22 способа, которыми WordPress уязвим для попыток взлома

Опубликовано: 2022-11-08

WordPress невероятно популярен. От этого факта никуда не деться.

По данным W3Techs, по состоянию на 2022 год WordPress занимает 64,3% доли рынка веб-сайтов с идентифицируемой CMS.

WordPress особенно уязвим для вредоносных атак не потому, что он небезопасен, а потому, что он очень популярен.

Но, как сказал Человек-Паук, «с большой силой приходит большая ответственность», то же самое можно сказать и о WordPress. То есть «с большой популярностью происходит огромный рост попыток взлома».

Не позволяйте этому сбить вас с толку.

Да, WordPress подвергается большему количеству попыток взлома, чем другие CMS. Но это все еще отличная платформа для использования.

На самом деле требуется всего несколько простых решений для защиты вашего сайта от подавляющего большинства атак.

В этой статье мы рассмотрим наиболее распространенные причины взлома веб-сайтов WordPress и способы быстрого устранения этих уязвимостей.

Оглавление
  1. Почему люди вообще взламывают сайты?
  2. 22 причины, по которым сайты WordPress часто взламывают, и как их исправить
  3. Защитите свой сайт WordPress от попыток взлома и наслаждайтесь безопасностью сайта

Почему люди вообще взламывают сайты?

Вообще говоря, есть четыре причины, по которым кто-то может захотеть взломать ваш сайт WordPress:

Статистика взлома Sucuri
  1. Чтобы вставить вредоносный код или контент, который может каким-то образом навредить вашим посетителям. Это известно как «злонамеренная атака». По данным Sucuri Security, на эти вредоносные атаки приходится около 64% ​​взломов WordPress.
  2. Использовать ресурсы вашего сайта в своих целях. Например, для помощи в составе ботнета при атаке типа «отказ в обслуживании» или «DDoS».
  3. Использовать межсайтовый скриптинг. Это работает, заставляя кого-то загружать веб-сайты с небезопасным JavaScript. По данным iThemes, эти скрипты затем крадут данные браузера и составляют около 54% ​​уязвимостей безопасности WordPress по состоянию на 2022 год.
  4. Захватить ваш сайт для использования в схеме фишинга. Другими словами, чтобы обмануть посетителей, чтобы они выдали личную информацию, такую ​​как пароли или номера кредитных карт.

Конечной целью всех этих методов почти всегда является кража информации. Эта информация используется для кражи личности или денег.

К счастью, с помощью всего нескольких простых решений вы можете защитить свой сайт от большинства хакеров.

22 причины, по которым сайты WordPress часто взламывают, и как их исправить

Итак, вы определенно хотите использовать WordPress, но хотите избежать возможности взлома. Звучит правильно?

Вам повезло!

Мы собрали 22 различных причины, по которым сайты WordPress подвергаются взлому.

Мы также покажем вам, что вы можете с этим сделать и как защитить свой веб-сайт настолько, насколько это возможно.

1. WordPress легко использовать

Вордпресс

Сегодня наш список возглавляет тот факт, что WordPress легко использовать. Поскольку WordPress имеет открытый исходный код, любой может просмотреть код. Таким образом, как только уязвимость обнаружена, каждый может ее увидеть и потенциально использовать.

Как это исправить:

Хотя вы ничего не можете сделать с тем фактом, что WordPress является целью, вы можете принять меры, чтобы убедиться, что ваш сайт максимально безопасен.

Мы поговорим подробнее о том, как это сделать позже в этой статье, но пока просто знайте, что важно поддерживать актуальность установки WordPress, использовать надежные пароли и устанавливать плагин безопасности.

2. WordPress очень популярен

Как мы уже говорили ранее, WordPress — одна из самых популярных систем управления контентом в мире.

К сожалению, это означает, что это также главная цель для хакеров.

Они знают, что если они потратят время на поиск уязвимости в WordPress, то смогут использовать множество веб-сайтов с такой же уязвимостью.

Как это исправить:

Лучший способ бороться с этим — поддерживать установку WordPress, темы и плагины в актуальном состоянии.

Когда для WordPress выпускается новое исправление безопасности, важно как можно скорее обновить свой веб-сайт. Таким образом, вы можете быть уверены, что менее подвержены любой из известных уязвимостей.

Но об этом чуть позже.

3. На сайтах WordPress часто отсутствуют базовые меры безопасности.

Многие пользователи WordPress не предпринимают необходимых шагов для защиты своих веб-сайтов. Это просто факт.

Теперь они могут не осознавать, насколько легко это сделать, или они могут не думать, что их веб-сайт является целью.

Но правда в том, что даже небольшой сайт может стать мишенью для хакеров. Если вы не предпримете необходимых шагов для защиты своего веб-сайта, он станет легкой мишенью.

Как это исправить

Первый шаг — узнать об основных мерах безопасности, которые вы должны предпринять для защиты своего веб-сайта WordPress.

Для некоторых это будет означать установку плагина безопасности. Для других это будет означать применение протокола ужесточения.

Хорошая новость в том, что этот пост охватывает большую часть того, что вам нужно знать.

4. Веб-сайты WordPress часто размещаются на общих серверах.

Еще одна причина, по которой веб-сайты WordPress уязвимы для попыток взлома, заключается в том, что они часто размещаются на общих серверах.

Многие владельцы веб-сайтов не понимают, что сервер, на котором размещен их веб-сайт, может иметь большое влияние на безопасность их веб-сайта.

Если сервер, на котором размещен ваш веб-сайт, не защищен должным образом, он может сделать ваш сайт уязвимым для атак.

Как это исправить

Первый шаг — убедиться, что вы пользуетесь надежной хостинговой компанией.

Проведите небольшое исследование и прочитайте отзывы, чтобы найти хостинговую компанию, которая серьезно относится к безопасности. Нам особенно нравятся SiteGround, DreamHost и Hostinger.

Хостингер

После того, как вы нашли хорошую хостинговую компанию, убедитесь, что ваш сайт размещен на безопасном сервере.

5. Плохие пароли (и не навязывание сильных) без двухфакторной аутентификации

Мы все слышали это миллион раз, но стоит повторить: один из самых простых способов защитить ваш сайт WordPress — использовать надежные пароли.

Многие владельцы веб-сайтов WordPress не следуют этому совету и используют слабые пароли, которые легко угадать.

Хуже того, некоторые пользователи WordPress не заставляют своих пользователей использовать надежные пароли с двухфакторной аутентификацией. Это делает атаки грубой силы более вероятными.

Как это исправить

Изменение пароля на что-то более сложное для угадывания — это первый шаг.

Ваш пароль должен состоять не менее чем из 8 символов и включать сочетание прописных и строчных букв, цифр и символов.

Если вы не знаете, как создать надежный пароль, вы можете использовать генератор паролей, чтобы создать его для вас.

ЛастПасс

Несколько хороших вариантов включают в себя:

  • Генератор паролей LastPass
  • Генератор надежных паролей
  • Нортон Менеджер паролей

Если у вас есть надежный пароль, следующий шаг — убедиться, что ваши пользователи также используют надежные пароли.

Вы можете сделать это, заставив их использовать надежные пароли при создании учетной записи.

Для этого вам нужно установить плагин безопасности. Password Policy Manager — хороший бесплатный вариант.

Диспетчер политик паролей

Установите и активируйте этот плагин, как и любой другой, затем нажмите miniOrange Password Policy на панели инструментов WordPress.

Отсюда вы можете настроить свои правила пароля.

Выберите необходимое количество символов и решите, хотите ли вы, чтобы пользователи использовали прописные и строчные буквы, цифры и специальные символы.

6. Никаких мер по ужесточению

Еще одна распространенная ошибка безопасности, которую совершают владельцы веб-сайтов WordPress, заключается в том, что они не принимают никаких мер по усилению безопасности.

Меры по усилению безопасности — это шаги, которые вы можете предпринять, чтобы сделать ваш сайт WordPress более безопасным. Часто это простые вещи, которые вы можете сделать, например, изменить префикс базы данных по умолчанию или удалить файл readme.

Но, несмотря на их простоту, они могут иметь большое значение для безопасности вашего веб-сайта.

Как это исправить

Защита WordPress может принимать несколько форм. Но одна из самых простых вещей, которые вы можете сделать, это изменить префикс базы данных по умолчанию.

Подключитесь к своему сайту WordPress через ваш любимый FTP-клиент, затем добавьте следующую строку в файл wp-config.php :

 $table_prefix = 'wp_';

Еще одна простая мера защиты, которую вы можете предпринять, — это удалить файл readme. Вы можете сделать это, удалив файл readme.html из каталога WordPress.

Один из лучших способов реализовать полный спектр методов повышения безопасности — установить плагин безопасности, что приводит нас к следующему пункту.

У нас есть пост, посвященный настройке файла wp-config здесь.

7. Нет плагина безопасности

Одна из самых важных вещей, которую вы можете сделать для защиты своего сайта WordPress, — это установить плагин безопасности.

Плагин безопасности добавит дополнительный уровень защиты вашему веб-сайту и поможет вам быстро исправить любые возникающие проблемы безопасности.

И самое приятное то, что такой плагин относительно не требует вмешательства — просто настройте его, и ваш сайт будет защищен.

Как это исправить:

Первый шаг — найти хороший плагин безопасности для вашего сайта WordPress. Есть много отличных вариантов.

Вот несколько лучших исполнителей:

Сукури Безопасность

Сукури Безопасность

Этот плагин — отличный вариант для владельцев веб-сайтов WordPress, которые ищут комплексное решение для обеспечения безопасности.

Он включает в себя такие функции, как сканирование вредоносных программ, мониторинг черного списка и удаленное удаление вредоносных программ.

MalCare

злонамеренность

Еще один отличный вариант — MalCare. Он предоставляет полный спектр функций безопасности, включая полное сканирование сайта, брандмауэр в реальном времени и инструменты для удаления вредоносных программ. Он также предлагает эти функции защиты сайта без ущерба для скорости сайта.

Выбрав плагин, установите его и настройте в соответствии с инструкциями плагина.

8. Неправильные права доступа к файлам

Еще одна распространенная ошибка безопасности, которую совершают владельцы веб-сайтов WordPress, — неправильные права доступа к файлам.

Права доступа к файлу определяют, кто может читать, записывать и выполнять файл. Если они не установлены правильно, это может сделать ваш сайт WordPress уязвимым для атак.

Как это исправить

Первый шаг — подключиться к вашему сайту WordPress с помощью FTP-клиента.

После подключения проверьте разрешения для следующих файлов и каталогов:

  • wp-админ
  • wp-включает
  • wp-контент

Эти файлы и каталоги должны иметь разрешение 755.

Цифры обозначают фактические разрешения:

  • 3 = (2 + 1) = Запись + Выполнение
  • 5 = (4 + 1) = чтение + выполнение
  • 6 = (4 + 2) = чтение + запись
  • 7 = (4 + 2 + 1) = чтение + запись + выполнение

Таким образом, 755 дает чтение + запись + выполнение любому зарегистрированному пользователю. Это не идеально.

Затем взгляните на разрешения для следующих файлов:

  • index.php
  • wp-login.php
  • wp-блог-header.php

Эти файлы должны иметь разрешение 644.

Узнайте больше о правах доступа к файлам здесь.

9. Слишком много пользователей с правами администратора

Предоставление слишком большому количеству пользователей прав администратора — еще одна серьезная ошибка безопасности, которая может поставить под угрозу ваш сайт.

Права администратора дают пользователю полный контроль над веб-сайтом WordPress. Если учетная запись пользователя с правами администратора будет взломана, весь ваш сайт может стать уязвимым.

Как это исправить

Убедитесь, что все пользователи на вашем сайте имеют только тот уровень разрешений, который необходим для эффективного выполнения их работы. Вот тут-то и появляются роли пользователей.

Одноразовому участнику не обязательно быть администратором. Вместо этого выберите Участник или Писатель при создании их учетной записи.

Если вам нужно настроить роль существующего пользователя, просто перейдите в « Пользователи» > «Все пользователи » на панели инструментов WordPress, затем щелкните имя пользователя, в которое вы хотите внести изменения.

Прокрутите вниз, пока не увидите раскрывающееся меню рядом с Роль . Нажмите на нее и выберите соответствующую роль пользователя для этого пользователя.

После внесения изменений прокрутите страницу вниз и нажмите « Обновить пользователя » .

Узнайте больше о ролях пользователей WordPress.

10. Не использовать журналы активности

Ведение журнала активности — один из лучших способов отслеживать подозрительную активность на вашем веб-сайте WordPress.

Журнал активности будет отслеживать каждое изменение, внесенное на ваш сайт WordPress. И, если что-то подозрительное действительно произойдет, вы сможете быстро определить это и принять меры.

Итак, вы видите, что если вы не следите за их веб-сайтом, вы можете пропустить важные угрозы безопасности.

Как это исправить

Первый шаг — найти хороший плагин журнала активности для вашего сайта WordPress.

Есть несколько отличных вариантов, но одним из лучших является плагин WP Activity Log.

Журнал активности WP

После того, как вы установили и активировали плагин, он начнет отслеживать все изменения, внесенные на ваш веб-сайт WordPress, что значительно упрощает обнаружение вредоносных действий.

11. Устаревшие файлы ядра WordPress

Одна из самых важных вещей, которую вы можете сделать для обеспечения безопасности своего веб-сайта WordPress, — это убедиться, что основные файлы всегда обновлены.

WordPress регулярно выпускает новые версии своего программного обеспечения. Каждый новый выпуск включает исправления безопасности для всех известных уязвимостей.

обновления WordPress

Если вы не используете последнюю версию WordPress, ваш сайт может быть уязвим для атак.

Как это исправить

Самый простой способ обновить основные файлы WordPress — войти в панель управления WordPress, а затем щелкнуть ссылку « Обновления » в верхней части экрана.

Если доступны какие-либо обновления, вы увидите сообщение о том, что доступна новая версия WordPress.

Нажмите кнопку « Обновить сейчас» , чтобы обновить файлы WordPress. Мы всегда рекомендуем делать резервную копию вашего сайта перед обновлением, на всякий случай.

12. Устаревшие темы и плагины

В дополнение к поддержанию ваших основных файлов WordPress в актуальном состоянии, вам также необходимо убедиться, что ваши темы и плагины всегда обновлены.

Как и WordPress Core, темы и плагины регулярно обновляются, чтобы исправить уязвимости безопасности, а также добавить новые функции.

Если вы используете устаревшую тему или плагин, ваш сайт может оказаться под угрозой.

Как это исправить

Войдите в свою панель управления WordPress, а затем нажмите ссылку « Обновления » на левой боковой панели.

Если для ваших тем или плагинов доступны какие-либо обновления, вы увидите сообщение о том, что доступна новая версия.

13. Плохо написанные темы и плагины

Иногда никакие обновления не могут решить проблему с плагином или темой. Вы должны быть осторожны с тем, какие темы и плагины вы используете в первую очередь.

Некоторые темы и плагины имеют плохой код и могут создавать уязвимости в системе безопасности вашего сайта WordPress.

Как это исправить

Чтобы этого избежать, скачивайте темы и плагины только из надежных источников. Лучшее место для поиска авторитетных тем и плагинов — это каталоги тем и плагинов WordPress.org.

Вы также можете получить к ним доступ от уважаемых в отрасли разработчиков, таких как мы здесь, в Brainstorm Force.

Если вы не уверены в репутации разработчика каких-либо плагинов или тем, которые вы используете, возможно, лучше найти альтернативу.

На самом деле мы предлагаем множество рекомендаций для плагинов, которые вы, возможно, захотите проверить.

14. Невозможно удалить неиспользуемые темы и плагины

Другая уязвимость заключается в том, что установлено слишком много плагинов или тем.

Если какие-либо неиспользуемые темы и плагины имеют уязвимости в системе безопасности, ваш сайт может оказаться под угрозой. Это еще более вероятно, когда вы их не используете, так как вы с меньшей вероятностью будете выполнять обновления.

Как это исправить

Просмотрите все темы и плагины, которые вы установили на своем веб-сайте WordPress. Если есть какие-то, которые вы не используете, удалите их.

Это также поддерживает порядок в вашей базе данных, а значит, имеет и другие преимущества!

15. Никаких резервных копий

Независимо от того, насколько хорошо вы защищаете свой веб-сайт WordPress, всегда есть вероятность, что что-то пойдет не так.

Например, вы можете случайно удалить важные файлы или ваш сайт может быть взломан.

Если что-то подобное произойдет, и у вас нет резервной копии вашего веб-сайта, вы можете потерять весь свой контент.

Вот почему важно регулярно создавать резервные копии вашего сайта WordPress. Таким образом, если что-то пойдет не так, вы сможете восстановить свой сайт.

Как это исправить

Существует множество плагинов WordPress, которые помогут вам создавать резервные копии вашего сайта. Популярные варианты включают в себя:

UpdraftPlus

UpdraftPlus

UpdraftPlus — один из самых популярных плагинов WordPress для создания резервных копий. Он позволяет создавать резервные копии файлов, баз данных и плагинов вашего сайта.

Затем вы можете восстановить свой сайт из этих резервных копий, если что-то пойдет не так.

UpdraftPlus также имеет ряд других функций, в том числе возможность автоматического резервного копирования вашего сайта по расписанию.

Кинста

Кинста

Вы также можете использовать вариант управляемого хостинга WordPress, который включает в себя регулярное резервное копирование как часть своей службы. Kinsta — наш любимый вариант, который предлагает это.

Мы рекомендуем иметь собственный механизм резервного копирования независимо от того, используете ли вы размещенные резервные копии или нет. Никогда нельзя быть слишком осторожным!

16. Ограниченный доступ к файлам WordPress

Еще одна угроза безопасности при использовании общего хостинга WordPress заключается в том, что у вас может не быть полного доступа к вашим файлам WordPress.

Некоторые хостинг-провайдеры ограничивают доступ своих клиентов к своим файлам WordPress. Это может затруднить надлежащую защиту вашего веб-сайта.

Как это исправить

Лучший способ избежать этой проблемы — использовать хостинг-провайдера WordPress, который дает вам полный доступ к вашим файлам WordPress.

17. Не использовать брандмауэр

Брандмауэр — это часть программного обеспечения, которое помогает защитить ваш сайт от атак. Для этого он блокирует входящий трафик, который считает вредоносным.

Если вы не используете брандмауэр на своем веб-сайте WordPress, он более уязвим для атак.

Как это исправить

Существует множество плагинов WordPress, которые помогут вам добавить брандмауэр на ваш сайт.

Популярные варианты включают в себя:

  • Брандмауэр веб-приложений от Sucuri
  • Безопасность Wordfence
  • Облачная вспышка

Некоторые опции бесплатны, другие платные. Мы предлагаем прочитать отзывы и проверить функции, чтобы принять решение.

18. Основная цель DDoS-атак

Веб-сайты WordPress часто становятся целью DDoS-атак.

DDoS-атаки — это тип атаки, при которой злоумышленник пытается перегрузить ваш сервер трафиком, чтобы отключить ваш сайт.

Если вы не готовы к DDoS-атаке, она может отключить ваш сайт на некоторое время.

Как это исправить

Лучший способ защитить ваш сайт WordPress от DDoS-атак — использовать хостинг-провайдера WordPress, который предлагает защиту от DDoS, или CDN, например Cloudflare.

19. Основная цель для атак с использованием межсайтового скриптинга (XSS)

Атаки с использованием межсайтовых сценариев (XSS) — это тип атаки, при которой злоумышленник пытается внедрить вредоносный код на ваш веб-сайт.

В случае успеха этот код можно использовать для кражи информации у посетителей вашего сайта.

Как это исправить

Лучший способ защитить ваш сайт WordPress от XSS-атак — использовать плагин безопасности WordPress, который включает защиту XSS.

Вы можете узнать больше о XSS и угрозе, которую он представляет здесь.

Плагин предотвращения XSS-уязвимости

Prevent XSS Vulnerability — отличный и простой вариант для этой задачи.

20. Основная цель для внедрения вредоносных программ

Вредоносное ПО — это тип программного обеспечения, предназначенного для повреждения или отключения вашего веб-сайта.

Его можно внедрить на ваш сайт несколькими способами, в том числе с помощью небезопасных плагинов и тем.

Если ваш сайт заражен вредоносным ПО, удалить его может быть сложно. А в некоторых случаях может потребоваться полностью перестроить ваш сайт.

Как это исправить

Лучший способ защитить ваш веб-сайт WordPress от вредоносных программ — использовать плагин безопасности WordPress, который включает сканирование и удаление вредоносных программ. MalCare, в частности, идеально подходит для этого.

21. Небезопасные контактные формы

Контактные формы являются общей функцией веб-сайтов WordPress и часто используются для сбора конфиденциальной информации, такой как номера кредитных карт и домашние адреса.

Если ваши контактные формы не защищены должным образом, эта информация может быть украдена хакерами.

Как это исправить

Ваш сайт должен иметь SSL-сертификат, чтобы он мог правильно обрабатывать конфиденциальную информацию через контактные формы. После этого вы можете использовать плагин безопасности WordPress, чтобы защитить свои контактные формы.

Вот еще немного информации о создании безопасных контактных форм.

22. Незащищенная страница входа

Страница входа — одна из самых важных страниц на вашем сайте WordPress. Он также является одним из самых уязвимых.

Если ваша страница входа не защищена должным образом, хакеры могут получить доступ к вашему сайту, угадав ваше имя пользователя и пароль.

Как это исправить

Вы можете сделать вход на свой сайт более безопасным, фактически переместив его URL. Таким образом, хакерам не так просто найти. Вы можете сделать это, используя плагин безопасности WordPress или добавив несколько строк кода в файл .htaccess вашего сайта.

После подключения к вашему сайту через FTP перейдите в каталог /wp-content/ . В этом каталоге найдите файл с именем .htaccess . Если вы его не видите, убедитесь, что ваш FTP-клиент настроен на отображение скрытых файлов.

Добавьте следующий код в начало файла .htaccess :

RewriteEngine включен

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$

Правило перезаписи ^(.*)$ –

Сохраните изменения и загрузите файл обратно на сервер.

У нас есть целый пост, посвященный вашей странице входа в WordPress прямо здесь.

Защитите свой сайт WordPress от попыток взлома и наслаждайтесь безопасностью сайта

В этой статье мы перечислили 22 способа взлома WordPress. Мы также предоставили советы о том, как исправить эти уязвимости.

Если вы будете следовать этим советам, вы сможете защитить свой сайт WordPress от попыток взлома. И вы можете быть спокойны, зная, что ваш сайт в безопасности!

Удачи!