16 WordPressi turvaprobleemi (haavatavus)

Kuulake seda artiklit

WordPressi turvaaugud – 16 populaarset turbeprobleemi, nende kohta ja kuidas neid selles artiklis parandada. WordPress võimaldab kõigil kiiresti veebisaiti luua, kuid Internetis on palju müra, mis annab meile teada, kui palju turvaprobleeme sellel on.

• Kas WordPressil on turvaprobleeme? Jah
• Kas nad on vastupandamatud? Ei
• Kas see peaks takistama teil oma veebisaiti WordPressiga luua? Suure tõenäosusega ei

Kõige konservatiivsema hinnangu kohaselt on veebisaitide arv umbes 2 miljardit ja peaaegu 45% neist töötab WordPressi jõul. Seda seetõttu, et WordPress on nii viljakas, et see on paljude häkkimiste all. Selle otsese tagajärjena on WordPress arenenud väga turvaliseks süsteemiks. Tegelikult on paljud turvaprobleemid, mida WordPress on aastate jooksul lahendanud, endiselt teistes CMS-ides.

Selles artiklis selgitan, millistest WordPressi turvaprobleemidest peaksite teadma ja mis veelgi olulisem, kuidas saate oma saiti nende eest kaitsta.

Artikli sisu:

• Kas WordPressil on haavatavusi ja turvaprobleeme?
• 16 levinumat WordPressi turvahaavatavusprobleemi, mis võivad teie saiti mõjutada
• Parimad tavad WordPressi turvaprobleemide ennetamiseks
• WordPressi haavatavust kasutavate saitide häkkimise peamised põhjused
• Väljund

Kas WordPressil on haavatavusi ja turvaprobleeme?

Jah, WordPressis on turvaprobleeme, kuid nendega pole keeruline toime tulla. Ohtude vastu võitlemiseks ei pea teil olema arenduskogemust ega kogemusi WordPressi koodiga. Järgige selles artiklis kirjeldatud lihtsaid parandusi ja teil on usaldusväärne ja turvaline WordPressi veebisait.

16 levinumat WordPressi turvahaavatavusprobleemi, mis võivad teie saiti mõjutada

WordPressil on palju turvaprobleeme ja üsna palju turvaauke. Kuid hea on see, et neid kõiki saab hõlpsasti lahendada. Keegi ei taha kulutada aega oma veebisaidi turvalisuse haldamisele selle arendamise või sissetuleku suurendamise asemel.

Välja arvatud WordPressi turvaaugud ja ohustatud paroolid, pahavara ja rünnakud on samuti turvaprobleemid. Kuigi pahavara ja WordPressi rünnakuid kasutatakse mõnikord vaheldumisi, on need erinevad. Pahavara on pahatahtlik kood, mille häkkerid teie saidile süstivad, samas kui ründed on mehhanismid, mida nad pahavara süstimiseks kasutavad. Allolevas loendis olen käsitlenud kõiki nelja tüüpi WordPressi turvaprobleeme.

Siin on loend tavalistest WordPressi turvahaavatavusprobleemidest, millest peate teadma:

• Aegunud pistikprogrammid ja teemad;
• Nõrgad paroolid;
• pahavara teie WordPressi saidil;
• SEO rämpsposti pahavara;
• Andmepüügipettused;
• Pahatahtlikud ümbersuunamised;
• Korduvkasutatavad paroolid;
• Nullitud tarkvara;
• tagauksed teie WordPressi saidil;
• Pahavara wp-vcd.php;
• Brute force attacks (toore jõu rünnak);
• SQL-i süstimine;
• saidiülesed skriptirünnakud;
• Sait töötab HTTP, mitte HTTPS-i kaudu;
• WordPressist saadetud rämpspost;
• Mitteaktiivsed kasutajakontod.

1. Aegunud pistikprogrammid ja teemad

WordPressi pistikprogrammid ja teemad on üles ehitatud koodiga ning nagu ma varem selgitasin, teevad arendajad mõnikord koodis vigu. Vead võivad põhjustada turvaauke, mida nimetatakse haavatavusteks.

Turvateadlased otsivad populaarses tarkvaras WordPressi turvaauke, et muuta Internet turvalisemaks. Kui nad avastavad haavatavused, teatavad nad nendest arendajatele parandamiseks. Seejärel annavad vastutavad arendajad värskendusena välja turvapaiga, mis parandab haavatavuse. Piisava aja möödudes teatavad turvateadlased oma leiud.

Ideaalis peaksid pluginad ja teemad olema selleks ajaks värskendatud. Väga sageli see aga nii ei ole. Ja häkkerid teavad ja toetuvad sellele kalduvusele veebisaite rünnata ja turvaauke ära kasutada.

Värskendused võivad mõnikord saidi kahjustada, kui seda ei tehta hoolikalt. Kasutage BlogVaulti värskenduste haldamiseks, nii et teie sait varundataks enne värskendust, et saaksite enne tootmiskohale liikumist katsefaasis veenduda, et kõik toimib ideaalselt.

Parandus: hallake oma veebisaidi värskendusi kiiresti.

2. Nõrgad paroolid

Häkkerid kasutavad sisselogimislehtede ründamiseks programme, mida nimetatakse robotiteks, proovides veebisaidile tungimiseks kasutada mitmeid kasutajanimede ja paroolide kombinatsioone. Botid võivad sageli proovida sadu kombinatsioone minutis, kasutades murdmiseks sõnaraamatu sõnu ja sageli kasutatavaid paroole. Kui see õnnestub, on häkkeril avatud juurdepääs teie saidile.

Teisest küljest on keerukaid paroole raske meeles pidada, nii et administraatorid valivad hõlpsasti meeldejäävad paroolid, näiteks lemmikloomade nimed, sünnipäevad või isegi sõna "parool" variatsioonid.

See jätab aga saidi turvalisuse rünnakute suhtes haavatavaks. See teave on seaduslikult kättesaadav võrgus sotsiaalmeedia ja muude saitide kaudu ning ebaseaduslikult andmetega seotud rikkumiste või tumeda veebi kaudu. Konto ja seega ka veebisaidi turvalisena hoidmiseks on kõige parem omada tugevat unikaalset parooli.

MärgeV: Peate oma veebisaidi kontodele, sealhulgas kasutajakontole ja hostimiskontole, määrama tugevad paroolid. Administraator ei muuda sageli SFTP mandaate ja andmebaase, kuid kui muudate, siis määrake neile ka tugevad paroolid.

Lisaks saate piirata WordPressi sisselogimiskatsete arvu. Kui kasutajal on liiga palju halbu sisselogimisi, keelatakse ta ajutiselt või peab täitma CAPTCHA, et tõestada, et ta pole robot. See meede kaitseb robotite eest ja võtab arvesse inimtegurit.

Parandus: kasutage tugevaid paroole ja piirake robotite blokeerimiseks sisselogimiskatsete arvu.

3. Pahavara teie WordPressi saidil

Pahavara on üldtermin, mida kasutatakse mis tahes koodi kirjeldamiseks, mis lubab teie veebisaidil volitamata tegevust. Järgmistes lõikudes käsitlen ka konkreetseid juhtumeid, nagu tagauksed ja andmepüügirünnakud.

Kui räägime WordPressi turvaprobleemide lahendamisest, on eesmärk pahavara eemal hoida. Kuid nagu ma varem ütlesin, pole kumbki süsteem 100% puhul soomust läbistav. Saate teha kõike õigesti ja nutikas häkker leiab uue viisi kaitse katkestamiseks. See on haruldane, kuid see juhtub. Kuidas siis pahavaraga toime tulla, kui see juba teie saidil on?

Kõigepealt peate kinnitama, et pahavara on teie saidil tõepoolest olemas. Pahatahtlik tarkvara võib peituda failides, kaustades ja andmebaasis. Oleme näinud pahatahtlikke faile, mis on maskeeritud WordPressi põhifailidena, pildifailidena ja isegi kuvatud pistikprogrammidena. Ainus viis veenduda, kas teie veebisait on nakatunud või mitte, on seda iga päev põhjalikult skannida. Selleks tuleb installida MalCare või Wordfence Security. Vaatame MalCare'i:

MalCare kasutab teie saidil pahavara tuvastamiseks keerukat algoritmi. Teised skannerid kasutavad pahavara märgistamiseks osaliselt tõhusaid meetodeid, nagu failide võrdlemine ja allkirjade sobitamine. MalCare kasutab koodi käitumise kontrollimiseks üle 150 signaali ja märgistab selle siis pahavarana, kui kavatsus on pahatahtlik. Sellel on kaks suurt eelist:

• esiteks pole valepositiivseid tulemusi, kui kasutajakood märgitakse pahavaraks;
• teiseks tuvastatakse õigesti ka pahavara uusimad variandid.

MalCare pakub enam kui 95 % pahavara skannimise täpsust ja on täiesti tasuta. Kui skannimistulemused näitavad, et teie saiti on häkitud, peate alles siis selle puhastamiseks uuendama. MalCare'iga eemaldab automaatne puhastusfunktsioon teie WordPressi saidilt pahavara kirurgiliselt, jättes teie saidi taas puutumata.

Parandus: skannige ja puhastage oma sait MalCare'iga.

4. SEO rämpsposti pahavara

SEO rämpspost on eriti jõhker pahavara, mida häkkerid kasutavad teie veebisaidi liikluse ümbersuunamiseks teie veebisaidilt oma kahtlastele ja rämpspostisaitidele. Nad teevad seda teie Google'i otsingutulemuste kaaperdamise, teie olemasolevatele lehtedele koodi sisestamise või liikluse ümbersuunamise kaudu oma veebisaitidele. Mõnikord teevad nad kõiki neid asju. Igal juhul on see alati halb uudis.

SEO rämpsposti pahavara levinumaid variante on mitu, näiteks jaapani märksõna häkkimine ja farmaatsia häkkimine. Mõlemad valikud on omaette tuntust kogunud, kuna nende sümptomiteks on konkreetsed jaapani tähemärgid või ravimifirmade märksõnad otsingutulemustes.

Igat tüüpi SEO rämpsposti pahavara on uskumatult raske käsitsi eemaldada, kuna need võivad luua sadu tuhandeid uusi rämpspostilehti, mida ei saa kergesti eemaldada. Lisaks süstivad nad pahavara olulistesse WordPressi põhifailidesse ja -kaustadesse, näiteks .htaccess-faili, mis võib saidi korralikult puhastamata jätmise korral lõhkuda.

Neid pahavara tüvesid sisaldavad saidid märgitakse alati Google'i otsingukonsoolis, Google'i mustas nimekirjas ja seetõttu peatab veebimajutaja teie hostimiskonto. Seega on selle häkkimise vastu võitlemise võti jätta see asjatundjate hooleks, kelleks antud juhul on WordPressi turvapluginad. Nad mitte ainult ei vabane pahavarast, vaid kaitsevad teie saiti ka täiustatud tulemüüriga.

Parandus: eemaldage SEO rämpsposti pahavara WordPressi turvapluginatega.

5. Andmepüügipettus

Andmepüügi pahavara on kaheosaline pettus, mis meelitab kasutajaid avaldama oma tundlikke andmeid, maskeerides end usaldusväärsete kaubamärkidena.

Esimene osa on saata pahaaimamatule kasutajale ametlik e-kiri, tavaliselt koos kohutava hoiatusega, et kui ta kohe oma paroole või midagi ei värskenda, juhtub midagi kohutavat. Näiteks kui andmepüügimeil võltsib veebimajutusklienti, võivad nad öelda, et saiti ähvardab mahavõtmine.

Pettuse teine pool toimub veebisaidil. Andmepüügimeil sisaldab tavaliselt linki, mis viib kasutaja väidetavalt ametlikule veebisaidile ja nõuab oma mandaatide sisestamist. Veebisait on selgelt võlts ja nii paljud inimesed oma kontosid ohustavad.

WordPressi veebisaitidel on kahte tüüpi andmepüüki, olenevalt sellest, milline kelmuse osa toimub. Esimesel juhul saab WordPressi administraator andmepüügimeile selle kohta, et nende veebisait vajab andmebaasi värskendust ja neid petatakse sisselogimisandmeid sisestama.

Teisest küljest võivad häkkerid teie saiti kasutada võltslehtede jaoks. Tihti on veebilehe administraatorid oma kodulehel kohanud pankade logosid või e-kaubanduse veebisaitide logosid, isegi kui neil pole selleks põhjust. Neid kasutatakse inimeste petmiseks.

Google ja Yandex tõrjuvad väga kiiresti andmepüügi, eriti neid lehti majutavatel veebisaitidel. Teie veebisait lisatakse musta nimekirja ja teavitatakse, kui on leitud andmepüügiveebisait. See on külastajate usalduse ja brändingu jaoks kohutav. Kuigi olete süütu, on teie veebisaidist saanud petusait. Kindlasti tuleb sellest pahavarast võimalikult kiiresti lahti saada ja võtta meetmeid kahju vältimiseks.

Parandus: eemaldage MalCare'i või Wordfence Security turbeplugina abil oma veebisaidilt andmepüügi pahavara ja soovitage kasutajatel mitte klõpsata meilides olevatel linkidel.

6. Pahatahtlikud veebisaidi ümbersuunamised

Üks hullemaid WordPressi häkkereid on pahatahtlik ümbersuunamise häkkimine. On uskumatult masendav külastada teie veebisaiti ainult selleks, et sattuda teisele rämpsposti või kelmuse veebisaidile, kus müüakse küsitavaid tooteid ja teenuseid. Sageli ei saa WordPressi administraator häkitud ümbersuunamise pahavara tõttu isegi oma veebisaitidele sisse logida. Sellel pahavaral on palju variatsioone ja see nakatab täielikult veebisaidi failid ja andmebaasi.

Ainus viis pahatahtliku pahavara ümbersuunamisest vabanemiseks on kasutada turvapluginat. Tõenäoliselt vajate pistikprogrammi installimisel abi, kuna te ei saa oma saidile sisse logida.

Parandus: MalCare'i või Wordfence Security abil saate lahti murtud ümbersuunamise pahavarast.

7. Korduvkasutatavad paroolid

Korduvkasutatavad paroolid võivad olla tugevad paroolid, nagu ma eelmises jaotises rääkisin, kuid need ei pruugi olla ainulaadsed.

Näiteks teie sotsiaalmeediakontol ja veebisaidi kontol on parooli jaoks sama tähtede, sümbolite ja numbrite jada. Olete harjunud seda tippima ja arvate, et seda on võimatu ära arvata, seega on see hea parool.

Noh, sul on pooleldi õigus. See on hea parool, kuid ainult ühe konto jaoks. Rusikareegel on mitte kunagi kasutada erinevate kontode paroole. Ja põhjuseks on potentsiaalne andmelekke oht.

GoDaddy leke tekkis 2021. aasta septembris, mille nad avastasid alles 2021. aasta novembris. Selleks ajaks oli 1,2 miljoni kasutaja ja SFTP mandaatide andmebaas ohustatud. Kui mõni neist kasutajatest oli neid paroole mujal kasutanud, näiteks pangakonto jaoks, oli see teave nüüd häkkeri käes. Teiste kontode häkkimine on muutunud palju lihtsamaks.

Usaldame oma andmete kaitsmiseks erinevaid teenuseid ja veebisaite, kuid ükski süsteem pole täielikult soomust läbistav. Kõik võib ja läheb õigel ajal katki. Eesmärk on kahju võimalikult palju ohjeldada. See aitab teil luua iga konto jaoks ainulaadseid ja tugevaid paroole.

Parandus: määrake kordumatud paroolid ja kasutage nende meeldejätmiseks paroolihaldurit.

8. Nullitud tarkvara

Nulleeritud pistikprogrammid ja teemad on krakitud litsentsidega esmaklassilised versioonid, mis on veebis tasuta saadaval. Lisaks arendajatelt varastamise moraalile kujutab nullitud tarkvara WordPressile tohutut turvariski.

Enamik nullitud teemasid ja pistikprogramme on nakatunud pahavaraga. Häkkerid loodavad, et inimesed soovivad osta kvaliteetset toodet hea hinnaga ja ootavad, kuni nad selle installivad. Veebisait saab annuse käsitsi edastatud pahavara ja nüüd on sait sisse häkitud. See on ainus põhjus, miks keegi lisatasu programme üldse häkkib. Robin Hood ei kuulu WordPressi ökosüsteemi.

Isegi kui lähtestatud teemad ja pistikprogrammid ei sisalda pahavara – mis on väga haruldane –, ei saa te neid värskendada. Kuna tegemist pole ametlike versioonidega, siis ilmselgelt ei saa need arendajatelt tuge. Seega, kui haavatavus avastatakse ja arendajad vabastavad turvapaiga, on nullitud tarkvara haavatavusega ka aegunud, lisaks sellele, et sellele on installitud pahavara.

ParandusV: Vältige nullitud pistikprogramme ja teemasid nagu katk.

9. Teie WordPressi saidi tagauksed

Nagu nimigi ütleb, on tagauksed alternatiivsed ja ebaseaduslikud viisid teie veebisaidi koodile juurdepääsuks. Koos pahavaraga süstivad häkkerid teie veebisaidile tagaukse koodi, nii et kui pahavara leitakse ja eemaldatakse, saavad nad tagaukse kaudu juurdepääsu tagasi.

Tagauksed on üks peamisi põhjuseid, miks ma ei soovita teie veebisaidilt pahavara käsitsi eemaldada. Võite leida pahatahtlikke skripte ja neid eemaldada, kuid tagaukse saab väga nutikalt peita ja peaaegu nähtamatuks muuta. Ainus viis oma saidilt tagauste eemaldamiseks on kasutada WordPressi turbepluginat.

Parandus: kasutage tagauste eemaldamiseks turvapluginat.

10. Pahatahtlik wp-vcd.php

Pahavara wp-vcd.php põhjustab teie WordPressi veebisaidil rämpsposti hüpikaknaid, mis suunavad kasutajad teistele veebisaitidele. Sellel on sama eesmärk kui SEO rämpsposti häkkimisel ja pahatahtlikel ümbersuunamistel, kuid see toimib erinevalt. Sellel on mitu võimalust, nagu wp-tmp.php ja wp-feed.php.

Pahavara wp-vcd.php nakatab veebisaite koodiga, mis käivitatakse iga kord, kui sait laaditakse. See on üks kõige vastikum häkkimine, mis nakatab WordPressi saite, sest niipea, kui selle eemaldate, tundub see tagasi tulevat; mõnel juhul koheselt. Kui kunagi oli pahavara, mida võiks võrrelda korduva viirusega, mida lihtsalt ei õnnestunud välja juurida, siis wp-vcd.php on õige tee.

Pahavara wp-vcd.php nakatab veebisaite peamiselt nullitud pistikprogrammide ja teemade kaudu. Wordfence läheb nii kaugele, et nimetab seda "pahavaraks, mille installisite oma saidile".

Parandus: eemaldage turvaplugina abil koheselt oma veebisaidilt pahavara wp-vcd.php.

11. Toore jõu rünnak

Häkkerid kasutavad teie sisselogimislehte juurdepääsu saamiseks kasutajanime ja parooli kombinatsioonidega pommitamiseks roboteid. Seda meetodit tuntakse jõhkra jõu rünnakuna ja see võib olla edukas, kui paroolid on nõrgad või samad, mis andmerikkumise korral.

Jõhkra jõu rünnakud ei ole mitte ainult kohutavad turvalisuse jaoks, vaid tarbivad ka teie saidi serveriressursse. Iga kord, kui sisselogimisleht laaditakse, nõuab see teatud ressursse. Tavaliselt on kettakasutus tühine, seega ei mõjuta see jõudlust märgatavalt. Kuid jõhkra jõuga robotid ummistavad sisselogimislehte mitusada, kui mitte tuhandeid kordi minutis. Kui teie sait on jagatud hostimisel, on sellel märgatavaid tagajärgi.

Toore jõu rünnakute vastu võitlemise viis on kaitsta oma saiti robotite eest ja piirata kehtetuid sisselogimiskatseid.

CAPTCHA saate lubada ka sisselogimislehel. Võite näha nõuandeid sisselogimislehe peitmiseks, muutes vaike-URL-i, kuid seda ei tee. Seda on uskumatult raske taastada, kui see URL kaob ja teid koos häkkeritega oma veebisaidilt keelatakse.

Parandus: piirake sisselogimiskatsete arvu ja hankige oma saidile robotikaitse.

12. SQL-i süstimine

Kõigil WordPressi veebisaitidel on andmebaasid, mis salvestavad veebisaidi kohta olulist teavet. Sellised asjad nagu kasutajad, nende räsitud paroolid, postitused, lehed, kommentaarid salvestatakse tabelitesse ning veebisaidi failid redigeerivad ja otsivad neid regulaarselt. Andmebaasi pääseb harva otse juurde ja seda kontrollivad turvakaalutlustel veebisaidi failid.

SQL-i süstid on eriti ohtlikud rünnakud, kuna häkkerid saavad andmebaasiga otse suhelda. Nad kasutavad teie veebisaidil olevaid vorme SQL-päringute sisestamiseks, võimaldades neil andmebaasiga manipuleerida või seda lugeda. SQL on programmeerimiskeel, mida kasutatakse andmebaasis muudatuste tegemiseks, näiteks andmete lisamiseks, kustutamiseks, muutmiseks või toomiseks. Seetõttu on SQL-i süstimise rünnakud nii ohtlikud.

Lahendus on hoida oma pistikprogrammid ja teemad ajakohasena, sest WordPressi turvanõrkused (nt töötlemata sisend) viivad edukate SQL-i süstimisrünnakuteni. Lisaks kaitseb hea tulemüür teie saiti sissetungijate eest.

ParandusV: Hoidke kõik ajakohasena ja installige tulemüür.

13. Saididevahelised skriptirünnakud

Saitidevahelise skriptimise ehk XSS-i rünnakud veebisaitidele sarnanevad SQL-i süstidega, kuna häkker sisestab veebisaidile koodi. Erinevus seisneb selles, et kood sihib teie saidi järgmist külastajat, mitte teie saidi andmebaasi.

XSS-rünnak lisab teie saidile pahavara. Külastaja saabub ja tema brauser arvab, et pahavara on teie veebisaidi osa ja seetõttu rünnatakse külastajat. Tavaliselt kasutatakse saidiüleseid skriptirünnakuid pahaaimamatute külastajate andmete varastamiseks.

Saidi külastajate kaitsmiseks peate veenduma, et teie saidil ei oleks XSS-i haavatavusi. Lihtsaim viis seda teha on veenduda, et teie sait on täielikult ajakohane. Saate viia oma turvalisuse järgmisele tasemele, installides WordPressi tulemüüri pistikprogrammi.

Parandus: installige WordPressi tulemüür ja hoidke veebisaidil kõike ajakohasena.

14. Veebisait kasutab HTTP-d, mitte HTTPS-i

Võib-olla olete märganud, et paljudel veebisaitidel on nüüd aadressiriba kõrval roheline tabalukk. See on usaldusmärk, mis annab külastajale teada, et veebisait kasutab SSL-i. SSL on turvaprotokoll, mis krüpteerib veebisaidilt sissetuleva ja väljamineva liikluse.

Selle hea analoogia on telefonikõne. Kahe inimese vahel liinil vahetatud andmed peavad jääma nende vahele privaatseks vestluseks. Kui aga kolmas osapool saaks selle liiniga ühenduse luua, saaksid nad andmetest aru ja seetõttu poleks need enam privaatsed. Kui aga kaks algset inimest kasutasid koodi, mida ainult nemad said dešifreerida, siis olenemata sellest, kui palju kolmas isik pealt kuulab, jääb teabe tegelik tähendus nende eest varjatuks.

Nii töötab SSL veebisaitide puhul. See krüpteerib veebisaidile ja veebisaidilt saadetud andmed, nii et tundlikku teavet ei saaks kolmandad osapooled lugeda ega ebaseaduslikul viisil kasutada.

Viimasel kümnendil on Internet tervikuna liikunud andmeturbe ja privaatsuse poole ning SSL-ist on saanud üks peamisi viise selle eesmärgi saavutamiseks. Isegi Google pooldab tugevalt SSL-i toega veebisaite kuni selleni, et karistab mitte-SSL-i veebisaite otsingutulemustes.

Parandus: installige oma saidile SSL-sertifikaat.

15. WordPressist saadetud rämpspost

Meilid on digitaalse turunduse ja veebisaidi külastajatega suhtlemise nurgakivi. Inimesed muutuvad ka mõistlikumaks e-kirjade suhtes, mida nad soovivad saada, seega on nende aluseks olev usaldus.

Arvestades usalduse tundlikku olemust, on kohutav mõelda, et häkker võib teie veebisaidile pahavara süstida ja teie külastajaid meili teel rämpsposti saata. Ja ometi, just seda teeb mõni pahavara. Rämpsposti saatmiseks peatavad nad WordPressi peamise funktsiooni wp_mail().

Tavaliselt lisab pahavara Google'i musta nimekirja, keelab teie saidi Yandexis ja peatab teie veebimajutuse, kuid rämpsposti korral lisab teie veebimajutaja ka teie meiliteenuse musta nimekirja ja näete palju muid vigu. Tegelikult, kui rämpspostitaja lisab teie veebisaidile ka e-posti aadresse, on teil oht sattuda musta nimekirja.

Rämpspostikirjad satuvad rämpspostilõksu ja ohustavad WordPressi veebisaidi meili saatmise volitusi.

Parandus: puhastage oma veebisaidilt rämpspost ja kasutage selle asemel e-posti turundustööriista.

16. Mitteaktiivsed kasutajakontod

Saidi kasutajad muutuvad pidevalt. Näiteks kui teil on ajaveebi, kus on mitu autorit ja toimetajat, on tõenäoline, et veebisaidile lisatakse sageli uusi autoreid ja vanad autorid lahkuvad.

Põhimõte on see, et vanad kasutajakontod, mida ei kustutata, muutuvad aja jooksul kiiresti WordPressi turvaprobleemiks. Kuna kontod on olemas, kuid paroole regulaarselt ei värskendata, on need rünnakute suhtes haavatavad. Mitteaktiivsete kasutajakontodega kaasnevad samad riskid kui ohustatud paroolide puhul, seega on aktiivselt mittekasutatud kontode kustutamine vajalik äriülesanne.

Samuti on oluline teada, kes mida teie saidil teeb. Ebatavalised või ootamatud kasutajatoimingud on varajane signaal, et kontodele on sisse häkitud.

Parandus: eemaldage passiivsed kasutajakontod ja kasutage tegevuste logi.

Parimad tavad WordPressi turvaprobleemide ennetamiseks

WordPressi turvaprobleemid arenevad pidevalt ja nendega on raske kursis olla kogu muu veebisaidi haldamisega seotud töö kõrvalt. Nii et siin on mõned head turvanõuanded, mis aitavad teil oma saiti pahavara ja häkkerite eest kaitsta ilma teiepoolse täiendava pingutuseta.

• Installige turbeplugin: Teie WordPressi parim kaitse häkkerite eest on hea turvaplugin. WordPressi turbepluginil peab olema pahavara skanner ja puhasti. Ideaalis peaks sellega kaasas olema ka tulemüür, toore jõu kaitse, robotikaitse ja tegevuste logi. Selline pistikprogramm aitab teil WordPressi turvaaukudest üle saada.
• Kasutage tulemüüriV: Veebirakenduste tulemüür kaitseb teie saiti igasuguste sissetungijate eest. Häkkerid soovivad lisaks muudele WordPressi turvahaavatavusprobleemidele ära kasutada ka teie veebisaidi turvaauke. Tulemüür takistab seda, lastes läbi ainult seaduslikud külastajad. See on teie veebisaidi jaoks kohustuslik ja veelgi parem, kui see on teie turvapluginaga komplektis.
• Hoidke kõike ajakohasena: Veenduge, et WordPressi tuum, pistikprogrammid ja teemad oleksid alati ajakohased. Värskendused sisaldavad sageli haavatavuste turvaparandusi, mistõttu on oluline need võimalikult kiiresti värskendada. Riski minimeerimiseks värskendage oma veebisaiti turvaliselt BlogVaultiga. Teie sait varundatakse vahetult enne versiooniuuendust ja enne aktiivse veebisaidi täiendamist näete, kuidas täiendus töötab.
• Kasutage kahefaktorilist autentimist: paroole saab murda, eriti kui need pole väga tugevad või on korduvkasutatud. Kahefaktoriline autentimine genereerib lisaks paroolidele, mida on palju raskem lahti murda, reaalajas sisselogimisloa. Saate lubada kahefaktorilise autentimise pistikprogrammiga, näiteks WP 2FA või mõne muu selles loendis olevaga.
• Jõustage tugevaid paroolipoliitikaidV: Ma ei saa piisavalt rõhutada tugevate ja ainulaadsete paroolide tähtsust. Soovitan kasutada paroolihaldurit. Veebisaidi kaitsmiseks turvaprobleemide, näiteks jõhkra jõu rünnakute eest, peaks teie turbeplugin piirama ka sisselogimiskatseid.
• Tehke saidi korrapärased varukoopiadV: Varukoopiad on häkkimise viimane abinõu ja teie veebisaidil peaks alati olema varukoopia, mida hoitakse teie veebisaidi serverist eemal.
• Kasutage SSL-i: installige oma veebisaidile SSL-sertifikaat, et sellega suhtlust krüpteerida. SSL-ist on saanud de facto standard ja Google propageerib aktiivselt selle kasutamist turvalisemaks sirvimiseks.
• Tehke turvaaudit iga paari kuu tagant: Kontrollige kasutajaid ja nende tegevust veebisaidil tegevuste logiga. Ebatavaline tegevus võib olla varane hoiatus pahavara eest. Samuti soovitame teil administraatori ja kasutajakontode jaoks rakendada vähimate õiguste poliitikat. Lõpuks eemaldage oma veebisaidilt kõik kasutamata pistikprogrammid või teemad. Deaktiveeritud teemasid ja pistikprogramme eiratakse värskenduste puhul ning WordPessi turvanõrkused jäävad kontrollimata, mille tulemuseks on veebisaitide häkkimine.
• Valige mainekad pistikprogrammid ja teemadV: See on turvameetmena pisut subjektiivne, kuid tasub kasutada oma saidi parimaid pistikprogramme ja teemasid. Näiteks kontrollige, kas arendaja värskendab oma toodet regulaarselt. Lisaks veebiülevaadetele ja muudele kasutajatoe kogemustele on see oluline mõõdik. Lisaks on esmaklassiline tarkvara üldiselt parem. Kuid mis kõige tähtsam, ärge kunagi kasutage nullitud tarkvara. Selle koodis on sageli pahavara, kuna see häkiti just sel põhjusel. See lihtsalt ei ole riski väärt.

WordPressi haavatavust kasutavate saitide häkkimise peamised põhjused

Teie WordPressi saidi turvalisuses on kaks nõrka lüli: WordPressi haavatavused ja paroolid. Pahavara 90%+ tuuakse sisse turvaaukude kaudu, 5%+ ohustatud või nõrkade paroolide tõttu ja <1% muudel põhjustel, nagu kehvad veebimajutusteenused.

Haavatavused

Kuigi WordPress ise on turvaline, on veebisaidid ehitatud rohkem kui lihtsalt WordPressi tuumaga. Kasutame pistikprogramme ja teemasid, et täiustada oma veebisaitide funktsionaalsust, lisada funktsioone, kaunist kujundust ja suhelda veebisaidi külastajatega. Kõik see saavutatakse pistikprogrammide ja teemade kaudu.

Pluginad ja teemad, nagu WordPress, on loodud koodiga. Kui arendajad koodi kirjutavad, võivad nad teha vigu, mis toovad kaasa lünki. Häkkerid võivad kasutada koodis olevaid lünki, et teha toiminguid, mida arendaja pole ette näinud.

Näiteks kui teie veebisait võimaldab kasutajatel pilte üles laadida näiteks profiilipildi jaoks, peaks üleslaaditav olema ainult pildifail. Kui aga arendaja pole neid piiranguid seadnud, võib häkker hoopis alla laadida pahavara täis PHP-faili. Pärast veebisaidile üleslaadimist saab häkker faili käivitada ja pahavara levib ülejäänud saidile. Need lüngad on haavatavused. Muidugi on ka teisi tüüpe, kuid need on peamised, mida WordPressi saidid kannatavad.

Ohustatud paroolid

Kui häkkeril on teie konto mandaadid, ei pea ta teie saidile sisse häkkima. Seetõttu on tugevad paroolid nii olulised.

On kaks peamist viisi, kuidas paroolid muutuvad WordPressi turvaahela nõrgimaks lüliks. Üks on kasutada kergesti meeldejäävaid paroole, mida häkkeritel ja nende robotitel on seega lihtne ära arvata. Ja teine ​​võimalus on see, kui kasutajad kasutavad paroole erinevatel saitidel ja teenustes.

Andmete rikkumised on liiga levinud. Näiteks on kasutajal sama parool kahe erineva konto jaoks: e-kaubanduse veebisaidil ja tema Twitteri kontol. Kui e-kaubanduse veebisaidil on andmetega seotud rikkumine, mille käigus kasutajaandmed varastatakse, on nende Twitteri konto nüüd ohustatud. Häkker võib siseneda kontole ja põhjustada igasugust hävingut.

Nii haavatavused kui ka rikutud paroolid on WordPressi turvaohud, mida saab õigete tööriistade ja õigete näpunäidete abil hõlpsasti toime tulla.

Väljund

WordPressi turvahaavatavusprobleemid võivad kogenematut administraatorit hirmutada, kuid see ei tähenda, et neile lahendust poleks. Turvaprobleeme saab hõlpsasti lahendada, kuulates ekspertide nõuandeid. Loodan, et see artikkel aitas muret leevendada. Kui on midagi, mida ma pole käsitlenud, andke mulle teada.

Seda artiklit lugedes:

• Kuidas eemaldada Favicon.ico viirus oma WordPressi saidilt?
• Kuidas riiki WordPressis blokeerida?

Täname lugemise eest: SEO HELPER | NICOLA.TOP