Top greșeli de securitate WordPress și cum să le remediați - MalCare

Greșeli de securitate WordPress: Știați că în fiecare minut se fac aproximativ 90.978 de încercări de hack pe site-urile WordPress? Odată ce site-ul dvs. este piratat, hackerii îl folosesc pentru a executa tot felul de activități rău intenționate, cum ar fi trimiterea de e-mailuri spam (citiți – hack de phishing), atacarea altor site-uri web, injectarea de link-uri spam, redirecționarea vizitatorilor etc.

Acesta este motivul pentru care proprietarii de site-uri WordPress ca tine trebuie să-și ia în serios preocupările de securitate. Nu există niciun glonț de argint pe care îl puteți folosi pentru a vă rezolva toate nevoile de securitate, ci mai degrabă trebuie să faceți multe lucruri corect. Pe internet, există nenumărate sfaturi despre cum să vă păstrați site-ul în siguranță. Unele dintre ele sunt sfaturi contradictorii, iar altele sunt pur și simplu depășite. Numeroase opinii despre ce ar trebui să facă și ce nu ar trebui să aducă confuzie un proprietar de site și, în mijlocul acestei confuzii, greșelile sunt inevitabile.

Menținerea securității unui site nu este o sarcină ușoară, mai ales pentru noii proprietari de site-uri care sunt predispuși să facă greșeli care i-ar putea lăsa vulnerabili la atacurile de hack obișnuite. Cunoașterea greșelilor comune de securitate pe care le fac proprietarii de site-uri web va ajuta la evitarea acestora. Și de aceea am venit cu această listă, astfel încât să nu mai facă greșelile pe care le fac majoritatea proprietarilor de site-uri WordPress.

Principalele greșeli de securitate WordPress pe care le fac proprietarii de site-uri:

Vă sugerăm să efectuați un audit de securitate WordPress înainte de a lua oricare dintre măsurile de mai jos -

1. Nu se actualizează WordPress Core, Plugin & Themes

Menținerea actualizate de bază și suplimentele WordPress (adică teme și pluginuri) este o măsură bună de securitate. Actualizarea acestora nu adaugă doar mai multe funcții site-ului, ci ajută și la corectarea vulnerabilităților. Datorită ecosistemului în care funcționează WordPress, știrile despre vulnerabilități se răspândesc foarte repede și hackerul încearcă să profite de situație. Dacă nu vă actualizați site-ul, ceea ce ar fi ajutat la corectarea vulnerabilității, site-ul dvs. va deveni ușor de pătruns.

În timp ce unii proprietari de site-uri nu își actualizează site-ul deoarece nu știu cum actualizările sunt legate de securitate, alții se tem de incompatibilitate. Site-urile web WordPress se pot rupe după actualizarea nucleului WordPress și a suplimentelor sale.

Actualizările WordPress sunt concepute pentru a fi compatibile cu toate versiunile anterioare. Astfel, dacă site-ul dvs. rulează versiunea 4.1, îl puteți actualiza la cea mai recentă versiune, adică 4.9. Dar, în ciuda tuturor măsurilor de precauție luate, fiecare actualizare aduce știri despre prăbușirea site-ului. Iată un exemplu din cea mai recentă versiune WordPress 4.9.6.

Este posibil să întâmpinați probleme similare când actualizați suplimentele WordPress, adică teme și pluginuri. Adesea, problemele de incompatibilitate apar în teme și pluginuri deoarece dezvoltatorul a fost grăbit să lanseze o nouă actualizare sau poate că dezvoltatorul a fost incompetent. Pluginurile și temele au o piață cu adevărat competitivă și, în încercarea de a ieși în evidență față de restul, dezvoltatorii sunt împinși să adauge din ce în ce mai multe funcții noi în cel mai scurt timp. Uneori nu li se acordă suficient timp pentru a vedea dacă versiunea este compatibilă cu fiecare versiune anterioară a WordPress. Și așadar, dacă cineva folosește o versiune WordPress foarte timpurie și actualizează un plugin care funcționează numai cu cele mai recente câteva versiuni WordPress, site-ul său se întrerupe.

Preocupările legate de problemele de compatibilitate dintre WordPress Core și un supliment pot determina proprietarii de site-uri să omite actualizările de securitate.

Cum să remediați acest lucru: un serviciu de staging ar putea rezolva această problemă. Procesul de creare a unui site duplicat cu scopul de a testa instalarea nucleului WordPress și a suplimentelor sale se numește Staging. Serviciile de backup precum BlogVault sau chiar furnizorii de gazdă web precum Kinsta oferă medii de pregătire. Verificați cu gazda dvs. web sau cu serviciile de rezervă (dacă utilizați unul) pentru a vedea dacă au opțiunea de a organiza un site. Dacă nu, atunci înscrieți-vă la un serviciu care vă permite să montați un site.

Pe lângă menținerea actualizate a pluginurilor, temelor și nucleului, vă sugerăm cu insistență să vă mențineți actualizate sărurile și cheile de securitate WordPress.

2. Utilizarea suplimentelor de calitate slabă

Nu toate pluginurile și temele WordPress sunt bine realizate. Unele ignoră verificările de asigurare a calității, în timp ce altele sunt dezvoltate de programatori amatori. Este important ca utilizatorii să fie atenți la ceea ce alege să folosească sau să cumpere. Dar, din păcate, mulți utilizatori WordPress nu au cunoștințe tehnice care să-i facă neechipați pentru a afla cât de bună este pluginul sau tema.

Cum să remediați acest lucru: pentru a ajuta astfel de utilizatori, am enumerat câteva caracteristici care vă vor ajuta să găsiți o temă sau un plugin bun:

i. Asigurați-vă că obțineți suplimentele de la o sursă reputată, cum ar fi depozitul de pluginuri WordPress sau un vânzător popular, cum ar fi Elegant Themes, Themeforest etc.

ii. Asigurați-vă că suplimentele au o evaluare bună în depozitul WordPress și sunt revizuite de persoanele care au folosit tema/plugin-ul pe site-ul lor . O căutare rapidă pe Google vă va ajuta să găsiți recenziile.

iii. Verificați dacă pluginul există de mult timp și a trecut testul timpului. Căutați actualizări de securitate și remedieri de erori listate fie în depozitul WordPress, fie pe site-ul web oficial.

iv. Și asigurați-vă că acestea sunt des actualizate și că actualizarea recentă a fost făcută cu mai puțin de 2 luni în urmă.

3. Utilizarea pluginurilor și temelor ilegale

O mulțime de site-uri web vând gratuit teme și pluginuri premium. Folosirea acestor produse gratuite poate provoca un dezastru, deoarece multe dintre aceste suplimente WordPress au malware injectat în mod deliberat în ele. Instalarea acestor suplimente ilegale pe site-urile tale este ca și cum ai deschide ușile și ai invita hackeri pe site-ul tău. Odată ce un atacator reușește să pătrundă în site-ul dvs. folosind codul prost din tema/plugin-ul pe care tocmai l-ați instalat, acesta vă va folosi site-ul pentru a executa o serie de activități rău intenționate, cum ar fi trimiterea de e-mailuri spam sau atacarea altor site-uri. În plus, dacă aveți programe malware pe site-ul dvs., este considerat ca fiind compromis, ceea ce determină furnizorii de găzduire să suspende motoarele de căutare a contului dvs., cum ar fi Google, pentru a vă pune pe lista neagră site-ul și a vă suspenda contul AdWords.

Cum să remediați acest lucru: Cumpărați teme și pluginuri originale de pe piețele populare precum ThemeForest , Elegant Themes etc. În perioada de reducere, puteți cumpăra teme și pluginuri la prețuri mult mai mici. Se pot căuta site-uri web oficiale ale temei sau pluginului la alegerea noastră.

4. Păstrarea pluginurilor și temelor neutilizate pe site-ul dvs

Păstrarea temelor și pluginurilor neutilizate pe site oferă hackerilor o oportunitate de a se infiltra pe site-ul dvs. Mulți proprietari de site-uri nu actualizează suplimente inactive, deoarece nu cunosc beneficiile de securitate. Pentru ei, actualizările aduc noi funcții și, deoarece nu folosesc pluginul, ei cred că nu au nevoie de noile funcții. Dacă a fost lansată o actualizare pentru a corecta o vulnerabilitate, atunci site-ul dvs. rămâne în pericol până când îl actualizați.

Cum să remediați acest lucru: Singura soluție aici este să scăpați de temele și pluginul WordPress inactive. Iată cum:

Vizitați pagina „plugin-uri instalate” din tabloul de bord WordPress al site-ului dvs.

În pagină, există o opțiune numită „inactiv”. Selectați asta.

Va duce la o altă pagină de unde puteți șterge pluginurile inactive . Dar înainte de a apăsa butonul „inactiv”, vă sugerăm să vă asigurați că nu veți avea nevoie de acel plugin special în viitorul apropiat.

5. Folosirea practicilor proaste de conectare pe site

Două practici de conectare comune și totuși foarte periculoase sunt utilizarea acreditărilor de autentificare ușor de ghicit și nedeconectarea atunci când site-ul nu este utilizat. Atacatorii programează roboți care încearcă să se conecteze la site-ul dvs. folosind o combinație de nume de utilizator ușor de reținut (cum ar fi admin) și parolă (cum ar fi parola123) pentru a pirata un site. Această metodă particulară de a pirata un site se numește atac de forță brută.

Cum să remediați acest lucru: Este recomandat să utilizați un nume de utilizator și o parolă unice (citire recomandată – Ghid de protecție a paginii de conectare WordPress). Un dezavantaj aici este că acreditările unice sunt greu de reținut. Prin urmare, trebuie să păstrați un document care conține aceste acreditări. Și asigurați-vă că documentul este criptat pentru a preveni accesul neautorizat.

6. Oferirea fiecărui utilizator acces de administrator

A face din fiecare utilizare un administrator este o idee proastă, mai ales pentru site-urile web unde există un număr mare de utilizatori pe care proprietarul site-ului nu îi cunoaște personal. WordPress permite proprietarilor de site-uri să atribuie următoarele roluri utilizatorilor – Administrator, Editor, Autor, Colaborator, Abonat, Manager SEO, Editor SEO. Este riscant să-i faci pe toți administrator, deoarece acordă acces la toate zonele unui site.

Oferirea accesului nerestricționat utilizatorilor la întregul site duce la exploatare, așa cum se vede în acest caz cu TechCrunch (un site tehnologic popular) care au fost piratați de OurMine (un grup de hackeri). După ce a obținut acces la un cont de utilizator, OurMine a putut posta pe site. Iată o captură de ecran a paginii de start când cititorii s-au trezit după ce TechCrunch a fost spart:

Cum să remediați acest lucru: Fiecare rol de utilizator pe WordPress permite accesul doar la anumite zone ale site-ului. Pe baza a ceea ce trebuie să facă un utilizator pe site-ul dvs., puteți atribui aceste roluri. Urmând acest principiu se asigură că numai persoanele în care ai încredere pot accesa întregul site. Și dacă ceva nu merge bine, știi cine este responsabil.

7. Nu se face copii de rezervă

Backup-urile sunt plasa ta de siguranță. Dacă nu aveți unul la locul său, vă puteți pune în necazuri atunci când lovește un dezastru. Dacă site-ul dvs. este piratat și postările sunt șterse, vă puteți restabili cu ușurință site-ul la normal folosind copiile de siguranță. Dar utilizarea oricărui serviciu de backup nu este recomandabilă, deoarece multe servicii de backup nu sunt eficiente. De exemplu, multe plugin-uri de rezervă stochează copii de rezervă pe serverele dvs. web. Unele dintre ele stochează copiile de rezervă într-un singur loc. Serverul site-ului dvs. web nu este un loc ideal pentru a stoca copii de rezervă, deoarece serverul preia sarcina de a face backup pe lângă efectuarea proceselor obișnuite. Îți reduce viteza site-ului. Stocarea unei singure copii de siguranță înseamnă că, dacă îl pierdeți, nu veți mai avea alte copii de rezervă la care să apelați.

Cum să remediați acest lucru: înainte de a alege un serviciu de backup, verificați funcțiile pentru a vedea unde stochează copiile de rezervă. Dacă nu puteți găsi informații adecvate, trimiteți-le un e-mail punând întrebări directe despre unde stochează copiile de rezervă și dacă le stochează în mai multe locații. Pentru a afla mai multe despre cum să alegeți copii de siguranță de încredere, consultați această postare .

8. Neutilizarea unui serviciu de securitate

Mulți proprietari de site-uri web, în ​​special cei care au site-uri web mici, care atrag un trafic mai mic, cred că site-ul lor este nesemnificativ și, prin urmare, nu vor atrage atenția unui hacker. Dar hackerii de astăzi au o mulțime de motive să atace un site mic . Ar putea să-l folosească pentru a stoca fișiere sau a trimite e-mailuri spam, printre altele. Multe grupuri de hacking, de fapt, preferă să atace site-urile mici, deoarece site-urile mici sunt laxe în ceea ce privește securitatea și, prin urmare, sunt mai ușor de piratat. Ei lansează atacuri masive de forță brută în care roboții încearcă să ghicească numele de utilizator și acreditările corecte pentru a pătrunde pe un site. Una dintre cele mai preferate tehnici de hacking implică profitarea de pluginuri și teme vulnerabile.

Cum să remediați acest lucru: un serviciu de securitate standard oferă caracteristici de securitate esențiale, cum ar fi Paravanul de protecție WordPress, care ajută la prevenirea introducerii de forță brută a hackerilor pe site-ul dvs.

Pe lângă luarea măsurilor de mai sus pentru a vă repara site-ul, puteți lua mai multe măsuri de securitate. Vă sugerăm cu tărie să urmați acest ghid – Asigurați-vă site-ul WordPress cu wp-config.php.

Ori de câte ori apare o vulnerabilitate în plugin sau teme sau chiar în nucleu, dezvoltatorii lansează un patch prin intermediul unei actualizări. Prin urmare, păstrarea tuturor temelor, pluginurilor și nucleului WordPress actualizate este o bună practică de securitate. MalCare – unul dintre cele mai bune pluginuri de securitate WordPress de acolo oferă funcția de gestionare a site-ului care vă permite să actualizați pluginurile, temele și nucleul WordPress din tabloul de bord MalCare. Este util în special pentru persoanele care au multe site-uri web de întreținut. Conectarea la fiecare site web și actualizarea temelor, pluginurilor și nucleului este o muncă care necesită timp. Servicii precum MalCare facilitează pentru proprietarii de site-uri să urmeze bunele practici de securitate.

Pe lângă firewall și managementul site-ului, un plugin de securitate oferă și servicii de scanare zilnică. Dacă site-ul dvs. este infectat cu programe malware, pluginul vă va ajuta să vă reparați site-ul piratat. Dacă v-ați simți mai confortabil cu o echipă care vă oferă direct servicii de întreținere a site-ului WordPress pentru a vă gestiona pe deplin securitatea site-ului, WP Buffs va fi o opțiune excelentă. Aceștia au grijă de actualizări, securitate, viteza site-ului și editările în curs, indiferent dacă gestionați 1 site web sau 1000!

Ce urmează?

Utilizarea unui plugin de securitate WordPress bun este primul pas către construirea unui site web securizat sau menținerea WordPress în siguranță. Alte măsuri de securitate pe care le puteți lua includ blocarea IP-ului, protejarea paginii de autentificare și urmarea acestui ghid complet despre securitatea WordPress pentru a afla mai multe despre cum să vă securizați site-ul WordPress.

Dacă ați comis oricare dintre aceste greșeli în trecut, sperăm că postarea v-a ajutat să vedeți ce ați greșit și cum să le remediați. Salutăm orice întrebări pe care le puteți avea cu privire la aceste greșeli de securitate WordPress și remedierea acestora. Vă rugăm să ne contactați prin intermediul paginii noastre de contact .