi 3 încercări sau 5 încercări. După aceasta, vor trebui să folosească opțiunea „parola uitată”. Puteți instala pluginul nostru de securitate MalCare pe site-ul dvs. și va implementa automat această protecție de conectare pentru dvs.
  5. Folosiți autentificarea cu doi factori, în care un utilizator WordPress trebuie să-și introducă acreditările împreună cu o parolă unică, care este generată pe smartphone-urile lor sau trimisă la adresa de e-mail înregistrată.

3. Atacurile prin injectare

Aproape fiecare site web are un câmp de introducere, cum ar fi un formular de contact, o bară de căutare pe site sau o secțiune de comentarii care le permite vizitatorilor să introducă date. Unele site-uri web permit, de asemenea, vizitatorilor să încarce documente și fișiere imagine.

De obicei, aceste date sunt acceptate și trimise în baza dumneavoastră de date pentru a fi procesate și stocate. Aceste câmpuri necesită o configurare adecvată pentru a valida și igieniza datele înainte ca acestea să ajungă în baza de date. Acest lucru va asigura că sunt acceptate numai date valide. Dacă aceste măsuri lipsesc, hackerii îl exploatează și introdu cod rău intenționat.

Să luăm un exemplu de site WordPress care are un formular de contact pe el. În mod ideal, acest formular ar trebui să accepte un nume, o adresă de e-mail și un număr de telefon.

Formular de contact
  1. Câmpul de nume ar trebui să accepte numai litere ale alfabetului.
  2. Câmpul pentru adresa de e-mail ar trebui să accepte un format valid de adresă de e-mail, cum ar fi [email protected].
  3. Câmpul numărului de telefon trebuie să conțină doar cifre.

Acum, dacă aceste configurații nu sunt la locul lor, un hacker poate insera scripturi rău intenționate, cum ar fi:

 String userLoginQuery = "SELECT user_id, username, password_hash FROM users WHERE username = '" + request.getParameter("user") + "'";

Acesta este un cod care va comanda bazei de date să execute anumite funcții. În acest fel, hackerii pot rula scripturi rău intenționate pe site-ul dvs. pe care le pot folosi pentru a obține controlul deplin asupra site-ului dvs.

Cele mai populare atacuri de injecție pe site-urile WordPress includ atacurile de injecție SQL și Cross-Site Scripting.

Cum să vă protejați site-ul împotriva atacurilor prin injecție

  1. Multe atacuri de injectare provin din teme și pluginuri care permit intrarea vizitatorilor pe site-ul dvs. Vă sugerăm să utilizați numai teme și pluginuri de încredere. Apoi, păstrați-vă pluginurile și tema mereu la zi.
  2. Controlați intrările în câmp și transmiterea datelor. Acest lucru este tehnic și ar necesita asistența unui dezvoltator.
  3. Utilizați un firewall WordPress. Dacă ați instalat MalCare pe site-ul dvs., acesta instalează automat un firewall robust pentru a vă apăra site-ul împotriva hackerilor.

4. Phishing și furtul de date

Vizitatorii interacționează cu site-ul dvs. în moduri diferite. Unii dintre ei doar vă citesc postările de pe blog, alții vă contactează prin contactul dvs. de la și așa mai departe. Dacă conduceți un site de comerț electronic, atunci mulți vizitatori cumpără articole de pe site-ul dvs. Aceasta înseamnă că trebuie să se conecteze la site-ul dvs. și să introducă informațiile despre cardul de credit.

Când cineva introduce informații despre cardul de credit pe site-ul dvs., acesta transferă și stochează informațiile pe serverul site-ului dvs. Aceste informații pot fi interceptate în timp ce sunt transferate. Mai mult, datele cardului de credit pot fi furate.

Ei pot pătrunde, de asemenea, în site-ul dvs. web și să se pozeze în tine. Ei trimit e-mailuri sau redirecționează vizitatorii către alte site-uri web și îi păcălesc să dezvăluie date personale și informații de plată.

Cum să vă protejați site-ul de phishing și furtul de date

  1. Utilizați un certificat SSL. Aceasta va cripta datele care sunt transferate de la și către site-ul dvs. Chiar dacă un hacker îl interceptează, nu îl poate folosi deoarece nu îl va putea descifra. Consultați ghidul nostru despre utilizarea SSL și HTTPS. De asemenea, va elimina avertismentul care nu este sigur de site-ul WordPress de pe site-ul dvs.
  2. Utilizați un plugin de securitate WordPress pentru a primi alerte dacă există vreo activitate suspectă pe site-ul dvs. web. Pluginul va bloca și încercările de hack.

5. Furtul de biscuiti

Ați observat că atunci când vă conectați la un site, browserul vă solicită să „ține minte” sau să „salvezi parola”? Acest lucru se face astfel încât să nu fie nevoie să introduceți datele de conectare de fiecare dată când doriți să accesați un site web. Puteți opta pentru a permite browserului să vă salveze detaliile de conectare.

nume de utilizator și parolă

Browserele pot salva astfel de date datorită cookie-urilor. Cookie-urile sunt fragmente minuscule de date care înregistrează interacțiunea unui vizitator cu un site web. De exemplu, dacă conduceți un magazin online, site-ul dvs. ar putea urmări călătoria unui client, cum ar fi ce produs a căutat și ce a achiziționat. Aceste date sunt folosite în analiză și, de asemenea, agenții de publicitate adaptează reclamele la preferințele vizitatorului. Acum, cookie-urile pot stoca și detalii bancare și informații personale.

Dacă un hacker este capabil să fure cookie-urile site-ului dvs., acesta poate accesa date sensibile ale afacerii dvs. și ale vizitatorilor dvs. Ei pot exploata aceste date pentru a-și îndeplini actele rău intenționate, cum ar fi fraudarea clienților folosind informațiile cardului lor de credit.

Puteți citi mai multe despre acest lucru în ghidul nostru simplu pentru furtul cookie-urilor și deturnarea sesiunii.

Cum să vă protejați site-ul de furtul cookie-urilor și deturnarea sesiunii

  • Schimbați-vă cheile și sărurile WordPress în mod regulat. Cheile și sărurile asigură criptarea sigură a informațiilor stocate în cookie-urile browserului. Această măsură este de natură tehnică. Vă recomandăm să utilizați funcția de întărire WordPress de la MalCare pentru a vă schimba cheile și sărurile. Din tabloul de bord MalCare, accesați Securitate > Întărire WordPress > Schimbați cheile și sărurile de securitate WordPress.
întărirea site-ului malcare
  • Și aici vă recomandăm să instalați un certificat SSL pentru a vă proteja datele site-ului dvs.

Asta ne duce la capătul celor mai comune atacuri WordPress. Înainte de a încheia, am dori să vă arătăm câteva măsuri de întărire WordPress care vă vor face site-ul mai puternic împotriva unor astfel de atacuri.

Cum să vă întăriți site-ul WordPress împotriva atacurilor ?

Deși puteți lua măsuri specifice pentru a vă proteja site-ul împotriva anumitor atacuri, există câteva măsuri generale de securitate pe care le puteți implementa pe site-ul dvs. pentru o mai bună protecție. Acestea se numesc măsuri de întărire WordPress. Am explicat pe scurt aici, dar puteți citi ghidul nostru detaliat despre WordPress Hardening pentru explicații mai detaliate.

1. Dezactivează editorul de fișiere

WordPress are o funcție care vă permite să editați fișierele de teme și plugin direct din tabloul de bord. Mulți proprietari de site-uri web nu au nevoie de această funcție, este folosită în mare parte de dezvoltatori. Dar dacă un hacker intră în tabloul de bord wp-admin, acesta poate insera cod rău intenționat în fișierele de temă și plugin. Astfel, dacă nu aveți nevoie de această funcție, poate fi dezactivată.

2. Dezactivarea instalărilor de pluginuri sau teme

Când hackerii vă pot accesa site-ul, își instalează propriile pluginuri sau teme. Aceste pluginuri și teme sunt de obicei rău intenționate și conțin backdoors. Acest lucru le oferă hackerilor o intrare secretă în site-ul dvs.

În plus, așa cum am menționat, temele și pluginurile vulnerabile sunt o cauză principală a site-urilor piratate. Dacă aveți mai mulți utilizatori pe site-ul dvs. web, aceștia pot instala un plugin sau o temă care nu este sigură. Acest lucru vă poate deschide site-ul pentru hackeri. Dacă doriți să evitați acest lucru, puteți dezactiva instalările de pluginuri și teme pe site-ul dvs.

Dacă nu instalați în mod regulat pluginuri și teme pe site-ul dvs., puteți dezactiva opțiunea de instalare.

3. Limitarea încercărilor de conectare

După cum am menționat anterior, puteți limita numărul de șanse pe care le are un utilizator WordPress de a introduce datele de conectare corecte pentru a intra pe site. Acest lucru elimină riscul atacurilor cu forță brută.

4. Schimbarea cheilor de securitate și a sărurilor

Cheile și sărurile criptează informațiile stocate în browser. Deci, chiar dacă un hacker reușește să vă fure cookie-urile, nu le poate descifra. Cu toate acestea, dacă un hacker accesează aceste chei și săruri, le poate folosi pentru a decripta cookie-urile. Schimbarea regulată a cheilor și a sărurilor poate ajuta la evitarea furtului de cookie-uri.

5. Blocarea execuției PHP în foldere necunoscute

Există doar anumite fișiere și foldere pe site-ul dvs. WordPress care execută cod. Alte dosare stochează doar informații, cum ar fi folderul Încărcări, care stochează imagini și videoclipuri.

Cu toate acestea, atunci când un hacker obține acces la site-ul dvs. web, acesta introduce cod php în foldere aleatorii sau chiar își creează propriile foldere.

Puteți bloca o astfel de activitate prin dezactivarea execuțiilor PHP în foldere necunoscute.

Implementarea acestor măsuri necesită expertiză tehnică. Nu vă recomandăm să o faceți manual. Este mult mai sigur și mai ușor să utilizați un plugin precum MalCare, care vă permite să faceți acest lucru în doar câteva clicuri.

întărirea site-ului malcare

Prin urmare, suntem siguri că site-ul dvs. WordPress este securizat și protejat împotriva hackerilor.

Gânduri finale

Hackerii au o multitudine de moduri de a pătrunde în site-ul tău WordPress și vin cu altele noi tot atât de des!

Trebuie să luați măsuri de securitate pentru a vă proteja site-ul web și pentru a vă asigura că este în siguranță împotriva atacurilor de tip hack.

Vă recomandăm să utilizați pluginul nostru de securitate MalCare pentru a vă securiza site-ul WordPress. Acesta va bloca accesul hackerilor și roboților rău intenționați la site-ul dvs. Poți fi sigur că site-ul tău este monitorizat și protejat.

Preveniți hackurile cu pluginul nostru de securitate MalCare !